Methoden heutiger Malware
Artikel erschienen in Swiss IT Magazine 2007/03
Als Viren in den 80er Jahren zum ersten Mal auftauchten, war die Intention der Verbreiter vergleichbar mit der von Graffiti-Sprühern: Unreife, geltungssüchtige Menschen wollten möglichst weitflächig eine Spur hinterlassen, und zwar ohne Rücksicht auf die Interessen anderer. Der Sinn des Computerschädlings war also die Ausbreitung an sich. Bald kamen auch noch Schadroutinen hinzu, die Dateien löschten, Partitionen formatierten oder – in extremen Fällen – den Computer mittels böswilligem BIOS-Flash unbrauchbar machten.
Das Internet hat den Computer zum Mainstream-Gerät gemacht, und so haben in den letzten fünf Jahren auch Mainstream-Kriminelle die Möglichkeiten von Schädlingssoftware erkannt. Mit frappierenden Folgen: Das klassische Virus, das sich über Dateien verbreitet, eventuell eine Schadroutine enthält und dessen Seinszweck die Befriedigung der Geltungssucht eines Einzelnen ist, existiert praktisch nicht mehr. Heutige Malware dient mit ganz wenigen Ausnahmen nur noch dazu, Kriminellen beim Geld verdienen zu helfen. Zu diesem Zweck musste sich das Verhalten von Malware dramatisch ändern. Während klassische Viren früher oder später ihre Anwesenheit auf dramatische Weise demonstrierten, versteckt sich heutige Malware, um im Verborgenen zu wirken.
Es gibt mannigfaltige Möglichkeiten, mit Malware Geld zu verdienen. Oft ist der Besitzer des infizierten Rechners selbst das Opfer. Manche Malware-Programme enthalten eine Keylogging-Funktion. Das heisst, dass jeder Tastenanschlag des Opfers mitprotokolliert und an den Malware-Versender übermittelt wird. Kommt er so an die Girokonti- oder Paypal-Daten des Opfers, kann er direkt Geld abgreifen. Eine andere Möglichkeit des Missbrauchs ist, dem Opfer Werbung anzuzeigen. Häufig will ein angeblicher Virenscanner ein Schadprogramm gefunden haben; man solle die Vollversion gegen Geld erwerben, um den Schädling entfernen zu können. Eine dritte Variante ist das gezielte Ausspionieren von Informationen; das betrifft aber freilich keine Privatpersonen, wohl aber immer mehr Unternehmen, deren Geschäftsgeheimnisse von grossem Interesse für die Konkurrenz sind.
Aber die genannten Umtriebe sind keineswegs die Hauptmethode, mit der Virenautoren Geld verdienen. Die üblichste Form der Cyberkriminalität ist, die Kontrolle über fremde Computer zu erlangen, um deren Internetverbindung für weitere Aktivitäten zu missbrauchen. Eine grosse Zahl solcher ferngesteuerter Computer, die von einem einzigen Kriminellen kontrolliert werden, nennt man Botnetz. Der überwiegende Teil des aktuellen Spam-Aufkommens wird über solche Botnetze verschickt. Aber nicht nur die Empfänger von Werbung sind Opfer, sondern auch die Auftraggeber: Botnetze lassen sich auch dazu nutzen, massiv die Zugriffszahlen und Klickraten von Websiten zu erhöhen, die für die Anzeige von Werbung bezahlt werden. Der Werbepartner muss also zahlen, ohne dass seine Anzeigen wirklich beachten wurden. Eine besonders grobe Form der Kriminalität ist die Gelderpressung unter Androhung einer DDoS-Attacke. Schon Mitte 2004, kurz vor der Fussball-EM, wurden Online-Wettanbieter um fünfstellige Dollarbeträge erpresst. Mybet.com ignorierte die Forderung. Daraufhin war die Site tatsächlich rund 16 Stunden lang offline.
Früher machte die Unterscheidung in Viren, Würmer und Trojaner Sinn. Viren waren Schadprogramme, die andere Dateien infizierten, Würmer «krochen» gleichsam durch ein Netzwerk, und Trojaner (besser eigentlich: Trojanische Pferde) waren Schadprogramme, die den Feind in den eigenen Computer liessen. Heute kann man praktisch von einer Konvergenz der Schadprogramme sprechen: Es gibt eigentlich nur noch einen einheitlichen Typus, der sich nach Wurm-Art verbreitet und die Funktionen eines Trojanischen Pferdes besitzt. Insofern ist eine Unterscheidung hier überflüssig. Was aber von dieser eindeutig kriminellen Art der Malware scharf zu trennen ist, ist die sogenannte «Spyware».
Der unglücklich gewählte Begriff bezeichnet unangenehme, zumeist schwer deinstallierbare Werbeprogramme, die auf zumindest halblegalem Weg ins System kommen, beispielsweise als Dreingabe bei der Installation eines kostenlosen Programms.
Ein Begriff, der in den letzten Monaten zunehmend an Medienpräsenz gewann, ist «Rootkit». Es ist wichtig zu verstehen, dass ein Rootkit keineswegs eine eigene Art von Schadprogramm ist (wie ein Virus oder ein Spyware-Programm), sondern eine Funktion von Malware. Der Zweck eines Rootkits ist, das Schadprogramm vor dem System (und insbesondere dem Virenscanner) sowie vor dem Benutzer zu verstecken. Dementsprechend ist auch «Rootkit» ein unglücklich gewählter Begriff; besser wäre etwa «Tarnkappe».
Aber wie kommt nun die Malware auf den Opfercomputer? Hier müssen zwei prinzipielle Fälle unterschieden werden: Einerseits kann der Anwender dazu gebracht werden, selbst das Schadprogramm zu starten, andererseits kann die Infektion ohne (oder mit nur sehr geringer) Anwenderinteraktion erfolgen.
Nur selten laden Benutzer das Virus selbst herunter und führen es aus. Allerdings sind oft über Filesharing bezogene Dateien infiziert; allein das sollte ein Grund für Firmenadministratoren sein, Filesharing zu unterbinden. Die Downloads auf respektablen Websites sind praktisch immer sauber. Ausnahmen bestätigen die Regel: Im September 2005 stand beim BIOS-Hersteller AMI eine infizierte Datei zum Download bereit. Und im April 2001 stellte Microsoft speziellen Kunden ebenfalls eine infizierte Datei bereit.
Gewiss der am häufigsten gegebene Rat zum Vermeiden von Vireninfektionen besteht darin, keine E-Mail-Anhänge von unbekannten Absendern auszuführen. Und dennoch geschieht dies täglich zigfach. Da es keinen Computerführerschein gibt und jedes Kind mittlerweile einen Computer hat, gibt es eben genug Unvorsichtige. Botnetzbetreiber können ihre Botnetze dazu benutzen, beliebig viele weitere Virenmails in Umlauf zu setzen, wenn sie ihr Botznetz vergrössern wollen. Es mag zwar effizientere Möglichkeiten der Verbreitung geben, aber der Virenversand per E-Mail funktioniert nach wie vor so gut, dass er vermutlich der wichtigste Infektionsweg ist.
Um den Benutzer eher zum Doppelklicken zu bewegen, wenden Cyberkriminelle bestimmte Tricks an. Bekannte Dateierweiterungen (wie etwa .exe) zeigt Windows in der Standardeinstellung nicht an (das gilt übrigens auch für Vista); so könnte also ein Virus als Nacktbild.jpg.exe verschickt werden und würde bei vielen Anwendern als Nacktbild.jpg angezeigt werden.
Ein Virenscanner lässt sich natürlich nicht so einfach hereinlegen. Da aber manche Antivirusprogramme keine Archive durchsuchen, werden Viren besonders oft als ZIP verschickt. Der Benutzer soll das Archiv entpacken, um dort z.B. das versprochene Nacktbild zu finden. Bessere Scanner prüfen natürlich auch ZIP-Dateien. Daher ging ein Virenautor sogar so weit, sein Schädlingsprogramm in einer passwortgeschützten ZIP-Datei zu verschicken. Das Passwort stand in der beigefügten E-Mail, sodass der Virenscanner keinen Zugriff hatte, wohl aber der allzu gutgläubige und proaktive Benutzer.
Wichtig ist natürlich, dass die Mail das Interesse des Benutzers erlangt. Häufig wird dabei auf männliche Hormone abgezielt («Check out my sexy video»). Andere Virenmails imitieren Grusskarten oder Rechnungen. In Deutschland wurden in den letzten Monaten wiederholt Trojaner als Rechnung für verschiedene Internetdienstleister und für den TV-Gebühreneinzug getarnt, ja sogar als Strafanzeige. Die Idee ist, dass der erschrockene Benutzer schneller doppelt auf das Attachment klickt als nachdenkt.
Neben diesen Angriffen im Giesskannenprinzip gibt es auch personalisierte Attacken mit eigens formulierten Anschreiben, die dann aber praktisch ausschliesslich auf Unternehmen abzielen, die im Auftrag der Konkurrenz ausspioniert werden sollen.
Der zweite prinzipielle Infektionsweg kommt ohne oder mit nur geringer Benutzerinteraktion aus. Hier nutzt der Angreifer Fehler in der Software aus, die auf dem Anwenderrechner installiert ist. Dabei geht es in vielen Fällen um sogenannte Buffer Overflows. Bei einem Buffer-Overflow-Angriff erhält das attackierte Programm eine zu lange Eingabe; dass die Länge dieser Eingabe nicht geprüft wird, ist die Schuld des Programmierers. Diese zu lange Eingabe wird gespeichert und überschreibt dabei den angrenzenden Speicherbereich. Mit diversen Tricks wird so erreicht, dass der fälschlich überschriebene Teil ausgeführt wird: Das Virus wird aktiv.
Solche und vergleichbare Programmierfehler haben zur Folge, dass das Öffnen einer harmlosen Datei dazu führen kann, dass ein Programm ausgeführt wird. 2003 etwa wurde ein Fehler im Winamp-Player entdeckt, der Angriffe gezinkter MIDI-Sounddateien erlaubt hätte. Das mag ein obskures Beispiel sein. Erschrekkender ist die Tatsache, dass Anfang Februar 2007 fünf unterschiedliche (!) Fehler in Microsoft Word existieren, die es einem präparierten DOC-Dokument erlauben würden, einen Virus einzuschleusen. Hier kann nur der naheliegende, aber praktisch kaum zu verwirklichende Rat gegeben werden, keine DOCs aus unsicherer Quelle zu öffnen.
Doch selbst dieser Notbehelf steht nicht zur Verfügung, wenn die Schaddateien automatisch angezeigt werden. Das wichtigste einschlägige Beispiel ist die WMF-Lücke vor rund einem Jahr (Jahreswechsel 2005/06). WMF («Windows Metafile») ist ein Microsoft-Bildformat. WMF-Bilder werden automatisch angezeigt, und zwar auch dann, wenn sie etwa .JPG als Erweiterung haben. Solange kein Patch zur Verfügung stand, war jedes Programm, das Bilder anzeigte – Browser, E-Mail-Programm –, ein potentielles Einfallstor. A propos Browser: Da dieser zahlreiche verschiedene Dateien anzeigen muss, ist er ohnehin ein gefährdetes Programm. Leider enthält Microsofts Internet Explorer zudem zahlreiche Schwachstellen; es hat den Anschein, dass stets, wenn die eine gepatcht wurde, die nächste gefunden ist. Das Problem an Internet-Explorer-Lücken ist, dass in solchen Fällen die Vireninstallation oft als sogenannter Drive-by-Download erfolgt: Ohne dass der Benutzer irgend etwas bemerkt, kommt das Virus auf seinen Rechner. Zwar, so lässt sich einwenden, sind vor allem Besucher zwielichtiger Websites (Hacker-Sites, Pornographie, illegale Downloads) von solchen Angriffen betroffen. Aber im November 2004 etwa wurde der Werbedienstleister Falk eSolutions gehackt, der die Werbebanner für zahlreiche grosse Nachrichtenwebsites bereitstellt. Und so lieferten dann diese Nachrichten-Sites über ihre Banner Malware aus. Ein aktuelleres Beispiel: Im Dezember 2006 war der Hardwarehersteller Asus betroffen. Wer dessen Website mit dem Internet Explorer besuchte, bekam heimlich ein Schadprogramm installiert.
Allerdings gab es noch eine perfidere Variante der Virenverbreitung. Anfang 2003 stellte sich heraus, dass die DCOM-Schnittstelle von Windows 2000 und XP anfällig für einen Buffer Overflow war. Um diesen auszulösen, reichte es, ein präpariertes Paket an einen bestimmten Port zu senden. Das bedeutete, dass jeder gefährdete Windows-Rechner, dessen Port 135 nicht durch eine Firewall geschützt wurde, binnen kurzem infiziert war. Jeder infizierte Rechner wurde selbst zur Virenschleuder und verschlimmerte die Plage. Dieser Verbreitungsmechanismus ist heute nicht mehr allzu bedeutsam, da bei Microsoft-Rechnern seit XP Service Pack 2 die Firewall automatisch aktiv ist (nicht mehr nur optional wie zuvor).
Ein Malware-Programm wird aktiv, sobald sein Executable-Code zur Ausführung gelangt, egal ob nun durch Benutzer-Doppelklick oder unter Ausnutzung einer Sicherheitslücke. Was dann geschieht, hängt vom jeweiligen Malware-Programm ab.
Zunächst sorgt praktisch jedes Virus in irgendeiner Weise dafür, dass es beim Hochfahren von Windows mitgestartet wird. Viele Schädlinge verbessern auch gleich ihre längerfristigen Überlebenschancen. Das geschieht dadurch, dass sie sich so im System verstecken, dass ihre Anwesenheit nicht für Virenscanner und schon gar nicht für Anwender (und seien diese noch so erfahren) wahrnehmbar ist. Dies ist die Rootkit-Funktion. Manche Viren gehen noch einen Schritt weiter und deaktivieren Virenscanner und Firewall bzw. verhindern das Herunterladen von Updates.
Es ist möglich, dass sich die Malware nun um die eigene Verbreitung kümmert. Das kann über das Aussenden von VirenMails (Wurm-Verbreitungsmethode), die Veränderung von EXE-Dateien (klassische Viren-Verbreitungsmethode) oder auch via Filesharing geschehen. Ein bestimmtes Virus z.B. legt einen Ordner mit mehreren Gigabyte Grösse an, der immer nur den Malware-Code unter verschiedensten attraktiven Namen (Pornographie, Downloads …) enthält. Bei jedem Hochfahren startet der Virus automatisch das Limewire-Filesharing-Programm und gibt diesen Ordner als Falle für andere Filesharer frei.
Echte Schadroutinen sind sehr selten geworden (Anfang 2005 gab es etwa einen Wurm, der alle MP3-Dateien auf dem Rechner löschte). Wie bereits eingangs erwähnt, ist der Grund hierfür, dass Virenautoren heute Geld verdienen wollen, und das geht nur im Heimlichen.
Ist das Schadprogramm für die Spionage gedacht – also zum Auskundschaften von Passwörtern/Kontodaten oder auf professionellerer Ebene von Geschäftsgeheimnissen –, dann wird es möglichst wenig sonstige Aktivität entfalten und nur diese Daten weitermelden. Manche Schädlinge gehen sogar soweit, sich nach getaner Arbeit selbst zu deinstallieren, um so Beweismaterial zu vernichten.
Arbeitet die Malware für einen Botnetz-Betreiber, will sie ja vor allem die Internetleitung missbrauchen. Auch hier ist es wichtig, nicht anderweitig aufzufallen. Zusätzlich gehen manche Schädlinge so weit, andere bekannte Viren, die sich allenfalls auf dem Rechner befinden, zu beseitigen, um so Konkurrenten um die Internetbandbreite zu liquidieren. Das parasitische Dasein des Virus ist nicht begrenzt. Anwender, die sich nicht darum kümmern, stellen ihren Rechner möglicherweise jahrelang Kriminellen bereit.
Hat die Infektion einmal stattgefunden, ist es schwierig, diese zu erkennen. Verräterisch sind eine erhöhte Internetaktivität (die sich am Traffic-Zähler des Routers oder dem Blinken der LEDs ablesen lässt) sowie ungewöhnliche Fehlermeldungen, die vor allem Virenscanner bzw. Firewall betreffen (Aktualisierung schlägt fehlt, Programm terminiert sofort nach dem Öffnen …).
Es kommt darauf an, die Schädlinge gar nicht erst ins System zu lassen. Der wichtigste Ratschlag ist natürlich, Vorsicht walten zu lassen. Auf gar keinen Fall darf Software aus zwielichtiger Quelle (unverlangt zugeschickt, Filesharing, obskure Download-Sites) installiert werden. Wer keine schummrigen Websites besucht, hat ein deutlich kleineres Risiko, Opfer eines Drive-by-Downloads zu werden. Microsoft-Programme werden aufgrund ihrer Verbreitung und ihrer auffällig hohen Fehlerzahl besonders oft angegriffen; die Verwendung von alternativen Browsern und E-Mail-Clients verringert also ebenfalls das Risiko.
Der zweite wichtige Rat ist, sämtliche Updates für alle installierten Programme so schnell wie möglich einzuspielen.
In den allermeisten Fällen werden Lücken vom Hersteller entdeckt und gepatcht und erst Tage oder Wochen später durch Angreifer ausgenutzt. Zwar gibt es auch sogenannte Zero-Day-Exploits, bei denen Kriminelle zuerst die Lücke entdecken und ausnutzen, während die Abhilfe später kommt. Aber dennoch: Wer Updates sofort einspielt, schützt sich vor vielen Gefahren.
Zu einem abgesicherten System gehört natürlich auch ein gutes und aktuelles Anti-Virus-Programm. Allerdings darf dieses nicht überschätzt werden: Virenscanner finden nur bekannte Viren zuverlässig und haben regelmässig grosse Schwierigkeiten, neue Bedrohungen als solche zu identifizieren. Ein neuprogrammiertes Virus hat also tagelang Zeit, um sich einzunisten. Ein Anti-Virus-Programm ist also eine gute Ergänzung von allgemein vorsichtigem Verhalten, kann dieses aber keinesfalls ersetzen.