"Security is fundamentally a people problem, so technology matters less."
Bruce Schneier
Um Malware vom eigenen Rechner fernzuhalten, lohnt es sich, zu analysieren, wie sie überhaupt dorthin kommt.
Heutzutage lassen sich drei hauptsächliche Quellen für Malware ausmachen:
- Infizierte Webpräsenzen
- E-Mail-Anhänge
- Infizierte Datenträger
1. Infizierte/Modifizierte Webpräsenzen
Die von Webhostern und Webmastern eingesetzte Software (auf dem Webserver) ist oft fehlerbehaftet und/oder veraltet bzw. unsicher konfiguriert. Cracker nutzen diese Sicherheitslücken, um im ersten Schritt Webpräsenzen so zu verändern, dass sie den Besuchern unbemerkt Dateien unterschieben und diese auf dem Zielsystem zur Ausführung bringen ("Drive-By-Downloads").
Das geht allerdings nur dann, wenn die Cracker in diesem zweiten Schritt auf Sicherheitslücken in den Browsern setzen können, um verwundbare Systeme erfolgreich anzugreifen. Eine große Mehrheit dieser Lücken entsteht durch die Verarbeitung von "aktiven Inhalten" (JScript/ActiveX, JavaScript, Java, Flash, Quicktime etc.) durch den Browser - in den meisten Fällen ist das auf ein Betriebssystem beschränkt. Fehler bei der reinen Verarbeitung von (X)HTML sind eher selten. Auch hier gilt: Je älter Browser bzw. Plugins sind, um so wahrscheinlicher sind diese Lücken.
Weil die Mehrheit den IE benutzt, werden die meisten Schadroutinen auch genau dafür geschrieben. Zusätzlich ist das IE-eigene "ActiveX"-Subsystem besonders verwundbar.
Was kann man tun?
- nicht den IE benutzen (Firefox, Opera, Safari)
- aktive Inhalte nur bestimmten Seiten erlauben (NoScript für den Firefox oder c't-IE-Controller)
- den Browser aktuell halten, insbesondere bei Bekanntwerden von Sicherheitslücken
- die Plugins aktuell halten, insbesondere bei Bekanntwerden von Sicherheitslücken
- nicht mit Admin-Rechten surfen
- wenig vertrauenswürde Webseiten meiden
2. E-Mail-Anhänge
Obwohl die Häufigkeit der Infektion auf diesem Weg seit Jahren abnimmt, kommt hier das Element des "social engineering" zusätzlich ins Spiel. Die E-Mails sollen durch die Überrumpelung des Nutzers ("Ihre Bestellung bei ebay", "Ihre Karten für die EM 2006") dafür sorgen, dass der Anhang aus Neugierde geöffnet wird. Das oft in eine ZIP-Datei verpackte Infektionsprogramm ist dabei nicht selten mit einem Dokumentsymbol und einem doppelten Suffix ("Dokument.pdf .scr") verschleiert.
Was kann man tun?
- Im Zweifel den Anhang niemals öffnen!
- Bei berechtigten Zweifeln einen (Online-)Scanner zu Rate ziehen (z.B.
virustotal.com)
- den E-Mail-Client aktuell halten, insbesondere bei Bekanntwerden von Sicherheitslücken
- Beim angeblichen Absender (wenn die E-Mail angeblich von einem Bekannten kommt) nachfragen
- nicht mit Admin-Rechten E-Mail-Anhänge öffnen
3. Infizierte Datenträger
Dieser Infektionsweg ist schon sehr alt, wird aber noch immer von einigen Schädlingen angewandt. Dabei helfen sowohl Microsoft durch das elende AutoRun/AutoPlay als auch zu schwache Sicherheitskontrollen in der Industrie (infizierte Original-DVD's/Sticks/Festplatten) mit. Zusätzlich verbreiten sich Schädlinge mithlife des "social engineering", in dem sie vordergründig eine lustige Animation darstellen und im Hintergrund Schadensroutinen ausführen.
Was kann man tun?
- AutoRun/AutoPlay deaktivieren
- externe Datenträger vor dem Öffnen scannen
- "lustige Programme" im Zweifel nicht öffnen
- nicht mit Admin-Rechten Datenträger anschließen oder dort gefundene Programme ausführen
Und was für einen Scanner nimmt man?
Das ist egal. Scanner erkennen nicht alle Schädlinge. Und die Verhaltensanalyse steckt noch in den Kinderschuhen.
Wenn also ein Virenscanner meldet: "Die Datei ist nicht infiziert.", dann heißt das übersetzt "Ich kann mit meinen Signaturdaten/Algorithmen keinen Schädling finden." - die Datei kann trotzdem infiziert sein.
Im Zweifel kann man einen Online-Meta-Scanner wie
virustotal.com beauftragen, die Datei mit mehr als zwanzig Scannern untersuchen zu lassen.
- gegen Rootkits:
F-Secure Blacklight und
SysInternals RootKitRevealer
- schnelle Kontrolle auf die Infektion mit häufiger Malware:
MS Removal Tool und
McAfee's Stinger
Und was ist mit Routern und Firewalls?
Jeder halbwegs vernünftig konfigurierte Router und die Firewalls von XP und Vista bieten einen ausreichenden Schutz gegen Angriffe von außen. Diese Form der Infektion ist deshalb fast völlig von der Bildfläche veschwunden.
Wer auf Nummer sicher gehen will, schaut in der Konfiguration des Routers nach offenen Ports oder der Möglichkeit, vom Netz aus den Router zu konfigurieren. Da hier jeder Hersteller sein eigens Süppchen kocht, kann man kaum allgemeine Tipps geben.