Tipps gegen fiese Viren
Verbreitung von Würmern und Viren

KomponentenSicherheitVirusWorkspace

Sobald der PC mit dem Internet verbunden ist, kann ein Angreifer über die Lsass-Lücke beliebigen Programmcode auf das System schmuggeln und ausführen. Der Anwender bekommt davon nicht viel mit. Angreifer laden via FTP weitere Dateien nach und erlangen die Kontrolle über den PC.

Gefährliche Lücken

Tipps gegen fiese Viren

Drei Namen dominieren derzeit die Viren-Top-Listen: Netsky, Sasser und Bagle. Sasser nutzt eine Schwachstelle in Lsass, einem Sicherheitsdienst (Ironie des Schicksals) von Windows 2000 und XP. Der Dienst ist anfällig für Pufferüberläufe ein Standardproblem, das aufgrund schlampiger Programmierung immer wieder auftritt; nicht nur bei Microsoft-Produkten.

Sobald der PC mit dem Internet verbunden ist, kann ein Angreifer über die Lsass-Lücke beliebigen Programmcode auf das System schmuggeln und ausführen. Der Anwender bekommt davon nicht viel mit. Angreifer laden via FTP weitere Dateien nach und erlangen die Kontrolle über den PC. Sie können zum Beispiel Programme starten, Mails versenden oder Dateien löschen.

Sasser nutzt diese Möglichkeiten glücklicherweise nicht, sondern belässt es dabei, sich auf andere PCs fortzupflanzen. Es ist jedoch jederzeit möglich, dass neue, gefährlichere Viren die gleiche Sicherheitslücke missbrauchen.

Der Harry-Potter-Wurm heißt im Fachchinesischen Netsky-P. Netsky ist ein recht gewöhnlicher Internet-Wurm, der sich als Mailanhang und über Tauschbörsen verbreitet. Dass er dennoch so erfolgreich ist, dürfte an den populären Namen der Dateianhänge liegen: Bei Britney Spears porn.jpg.exe, Matrix .mpg.exe oder Harry Potter game.exe werden viele Anwender schwach. Starten sie den Anhang, kopiert sich der Wurm in den Windows-Ordner und verschickt sich an bestimmten Tagen an hunderte anderer Mailadressen, die er auf dem Rechner findet. Von Britney oder Harry Potter bekommt der Anwender natürlich nie etwas zu sehen.


Microsoft stopft die Löcher

Tipps gegen fiese Viren

Für das Lsass-Problem und eine Menge weiterer Schwachstellen hat Microsoft Sicherheits-Patches veröffentlicht. Einen Überblick über sämtliche empfehlenswerten Updates verschaffen die Security Bulletins von Microsoft (
www.microsoft.com/germany/ms /technetservicedesk/bulletin
).

Auch Virenscanner patzen

Dass man den Virenscanner regelmäßig mit den aktuellen Signaturen füttern sollte, hat sich mittlerweile herumgesprochen. Doch auch Updates des Scannerprogramms sind wichtig. Einige ältere Versionen übersehen zum Beispiel Viren, deren Dateinamen kyrillische Zeichen enthalten. Empfehlenswert ist etwa der Antivir von H+B EDV primär deshalb, weil er klein ist, einfach zu bedienen und für den Privatgebrauch kostenlos.

In zwei Minuten ist der PC verseucht
Ohne Firewall sollte sich niemand mehr ins Internet wagen, insbesondere dann nicht, wenn nicht sämtliche Microsoft-Sicherheits-Patches aufgespielt sind. Der PC, auf dem dieser Artikel entstand, war im Testzeitraum beinahe jeder Minute einem Sasser-Angriff ausgesetzt. Bei testweise ausgeschalteter Firewall nistete sich der Wurm binnen zweier Minuten erfolgreich ein. Windows XP bringt zwar eine eigene Firewall mit, doch die fängt nur eingehenden Traffic ab.

Mit dem XP-Service-Pack 2 will Microsoft nachbessern, doch darauf sollten Sie nicht warten. Nutzen Sie besser das Produkt eines Fremdherstellers.


Spybot rettet entführte Startseiten

Tipps gegen fiese Viren

Der Internet Explorer ist unter anderem anfällig für Browser-Hijacking. Bösartige Adware-Programme ändern dabei die IE-Einstellungen so, dass statt der gewohnten Startseite Werbung gezeigt wird. Von Hand ist es meist nicht möglich, diese Änderung zu beheben. Irgendwo im System hat sich ein Trojaner eingenistet, der nach jedem Systemstart den Browser wieder verbiegt. Mit dem kostenlosen Spybot Search & Destroy sind Anwender die Plage schnell wieder los.

Firefox erspart viel Ärger

Zwar gibt es noch zig weitere externe Tools, die den Internet Explorer sicherer machen, doch Mozilla Firefox hat mit Version 0.8 den Internet Explorer technisch längst überholt: Der Opensource-Browser blockt zum Beispiel lästige Pop-ups und ausgewählten Javascript-Code von Haus aus und verhindert, dass sich Dialer automatisch installieren. Die Seitendarstellung unterscheidet sich nur noch unmerklich von der des Internet Explorers.

Outlook Express ist bei Textmails sicher

Etwas anders sieht die Situation beim Mailprogramm aus. Outlook Express ist gerade für Anfänger leichter zu bedienen als das Mozilla-Pendant Thunderbird 0.6. Guten Gewissens kann man Thunderbird denjenigen Anwendern empfehlen, die nur ein bis drei verschiedene Mail-Accounts verwalten. Wer Outlook Express weiterhin einsetzt, sollte unbedingt die neuesten Hotfixes installieren und die Option Alle Nachrichten als Nur-Text lesen einschalten (im Menü Optionen/Lesen). Speichern Sie nur Anhänge, die Sie ausdrücklich erwartet haben und auch diese sollten Sie mit dem Virenscanner prüfen.


Würmer wohnen im Systemverzeichnis

Tipps gegen fiese Viren

Haben Sie den Verdacht, dass ihr PC infiziert ist, obwohl der Virenscanner nichts findet? Bevor Sie sich einen zweiten Scanner kaufen, können Sie sich selbst auf Virenjagd begeben. Drei Stellen sind für die Suche lohnenswert: in den Systemordnern, bei den aktiven Programmen und bei den Programmen, die beim Booten starten.

Die meisten aktuellen Würmer nisten sich im Windows- oder im Systemordner ein (bei Windows 2000/XP: System32). Deshalb schadet es nicht, alle paar Wochen den Inhalt dieser Ordner im Explorer auf verdächtige Dateien hin zu durchforsten. Voraussetzung ist, dass im Explorer-Menü Extras/Ordneroptionen/Ansicht folgende Optionen ausgeschaltet sind: Erweiterungen bei bekannten Dateitypen ausblenden und Geschützte Systemdateien ausblenden (empfohlen). Umgekehrt sollten die Optionen Inhalte von Systemordnern anzeigen und Versteckte Dateien und Ordner: Alle Dateien und Ordner anzeigen aktiv sein. Sinnvoll ist es außerdem, die genannten Ordner nach Datum zu sortieren: Meist sind die Würmer neuer als die Windows-Systemdateien.

Fallen bei der Kontrolle ausführbare Dateien mit ungewöhnlichen Namen auf, informiert eine Suchmaschine wie Google, ob ein bekannter Wurm oder Dialer diesen Dateinamen benutzt. Auch spezialisierte Datenbanken wie www.sysinfo.org und eine Suche in Newsgroups (groups.google.de) helfen weiter. Gibt es keinerlei Infos zu dem betreffenden Dateinamen, so kann auch das eventuell auf einen Virus hindeuten, denn die Biester verstecken sich gerne hinter zufällig generierten Namen wie 12345_up.exe.

Danach ist zu prüfen, welche Infos die Datei selbst über ihre Herkunft bereithält. Aber Achtung: Ein einziger unbedachter Mausklick könnte den potenziellen Virus starten! Fehlt im Eigenschaften-Fenster (rechte Maustaste: Eigenschaften und dann Version) die Versionsseite oder enthält sie merkwürdige Einträge, ist das ein weiteres Verdachtsmoment. Löschen Sie die Datei jedoch nicht leichtfertig sie könnte sich immer auch als harmlose System- oder Anwendungssoftware entpuppen.


Der Taskmanager zeigt Prozesse

Tipps gegen fiese Viren

Der Taskmanager verrät, welche Programme im Moment aktiv sind. Verfahren Sie mit potenziell verdächtiger Software hier genauso wie mit der im Windows-Ordner.

Eine weitere Quelle für verdächtige Dateien erschließt das Systemkonfigurationsprogramm, das allen Windows-Versionen außer 2000 beiliegt. Es startet über Start/Ausführen und den anschließenden Befehl msconfig.exe. Die Seite Systemstart listet (fast) alle Programme auf, die Windows beim Start automatisch lädt. Es gibt andere Tools, die noch hilfreicher und informativer sind.

Internet ohne Firewall hat mittlerweile böse Folgen: Beinahe jede Minute versuchen Viren, in den Rechner einzudringen. Das zeigt das Logfenster. Sasser etwa schleicht sich über Port 445 ein.


Diese Programme verraten mehr

Tipps gegen fiese Viren

Anders als der Taskmanger listet Curr Process für jeden Eintrag den vollständigen Dateipfad sowie viele weitere Infos, die es aus der Datei ausliest. Insbesondere ist auf die Spalten Process Name, Product Name, Description und Filename zu achten. Der Teufel steckt im Detail: Gibt es beispielsweise neben den regulären svchost.exe-Einträgen eine gleichnamige Datei, die sich nicht im Ordner System32 befindet? Oder eine Datei, die scvhost.exe heißt? In beiden Fällen hat das System sich höchstwahrscheinlich einen Virus eingefangen. Auch leere Einträge in der Spalte Product Name sind zumindest ungewöhnlich.

Im Tool Startup Run sind die Spalten Item Name, Type, Command und Product Name für die Suche nach Störenfrieden besonders interessant. Einträge vom Typ Browser
Helper Objects können zum Beispiel von Downloadmanagern herrühren, aber eben auch von Hijacking-Programmen. Zu beachten ist der Dateipfad in der Spalte Command. Verweist er wirklich auf ein Programm, das Sie selbst installiert haben? Im Zweifelsfall deaktiviert das dunkelrote Disable-Icon verdächtige Einträge. Wer nach einem erneuten Systemstart feststellt, dass er sich geirrt hat, dem genügt ein Klick auf das dunkelgrüne Enable-Icon, so dass der Eintrag wieder aktiviert ist.

Die markierte svchost.exe fällt auf, da sie weder Angaben zum Produktnamen, zur Version noch eine Beschreibung enthält.


Virenscanner und Firewalls

Tipps gegen fiese Viren

Ein aktuelles Virenscanner ist neben regelmäßigen System-Updates Pflicht. Firewall oder Router sind empfehlenswert.

Diese Programme sollten Sie einsetzten:

Adware-Entferner: Spybot Search & Destroy 1.3
www.safer-networking.org

Software-Firewall: Sygate Personal Firewall 5.5
www.sygate.de

Systemtool: Curr Process 1.1
http://nirsoft.mirrorz.com

Systemtool: Startup Run 1.21
http://nirsoft.mirrorz.com

Systemtool: Win Updates List 1.0
http://nirsoft.mirrorz.com

Virenscanner: Antivir Personal Edition
www.freeav.de

Virenscanner: Gdata Antivirenkit 2004 professional
www.gdata.de

Webbrowser: Mozilla Firefox 0.8
www.firefox-browser.de