Virenalarm!

Es ist ruhig in den Backsteingebäuden von G Data im Bochumer Süden. Das muss es auch, denn die Arbeit der Entwickler und Malware-Analytiker erfordert höchste Konzentration. Man sieht es nicht, aber von hier aus haben Ralf Benzmüller und seine Leute ein weltweites Netz an Honeypots, Virenfallen und Malware-Sensoren aufgespannt, das alle paar Sekunden einen neuen Schädling aus dem Internet fischt. So wurden auf dem ganzen Globus Tausende von E-Mail-Adressen angelegt, die nur dazu dienen, Spam und Schad-Mails anzulocken. Auch die hier schon beschriebene Wurmfalle Nepenthes setzt Benzmüller ein. »Wir wollen den bösen Jungs das Leben möglichst schwer machen«, fasst der sympathische Mittvierziger seine Mission zusammen. Damit das gelingt, wird in Bochum Sicherheitssoftware entwickelt wie zum Beispiel die kürzlich hier getestete Internet Security Suite. Und jede neue Version muss sich an der stetig wachsenden Virensammlung bewähren, die inzwischen über vier Millionen Exemplare umfasst

Hat schon vier Millionen Computerviren gesammelt und fängt täglich neue: Ralf Benzmüller, Chef des G Data Security Labs.

Auch am 24. November 2008 geht alles seinen üblichen Gang bei G Data. Die automatischen Web-Crawler surfen die Links in verdächtigen Mails an und laden alle verdächtigen Skripte herunter. Im Fünf-Sekunden-Takt werden neue Computerviren automatisch analysiert, in einer Datenbank registriert, statistisch erfasst und gespeichert. Business as usual.

Doch gegen ein Uhr mittags plötzlich unterbricht ein Alarm die Routine. Kein Blaulicht, keine Sirenen, nur ein Popup-Fenster auf dem Monitor des Malware-Analytikers Werner Klier. Trotzdem zögert Klier keine Sekunde. Ein Statistik-Modul hat angeschlagen, weil einer der Viren plötzlich in viel größeren Stückzahlen auftaucht als noch wenige Minuten zuvor. Klier beginnt sofort mit der Analyse des Schädlings. Ein Blick auf die automatisch generierten Reports, und er weiß: Dieses Sample muss genauer geprüft werden. Er startet den Virus auf einem Sandbox-Rechner. Hier kann der Virus frei agieren, wird dabei aber detailliert überwacht: Ändert er Registry-Schlüssel? Legt die Malware Dateien an? Startet oder beendet sie Programme? All das und mehr speichert die Sandbox einige Sekunden später in einem umfangreichen XML-Protokoll.

Das Sandbox-Protokoll verrät den Virenjägern detailliert, welchen Schaden eine Malware anrichtet.

Wenige gezielte Mausklicks genügen, und schon hat Klier im komplizierten Sandbox-Protokoll die entscheidenden Zeilen gefunden. Mit geübtem Auge stellt er fest, dass die Schadsoftware einen Trojaner auf dem Zielsystem installiert und startet. Zudem missbrauchen die Cyberkriminellen die echte Absenderadresse der Bielefelder Firma Regel Inkasso. Klier zieht seinen Chef Ralf Benzmüller hinzu. Der entscheidet sofort: Die Anwender müssen gewarnt werden. Er alarmiert Thorsten Urbanski, der neben den Pressemeldungen des Unternehmens auch die Sicherheitswarnungen verfasst.

Urbanskis Aufgabe: Er muss die Meldung so formulieren, dass sie nicht in der Mail-Flut untergeht sondern gelesen und verstanden wird. »Das ist das Schwierigste«, finden die G Data-Leute übereinstimmend. Während Benzmüller und Urbanski beraten, startet Klier den Virus auf einem weiteren Testsystem, um einen Screenshot zu speichern. »Warnmeldungen mit Screenshot werden mehr gelesen«, erläutert Pressesprecher Urbanski. Das Testsystem wird Klier später mit Hilfe einer Image-Datei wieder in den virenfreien Ausgangszustand zurück versetzen. Der Screenshot datiert von 13:03 Uhr.

»Wie funktioniert der Schädling? Wie formulieren wir die Warnmeldung?« Ralf Benzmüller und Thorsten Urbanski beraten sich im G Data Security Lab.