Der kalifornische Firewall-Hersteller Fortinet untersuchte vom 1. bis 24 Juni die Gefährlichkeit und Ausbreitung von Malware (Viren, Würmer, Spyware etc.) und veröffentlichte nun eine Studie unter dem Namen "The State of Malware Today". Nebst der eher banalen Auflistung von häufig auftretenden Viren wie Netsky oder Mytob und der Feststellung, dass die USA am meisten von Malware betroffen sind, gehen aus der Studie einige sehr interessante Punkte hervor.

Anlässlich des Verkaufsstarts von WM-Tickets für die Fussballweltmeisterschaft 2006 in Deutschland nutzten die Virenschreiber im Mai diesen Umstand verantwortlich.

Gemäss Fortinet ging dieser Trend im Juni weiter. Ein Massenmail berief sich beispielsweise auf die Festnahme des Terroristenführers Osama bin Laden. Im Betreff stand "Finally! Captured!", was offensichtlich einige Empfänger dazu veranlasste, das angehängte Programm zu starten und so Opfer einer Virenattacke zu werden. Im E-Mail wurde erklärt, CNN habe noch keine Bilder von bin Ladens Festnahme, der Absender habe jedoch vom Militärkanal PPV einige Bilder vom TV runterladen können und habe diese eben angehängt.

Das Attachment mit dem Namen "pics.scr" öffnete den Trojaner "W32/Psyme-tr". Durch die rasante Verbreitung der unbestätigten Nachricht in Weblogs gelang dem Trojaner eine extreme Reichweite. Später, während dem Prozess gegen Michael Jackson, begann das ganze Spiel wieder von vorne.

Besonders fies sind Malware-Attacken anhand Social Engineering. Darunter versteht man das Ergattern von vertraulichen Daten (ähnlich Phishing). Das Ganze läuft aber nicht nur technisch ab, sondern hat einen wichtigen zwischenmenschlichen Teil. Jemand ruft einen Mitarbeiter einer Firma an und gibt an, für die Passwörter zuständig zu sein oder sonstwie befugt zu sein. Vorher muss er sich die nötigen Umgangsformen der Firma aneignen, aber sobald Mitarbeitende beispielsweise im Fachjargon beauftragt werden, ihre Passwörter bekannt zu geben, geschieht dies laut Fortinet recht schnell.

Das Unternehmen nennt ein Beispiel, das nebst der "sozialen Masche" auch die Anziehungskraft von Bildern vergegenwärtigt. Auf einem Universitäts-Campus soll ein Sprayer illegal Graffitis an die Wände gesprüht haben und man wolle dem Übeltäter natürlich damit auf die Schliche kommen, indem man seine "Kunstwerke" an alle Studierenden verschicke, damit vielleicht jemand seine Handschrift erkennen würde. Und schwups ist der Trojaner "W32/Stinx.A-bdr" installiert.

Die Spionageaffäre in Israel sieht Fortinet als Beispiel von massgeschneiderter Malware. In diesem Fall erhielten Konkurrenzunternehmen Werbe-CDs, die automatisch ein Überwachungsprogramm installierten, das im Minutentakt Bilder der Bildschirmaktivitäten an einen fremden Server verschickte. Die Tatsache, dass der Trojaner für einen bestimmten Zweck geschrieben worden war, machte ihn für Antiviren-Programme unsichtbar. Antivirus-Software greift meistens auf vorgefertigte Programmiermuster zurück, die eine Malware erkennen lassen. In diesem Fall war es unmöglich.

Fortinet glaubt, dass in Zukunft mehr solcher "focused attacks" auftreten werden, auch weil Websites existieren, die Malware gegen wenig Entgelt den Wünschen des Auftraggebers entsprechend anpassen.

Ein Rootkit ist eine Art Trojanisches Pferd. Diese Schadprogramme machen es unmöglich, dass der angegriffene User merkt, dass er überwacht wird. Laut Fortinet stellen Rootkits die "Welt auf den Kopf". Es bestehe ein regelrechter Kampf zwischen Rootkits-Schreiber und Rootkits-Aufdecker. Aufdecker merken, dass ein Rookit installiert ist, wenn sie die gleiche Abfrage zwei Mal durchführen. Das erste Mal wird beispielsweise eine Liste von Dateien per Betriebssystem aufgerufen. Beim zweiten Mal greifen sie direkt nach den Dateien auf der Harddisk, was mehr Zeit beansprucht. Ist kein Rootkit installiert, sollten die Dateien übereinstimmen. Wenn sie das nicht tun, ist der Computer infiziert.

Rootkit-Schreiber haben auf diese Strategie natürlich eine Antwort. Wenn die Malware erkennt, dass eine Rootkits-Aufdecker-Software installiert ist, wird kein bösartiger Code in den Prozess eingeführt, damit nichts versteckt ist. Das Betriebssystem und die Harddisk geben das gleiche Resultat und das Rootkit bleibt unentdeckt.

Daraufhin empfehlen Verkäufer von Rootkits-Aufdecker-Software ihren Kunden, die Software unkenntlich zu machen und umzubenennen. Dies alles führt natürlich zu einer nie enden wollenden Spirale, aus der nur die Hartgesottenen als Sieger hervorgehen können.

Fazit der Studie ist, dass Malware nach wie vor eine ernste Bedrohung darstellt und uns in absehbarer Zeit weiterhin beschäftigen wird. (mim)