Antivirus-Updates – warum sie wichtiger sind als je zuvor

Heute breiten sich die Bedrohungen weiter und schneller aus als je zuvor. In der guten alten Zeit konnten Viren sich nur so schnell oder so weit bewegen, wie es die Aktivität eines Anwenders zuließ. Für die Verbreitung von Boot-Sektor-Viren war ein Austausch von Disketten notwendig. Die Sache änderte sich wesentlich, als 1995 Makroviren aufkamen, denn sie konnten sich Huckepack von allen E-Mails mitnehmen lassen, die von dem infizierten Anwender verschickt wurden. Selbst bei Makroviren war es also nötig, dass ahnungslose User infizierte Dateien austauschten. Wirklich verändert wurde die Viruslandschaft jedoch durch Computer-Worms. Und als sich diese ‚Würmer‘ etabliert hatten, bekam die Aktualisierung von Antivirus-Lösungen eine ganz entscheidende Bedeutung.

Melissa vom März 1999 markierte einen Quantensprung nach vorn in der Infektionsgeschwindigkeit. Im Gegensatz zu früheren Makroviren, die darauf warteten, dass der User die infizierten Daten verschickte, benutzte Melissa das E-Mail-System, um sich selbst aktiv zu verbreiten. Alles was vom Anwender noch gebraucht wurde, war ein Doppelklick auf den infizierten E-Mail-Anhang. Danach holte sich der Virus E-Mail-Adressen aus dem Outlook Adressbuch und schickte sich selbst an die dort aufgeführten Kontaktpersonen. Dieses Massen-Mailprogramm war in der Lage, sich weiter und schneller auszubreiten als alle früheren Makroviren. Das führte dazu, dass infizierte E-Mail-Systeme von Firmen schnell mit E-Mail verstopft waren und viele einfach unter dem Druck zusammenbrachen.

So überrascht es kaum, dass Melissa einen Trend ausgelöst hat. Seit März 1999 haben fast alle großen Viren und Würmer, die Firmen und private User bedrohten, auch diese Fähigkeit zum Mass-Mailing gehabt. Es hat jedoch auch noch andere Entwicklungen gegeben, die gemeinsam eine schnellere Verbreitung von Bedrohungen ermöglichen.

In den letzten Jahren wurden zunehmend die angegriffenen Systeme selbst genutzt, um im Firmennetz Fuß zu fassen und sich schneller auszubreiten. Solche Angriffsmethoden gehörten früher eher zum Vorgehen von Hackern, statt zu Virenschreibern, das bedeutete also eine wesentliche Abweichung von der älteren Virengeneration. Früher haben sich die Virenautoren auf ihren eigenen Code für die Verbreitung verlassen und ließen den ahnungslosen User den Rest erledigen. Heute sind immer mehr Bedrohungen auf die mögliche Hilfe eingestellt, die sie durch Schwachstellen in gewöhnlichen Anwenderprogrammen und Betriebssystemen erhalten können.
Interessanterweise war Melissa die erste Bedrohung, die eine Schwachstelle eines Anwenderprogramms ausnutzte, indem sie die Verbreitungsfähigkeit anzapfte, die Microsoft Outlook bietet.

Jedoch erst 2001 mit CodeRed und Nimda wurde dies erstmals zum festen Bestandteil von Viren und Worms. CodeRed, der im Juli 2001 auftauchte, war ein ‚dateiloser‘ Worm. Entgegen der üblichen Virenpraxis existierte der Wurm lediglich im Speicher und unternahm keinerlei Versuch, in den angegriffenen Geräten Dateien zu infizieren. Der Wurm machte sich eine Schwachstelle von Microsoft IIS Servern zunutze (MS01-033 ‚Uncheck Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise‘), um Windows 2000 Server anzugreifen. Er verbreitete sich über TCP/IP Übertragungen an Port 80, startete sich dabei selbst im Speicher durch einen Pufferüberlauf und schickte sich dann auf dieselbe Weise an andere Server, die eine Schwachstelle boten.

Nimda tauchte kurze Zeit später auf, im September 2001, und verließ sich im Gegensatz zu früheren Bedrohungen mit Mass-Mailing nicht darauf, dass der User eine infizierte EXE-Datei im Anhang einer E-Mail anklickt. Statt dessen nutzte er eine Schwachstelle im Internet Explorer, um sich selbst automatisch auf angreifbaren Systemen zu starten (MS01-020, ‚Incorrect MIME header can cause Outlook to execute email attachment‘). Diese Schwachstelle war bereits 6 Monate lang bekannt, aber in vielen Systemennoch nicht korrigiert – diese blieben daher angreifbar. Die Ausnutzung dieser Schwachstelle half Nimda, innerhalb von nur wenigen Stunden Systeme auf der ganzen Welt zu infizieren.

Die Verwendung solcher Exploits, die Systemschwachstellen ausnutzen, ist inzwischen etwas Alltägliches geworden. Tatsächlich haben einige Bedrohungen die Verwendung ‚traditioneller‘ Virentechniken ganz und gar vermieden. Lovesan, Welchia und unlängst Sasser sind Beispiele von reinen Internet-Würmern. Kein Mass-Mailing, keine Notwendigkeit, dass ein User ein infiziertes Programm ausführt. Stattdessen verbreiten sich diese Bedrohungen direkt über das Internet von Gerät zu Gerät und nutzen dazu verschiedene Systemschwachstellen.

Andere verbinden die Ausnutzung von Systemschwachstellen mit weiteren Infektionsmethoden. Nimda hatte zum Beispiel mehrere Angriffsmechanismen. Neben dem weiter oben dargestellten Mass-Mailing des Virus wurde von Nimda auch eine virale Exploit-Codierung (in Form von infizierter Java-Codierung) an HTML-Dateien angehängt. Wenn das infizierte Gerät ein Server war, wurde man als User also beim Zugriff auf die infizierten Seiten über das Web infiziert. Nimda ging auch noch weiter in dem Bemühen, sich selbst über das Firmennetz zu verbreiten. Er tastete das Netz nach zugänglichen Ressourcen ab und hinterlegte von sich Kopien, damit sie von ahnungslosen Anwendern ausgeführt würden. In infizierten Geräten wandelte der Virus außerdem die lokalen Laufwerke in offene Gemeinschaftseinrichtungen um, und ermöglichte so den Fernzugriff für jeden, der etwa böse Absichten hat. Sicherheitshalber nutzte Nimda auch noch die Sicherheitsverletzung ‚Web Folder Traversal‘ im Microsoft IIS (Internet Information Server), um angreifbare Server durch das Downloaden von Kopien bereits infizierter Geräten im Netz zu infizieren. Nimdas vielseitige Angriffsstrategie in Kombination mit der Ausnutzung von Systemschwachstellen führte viele dazu, dies als einen ‚Mischangriff‘ zu bezeichnen.

Dieser Trend hat sich fortgesetzt. Viele der heutigen ‚erfolgreichen‘ Bedrohungen (d.h. erfolgreich aus der Sicht des Virenautors) benutzen mehrere Angriffsmechanismen und nutzen Systemschwachstellen aus, um den User zu umgehen und Codierungen automatisch zu starten, wodurch die ‚Vorlaufzeit‘ zwischen dem Auftreten einer neuen Bedrohung und ihrer seuchenartigen Ausbreitung drastisch reduziert wird. Die Bedrohungen sind heute ohne Frage schneller als je zuvor. Während früher ein Virus für eine weitverbreitete Zirkulation Wochen oder gar Monate brauchte, können die heutigen Bedrohungen eine weltweite Verbreitung innerhalb von Stunden erreichen – indem sie auf dem Rücken unserer E-Mail-Infrastruktur, die für unsere Geschäftswelt so entscheidend ist, mitreisen und die zunehmenden Systemschwachstellen ausnutzen, die ihnen ein Sprungbrett in die Unternehmenswelt bieten.

Die Anzahl neuer Bedrohungen wächst weiterhin stetig an, es treten jeden Tag mehrere Hundert neue Bedrohungen auf. Wie weiter oben beschrieben sind viele der heutigen Bedrohungen zusammengesetzte ‚Bündel‘, die unterschiedliche Bedrohungsarten enthalten. Den Autoren bösartiger Codierung steht ein breit gefächertes ‚Menü‘ an Malware zur Verfügung. Neben der ‚traditionellen‘ Bedrohung durch Viren gibt es heute E-Mail und Internet-Worms, Trojanische Pferde und eine Vielzahl anderer Bedrohungsarten. Oft legt ein Virus oder ein Wurm auf dem infizierten System eine Trojanische Hintertür ab. Das ermöglicht die Fernsteuerung des Geräts durch den Autor des Virus oder des Wurms, oder durch jeden anderen, der den Trojaner zur Verteilung von Spam oder für sonstige bösartige Zwecke nutzt. Oder die Codierung kann einen Download-Trojaner enthalten, der speziell dafür ausgelegt ist, bösartige Software – etwa ein Update für den Virus oder Wurm – von einer fernen Website herunterzuziehen. Wiederum kann sie auch einen DoS-Angriff (Verweigerung der Dienstleistung) enthalten, die dafür ausgelegt ist, eine bestimmte Website zu zerstören.

Antivirusprodukte sind im Laufe der Jahre immer ausgefeilter geworden, um mit der zunehmenden Komplexität von Viren, Würmern, Trojanern und anderen bösartigen Codierungen fertig zu werden. Dazu gehören auch proaktive Suchmechanismen, die entwickelt werden, um neue, unbekannte Bedrohungen zu entdecken, bevor sie überhaupt zum ersten Mal in der Praxis auftauchen. Dennoch sind angesichts der Geschwindigkeit, mit der sich Bedrohungen heute verbreiten können, regelmäßige Updates des Antivirenschutzes wichtiger als je zuvor. Deshalb haben die Antivirusanbieter sich bemüht, den Zeitabstand zwischen den Updates von Virusdefinitionen von vierteljährlich über monatlich und wöchentlich schließlich auf täglich zu verkürzen. Und Kaspersky Lab bietet Updates für die Definitionsdateien von Viren jetzt zu jeder vollen Stunde an.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.