Schädlingsbefall durch Sicherheitslücken

Trotz installierter Antivirenlösung nistet sich ein Schädling auf den Rechner ein – wie kann das passieren? Genau dagegen hat man doch so ein Programm auf dem Rechner.

Das Problem dabei: Ein Virenscanner ist zunächst erst einmal ein Alarmwerkzeug, das einen Befall erkennen soll. Bereinigung oder den Schädlingsblockade sind Funktionen, die später nach und nach dazugekommen sind. Historisch betrachtet hat dazu eine reine Dateianalyse ausgereicht – Schädlinge konnten nicht per Internet, sondern nur über Datenträger ihren Weg auf das System finden. Zudem ist die schiere Menge an Schädlingen geradezu explodiert: Gab es vor 10 Jahren noch vielleicht wenige tausend neue Viren im Jahr, kommen heute mehr als 50.000 neue Varianten hinzu – jeden einzelnen Tag!

Seit wenigen Jahren hat sich ein anderer Verbreitungsweg etabliert: Der sogenannte Drive-by-Download. Dazu hacken sich Cyberkriminelle in Webserver ein und mani­pulieren die Dateien dort. Dadurch leiten sie beim Besuch der Webseite Anfragen auf Server unter ihrer Kontrolle weiter – und dort liegen dann die schädlichen Dateien. Auch manipulierte Werbebanner kommen dafür oft zum Einsatz.

Die von den Cyberkriminellen kontrollierten Server versuchen, mit sogenannten „Exploit-Kits“ diverse Sicherheitslücken in veralteter Software zum Infizieren des Rechners auszunutzen. Die bösartigen Webseiten testen dabei ab, ob etwa ein veralteter Flash Player, ein altes Java oder ein veralteter Webbrowser oder PDF-Reader auf dem System liegen, denen sie einen passenden Exploit unterschieben können. Bei der Verarbeitung dieses Exploits überschreibt die manipulierte Datei dann durch die Sicherheitslücke Speicherbereiche auf dem Rechner und legt dort den Virus ab – und der wird dann ausgeführt. Somit liegt nicht einmal zwingend eine Datei auf dem Rechner, sondern das Programm im Arbeitsspeicher ist infiziert. Der Dateiscanner kann davon nichts merken.

Um davor zu schützen, setzen moderne Virenscanner wie der von AVG auf Ver­haltens­­erkennung und -Blockade. Die AVG Identity Protection überwacht die Aktivitäten der laufenden Software und schlägt Alarm, sofern sich potenziell bösartige Verhaltens­weisen häufen. Das ist damit der letzte Schutzwall im System. Davor sitzt noch Surf-Shield und Online Shield, die die Webseiten analysieren, bevor sie vom Webbrowser dargestellt werden. Diese Komponenten können also Schadsoftware aus dem System fernhalten, bei der ein reiner Dateiscanner hilflos ist.

Jedoch ist es am besten, wenn man mehrere Strategien verfolgt: Einmal ist dort der Schutz vor Schädlingen durch den Virenscanner – das ist die notwendige Grund­voraus­setzung. Und an zweiter Stelle muss man die Einfallstore schließen, die Sicherheitslücken in veralteter Software. Man kann sich den Virenscanner wie einen Torwart vorstellen – wenn der wegen fehlender Verteidigung (entspricht den Sicher­heits­lücken) unter Dauer­beschuss steht, muss irgendwann ein Tor fallen (im Bild: ein Schädling einbrechen können)

Das Problem sind also Sicherheitslücken in alter Software. Das kann man einfach angehen, indem man nicht benötigte Software wieder deinstalliert sowie die genutzte Software regelmäßig aktualisiert. Viele Programme haben inzwischen dafür schon einen eingebauten Update-Mecha­nismus. Den sollten Anwender möglichst nutzen und beispielsweise einmal wöchentlich nach Aktualisierungen suchen lassen. Damit verringert man die Wahr­scheinlich­keit einer Rechner­infektion.

Geschrieben von Dirk Knop