Kaspersky Lab mit einem Überblick der Ereignisse im Bereich Antiviren-Sicherheit am Jahresende

Das Jahr 2001 wird von Erfolgen der Antiviren-Hersteller in der Entwicklung neuer und der Verbesserung existierender Schutz-Technologien gegen Schädlinge geprägt. Daneben hat sich die Zahl der Opfer von Viren-Angriffen drastisch erhöht.

Die rasante Entwicklung der Informations-Technologie hat sowohl positive, als auch negative Auswirkungen. Einerseits erhöht IT die Zuverlässigkeit und Leistungsfähigkeit der Kommunikationskanäle, sowie der finanziellen Transaktionen und hat damit im allgemeinen positive Auswirkungen auf die Geschäftswelt. Andererseits zieht diese Entwicklung immer mehr Computer-Neueinsteiger an. Die Mehrheit davon verfügt nur über oberflächliche Kenntnisse im Computer-Sicherheits-Bereich. Deshalb schaffen es auch einfache Schädlingen, globale Epidemien hervorzurufen. Das Beste Beispiel hierfür ist der 'Anna Kournikova'-Virus.

Nicht ein Monat des Jahres 2001 war frei von globalen Viren-Epidemien. Viren-Autoren entwickeln ständig neue Angriffsmethoden, was natürlich die Zunahme von Viren-Vorfällen begünstigt.

Die wichtigsten Entwicklungen im Bereich Antiviren-Sicherheit des Jahres 2001:

• Eine großangelegte Distribution von Malware, die Schlupflöcher und Sicherheitslücken in Computer-Sicherheits-Systemen nutzen
• eMail und Internet stehen an der Spitze als gefährlichste Viren-Quellen
• Alternative Distributionskanäle für Viren, wie beispielsweise ICQ, Gnutella, MSN Messenger, IRC-Kanäle, werden verstärkt zur Verteilung genutzt
• Anstieg von Malware für Linux
• Erscheinen der ersten 'dateilosen' Netzwerk-Würmer
• Netz-Würmer für Windows treten überwiegend auf, während ein Rückgang der Skript- und Makro-Viren zu verzeichnen ist

Fehler in den Sicherheitssystemen

Viren, die Lücken in Software-Programmen ausnutzen, aktivieren sich automatisch und sind im Grunde vom User unabhängig. Um sich beispielsweise mit 'Nimda' zu infizieren ist es völlig ausreichend, eine verseuchte eMail nur im Vorschau-Fenster zu öffnen. Der Wurm 'CodeRed' kommt sogar ohne derartige 'Hilfe' aus. Er findet angreifbare Computer im Internet selbstständig und infiziert diese. Laut Kaspersky Lab verursacht dieser Typ von Schädling cirka 55 Prozent aller von Viren-Vorfällen im Jahre 2001. Dieser Prozentsatz beweist, wie notwendig die Einhaltung der Sicherheitsregeln ist.

Das besondere Interesse des Computer-Undergrounds an Sicherheitslücken ist einfach zu erklären. Die herkömmliche Einbruchs-Methode in einen Computer, wobei der User die verseuchte Datei selbst startet, ist nicht mehr so wirksam wie früher. Denn die meisten Anwender haben die potentielle Gefahr, die angehängte Dateien darstellen können, seit langem verstanden. Viele Benutzer öffnen solche eMails erst gar nicht, sondern bitten den Sender, die Information im Meldungs-Body zu transportieren. Deshalb begannen Viren-Autoren neue, wirksamere Infektions-Methoden zu suchen und haben dabei zusätzliche Sicherheitslücken gefunden.

Um Rechner gegen diese Art Malware effektiv zu schützen, sollten neben der Nutzung des Programms Kaspersky Anti-Virus auch Patches heruntergeladen werden, die bekannte Lücken schließen. Patches werden kostenlos auf den Web Sites der Hersteller zum Download zur Verfügung gestellt. Kaspersky Lab empfiehlt den Anwendern Patches für MS Windows, MS Outlook und MS Internet Explorer besondere Aufmerksamkeit zukommen zu lassen. Denn diese Programme werden aufgrund genannter Schlupflöcher am häufigsten von Viren angegriffen. Damit Informationen über Patches rechtzeitig vorliegen, besteht die Möglichkeit sich in die eMail-Verteiler der Hersteller einzutragen.

eMail und Internet - Gefährliche Viren-Quellen

Im Vergleich zum Vorjahr haben sich 2001, laut den Angaben von Kaspersky Lab, die Zahl der Viren-Angriffe via eMail um 5 % gesteigert und machen fast 90 % der Vorfälle aus.

Zusätzlich wuchs die Zahl der Infektionen über das Internet drastisch. Früher wurden die meisten Systeme durch den Download ungeprüfter Dateien von den Web Sites infiziert. Heute genügt der Besuch einer verseuchten Seite, um sich einer Virenattacke auszusetzen. Das passiert, wenn ein Schädling eine Seite überschreibt, so dass beim Aufruf dieser Web-Page die Infektion, je nach Malware, auf zwei Arten erfolgen kann. Die erste Variante befällt Computer über Sicherheitslücken der Web-Browser. Meistens sind das Internet Explorer-spezifische Viren, die sofort beim Aufruf der Seite, sich automatisch Zugang zum System verschaffen. Die zweite Variante gelangt beim Download einer verseuchten Internet-Seite auf den Computer.

2001 wurde auch entdeckt, dass beliebte Paging-Systeme wie ICQ und sonstige Instant Messenger, hervorragende Distributionskanäle für Malware sind. Ein gutes Beispiel hierfür ist das Information Exchange Network 'Gnutella', was dem Netzwerk-Wurm 'Mandragore' zum Opfer fiel. Eine Vielzahl von Würmern sind so programmiert worden, dass sie sich ausschließlich über IRC-Kanäle verbreiten. Die heutigen Tendenzen zeigen, dass eMails und Internet auch in der Zukunft die beliebtesten Distributionskanäle bleiben. Hier sollte noch einmal die Notwendigkeit von verlässlicher Antiviren-Software hervorgehoben werden, um Viren-Angriffen so entgegenzuwirken.

Der Angriff auf Linux wird fortgesetzt

2001 ist eine größere Anzahl Malware erschienen, die auf das Betriebssystem Linux abzielte. Der Vorbote dafür war der Netzwerk-Wurm 'Ramen', der am 19. Januar entdeckt wurde und innerhalb weniger Tage eine beträchtliche Zahl von Unternehmens-Systemen befallen hat. Auf der Liste der Betroffenen fanden sich unter anderem die NASA (National Aeronautics and Space Administration) USA, die Texas A&M University und der Taiwaner Hardware-Hersteller Supermicro. Danach entwickelte sich die Infektionsrate lawinenartig. 'Ramen'-Klone erschienen mit neuen Linux-Würmern, die ähnliche Zwischenfälle verursachten. Praktisch alle Schädlinge nutzten bekannte Sicherheitslücken im Betriebssystem und Linux war unfähig, sich diesen Gefahren zu stellen. Da Linux im Allgemeinen als 'einbruchssicher' galt, sahen die User keine Notwendigkeit, Patches und Antiviren-Software zu installieren. Deshalb fielen viele Anwender Linux-Würmern zum Opfer.

Die Linux-Situation wäre noch ernster gewesen, wäre dieses Betriebssystem nicht nur auf speziellen Servern, sondern auch als Plattform für Workstations benutzt worden. In diesem Fall wären den Würmern noch sehr viel mehr Linux-User 'zum Opfer gefallen'. Das lässt wiederum Viren-Autoren aufmerken.

Detailliertere Informationen zu Kaspersky Labs Linux-Antiviren-Forschung sind hier einzusehen.

Dateilose Würmer - Herausforderung für die Antiviren-Industrie

Eine der unangenehme Überraschung die das Jahr 2001 brachte, war die Entdeckung eines neuen Typs von Malware wie CodeRed und BlueCode. Diese Schädlinge können sich aktiv verbreiten und auf den infizierten Systemen funktionieren, ohne Dateien zu nutzen. Solche Programme existieren ausschließlich im Systemspeicher und transferieren sich zu anderen Computern in Form von speziellen Datenpaketen.

Diese Besonderheit hat den Antiviren-Herstellern große Probleme bereitet, da herkömmliche Technologien (Antiviren-Scanner und -Monitor) unfähig waren, dieser neuen Bedrohung entgegenzutreten. Denn die regulären Verteidigungs-Algorithmen, die zur Virenbekämpfung genutzt werden, basieren auf der Überprüfung von Dateien. Kaspersky Lab war der erste Hersteller, der dieses Problem löste und einen Antiviren-Filter schuf, der aus dem Hintergrund alle eingehenden Datenpakete prüft und dateilose Würmer sofort entfernt.

Die globale Epidemie, die der Netzwurm -CodeRed' verursacht hat (einigen Schätzungen zufolge, wurden mehr als 300.000 Computer verseucht), bestätigte die Effektivität der 'dateilosen' Technologie. Es muss erwähnt werden, dass die meisten Computer bis heute über keinen adäquaten Schutz gegen diesen Schädlings-Typ verfügen. Deshalb vertritt Kaspersky Lab die Meinung, dass auch im kommenden Jahr wiederholt Epidemien ausbrechen werden, die von neuen Varianten der dateilosen Würmer verursacht werden.

Windows-Würmer auf dem Vormarsch

In den Jahren 1999 und 2000 waren zweifellos die Makro-Viren 'Tabellenführer' aller 'Viren-Hit-Paraden', später auch Skript-Viren und Skript-Würmer. Anfang 2001 hat sich die Situation schnell verändert und bereits im Herbst waren etwa 90 % der registrierten Infektionsfälle durch Windows-Würmer ausgelöst worden. Der Grund dafür lag wohl darin, dass effektive Mittel gegen Makro- und Skript-Viren gefunden waren. Der weltweit erste Script-Checker ist im Mai 2000 in Kaspersky Anti-Virus integriert worden und konnte Angriffe aller Varianten des -LoveLetter'-Virus (ILOVEYOU) ohne zusätzliche Datenbank-Aktualisierung abwehren. Dieses eindrucksvolle Ergebnis wurde ausschließlich aufgrund der einzigartigen heuristischen Analyse erreicht. Die heuristische Technologie wurde speziell zum Schutz gegen unbekannte Skript-Viren entwickelt.

Den Kampf gegen Makro-Viren begünstigte der bei Kaspersky Lab entwickelte Behavior-Blocker 'Office Guard', der hundertprozentigen Schutz gegen Makro-Viren gewährleistet. Im Unterschied zu gewöhnlichen Antiviren-Technologien sucht -Office Guard' in den geprüften Objekten nach keiner Viren-Signatur, sondern emuliert und analysiert die Verhaltensweise der Makro-Programme und blockiert alle für das System schädliche Handlungen.

Ist eine staatliche Regelung der Antiviren-Industrie möglich?

Im November wurde bekannt, dass das Federal Bureau of Investigation (FBI) in den USA Programme entwickelt, um verdächtige Personen zu überwachen. Das Programm mit dem Code-Namen 'Magic Lantern' ist einen klassischer Trojaner, der alle Tastatenkombinationen am infizierten Rechner in einer geheimen Datei speichert. Die erhaltenen Angaben können später für eine Entzifferung der versandten eMails und als Schuldbeweis genutzt werden.

Am 3. Dezember bestätigte der Pressesprecher des FBI, Paul Bresson, in einem Interview mit der amerikanischen Zeitschrift 'Information Security' die Entwicklung der 'Magic Lantern'. Die Hauptfrage blieb aber ungeklärt: Fordert die US-Regierung von den Antiviren-Herstellern, dieses 'Spezialprogramm' aus den Antiviren-Datenbanken auszuschließen? Dabei bleiben jedoch die Benutzer ohne Schutz. Falls so etwas wirklich geschieht, sind in erster Linie amerikanische Hersteller in Gefahr - McAfee und Symantec, denn ihre User werden sofort die Produkte anderer Hersteller installieren.

Heikel wäre auch folgender Präzedenzfall: Wenn die Regierung eines Staates so etwas von den Antiviren-Herstellern verlangen kann, können die Staatssicherheitsdienste anderer Länder dasselbe tun. In so einem Fall wird die Situation der Antiviren-Sicherheit völlig außer Kontrolle geraten. Über kurz oder lang käme die ursprüngliche 'Magic Lantern' in falsche Hände. Im schlimmsten Fall könnte die Weltwirtschaft, die mit den Informations-Technologien eng verbunden ist, durch eine globale Viren-Epidemie lahmgelegt werden.

Die Zunkunft der Internet-Sicherheit

Die momentane Verschlimmerung der Viren-Situation erzeugt höchst pessimistische Prognosen bezüglich der Internet-Entwicklung. Nach Angaben von Message Labs würde nach heutigem Erfahrungsstand jede zweite eMail im Jahre 2013 einen schädlichen Code beinhalten.

Prinzipiell müsste man, um die Situation zu ändern, ein ungefährliches Netz parallel zum Internet schaffen. Eine solche 'Problemlösung' kann durch die Weigerung der meisten Anwender, in ein neues Netz 'umzuziehen', oder durch die Aussicht, dass Malware aus dem Internet auch ins neue Netz wandert, erschwert werden. Kaspersky Lab glaubt, als optimale Variante eine neue Ausrüstung und Software nach und nach in die vorhandenen Internet-Technologien einzuführen, die nur geprüfte und zertifizierte Informationen bearbeiten. Daneben ist es äußerst wichtig, allen Netzbenutzern persönliche Identifizierungsnummern zu verleihen. Dies könnte helfen, Viren-Epidemien aufzuspüren und zu verhüten, sowie die Autoren der Viren und anderer Malware rechtzeitig zu lokalisieren und so das Übel an der Wurzel zu packen und zu eliminieren.

Schlussfolgerung

Eine Prognose der Entwicklung der Viren-Situation für 2002 stimmt leider nicht absolut optimistisch. Kaspersky Lab glaubt, dass im nächsten Jahr die Zahl und verschiedenen Arten der Viren zunehmen und somit mehr globale Epidemien verursacht werden. In erster Linie ist durch steigende Benutzerzahlen sowohl auf Seite der Viren-Autoren, als auch bei ihren 'Opfern'. Dazu kommt eine Vervielfältigung der Malware und ihrer mannigfachen Typen, sowie die Optimierung der Methoden, Rechner zu befallen.

Aber Kaspersky Lab wird 2002 eifrig weiter neueste Schutztechnologien entwickeln, um Rechner und Netze zuverlässig gegen die zunehmende Viren-Gefahr schützen. Die immense Steigerung weltweit verkaufter Produkte im vergangenen Jahr, beweist die hohe Qualität des -Kaspersky Anti-Virus'.

Zum Schluss zeigen wir Ihnen eine vorläufige Liste der 10 meistverbreiteten Viren von September bis Dezember 2001: