die raven homepage
Spam - Schad- & Spionage-Software - Alarm

Version 1.8

Inhalt
  1. Einleitung
  2. Die Vertreter ihrer Gattung - Virentypen
  3. Nicht-Viren
  4. Infektionswege oder "Lass mich rein"
  5. Abwehrmaßnahmen und Vorbeugung gegen Viren
  6. Anwendung von Virenscannern
  7. Der Ernstfall - Vorgehensweise bei einer Vireninfektion
  8. Viren- oder Wurmepidemie per E-Mail
  9. Links
  10. Hintergrund: Wie arbeiten Virenscanner
  11. Anti-Spam Lösungen für Linux, MacOS und Windows
  12. Meta-Informationen zu Spam und seiner Bekämpfung
Einleitung
Der Zweck des Alarms

Dieser Text soll mit dazu beitragen, die Gefahr der Verseuchung eines einzelnen PC oder Netzwerks mit Spionage- und Schad-Software zu vermeiden. Er versucht Antworten auf folgende Fragen zu geben:

Was sind Viren, Würmer, Key-Logger und Trojanische Pferde? Wie kann sich ein System "infizieren"? Wie kann man ein System vor einer Infektion schützen? Was macht ein Virenscanner? Was mache ich, wenn mein System infiziert wurde?

Bei Einhaltung der hier gemachten Vorschläge und Befolgung der gegebenen Informationen sollte die Gefährdung des eigenen Systems und damit auch die Gefährdung anderer System und Netzwerke nahezu ausgeschlossen sein.

Da zwischen der Verbreitung von Spionage- und Schadsoftware und Spam auch Zusammenhänge bestehen, bzw. sich Spamversender mit Spionage- und Schadsoftware neue Verteilungskanäle erschließen und sich Spionage- und Schadsoftware wie Spam ausbreiten kann, sollten neben der Absicherung des Betriebssystems, der Netzwerkfunktionen, von Programmen und der Anwendung von Programmen zur Erkennung und Beseitigung Spionage- und Schadsoftware auch Lösungen zum Einsatz kommen, die der Bekämpfung von Spam dienen.

Ein anschauliches Beispiel für das Zusammenspiel von Spamversendern und Virenautoren bietet die Heise Meldung Aufgedeckt: Trojaner als Spam-Roboter.

Kurzer Viren Geschichtsabriß

Viren gibt es seit es Personal Computer gibt - seit Jahrzenten begleiten sie die Entwicklung des Computers und es wird sie wohl auch noch in ein paar Jahrzenten geben.

1986 trat der erste Bootsektor-Computervirus auf. Er hieß "Pakistani Brain" und betraf nur Disketten – das damals gebräuchliche Datenaustauschmedium.

Seitdem sind eine Menge weiterer, verschiedener Typen aufgetreten, immer raffinierter und immer aktuell passend zu den PC-Neuerungen ihrer Zeit: Nach den Bootsektorviren traten Ende 1995 die ersten Makroviren, Ende 1998 die ersten Skriptviren auf. In den Jahren darauf gewannen die Würmer immer mehr an Bedeutung, die – mit Infektions- und Weiterverbreitungsfunktionen versehen – Komponenten der Trojanischen Pferde oder eigenständige SMTP-Server auf den Rechnern installieren.

Auch die Techniken der Virenprogrammierung und des Virendesigns haben sich gewandelt. Vom einfachen Bootsektorvirus unterscheidet sich ein polymorpher Stealth-Virus ganz erheblich.

So wächst und wächst und wächst die Anzahl der Viren kontinuierlich an: Mitte 1997 wurden ca. 12000 Viren (bei ca. 3500 Virenfamilien) gezählt, Mitte 1997 waren es schon 20000, Anfang 2000 47000.

Die Autoren der Viren und Würmer

Waren Viren früher nur das gefährliche Spielzeug von "Crackern" aus der Schmuddelecke, werden Viren heute als Kampfmittel für den digitalen Informationskrieg der Zukunft gehandelt und man kann davon ausgehen, dass jeder technologisch fortentwickelte Staat der Erde über sein eigenes, selbst entwickeltes Arsenal dieser Gattung elektronischer Waffen verfügt.

Die Personen, die Viren programmieren, kommen aus allen nur denkbaren Richtungen:
Der Cracker, der abends vor seinem summenden Monitor neueste Kreationen entwirft, aufsässige Skript-Kiddies, die sich mit dem Virengenerator ihrer Wahl ein Virus zusammenbasteln lassen, um damit zu prahlen, der enttäuschte Programmierer aus Russland, der statt fettem Verdienst in Strumpfhosen ausbezahlt wird, der gemobbte Angestellte, der seinem Chef mal richtig die Hölle heiss machen will, Geheimdienst- und Militärabteilungen, die ihren potentiellen Gegnern auf dem elektronischen Schlachtfeld voraus sein wollen, Polizeibehörden, die Trojaner einsetzen, um die PCs von Zielpersonen zu überwachen und organisierte Spammerzirkel, die sich über Viren und Würmer neue Spamverteilungswege erschließen.

Die Abwehrfront

Parallel dazu werden die Virenscan- und -desinfizierprogramme immer ausgefeilter, man zieht sich hinter Firewalls und Paketfilter zurück und scannt alles und nichts, was über die verschiedenen Wege des Datenstroms zu Anwendern, Firmen und Behörden hereinplätschert. So sollte es eigentlich sein, aber noch immer verursacht ein so primitiver Virus wie I LOVE YOU im Mai 2000 Schäden in Milliardenhöhe, noch immer werden Programme aus x-beliebiger Quelle mit einem herzerfrischenden Doppel-Klick geöffnet, noch immer siegt die Neugier über den Verstand bei E-Mail Anhängen.

Hinzu kommt, dass Virenscanner nur die Viren und Würmer erkennen und beseitigen können, die ihnen bekannt sind, unbekannte Schadsoftware versucht man dagegen, mit heuristischen Methoden beizukommen, um auch noch nicht bekannte Viren zu erkennen. Deshalb sind die gefährlichsten Viren und Würmer diejenigen, die erst seit kurzer Zeit im freien Umlauf gesichtet wurden. Man spricht in Analogie zur Jägerterminologie in diesem Fall von Viren "in the wild" (in freier Wildbahn gesicht) oder IWT-Viren.

Einige Computeranwender sind bei der ganzen Virengeschichte besser dran: Linux, Unix und MaC User haben aufgrund der sicheren Datei-, Benutzerverwaltungs- und Systemarchitektur ihrer Betriebssysteme so gut wie keine Virusinfektion zu befürchten. Hinzu kommt, dass die meisten Viren und Würmer für die Windowsplattform (leichter) geschrieben werden. Der Hauptleidtragende ist der Windows-Anwender, weil es dem Microsoft-Konzern seit Jahrzenten nicht einfällt, seine Betriebssysteme genauso sicher zu machen wie Linux, Unix, Solaris oder MacOS – das ist eine der Wurzeln des Virenübels.

Selbstverständlich bedarf es auch bei den genannten Betriebssystemen einer kompetenten und richtigen Konfiguration und Administration, um ein Höchstmaß an Sicherheit herbeizuführen.

Die Vertreter ihrer Gattung
  • Boot-Viren (System-Viren)
    heissen deshalb so, weil sie die Systemstartbereiche auf Festplatten und Disketten befallen, also den Master-Boot-Record (deshalb auch MBR-Viren genannt) und den Boot-Loader. Jeder nicht-schreibgeschützte Datenträger wird nach dem Befall infiziert.
  • Datei-Viren
    hängen sich an das Ende, den Anfang oder mitten in den Programmcode ausführbarer Dateien (also Dateien mit z. B. Endungen wie *com, *.exe, *.sys, *.drv, *.bin) ein und an, oder ersetzen den Programmcode. Wird das Programm gestartet, setzt der Virus seine Schadensroutine frei und/oder kopiert sich in weitere Programme
  • Hybrid-Viren
    als Kombination aus Datei- und Boot-Viren. So erreicht der Virenprogrammierer nicht nur den Befall des Systemstartbereichs, sondern gleichzeitig die Infizierung von Programmdateien.
  • Makro-Viren
    zielen auf MS-Office Dokumente und werden über Makros der bekannten Office-Programme übertragen. Über Konvertierungen für höhere Programmversionen oder in ander Formate können die Makroviren auf weitere Programme und Dateien übertragen werden.
  • Würmer
    sind eigenständige Programme, die auf Netzwerke (wie dem Internet) losgelassen werden. Der Wurm dringt in den Rechner ein, wenn er passende Schwachstellen findet. Dann analysiert er die Netzwerkkonfiguration, um neue Ziele zu finden und greift diese auf die gleiche Weise an. Unter Windows analysieren wurmähnliche Viren oft das Adressbuch von Outlook, hängen sich an E-Mails oder generieren diese und verbreiten sich so von Windows zu Windows Rechner. Die Übertragung vollzieht sich oft über angehängte Skripte, so dass sie eher den Skript-Viren entsprechen.
    Der bekannteste, richtige Wurm war der Internet-Worm des amerikanischen Studeneten Robert Morris jr.
  • Logische Bomben
    werden als Bestandteil des Betriebssystems direkt in dessen Programmcode eingebaut oder liegen als eigenständiger Virus vor.
    Sie werden aktiv, wenn ein bestimmtes Ereignis auf dem System eintrifft (z. B. ein bestimmtes Datum, eine bestimmte Programmroutine usw.)
  • (Skript)Web-Viren
    werden in WordBasic-, VisualBasic-, Java-Script & -Module einprogrammiert, die dann in Word-, Exceldokumente und HTML-Webseiten eingebettet werden. Der Virencode nutzt zu seiner Vervielfältigung die Skriptengine des Windows Skripting Host.
  • Stealth-Viren
    benannt nach dem amerikanischen Stealth-Bomber (Tarnkappenbomber), der ein bestimmtes Design und eine spezielle Beschichtung benutzt, um vom gegenerischen Radar nicht erfasst zu werden.
    Wie das Radar versucht der Stealth-Virus die Virenscanner, Virenschilde und Integrity-Checker zu täuschen, indem sie sich unter anderem Namen in die Verzeichnisse eintragen oder bei Überprüfung von Daten durch die Virenscanner die unverfälschten Originaldaten an die Virenscanner weitergeben. Der Stealth-Virus hält sich resident im Arbeitsspeicher und wechselt dort die Speicheradressen.
  • Polymorphe Viren
    sind gleichzeitig "Crypto-Viren", da sie ihren Virencode verschlüsselt weitergeben. Zur Aktivierung der Schadenskomponente entschlüsselt der Virus über eine spezielle Entschlüsselungabfolge seinen Code. Zur Neuinfektion wird die Entschlüsselungsabfolge und der Schlüssel jedesmal geändert, so dass der Virus seinen Phänotypus permanent wechselt, was ein Aufspüren erschwert.

Besonders die letzten beiden Typen und die Skriptviren stellen die Elite der Viren der Zukunft dar. Was würde wohl passieren, wenn sich ein polymorpher-Stealth-Skript-Wurm durch das Internet und die Rechner schlängeln würde?

Nicht-Viren

Neben den Viren, deren Hauptzweck in der Beschädigung oder Beeinträchtigung von Daten, Programmen und Betriebssystemen liegt – der Schad-Software, hat sich mit der Zeit eine weitere Gattung an Software herausgebildet, die weniger auf Beschädigung abzielt, aber dafür mehr auf die Ausführung von Funktionen, die dazu dienen, Vorgänge und Daten auf einem Computer zu überwachen oder verdeckt Hintertüren und Kommunikationskanäle zu öffnen, die Daten unbemerkt nach außen schleusen oder den entfernten Zugriff ermöglichen, mit dem ein Angreifer ein fremdes System kontrolliert. Diese Spionage-Software tritt als Modul der Schad-Software auf, als eigenständige Programme, die als erste Stufe für die Einbringung von Schad-Software dient oder als als eigenständige Programme, die sich rein auf ihre Spionagefunktionen konzentrieren.

Gerade der letzte Zweck dient ebenfalls dem Informationskrieg, vermehrt auch Sicherheits- und Geheimdienstbehörden, um Computer und Netzwerke von Einzelpersonen und Organisationen auszuspähen.

Spyware / Rootkit / Key-Logger / Trojanisches Pferd / Hoax
  • Spyware

    als Spyware wird Software oder Hardware, also Programme bzw. Programmfunktionen oder technische Bauteile, bezeichnet, die ohne Wissen oder Benachrichtigung des Anwenders im oder am Rechner installiert werden, um Daten, die am Rechner eingegeben, erfasst und gespeichert werden, unbemerkt vom Anwender abzufangen und zwischenzuspeichern. Bei den Daten kann es sich um Daten handeln, die auf Informationen über das Betriebssystem und die Benutzung installierter Programme abzielen, oft aber mehr auf Informationen, über die ein Anwender identifiziert und wiedererkannt werden kann oder die Aufschluß über Persönlichkeit und Lebensverhältnisse geben. Zur Spyware zählen permanent gespeicherte Tracking-Cookies, Überwachungsprogramme, die im Hintergrund Screenshots anfertigen oder Mikrofone und Webcams aktivieren, Soft- und Hardware Key-Logger, Trojanische Pferde.
  • Key-Logger

    sind Programme, die auf einem Rechner installiert werden oder technische Bauteile, die in Eingabegeräten wie Tastaturen, zwischen Eingabegeräten und dem Anschluss der Hauptplatine angebracht oder im Rechner auf der Hauptplatine aufgebracht werden, um die Signale des Eingabegeräts während der Eingabe bzw. der Verarbeitung abzufangen und die vom Anwender eingegebenen Zeichen, Zeichenfolgen und Texte heimlich zu erfassen und zwischenzuspeichern. Der Key-Logger zielt damit insbesondere auf Passwörter, Passwortsätze und Identitäts-Kennungen, aber auch auf das geschriebene Textdokument, die E-Mail oder den Instant Messaging Chat. Zu einem späteren Zeitpunkt erfolgt der Versand über verdeckte Kommunikationskanäle (wie z. B. bei Trojanischen Pferden), die Übertragung per Funk bei technischen Bauteilen oder ihre Entfernung und Auswertung durch die Angreifer.
  • Rootkits

    sind Programme, die mehrere Funktionen gleichzeitig ausführen, die auch für Key-Logger und Trojanische Pferde typisch sind. Nach der Installation bzw. Einschleusung öffnen sie ebenfalls Kommunikationskanäle für entfernte Zugriffe, Steuerungen und Datenaussendungen, führen Überwachungsroutinen aus, die Ein- und Ausgaben abfangen und umleiten, um an Daten und Informationen zu gelangen oder Kontrollroutinen, die überwachen, ob bestimmte Programmprozesse ausgeführt bzw. nicht ausgeführt werden. Dabei verändern sie Bestandteile des Betriebssystemkerns, von Systemprogrammen und Anwendungsprogrammen so, dass ihre eigenen Prozesse und Funktionen möglichst unentdeckt und nicht durch andere Prozesse gestört oder außer Funktion gesetzt werden können.
  • Trojanische Pferde

    sind eigentlich ganz normale Programme, die als Dienst oder Programm ausgeführt werden - nur dass sie dazu genutzt werden, möglichst unbemerkt vom Anwender, Daten auf der Festplatte auszuspionieren oder Ports für Fernzugriffe, Fernkontrollen und Übertragungen von Daten an fremde Rechner zu öffnen. Trojanische Pferde tarnen sich oft unter anderen Namen oder harmlosen Programmtiteln und werden oft im Huckepack-Verfahren mit einem anderen Virus oder einem normalen Programm mitübertragen und installiert.
  • Hoax

    Neben den echten und gefährlichen Schadprogrammen gibt es die Alarmmeldungen, die per E-Mail, Usenet-Posting oder Medienbericht das Auftreten eines extrem gefährlichen Schadprogrammes melden, das noch unbekannt sei und/oder für das es kein Gegenmittel gibt. Oft sind diese Warnungen mit der Aufforderung verbunden, die Meldung möglichst breit zu verteilen und an Bekannte weiterzusenden. Tatsächlich existiert die genannte Schad-Software gar nicht, sondern wurde eigens zum Scherz "kreiert". Diese Scherz-Viren werden Hoaxe genannt.

    Sollte man solch eine Warnmeldung erhalten und sich nicht sicher sein, ob diese Warnung einen real existierendes Schadprogramm betrifft, sucht man am besten eine der Virendokumentationen oder die Homepage der Virenscannerhersteller auf, um die Echtheit der Angaben zu überprüfen. Nur im Falle einer Bestätigung sollte man diese Warnungen ernst nehmen.

    Der bekannteste Virus-Hoax dürfte der "Good-Times-Virus" sein.

Aufgrund der steigenden Bedeutung der Nicht-Viren sind Hersteller von Virenscannern und Firewalls mittlerweile dazu übergegangen, in ihre Produkte neben den herkömmlichen Scannern zur Erkennung von Schad-Software mittels Signaturen bekannter Schadprogramme und heuristischer Musteranalyse für neue Schadprogramme Funktionen zu integrieren, die Aktivitäten und Funktionen der Nicht-Viren erkennen sollen bzw. Versuche ihrer Einschleusung.

Infektionswege oder "Lass mich rein"
  • Programme und Scripte, die in E-Mail Anhängen oder News-Postings übertragen und vom Benutzer (oder automatischen Komponenten des E-Mail oder News Readers) ausgeführt werden
  • mit Boot-Viren infizierte Disketten bzw. bootfähige Wechselmedien
  • infizierte Programme auf CD-ROMs bzw. Wechselmedien
  • infizierte Dateien, die über P2P Tauschbörsen heruntergeladen und ausgeführt werden
  • unsichere Server-Dienste auf Rechnern
  • Webseiten mit aktiven Inhalten wie ActiveX, Java, JavaScript
  • Webseiten mit eingebetteten Word oder Exceldokumenten
  • Windows Officedokumente (z. B. Word oder Exceldateien)
  • VisualBasic und Javascripte
  • selbstentpackende Archive
Abwehrmaßnahmen und Vorbeugung gegen Viren
  • Statt Microsofts Internet Explorer und Outlook (Express) werden andere Programme vewendet.
  • E-Mail Attachments, egal welchen Typus, werden niemals sofort geöffnet, sondern entweder abgespeichert und mit den Virenscannern überprüft oder sofort gelöscht - das gilt auch für Anhänge von bekannten Absendern! Siehe Würmer.
  • Programme und Archive, die über FTP-Server, von Webseiten oder über Wechseldatenträger bezogen oder heruntergeladen werden, werden niemals sofort geöffnet, sondern entweder abgespeichert und mit den Virenscannern überprüft oder sofort gelöscht.
  • die Bootreihenfolge wird im BIOS auf C:,A: oder nur C: eingestellt und nur bei Bedarf umgestellt (z. B. um den Virenscanner von der Notfalldiskette zu starten).
  • CD-ROMS, Disketten, ZIP-Disketten und andere Wechseldatenträger aus fremder Hand (und wenn's der beste Freund ist) werden vor der ersten Benutzung mit den Virenscannern überprüft.
  • Mindestens 1x pro Monat das gesamte System einem Komplett-Virenscan mit den Notfalldisketten unterziehen.
  • Bei einem BIOS, das per Jumper schreibgeschützt werden kann, wird dieser Jumper gesetzt.
  • Der einzelne PC, der Mailserver, Proxy oder die Firewall im Netzwerk werden mit netzwerkfähigen Virenscannermodulen oder -scripten ausgestattet.
  • Der einzelne PC, das Netzwerk wird mit einer Firewall ausgestattet, die nur bestimmte Services (SMTP, POP3, HTTP, FTP) und bestimmte Programme zulassen, alles andere wird gesperrt.
  • Zusätzliche Installation von Tools, die über eine Content Analyse den Aufbau und den Inhalt von Dateien untersuchen, so dass auch mehrfach verpackte Daten und z. B. darin verborgene Makros oder Skriptanhänge kontrolliert werden können.
    Dabei ist zu beachten, dass diese Tools nicht mit Anforderungen des Datenschutzes und der Privatsphäre kollidieren.
  • Die Webbrowser und E-Mail Programme werden mit der höchsten Sicherheitsstufe konfiguriert und regelmäßig mit aktuellen Sicherheits-Updates versorgt. Die Standardapplikationen des Windows OS werden nicht verwendet.
  • Es werden nur Server installiert und Dienste gestartet, deren Eigenschaften, Funktionen und Bedienung bekannt sind (das trifft in Netzwerken zumeist nur auf die System- und Netzwerkadministratoren zu - hoffe ich) und die man unbedingt braucht. Alle unnötigen Server und Dienste werden deaktiviert. Jedes OS ist nach Installation daraufhin zu überprüfen. Wenn möglich, werden Server und Dienste mit einem eigenen, nicht priviligiertem Benutzeraccount ausgeführt.
  • Es werden regelmäßige Backups aller oder wenigstens der wichtigsten Daten angelegt. Sensible und wichtige Daten werden auf äußere Datenträger isoliert und/oder kryptographisch verschlüsselt auf der Festplatte verwahrt.
  • In großen Unternehmen bietet sich die Aufstellung eines Notfall-Ablaufplanes an, damit jede Stelle und jeder Angestellte sofort weiß, welche Schritte im Falle eines Virenalarms ergriffen werden müssen.
  • Virenscanner Hersteller bieten Newsletter, RSS-Feeds zu aktuellen Viren und Würmern an, die man zur frühzeitigen Information nutzen kann.
Virenscanner
  • Die Virenscanner der Wahl werden aus bekannter und sicherer Quelle bezogen.
  • Es werden mindestens zwei verschiedene Virenscanner eingesetzt bzw. der Virenscanner, der die höchste Erkennungsrate in bei der Erkennung von Schad-Software aufweist und die effektivsten Funktionen zur Erkennung unbekannter Schad-Software und Spionage-Software.

    Im Falle eines Virus oder Wurms mit großem Gefährdungspotential und schneller Verbreitung bieten viele Virenscanner Hersteller gesonderte und meistens kostenlose Programme zur Überprüfung und Desinfektion an. Sollten sie durch die Medien oder andere Informationskanäle von solch einem Virus oder Wurm erfahren, besorgen Sie sich diese Module.
  • Die Virensignaturdaten werden mindestens 1x pro Tag aktualisiert, laut Meldung von Symantecs Virenlabor verzeichnen die Forscher wöchentlich mindestens 20 neue Viren.
  • Wird der Virenscanner über Scripte oder Programme eingebunden, die E-Mails auf Befall hin scannen und auswerten, ist eine automatische Benachrichtigung des Versenders zu unterbinden, weil wie bei Spam oft gefälschte Absenderangaben benutzt werden. Die E-Mails zur Benachrichtigung des vermeintlichen Versenders können bei einem Wurm erheblichen Traffic verursachen, der keinem nützt.
  • Bei ausreichender Systemkapazität wird ein speicherresidenter Virenschild aktiviert.
  • Es werden bootfähige Notfalldisketten/CDs erstellt, die mit den Virenscannern versehen werden.
    Die Medien werden nach jedem Update der Virensignaturen aktualisiert und schreibgeschützt aufbewahrt!
  • Der Virenscanner wird so konfiguriert, dass er alle Dateien, Dokumente und komprimierten Archive scannt. Heuristische Scanfunktionen werden aktiviert, auch wenn sie unter Umständen Fehlalarme auslösen.
Der Ernstfall

Sollte trotzdem ein Virus seinen Weg auf den Rechner finden oder der Verdacht eines Virenbefalls bestehen, schlage ich folgende Vorgehensweise vor. Generell gilt, wenn man im Zweifel ist, ob die Beseitigung eines Virus erfolgreich war und kein Backup verfügbar ist, wird das System komplett neu aufgesetzt.

  1. alle geöffneten Programme schließen
  2. alle Daten abspeichern
  3. den Rechner ausschalten und im Netzwerk vom Netzwerk trennen (kein Warm-Start)
  4. im Netzwerk den Systemadministrator oder die verantwortliche Stelle sofort informieren.
    So können sowohl eventuelle Folgeinfektionen erkannt und beseitigt, als auch relevante Sicherheitslecks sofort erkannt werden, um Abwehrmaßnahmen für die Zukunft zu konzipieren.
  5. die Notfalldisketten der Virenscanner bereitlegen
  6. den Rechner neu starten und im BIOS die Startreihenfolge auf A: setzen
  7. den Rechner booten und den Virenscanner ausführen
    1. es werden keine Viren gefunden:
      weitere Virenscanner ausprobieren, andere Fehlerquellen suchen, Rechner vom Fachmann überprüfen lassen, im Zweifel Backup aufspielen oder Rechner neu aufsetzen
    2. es werden Viren gefunden:
      1. Backup oder Quelldatenträger der betroffenen Daten liegt vor:
        Dateien löschen lassen oder isolieren, um sie den Virenlabors zuzusenden, danach Daten über Backup/Quelle restaurieren
      2. Backup liegt nicht vor:
        1. Dateien vom Virenscanner desinfizieren lassen, erneutes Scannen des Systems. Wenn der Befund O.K. ist, Rechner neu von C: starten
        2. Dateien vom Virenscanner löschen lassen, wenn Dateien nicht desinfiziert werden können (eventuell professionelle Datenrettungsdienste in Anspruch nehmen, wenn die Daten sehr wertvoll oder wichtig genug sind)
  8. Nach Neustart die Quelle des Virenbefalls herausfinden und ausschalten, bei isoliertem Virus den Virus an ein Virenlabor einsenden, falls dieser in der Virenbibliothek nicht verzeichnet ist
Viren- oder Wurmepidemie per E-Mail

Bei großer und schneller Verbreitung eines Virus oder Wurms, der per E-Mail übertragen wird, können die Postfächer auf den Mailservern überflutet werden und einen sehr hohen Traffic verursachen, der besonders zu Lasten von Modembenutzern und Volumeflatkunden geht.

Um dem zu entgehen, bieten sich verschiedene Möglichkeiten an.

  • Viele E-Mail Provider bieten Spam-Filter an, die bereits auf dem Mailserver des Providers ungewollte E-Mails löschen oder in spezielle Ordner auf dem Mailserver verschieben. E-Mails, die Viren und Würmer transportieren, weisen oft ebenfalls charakteristische Merkmale, bzw. Angaben im Kopf oder Körper der E-Mails auf, die zu Regeln des Spam-Filters herngezogen werden können.
    Die Nutzung der Provider Spam-Filter, die meistens nie vollständig deaktiviert werden können, erfordert es, in regelmäßigen Abständen den Spamordner zu überprüfen, um die Absender von falsch als Spam deklarierte E-Mails ("False Positives") in Whitelists aufzunehmen. Das sind Listen von Absendern, die unter allen Umständen den Spam-Filter passieren dürfen.
  • Einige E-Mail Programme bieten die Möglichkeit, die E-Mails auf POP3 und IMAP Mailservern vor dem Download zu inspizieren und nach einem Regelwerk zu behandeln. Diese Funktionen können zum Löschen infizierter E-Mails verwendet werden.
  • Man kann spezielle Programme oder Scripte verwenden, die zur Spam-Abwehr gedacht sind und ebenfalls E-Mails vor dem Download auf dem Mailserver inspizieren und löschen lassen. Einige Anwendungen für die gängigen Plattformen werden unter Anti-Spam Lösungen vorgestellt.
Links
Newsletter, Alarm-Benachrichtigungen, RSS-Feeds
Virendokumentation und Vireninfos
Virenscanner-Tests

Auf den Websites der folgenden Organisationen finden sich Vergleichstests, die Aufschluss über die Erkennungsraten von Virenscannern und Programmen mit Erkennungsroutinen für Malware geben:

Virenscanner und Programme mit Erkennungsroutinen für Malware / Hersteller
alphabetisch
Empfehlungen

Produktempfehlungen in unregelmäßigen Zeitabständen und ohne Rang, basierend auf Auswertungen der "Virenscanner-Tests".

Mai 2008
  • Avira Antivir
  • Gdata AVK
  • AEC TrustPort
  • Comodo Firewall
  • Tall Emu Online-Armor
Virenlabors
Verschiedenes
  • Project Honey Pot
    Verteiltes System, mit dem Spammer bzw. ihre Spambots angelockt und dann identifiziert werden.
  • Mini-FAQ: antivirus software for Linux/Unix
    Umfangreiche Übersicht zu Antivirenlösungen unter Linux, unterteilt nach on-demand und on-acces Scannern, Lösungen für E-Mail und Internet Gateways.
  • FPROTRAR
    Zum Erstellen von F-Prot Virenscandisketten befinden sich in FPROTRAR zwei Batchdateien, mit denen man automatisch die jeweils aktuellen F-Prot Dateien auf mehrere Disketten sichern und anschließend von diesen Disketten automatisch zum Virenscannen verwenden kann.
    Einzige Voraussetzung ist der Packer RAR in der DOS Version.
  • Bundesamt für Sicherheit in der Informationstechnik
    Antispam - Strategien
    Unerwünschte E-Mails erkennen und abwehren

    Umfangreicher und informativer Leitfaden zu den Hintergründen des Spam- und Virenversands sowie juristischen und praktisch-technischen Abwehrmaßnahmen.
  • Antispambot - Spam im Blickpunkt
    Website mit Informationen, Hilfestellungen und Links zur Spamabwehr.
  • Antirootkit.com und Rootkit.com
    Websites mit Informationen und Software zu Rootkits.
Hintergrund: Wie arbeiten Virenscanner
Datenbanken

Grundlage jeden Virenscanners sind die Datenbanken mit den Namen und Signaturen der Viren.
Alle namenhaften Virenscannerproduzenten unterhalten eigene Virenlabors und Spürtrupps, die einschlägige Newsgroups, FTP-Server und Websites besuchen, um sich die neuesten Virenkreationen zu besorgen. Oft werden den Virenlabors Exemplare von betroffenen Anwendern zugesendet, die flugs einer Analyse zugeführt werden. Das Resultat dieser Analsyse wird zum einen für akute Viren-Cleaner verwendet - das sind kleine stand-alone Virenscanner für einen speziellen Virus, zum anderen werden die Signaturen gewonnen, typische Code-Strings eines Virus - die dann in der Signaturdatenbank eingepflegt werden.
Daraus ergibt sich, dass die besondere Stärke der Virenscanner in der Erkennung und Bekämpfung bereits bekannter Viren liegt und die Notwendigkeit des Anwenders, seine lokalen Datenbanken stets aktuell zu halten. Auf der anderen Seite besteht selbst mit einem aktuell gehaltenen Virenscanner keine 100% Sicherheitsgarantie, da neue Viren und Würmer unter Umständen nicht erkannt werden können.

Das Scannermodul
Ein Bestandteil des Virenbekämpfungsprogramms ist für die Aufspürung der Viren zuständig. Dazu sondiert der Scanner das Innere von potentiellen Opfer-Dateien und -Programmen, komprimierten Archiven, die Startbereiche der Datenträger und den Arbeitsspeicher.
Findet der Scanner ein Muster oder einen Anomalie, vergleicht der Scanner diese mit den Signaturen seiner Datenbank auf Übereinstimmung ("Pattern Matching").
Bei der heuristischen Analyse zieht der Scanner ausserdem emulierte Virenstrings und -verhaltensweisen heran, die charakteristisch für Viren sind, um so auch Viren zu erkennen, die noch nicht mit eigenem Namen und String in den Datenbanken vertreten sind, also neue Viren - wobei die Fehlerquote von fälschlicherweise als infiziert deklarierter Daten grösser ist als bei der normalen Virensuche.
Wird ein Virus gefunden, gibt der Scanner eine Warnmeldung in audio-visueller Weise aus und übergibt das Ergebnis an den Desinfizierer.
Das Virenschild
Ist ein speicherresidentes (also im Hintergrund arbeitendes) Scanmodul. Es kann so eingestellt werden, dass es in Realzeit alle Dateioperationen - das Öffnen, Umbenennen, Kopieren und Erstellen von Daten, alle Zugriffe auf Diskettenlaufwerke und alle aus dem Netz heruntergeladenen Daten und E-Mails auf mögliche Virenmanipulation hin überprüft.
Was natürlich zu Einbußen in der Systemperformance führen kann.
Der Desinfizierer
Nachdem ein Virus festgestellt worden ist, tritt das Desinfiziermodul in Aktion. Es lässt wahlweise zu, die Datei vom Virenprogrammcode zu reinigen, die Datei zu isolieren, indem es die Datei in ein Quarantäneverzeichnis verschiebt, die Datei umzubenennen oder ganz zu löschen.
Bei der heuristicher Analyse sollte auch die Möglichkeit, eine Datei von der Analyse auszuschliessen oder zu überspringen, aktiviert sein, da es zu Fehlalarmen kommen kann.

Für Netzwerke gibt es netzwerkfähige Varianten der Virenscanner, die in SMTP-Gateways, Proxyserver und Firewalls implementiert und zentral vom Systemadministrator gewartet werden. Zumeist sind sie mit lokalen Virenscanmodulen auf den einzelnen Arbeitsstationen verbunden.

Anti-Spam Lösungen

Programme, Tools und Scripte zur Analyse, Filterung und Löschung von Spam/UCE.

  • SpamAssassin
    Perl Programm, das über umfangreiche Header- und Bodyanalysen, Bayes-Learning und Blacklists Spam am effizientesten erkennt und von vielen Mailservern und Filterprogrammen verwendet wird.

    Für den Einsatz unter Windows gibt es das englischsprachige HowTo Using SpamAssassin with Win32 und grafische Konfigurationstool SAConf von Michael Bell und den englischsprachigen Wiki-Artikel InstallingOnWindows von Bret Miller.

    Am besten setzt man SpamAssassin unter Windows zusammen mit einem Mailproxy, Mailserver oder Filterscript ein, so dass Spam mit SpamAssassin unabhängig vom verwendeten Mail Client erkannt werden kann.
    Ein freier und guter Mailproxy oder Mailserver für Windows, mit dem man versionsunabhängig eine bestehende SpamAssassin Installation einbinden kann, ist mir nicht bekannt. Bei Kenntnis bitte ich um Benachrichtigung.
  • SaveMyModem (SMM)
    Grafisches Open Source Tool für Linux und Windows, das auf POP3 (APOP wird unterstützt) Accounts nach verschiedenen Regelwerken Mails überprüft und löscht. Zur Konfiguration der Regeln können logische Operatoren (and,or,...) und Regular Expressions verwendet werden. Mit SMM können auch Black-Lists und Spamassassin eingebunden werden.
  • IMAP Spam Begone
    Ein Python-Script, um unter Linux, MacOS oder Windows mit Hilfe von Spamassassin in IMAP Mailboxen Spam zu erkennen und zu löschen.
  • Popsneaker
    Mailfilterscript für Linux, dass über fetchmail eingebunden wird und mit Hilfe von Regeln (Regular Expressions) die Mailheader der Mails auf POP3 Servern inspiziert und ggf. löscht.
  • Spamcruncher
    Ein Perl-Script, das unter Linux, basierend auf Spamassassin und verschiedenen Perlmodulen, Mails auf POP3 und IMAP Servern überprüft und Spam-Mails löscht.
  • Magic Mail Monitor
    Kleines Public Domain Windows Tool, das mit einfachen Wortfiltern, die auf die Header der Mails von POP3 Accounts angewendet werden, Mails löscht.
  • Mail Box Dispatcher
    Freeware Windowsprogramm, das die Header der Mails von POP3 Accounts herunterlädt. Der Benutzer kann entweder selbst manuell Spam-Mails löschen oder wortbasierte Filterregeln erstellen, mit denen Spam-Mails automatisch auf den POP3 Servern gelöscht werden. Nach der Inspektion kann der E-Mail Client aus dem Programm heraus gestartet werden.
  • MailScanner
    MailScanner ist ein umfangreiches Anti-Spam/Virus System für E-Mail Gateways/Server und arbeitet mit allen gängigen Mailservern wie Exim, Postfix, Sendmail usw. zusammen. Ein- und ausgehende Mails werden mit Virenscannern, von denen 14 verschiedene Produkte eingebunden werden können, auf Viren gescannt und automatisch desinfiziert. Die Mails werden ebenfalls auf Spam gescannt. Dazu kann SpamAssassin integriert werden. Nur für Linux
  • SpamPal
    SpamPal ist ein universales, mit vielen Plug-Ins erweiterbares und gut dokumentiertes Spam-Filter Programm für Windows, dass mit allen gängigen E-Mail Readern und E-Mail Accounts auf POP3 und IMAP Servern zusammenarbeitet. Es richtet sich an private Einzelplatzanwender und ist Open Source, Spenden erwünscht.
  • K9
    Gut dokumentiertes und übersichtliches Anti-Spam Tool für Windows, das sich auf den Einsatz des statistischen und "selbstlernenden" Bayes-Filter zur Spamerkennung konzentriert. Über den POP3 Server Check können vor dem Download der E-Mails POP3 Server überprüft und als Spam erkannte Mails auf dem Server gelöscht werden. Kann durch White- und Blacklists ergänzt werden. Nur für POP3 (APOP) Accounts. Freeware, Spenden erwünscht.
  • POPfile
    Arbeitet als POP3-Proxy unter Windows als eigenständige Applikation oder plattformunabhängig als Sammlung von Perlskripten und -modulen. Basiert auf Bayes-Filter. Das Training des Filters, Konfiguration und Administration von POPfile wird mittels Webinterface über den eingebauten Webserver durchgeführt.
  • Spam Hater
    das Programm analysiert erhaltene Spams und generiert automatsiche Beschwerdeantworten an Autoren und Postmaster
  • Sam Spade
    Gutes Freewaretool für whois, ping, traceroute, forward/reverse DNS, MAPS etc. mit integriertem Modul für Beschwerdemails gegen Spammer.
  • No Spam Today! SMTP Proxy
    Anti-Spam Proxy, basierend auf SpamAssassin, für Windows Mail-Server
  • Mailfilter
    löscht unter Linux auf POP3 Servern (pop3 und apop werden als Protokoll unterstützt) Spam per Filterliste, die man mittels Regular Expressions aufbaut. Für Windows ist eine ältere Version von Mailfilter ebenfalls verfügbar.
  • Widerspruchsformular an die Telekom gegen Datenweitergabe
    Kann mit dazu beitragen, dass Adressdaten über Umwege nicht in die Adressdatenbanken der Spammerzirkel wandern.
  • Spamihilator
    Freeware Windows Programm, das sich als Anti-Spam Proxy für POP3 und IMAP Konten (auch per SSL/TLS) unabhängig vom eingesetzten Mailclient zwischen diesem und den Mailserver setzt. Spamihilator bietet bei geringem Speicherverbrauch auf Bayes-Learning und DCC basierende Spamfilter und Filter, die auf Anhänge mit bestimmten Dateitypen, Bilder-Spam und Spam mit typischen Wörtern anschlagen. Zusätzliche Filterfunktionen können über zuladbare Plugins aktiviert werden. Mit Whitelistfunktionen werden typische Betreffzeichenketten, Absender- und Empfänger-E-Mail Adressen in Whitelists eingetragen, um Falscherkennungen auszuschließen. Ein informatives Statusfenster während des Prüfprozesses, die einfache Konfiguration und Bedienung – auch was das Training des Bayes Filter angeht – runden Spamihilator ab. Empfehlenswert für Windows Workstations.
  • T5F
    Widerrufsformular der Genehmigung zur Speicherung meiner Daten für werbliche Zwecke, das relevante Paragraphen des Bundesdatenschutzgesetzes aufführt, die sich gegen Spam richten und das als Widerspruchsformular an identifizierte Spammer gesendet werden kann, wenn man auch gewillt ist, nach Benutzung des Formulars ggf. wirklich rechtliche Schritte bei Nichtbeachtung einzuleiten.
Meta-Informationen zu Spam und seiner Bekämpfung
  • Spam Links
    Eine der umfassendsten Linksammlungen zum Thema Spambekämpfung mit Rubriken zu Spam-Hintergrundinformationen, Spam-Vorbeugung, Zurückverfolgung von Spam und Filtern von Spam
  • Spam-Abuse Net
    Site mit vielen Informationen und Hilfestellungen zur Spambekämpfung
  • SpamCon Foundation
    Stiftung, die Hilfestellungen für alle von Spam betroffenen Personen und Informationen zu Anti-Spam Instrumenten anbietet.
[ Top ]