Trojaner, Würmer & Co - Wo lauert die Gefahr?

Vielleicht hat manch einer schon Bekanntschaft mit einem beliebten Trojaner, Virus oder Wurm schließen dürfen - und hat sich am Ende gefragt: Ja woher hab ich den eigentlich?

Dafür gibt es verschiedene Möglichkeiten:

Zum einen kann man sich Malware durch einen Drive by Download einfangen – hier reicht oft der Besuch einer Seite von einem ungeschützten Rechner aus. Allein durch das Aufrufen einer Website kann man sich so die kleinen Freunde einfangen, die sich meist durch einen verborgenen Download oder einem Download im Hintergrund downloaden: So werden Dialer, Spyware, Trojaner und Würmer mit am leichtesten - und für meisten unerfahrenen Benutzer - und unsichtbarsten verbreitet.

Momentan sind die Drive by Downloads bei den Crackern aufgrund ihrer Einfachheit und der großen Wirkung sehr beliebt - und man kann dadurch sehr schnell sehr große Botnetze aufbauen. Schneller als man denkt ist der eigene Rechner dann eine Drohne, von der SPAM versendet werden kann oder dieser zu anderen Missetaten missbraucht werden kann. Meist verstecken sich die Drive by Downloads auf besonders attraktiven Seiten, wo man den Usern den Zugang zu kostenlosen Downloads verspricht oder kostenlose, meist illegale Downloads von Software oder Pornographie anbietet.

Hier kann man kaum noch nach nationalen Gesichtspunkten differenzieren, den die Sites hierfür sind fast überall, auch wenn die Hintermänner oft aus den USA, Russland, China oder eben Deutschland kommen. Deutschland ist bei der Verbreitung von Malware einer der großen drei neben den USA und China. Die aktivsten Cracker beherbergt bis jetzt immer noch die USA, wenn man Statistiken von IT Sicherheitsdienstleistern glauben schenken mag. Die Zahl der so infizierten Rechner steigt täglich an und die so geschaffenen Botnetze nehmen immer mehr an Umfang zu.

Man kann die Gefährlichkeit der Seiten auch nicht an Endungen wie *.ru, *.de, *.nl oder *.com festmachen. Knapp 85 % aller gefährlichen Seiten sind zwar .com Seiten, aber das ist auch kein Wunder, schließlich haben die meisten Websites eine .com Endung, die nach wie vor international sowohl bei seriösen Usern als auch bei Crackern sehr beliebt ist.

Russische Seiten sind auch nicht prinzipiell gefährlicher als .com oder .de Seiten, wenn man nach diesen Maßstäben gehen würde, dürfte man sich keinen Besuch in den Niederlanden leisten, da dort prozentual gesehen die meisten Malware Sites existieren. Als potentiell gefährlich sollte man aber generell Seiten mit Endungen pazifischer Kleinstaaten und Inseln einstufen wie *.to, *.tv usw.. Exotische Endungen verheißen normalerweise selten etwas gutes. Ansonsten, wie gesagt, gehen die meisten kriminellen Sites jedes Landes in der Masse der legalen unter.

Ein zweites sehr beliebtes Verfahren, Malware zu vertreiben liegt nach wie vor bei Tauschbörsen. Ein entsprechendes Programm / entsprechender Code lässt sich selbst für einen wenig erfahrenen Cracker leicht implentieren, sei es in das gepackte Archiv oder in ein verändertes *.iso, oder oder oder. Natürlich wird Malware trotz der Beliebtheit der Drive by Downloads weiterhin gern als Dateianhang oder als Implementierung von eMails versendet.

Hier sollte jeder bevor er so etwas öffnet oder annimmt, die Vertrauenswürdigkeit grundlegend prüfen - oder auf reine Textmails umstellen. Die sind zwar weniger bunt und aufregend, dafür aber weitaus sicherer. Es ist auch möglich, Malware im Code der Mail oder in Bildern zu verstecken - hier reicht bei einem ungesicherten Rechner meist das bloße Aufrufen zur Aktivierung des Codes.

Entsprechenden Tools sollte man übrigens nicht zu viel Vertrauen schenken, wie dem McAfee SiteAdvisor - so erkennt dieser zwar ungefährliche und gefährliche Seiten, jedoch auch nur wenn sie im bekannt sind. Wenn ich jetzt beispielsweise eine neue Crackersite ansurfe die noch nicht bekannt ist, wird mir diese ohne weiteres als harmlos angezeigt und auch so eingestuft. Man sollte prinzipiell dahingehend lieber dem eigenen Verstand vertrauen!

Zudem sollte man seinen verwendeten Browser und den eingesetzten Virenscanner wenn möglich täglich aktualisieren oder gleich nach dem nächsten Update - denn viele Sites und Tools nutzen einfach unter Crackern bekannte Lücken der Software / des Browsers, ohne das man ohne Vorwissen etwas dagegen tun könnte. Diese werden frühestens nach einigen Tagen nach Bekanntwerden geschlossen, teilweise stehen sie jahrelang offen.

Ein in leet geschriebenes Passwort oder ein möglichst langes, möglichst unsinniges bestehend aus vielen Zahlen und Buchstaben ist auch nicht leicht zu knacken - jedoch nützt einem das auch nichts, wenn der Rechner erst einmal infiziert ist und der Cracker u. U. nur noch mitlesen braucht, was man da so schönes in die Tasten haut.

Aber was wollen denn die Cracker von mir?
Tja das kommt immer darauf an - im Prinzip ist jede Drohne mehr ein nettes Gimmick. So gibt es zwar Millionen Drohnen, aber die täglich spammenden bewegen sich im Bereich von 70.000 bis 90.000, der Rest ist eben immer ein nettes Zubrot, falls man mal „etwas größeres“ plant oder „Ausfälle“ kompensieren muss. Botnetze kann man zu allem möglichen missbrauchen, das fängt bei Spam und der Verbreitung von Malware an und hört bei Angriffen auf Konzern- und Regierungsrechner auf.

Bei Privatanwendern ist man meist auf ID Diebstähle aus, also Name und Passwort, am besten noch jede Menge persönliche Daten - je mehr je besser. Ein Cracker möchte natürlich nicht hauptsächlich den Namen missbrauchen, den man bei irgendeinem Forum hat und einen da mit negativen Einträgen unbeliebt machen sondern einen schönen dicken eBay Account, eMailadressen, Bankdaten usw. Diese Informationen sind fast Gold wert.

Ergänzungen und Anmerkungen sind immer gern gesehen, da mir auch nicht alles aus dem Stegreif einfällt.

Achso, was ich ganz vergessen habe:

Fast alle Cracks oder Crackz sowie Seiten mit Serials / Serialz sind natürlich ebenfalls gespickt mit lauter verschiedener Malware, vom Virus angefangen und beim Trojaner aufhörend.

Beispiel für ein unsicheres Passwort:
marianne

Beispiel für ein sichereres Passwort:
m4r14nn3

Je mehr Sonderzeichen, solange zulässig, desto besser, aber ein Passwort in leet reicht meistens schon aus, um die Dictionary Hacks auszubremsen.

Momentan sind die Drive by Downloads bei den Crackern aufgrund ihrer Einfachheit und der großen Wirkung sehr beliebt - und man kann dadurch sehr schnell sehr große Botnetze aufbauen.

Von der Gefährlichkeit dieser Botnetze habe ich auch schon viel gelesen, aber merkt man das denn nicht, wenn der eigene Rechner auf diese Art und Weise "vereinnahmt" wurde? Was ist denn eigentlich mit den Drive by Downloads gemeint?