Trotz hochentwickelter Antivirenprogramme und Spamfilter landen immer noch Millionen Viren auf den PCs von Windows-Nutzern. Schützen können Sie sich nur, wenn Sie die aktuellen Tricks der Viren- verbreiter kennen. Wir zeigen hier zehn ganz aktuelle Angriffswege, über die Viren auf einen PC gelangen. Dazu zählt an erster Stelle nach wie vor der Weg per Mail, aber auch PC-Infektionen ohne Zutun des Nutzers sind möglich.
1. Office-Dateien in Mails: Der Hauptverbreitungsweg
Foto: Fortinet
Bisher landeten die meisten PC-Schädlinge per Mail auf den Rechnern der Anwender. Laut Candid Wüest, dem Sicherheitsexperten bei Symantec, verbreiten sich auch 2019 die meisten Viren per Mail. In Deutschland ist eine von 352 Mails mit einem Schädling verseucht oder enthält einen Link zu einem Schadcode. Verändert habe sich die Art der Schädlinge, so Wüest. Aktuell stecken 48 Prozent der Malware in Office-Dateien. Denn die Bereitschaft, diese Art von Mailanhängen zu öffnen, ist sehr hoch. Schädlinge per EXE-Datei machen nur einen Anteil von rund 20 Prozent aus. Der Rest des gefährlichen Codes kommt per Java-Datei, Javascript oder PDF auf den Windows-PC.
So schützen Sie sich: Misstrauen Sie Office-Dokumenten. Scannen Sie diese Dateien vor dem Öffnen mit Ihrem Antivirenprogramm oder über www.virustotal.com.
2. Mining-Ware per Plug-ins für Musik-Software
Kriminelle Virenverbreiter suchen laufend nach Lockmitteln, die einen Anwender dazu bringen, sich freiwillig Schadcode zu installieren. Schadcode mit solchen Lockmitteln werden oft als Trojaner bezeichnet. Denn sie sehen wie einst das Trojanische Pferd der griechischen Mythologie wie etwas aus, das man unbedingt haben möchte. Statt eines Holzpferdes verwendeten im Sommer 2019 die Virenverbreiter ein VST-Plugin (Virtual Studio Technology) für Musik-Programme. Solche Plug-ins bieten besondere Soundeffekte für Audiotools und sind oft sehr teuer. Entsprechend suchen einige Komponisten und DJs nach kostenlosen Varianten der VST-Plug-ins. Das macht sich der Schädling namens Loudminer zunutze. Das verseuchte VST-Plug-in ist eine Raubkopie, die ihren Opfern kostenlos im Internet angeboten wurde. Im Inneren steckte ein Krypto-Miner, der Geld für eine Kryptowährung errechnet. Audiotools für die Musikerstellung und Krypto-Miner benötigen jeweils PCs mit viel Rechenleistung. Entsprechend attraktiv sind die Rechner für die Virenverbreiter. Den Schädling haben die Antivirenexperten von Eset entdeckt und analysiert.
So schützen Sie sich: Sie können eine Infektion mit Loudminer und ähnlichen Schädlingen leicht vermeiden. Installieren Sie sich keine Raubkopien von kostenpflichtigen Tools. Sie sind einfach viel zu häufig mit Schadcode verseucht. Außerdem ist die Nutzung von Raubkopien fast immer illegal.
3. Gefälschte System-Cleaner bringen Viren und Werbung
Foto: Kaspersky
System-Cleaner helfen dabei, nicht benötigte Dateien auf Computern zu entfernen, um Speicherplatz freizugegeben und das Gerät zu optimieren. Doch sollten Sie gut aufpassen, welches Tool Sie verwenden. Denn Cyberkriminelle versuchen verstärkt, verseuchte Cleaningtools zu verbreiten. Das meldet die Antivirenhersteller Kaspersky . Laut den Experten stieg in der ersten Jahreshälfte 2019 die Anzahl der Nutzer, die über gefälschte Systemreiniger angegriffen wurden, um mehr als das Doppelte gegenüber dem Vorjahreszeitraum - von 747.322 Nutzer im ersten Halbjahr 2018 auf 1.456.219 in 2019. Gezählt wurden Nutzer von Kasperskys Sicherheitstools.
Einige der verseuchten Tools werden sogar gegen Bezahlung angeboten. Dabei haben die Programme oft gar keine Funktion. Sie täuschen den Suchlauf und die Beseitigung von Müll nur vor. Tatsächlich aber installieren sie oftmals Adware, die dann Massen unerwünschter Werbung einblendet, und auch PC-Viren mit allen möglichen Schadfunktionen.
So schützen Sie sich: Verzichten Sie auf den Einsatz von unbekannten Cleanern.
4. Illegale Videostreams: Einfallstor für Viren und Betrug
Es gibt eine ganze Reihe von Websites, die aktuelle Serien und Filme kostenlos zum Streaming anbieten. Die allermeisten davon sind illegal. Und viele der illegalen Sites versuchen, sich über das Verbreiten von Viren zu finanzieren. Das berichtet der Antivirenspezialist Symantec. Wer ein solches Angebot nutzen möchte, wird meist aufgefordert, einen eigenen Streamingplayer herunterzuladen. Dieser enthält dann einen PC-Virus oder besteht komplett aus Schadcode. In diesem Fall ist meist die gesamte Streaming-Website ein Fake, der nur dazu dient, den vermeintlichen Player zu verbreiten.
So schützen Sie sich: Nutzen Sie nur legale Videoportale. Wenn Sie sich bei einem Angebot nicht sicher sind, dann verzichten Sie auf die Nutzung, wenn Sie zum Download eines Players oder anderer Software aufgefordert werden. Geben Sie bei kostenlosen Angeboten auch keine Kreditkartennummer an. Diese wird von den Betreibern angeblich nur zur Altersverifikation benötigt. Tatsächlich werden die Karten dann aber oft trotzdem mit Abbuchungen belastet.
5. Angriffe per Telnet & Co. auf IoT-Geräte in Ihrem Netzwerk
Eine Vielzahl von Schadcode nutzt als Einfallstor Standard-Log-ins und passende Netzwerkprotokolle. Standard-Log-ins, wie "admin" für den Benutzernamen und "admin" für das Passwort, gibt es bei etlichen IoT-Geräten als vorkonfigurierten Log-in-Zugang. In ihrer Eigenschaft als IoT-Gerät, etwa bei einer IP-Kamera, ist die Hardware zudem vom Internet aus erreichbar.
Ab Juni 2019 machte etwa die Malware Silex die Runde und loggte sich per Telnet in IoT-Geräte ein, die nur mit Standard-Logins geschützt waren. Bei einem erfolgreichen Log-in versuchte Silex dann, das gekaperte Gerät unbrauchbar zu machen. Abhilfe schaffte dann nur das erneute Aufspielen der Geräte-Firmware.
So schützen Sie sich: Jedes Gerät in Ihrem Netzwerk, das aus dem Internet heraus erreichbar ist, muss penibel konfiguriert werden. Vergeben Sie ein kompliziertes Passwort, kontrollieren Sie, ob Standard-Log-ins vorhanden sind, und aktualisieren Sie die Firmware.
6. Malware tarnt sich als System-Doppelgänger
Foto: Kaspersky
Bis zum Jahr 2017 nutzte Malware einen sehr simplen Trick, um sich vor den Augen des Anwenders zu verstecken: Sie benannte sich so wie eine Systemdatei, etwa svchost.exe, startete aber aus einem anderen Verzeichnis heraus. So konnte der Virus zumindest Einsteiger täuschen. Im Jahr 2017 stellten Sicherheitsforscher einen Doppelgängertrick vor, der auch ein Antivirenprogramm täuschen kann. Kein Jahr später beherrschte der erste Virus auch den "Process-Doppelgänging" genannten Trick. Darüber berichtet der Antivirenhersteller Kaspersky in seinem Blog. Mit Process Doppelgänging sei eine dateilose Code-Injektion gemeint, so Kaspersky, die eine Windows-eigene Funktion und eine nicht dokumentierte Implementierung des Windows Process Loaders nutzt. Durch eine Manipulation des Datei-Handlings unter Windows könne der Angreifer seine schädlichen Aktionen unter dem Deckmantel harmloser, legitimer Prozesse ablaufen lassen. Weitere Infos zu der Technik gibt es hier englischsprachig.
So schützen Sie sich: Diese Angriffstechnik ist sehr fortgeschritten und konnte 2018 auch etliche Antivirenprogramme austricksen. Aktuell sollten die Sicherheitstools solche Angriffe erkennen. Eine empfehlenswerte Antivirensoftware sind Eset Internet Security oder Kaspersky Internet Security.
7. Virus vom Managed Service Provider ohne Nutzeraktion
Die Ransomware Sodin verbreitet sich nicht nur per Mail, sondern kann auch ohne Zutun eines Windows-Nutzers einen PC befallen. Das gelang Sodin bei Nutzern, deren PCs an einen Managed Service Provider (MSP) angebunden waren.
Der Schädling Sodin kann sich über eine Sicherheitslücke in der Server-Software Oracle Weblogic auf den Server des MSP platzieren und dort über eine weitere Sicherheitslücke höhere Zugriffsrechte erlangen. Ist das geschehen, können die Angreifer den weiteren Sodin-Code per Remote-Befehl auf angeschlossene PCs installieren. Hier verschlüsselt Sodin die Dateien des Nutzers und fordert Lösegeld.
So schützen Sie sich: Betroffen waren in diesem Fall Firmenkunden, die ihre PCs von einem Service-Partner (MSP) warten lassen. Als Kunde können Sie Ihren MSP auf die Existenz von Sodin hinweisen.
8. Erpressung geht am PC auch ohne Virus
Eine der größten und erfolgreichsten Angriffswellen der vergangenen Monate waren Erpressermails, die ganz ohne Virencode auskamen. Die Kriminellen besorgen sich Log-in-Informationen von Nutzern aus dem Internet. Diese Infos, bestehend aus Mailadresse und Passwort, gibt es millionenfach im Internet. Sie stammen aus Datendiebstählen bei großen Internetdiensten, etwa Adobe, Dropbox, Yahoo, Sony und vielen weiteren.
Die Kriminellen nutzen diese Daten und schreiben ihren Opfern, dass sie im Besitz ihres Passwortes sind, und schicken das Passwort zum Beweis gleich mit. Da das Passwort tatsächlich vom Opfer genutzt wurde, erschrecken viele Empfänger. Der Erpresser behauptet zudem, dass er den PC des Empfängers per Trojaner unter seine Kontrolle gebracht hat und etwa per Videoaufnahme beweisen kann, dass das Opfer Porno-Webseiten besucht hat. Damit das Passwort und die Beweise für den Porno-Konsum geheim bleiben, solle das Opfer zahlen. Laut Experten ist die Zahlungsbereitschaft sehr hoch. Es sollen bereits 2,9 Millionen Dollar bezahlt worden sein. Das haben Forscher entdeckt, die die Zahlungen auf die Bitcoin-Adressen der Erpresser verfolgt haben. Der Sicherheitshersteller Symantec gibt an, dass er in den ersten fünf Monaten 2019 rund 289 Millionen solcher Erpressermails geblockt hat.
So schützen Sie sich: Erschrecken Sie nicht, wenn ein Spammer eines Ihrer Passwörter kennt. Wahrscheinlich hat der Internetdienst, zu dem das Passwort gehört, schon längst ein neues Passwort von Ihnen verlangt. Handeln müssen Sie in der Regel nur, wenn Sie ein und dasselbe Passwort für mehrere Dienste verwenden. Ändern Sie es dann umgehend bei allen Diensten. Bei der Verwaltung von Log-in-Daten helfen die Passwortmanager Lastpass und Keepass; Letzteres lässt sich auch komplett offline nutzen.
Ob einer Ihrer Log-ins bereits im Internet kursiert, prüfen Sie über die vertrauenswürdige Datenbank https://haveibeenpwned.com oder über das Tool PC-WELT Passwort Check.
9. Auch Android-Nutzer bleiben nicht verschont
Auf Android-Smartphones kommen die Schädlinge zum Beispiel als vermeintliche Bildbearbeitungs-App. So hat der Antivirenhersteller Kaspersky die Malware Mobok entdeckt. Der Schädling verbarg sich in scheinbar legitimen Apps zur Bildbearbeitung auf Google Play. Zum Zeitpunkt der Entdeckung waren die betroffenen Apps Pink Camera und Pink Camera 2 bereits rund 10.000 Mal installiert worden. Ihr Zweck war es, persönliche Daten der Nutzer abzugreifen und diese dann für die Anmeldung der Opfer bei zahlungspflichtigen Abonnementdiensten zu verwenden. Betroffene konnten die ungewollten Anmeldungen erst mit der nächsten Gebührenabrechnung ihrer Mobilfunk-Provider entdecken. Weitere Infos gibt es unter https://securelist.com.
So schützen Sie sich: Google Play hat die verseuchten Apps inzwischen entfernt. Der Vorfall zeigt aber, dass auch Google Play nicht vollkommen sicher ist. Empfehlenswert ist deshalb eine Antiviren-App für Android. In Tests auf www.av-test.org schneiden etwa die Apps von Kaspersky (kostenpflichtig) und Sophos (gratis) meist gut bis sehr gut ab.
10. Gefälschte Bitcoin-Geldbörse stiehlt eingezahlte Beträge
In einer Wallet speichert man seine Kryptowährung, etwa Bitcoins. Das Windows-Tool Bitcoin Core zählt zu den beliebtesten Wallets für Windows und Linux und stammt von der Website www.bitcoin.org selbst. Die Bekanntheit des Namens machten sich Kriminelle zunutze und veröffentlichten in Google Play eine App namens " Bitcoin Core - BTC Wallet ". Diese sah zudem genauso aus wie eine legitime Wallet im App-Store. Wer sich die Fälschung installierte, verlor jedes Geld, das er in die Wallet einzahlte, da diese stets eine fremde Empfängeradresse angab.
So schützen Sie sich: Da das Layout der betrügerischen App identisch mit einer legitimen Wallet-App ist, lässt sich die Fälschung daran nicht erkennen. Auffällig war eigentlich nur, dass erst "1000+" Downloads im App-Store für die App angegeben wurden. Für eine etablierte Wallet ist das zu wenig. Sie finden diese Angabe im Google- Play-Store unterhalb des "Installieren"- Buttons einer App und auf der Website https://play.google.com am Ende der Webseite zu einer App. Am besten suchen Sie auf einer seriösen Website für die gewünschte App nach einem Link, der zur passenden Google-Play-Store-Seite führt.
So wehren Sie Schädlinge ab
Gefälschte Promi-Profile locken mit Sexfotos
Gefahr (3): Online-Kriminelle adressieren die Neugier, indem sie mit Nacktbildern von Stars und Sternchen locken. Immer häufiger geschieht dies in sozialen Netzwerken. Bei Linkedin waren zum Beispiel eine Zeitlang gefälschte Profile von Britney Spears, Beyoncé, Shakira, Victoria Beckham und Hulk Hogan online. Darin waren Links zu Websites enthalten, auf denen es angeblich intime Fotos zu sehen geben sollte. Doch statt nackter Tatsachen erhielten arglose Anwender einen Trojaner über einen gefälschten Flash-Player oder per Drive-by-Download.
Abwehr: Unbekannte Websites sollten Sie über einen virtuellen PC oder mit Sandboxie aufrufen.
Gehackte Promi-Sites verbreiten Schädlinge
Gefahr (4): Websites von Prominenten sind ein beliebtes Ziel von kriminellen Hackern, die Malware verbreiten wollen. Der hohe Bekanntheitsgrad sichert eine große Zahl von Besuchern und damit potenziellen Opfern.
Im April dieses Jahres hatte es die offizielle Website von Ex-Beatle Paul McCartney erwischt. Nach dem Eindringen in den Webserver haben die Kriminellen etliche Seiten so präpariert, dass sie per Drive-by-Download automatisch Malware auf die Rechner der Besucher übertragen. Die Surfer hatten nichts auf der Site angeklickt und waren dennoch allein durch den Besuch der Seite infiziert.
Abwehr: Den besten Schutz bietet auch hier das Surfen innerhalb einer virtuellen Maschine oder in Sandboxie. Wenn es Ihnen zu umständlich ist, diese Methoden auch für bekannte und häufig genutzte Seiten zu nutzen, raten wir zumindest zu Antivirenprogramm und Link-Scanner.
Gefälschte Toolbars mit Spionage-Software
Gefahr (3): Zusätzliche Symbolleisten im Browser sind beliebt - manche Anwender haben bereits so viele installiert, dass kaum noch Platz für die Inhalte der Web-Seiten bleibt. Diese Beliebtheit nutzen Kriminelle aus: Vor kurzem ist zum Beispiel eine manipulierte Internet-Explorer-Symbolleiste für das beliebte soziale Netzwerk StudiVZ aufgetaucht. Sie sieht absolut echt aus, hat aber einen Schädling im Gepäck, der auf mehreren Wegen Daten des befallenen PCs ausspioniert. Die Sicherheitsexperten von McAfee haben ihn als Variante des Trojanischen Pferds Backdoor-CEP klassifiziert.
Der Schädling verhält sich passiv, wenn bestimmte Sicherheitsprogramme laufen oder er in einer virtuellen Maschine ausgeführt wird. Ansonsten injiziert er Schad-Code in laufende Prozesse. Der Schädling ist nur schwer zu entdecken, denn er wird nie als Datei auf die Festplatte geschrieben.
Nach der Toolbar-Installation startet der Internet Explorer und ruft die Website von StudiVZ auf. Wenn sich der Anwender dort einloggt, greift der Schädling die Anmeldedaten ab. Die ausgespähten Daten werden an einen Server in Deutschland übertragen.
Schutz: Laden Sie Software jeglicher Art nur von absolut vertrauenswürdigen Quellen herunter, und prüfen Sie vor dem Download, ob die Web-Adresse im Browser stimmt oder gefälscht ist. Für StudiVZ gibt es übrigens keine offizielle Toolbar.
Viren umgehen den Web-Filter
Schädlinge werden beim Surfen eingeschleust
Gefahr (5): Durch so genannte Drive-by-Downloads ("Herunterladen im Vorbeigehen") werden beim Besuch manipulierter Websites heimlich Schädlinge in den Rechner geschleust. Es handelt sich also um einen verdeckten Angriff auf ahnungslose Besucher einer vermeintlich harmlosen Website. Der Browser des Anwenders dient dabei dem Angreifer als Hilfsmittel, um schädlichen Code in dem Rechner unterzubringen.
So funktioniert der Angriff: Zunächst präparieren die Kriminellen eine Website, auf die potenzielle Opfer gelockt werden sollen. Zum Teil hacken sie dazu bereits bestehende Sites. Eine andere Methode ist es, eine eigene Internet-Site zu eröffnen.
Auf einer solchen Web-Seite sind dann Javascripts und/oder unsichtbare Rahmen (Iframes oder Inlineframes genannt) eingebettet, die weiteren Code von einem anderen Server holen. Sie ermitteln den vom Besucher verwendeten Browser und laden passenden Exploit-Code, der eine Sicherheitslücke des Browsers ausnutzt.
Ohne dass der Besucher davon etwas bemerkt, wird so ein Trojanisches Pferd in seinen Rechner geschleust und ausgeführt. Der PC wird damit zum Beispiel Teil eines Botnets. Diese wiederum dienen etwa dazu, Spam zu versenden. Zudem spioniert der Wurm oft persönliche Informationen aus, etwa Passwörter zu Online-Diensten oder die Kreditkartennummer.
Abwehr: Installieren Sie eine Antiviren-Software, und installieren Sie jedes Browser-Update sofort nach Erscheinen. Installieren Sie zusätzlich einen Link-Scanner.
Viren umgehen den Web-Filter im Browser
Gefahr (5): Virenverbreiter speichern seit Neuestem ihre Malware auch auf One-Click-File-Hostern, etwa Rapidshare. Dort kann jeder Anwender Dateien ablegen und für andere zum Download anbieten. Über solche Hoster umgehen Schädlinge die URL-Filter: Diese blocken im Prinzip recht zuverlässig Websites, auf denen sich Viren tummeln. Google führt eine ausführliche schwarze Liste mit gefährlichen Sites, die von Browsern wie Firefox und Chrome genutzt wird. Die One-Click-File-Hoster stehen aber in der Regel auf einer weißen Liste und werden von URL-Filtern nicht geblockt.
Der Sicherheitsspezialist Ralf Benzmüller von G-Data warnt: "Nicht nur Rapid-share ist betroffen. Auch andere Datei-Hosting-Dienste, etwa Mediafire.com, Uploaded.to und Uploading.com, werden zur Verbreitung von Malware missbraucht. Oft werden die Dateien als neueste Versionen von Software, aktuelle Tools oder gecrackte Software angepriesen."
Abwehr: Setzen Sie immer eine aktuelle Antiviren-Software ein. Laden Sie Software nur von Hersteller-Sites und bekannten Download-Archiven wie hier bei Pcwelt herunter.
Erwachsenen-Sites im Web schleusen Viren ein
Gefahr (2): Über Sicherheitslücken in Browser-Plug-ins - etwa fürs Anzeigen von PDF-Dokumenten - schleusen Kriminelle Viren ins System. Das geschieht ohne Zutun des Anwenders. Man muss nur eine speziell präparierte Web-Seite im Browser aufrufen. Diese enthält einen Inlineframe, der etwa auf ein schädliches PDF-Dokument auf einem chinesischen Server verweist. Über eine Sicherheitslücke in älteren PDF-Plug-in-Versionen landet der Virus im System. Damit ahnungslose Anwender solche Web-Seiten auch aufrufen, haben die Kriminellen seit Anfang Juni 2009 mehrere hundert Domains mit anrüchigen Namen erstellt. So landen dort Internet-Surfer, die nach Erwachseneninhalten im Netz suchen.
Abwehr: Aktualisieren Sie stets alle Programme und Plug-ins, die auf Ihrem PC installiert sind. Setzen Sie zudem eine aktuelle Antiviren-Software ein.
Angreifer klauen Log-ins bei Last.fm
Gefahr (2): Last.fm (www.lastfm.de) ist ein Online-Musik-Katalog, über den sich kostenlos Musik hören lässt und der von seinen Anwendern selbst zusammengestellt wird. Wer sich dort anmeldet, gibt dem System allerdings auch persönliche Infos preis. Auf diese haben es Phisher abgesehen, die über das interne Nachrichtensystem Botschaften verschicken.
Die Nachrichten lauten etwa "Hey, schau Dir mal Dein Bild in meinem Blog an." Die dazugehörige Web-Adresse ist durch einen URL-Verkürzer unkenntlich gemacht. Wer darauf klickt, wird auf eine Website gelenkt, die der Log-in-Seite von Last.fm zum Verwechseln ähnlich sieht.
Abwehr: Überprüfen Sie vor der Eingabe von Log-in-Daten immer, ob die im Browser angezeigte Adresse stimmt. (PC-Welt)