Angesichts der Vielzahl der 2004 neu aufgetauchten elektronischen Schädlinge stellt sich die Frage, mit welchen Angriffen in diesem Jahr zu rechnen ist. Ein Trend ist dabei eindeutig: Die Bedrohung nimmt weiter zu. Untersuchungen zufolge wurden im vergangenen Jahr weltweit 16880 bösartige Programme identifiziert, rund acht Prozent mehr als 2003. Die Analyse dieser Vorfälle ermöglicht einen Ausblick darauf, was 2005 in dieser Hinsicht bringen könnte.

Zero-Day rückt näher

An erster Stelle der Gefahren, denen Privatanwender und Unternehmen auch in diesem Jahr ausgesetzt sind, stehen gezielte Angriffe auf Schwachstellen in Betriebssystemen und Applikationen. Bislang wird die Liste der am weitesten verbreiteten Schadprogramme noch eindeutig von Massen-Mail-Würmern angeführt. Geschickt getarnte E-Mails verleiten Anwender dazu, einen infizierten Dateianhang anzuklicken und somit auszuführen. Auf dieser simplen Technik beruhten auch 2004 einige spektakuläre Virenangriffe, zum Beispiel die durch die "Netsky"- und "Bagle"-Familien. Die Effektivität dieser Methode lässt sich unter anderem daran ablesen, dass allein "Netsky.P" im vergangenen Jahr rund 2,5 Millionen Systeme infizierte.

Die Entdeckung des "Sasser"-Wurms im April 2004 beweist jedoch, dass Virenschreiber permanent nach neuen und noch effizienteren Infektionswegen suchen. Wie schon der 2003 aufgetauchte "Blaster" greift Sasser gezielt eine Schwachstelle im Betriebssystem an und verbreitet sich ohne Hilfe oder Wissen des Anwenders. Der Angriff erfolgt über manipulierte Datenpakete direkt auf der Netzwerkschicht, herkömmliche Verbreitungswege wie E-Mail, Peer-to-Peer-Netze, Internet Relay Chat (IRC) oder Wechseldatenträger spielen keine Rolle mehr. Traditionelle Antivirenlösungen, die Dateien nach Virenmustern durchsuchen, sind dadurch überfordert.

Aber mehr noch als die Zielrichtung von Sasser gibt die kurze Entwicklungszeit Anlass zur Besorgnis. Nur 17 Tage nach Veröffentlichung der entsprechenden Schwachstelle entfaltete Sasser seine zerstörerische Wirkung - bei Blaster waren noch 26 Tage verstrichen. Der Trend ist also vorgezeichnet: Zukünftig wird sich die Entwicklungszeit noch weiter verkürzen, so dass vielleicht schon für nächstes Jahr mit einem großen Zero-Day-Angriff zu rechnen ist. Das würde bedeuten, dass eine Schwachstelle gezielt angegriffen wird, für die noch kein Patch bereitsteht.

Ein Vorbote hierfür war 2004 der Wurm "Bofra", der jedoch glücklicherweise aufgrund einer zu komplexen Verbreitungsroutine keinen großen Schaden anrichten konnte.

Neue Plattformen, neue Probleme

Entgegen der öffentlichen Wahrnehmung sind schädliche Programme nicht grundsätzlich auf den PC und bestimmte Betriebssysteme beschränkt. So wurde zum Beispiel an die Veröffentlichung einer 64-Bit-Version von Microsofts Windows XP die Hoffnung geknüpft, dass sich dadurch die Probleme entschärfen könnten. Die Identifikation von "W64_Rugrat.A" machte dieses Wunschdenken zunichte. Damit wurde zum ersten Mal Schadcode "in the wild" entdeckt, der gezielt 64-Bit-Executables angreift. Zwar handelt es sich hierbei um den bislang einzigen Virus dieser Art, der über das Proof-of-Concept-Stadium hinausgekommen ist, doch mit der zunehmenden Verbreitung von 64-Bit-Plattformen werden Nachfolger nicht auf sich warten lassen.

Noch weiter fortgeschritten ist das Bedrohungsszenario bei Mobiltelefonen. Bereits im Juni 2004 bewies "Cabir.A", der erste Virus für Bluetooth-fähige Geräte der "Series 60" von Symbian, dass Handys immer stärker ins Fadenkreuz der Malware-Programmierer rücken. Schon im November 2004 wurde der nächste elektronische Schädling entdeckt, der sich gegen drahtlose Geräte richtet. "Troj_Delf.Ha" nutzte infizierte PC-Systeme, um per Short Message Service (SMS) Spam an Mobiltelefone zu versenden. Diese Entwicklung kommt alles andere als unerwartet: Smartphones sind aus der privaten und geschäftlichen Kommunikation nicht mehr wegzudenken und bieten daher interessante Angriffsziele.

Phishing: Nutzer an der Angel

Abseits aller technischen Weiterentwicklungen von Malicious Codes sind zudem beunruhigende Trends in der Szene der Malware-Programmierer zu verzeichnen. Hierzu gehören zum einen die kurzen Entwicklungszeiten, die den Verdacht nahe legen, dass die Täter sich arbeitsteilig organisiert haben. Zum anderen weisen die stark vermehrten Phishing-Angriffe und Bot-Programme auf eine veränderte Motivation hin: Im Vordergrund stehen zunehmend eindeutige finanzielle Interessen. Das traditionelle Bild des Virenprogrammierers, dem es vor allem um eine möglichst große Medienaufmerksamkeit geht, stimmt nicht mehr mit der Realität überein.

Allein im Zeitraum von Mai bis November 2004 registrierten Antivirenexperten insgesamt 9709 Phishing-Attacken. Bei dieser Angriffsform werden massenhaft E-Mails versendet, die den Eindruck einer seriösen Benachrichtigung von Online-Finanzinstituten oder E-Commerce-Anbietern erwecken. Design, Sprache und meist auch die Absenderadresse sind detailliert nachgebildet. In der Regel enthält die Nachricht zudem einen Link, der auf eine ebenfalls täuschend echt wirkende Web-Seite führt.

Ziel ist es, den Anwender zur Preisgabe sensibler Daten, zum Beispiel persönlicher Identifikationsnummern (PINs) oder Passwörter, zu bewegen. Besonders betroffen waren die Kunden von Finanzinstituten, aber auch Ebay geriet in das Visier der Betrüger: Acht Prozent der Phishing-Attacken richteten sich gegen Kunden des Online-Auktionshauses. Ein Ende dieser Entwicklung ist nicht abzusehen: Mit der steigenden Verbreitung von Online-Banking und E-Commerce wächst auch die Gefahr der Phishing-Angriffe.

Zombie-Netzwerke breiten sich aus

Beim überwiegenden Teil der 2004 entdeckten Malware handelte es sich um Trojaner oder Bot-Programme, die in der Regel über eine Backdoor-Funktion verfügen, die einem Angreifer erlaubt, einen Rechner fernzusteuern. Eine erfolgreiche Infektion wird zudem oftmals ohne das Wissen des betroffenen Anwenders in speziellen IRC-Kanälen gemeldet, woraufhin Hacker die Kontrolle über befallene Systeme erlangen. Die elektronischen Hintertüren ermöglichen es dem Übeltäter, sensible Informationen von infizierten Systemen zu stehlen und später zu verkaufen. Einige Virenprogrammierer bieten ihre Erzeugnisse bereits gegen Geld in Hacker-Foren und anderen Online-Treffpunkten an.

Die ungebremste Verbreitung von Bot-Programmen ist zudem ein Indiz für die wachsende Anzahl so genannter Zombie-Netzwerke aus infizierten Systemen, die zum Beispiel ohne Wissen der Anwender für Distributed-Denial-of-Service-Angriffe missbraucht werden können. Sie lassen sich darüberhinaus an interessierte Dritte für zweifelhafte Vorhaben "vermieten". (ave)