Trotz hochentwickelter Antivirenprogramme und Spamfilter landen immer noch Millionen Viren auf den PCs von Windows-Nutzern. Schützen können Sie sich nur, wenn Sie die aktuellen Tricks der Viren- verbreiter kennen. Wir zeigen hier zehn ganz aktuelle Angriffswege, über die Viren auf einen PC gelangen. Dazu zählt an erster Stelle nach wie vor der Weg per Mail, aber auch PC-Infektionen ohne Zutun des Nutzers sind möglich.
1. Office-Dateien in Mails: Der Hauptverbreitungsweg
Foto: Fortinet
Bisher landeten die meisten PC-Schädlinge per Mail auf den Rechnern der Anwender. Laut Candid Wüest, dem Sicherheitsexperten bei Symantec, verbreiten sich auch 2019 die meisten Viren per Mail. In Deutschland ist eine von 352 Mails mit einem Schädling verseucht oder enthält einen Link zu einem Schadcode. Verändert habe sich die Art der Schädlinge, so Wüest. Aktuell stecken 48 Prozent der Malware in Office-Dateien. Denn die Bereitschaft, diese Art von Mailanhängen zu öffnen, ist sehr hoch. Schädlinge per EXE-Datei machen nur einen Anteil von rund 20 Prozent aus. Der Rest des gefährlichen Codes kommt per Java-Datei, Javascript oder PDF auf den Windows-PC.
So schützen Sie sich: Misstrauen Sie Office-Dokumenten. Scannen Sie diese Dateien vor dem Öffnen mit Ihrem Antivirenprogramm oder über www.virustotal.com.
2. Mining-Ware per Plug-ins für Musik-Software
Kriminelle Virenverbreiter suchen laufend nach Lockmitteln, die einen Anwender dazu bringen, sich freiwillig Schadcode zu installieren. Schadcode mit solchen Lockmitteln werden oft als Trojaner bezeichnet. Denn sie sehen wie einst das Trojanische Pferd der griechischen Mythologie wie etwas aus, das man unbedingt haben möchte. Statt eines Holzpferdes verwendeten im Sommer 2019 die Virenverbreiter ein VST-Plugin (Virtual Studio Technology) für Musik-Programme. Solche Plug-ins bieten besondere Soundeffekte für Audiotools und sind oft sehr teuer. Entsprechend suchen einige Komponisten und DJs nach kostenlosen Varianten der VST-Plug-ins. Das macht sich der Schädling namens Loudminer zunutze. Das verseuchte VST-Plug-in ist eine Raubkopie, die ihren Opfern kostenlos im Internet angeboten wurde. Im Inneren steckte ein Krypto-Miner, der Geld für eine Kryptowährung errechnet. Audiotools für die Musikerstellung und Krypto-Miner benötigen jeweils PCs mit viel Rechenleistung. Entsprechend attraktiv sind die Rechner für die Virenverbreiter. Den Schädling haben die Antivirenexperten von Eset entdeckt und analysiert.
So schützen Sie sich: Sie können eine Infektion mit Loudminer und ähnlichen Schädlingen leicht vermeiden. Installieren Sie sich keine Raubkopien von kostenpflichtigen Tools. Sie sind einfach viel zu häufig mit Schadcode verseucht. Außerdem ist die Nutzung von Raubkopien fast immer illegal.
3. Gefälschte System-Cleaner bringen Viren und Werbung
Foto: Kaspersky
System-Cleaner helfen dabei, nicht benötigte Dateien auf Computern zu entfernen, um Speicherplatz freizugegeben und das Gerät zu optimieren. Doch sollten Sie gut aufpassen, welches Tool Sie verwenden. Denn Cyberkriminelle versuchen verstärkt, verseuchte Cleaningtools zu verbreiten. Das meldet die Antivirenhersteller Kaspersky . Laut den Experten stieg in der ersten Jahreshälfte 2019 die Anzahl der Nutzer, die über gefälschte Systemreiniger angegriffen wurden, um mehr als das Doppelte gegenüber dem Vorjahreszeitraum - von 747.322 Nutzer im ersten Halbjahr 2018 auf 1.456.219 in 2019. Gezählt wurden Nutzer von Kasperskys Sicherheitstools.
Einige der verseuchten Tools werden sogar gegen Bezahlung angeboten. Dabei haben die Programme oft gar keine Funktion. Sie täuschen den Suchlauf und die Beseitigung von Müll nur vor. Tatsächlich aber installieren sie oftmals Adware, die dann Massen unerwünschter Werbung einblendet, und auch PC-Viren mit allen möglichen Schadfunktionen.
So schützen Sie sich: Verzichten Sie auf den Einsatz von unbekannten Cleanern.
4. Illegale Videostreams: Einfallstor für Viren und Betrug
Es gibt eine ganze Reihe von Websites, die aktuelle Serien und Filme kostenlos zum Streaming anbieten. Die allermeisten davon sind illegal. Und viele der illegalen Sites versuchen, sich über das Verbreiten von Viren zu finanzieren. Das berichtet der Antivirenspezialist Symantec. Wer ein solches Angebot nutzen möchte, wird meist aufgefordert, einen eigenen Streamingplayer herunterzuladen. Dieser enthält dann einen PC-Virus oder besteht komplett aus Schadcode. In diesem Fall ist meist die gesamte Streaming-Website ein Fake, der nur dazu dient, den vermeintlichen Player zu verbreiten.
So schützen Sie sich: Nutzen Sie nur legale Videoportale. Wenn Sie sich bei einem Angebot nicht sicher sind, dann verzichten Sie auf die Nutzung, wenn Sie zum Download eines Players oder anderer Software aufgefordert werden. Geben Sie bei kostenlosen Angeboten auch keine Kreditkartennummer an. Diese wird von den Betreibern angeblich nur zur Altersverifikation benötigt. Tatsächlich werden die Karten dann aber oft trotzdem mit Abbuchungen belastet.
5. Angriffe per Telnet & Co. auf IoT-Geräte in Ihrem Netzwerk
Eine Vielzahl von Schadcode nutzt als Einfallstor Standard-Log-ins und passende Netzwerkprotokolle. Standard-Log-ins, wie "admin" für den Benutzernamen und "admin" für das Passwort, gibt es bei etlichen IoT-Geräten als vorkonfigurierten Log-in-Zugang. In ihrer Eigenschaft als IoT-Gerät, etwa bei einer IP-Kamera, ist die Hardware zudem vom Internet aus erreichbar.
Ab Juni 2019 machte etwa die Malware Silex die Runde und loggte sich per Telnet in IoT-Geräte ein, die nur mit Standard-Logins geschützt waren. Bei einem erfolgreichen Log-in versuchte Silex dann, das gekaperte Gerät unbrauchbar zu machen. Abhilfe schaffte dann nur das erneute Aufspielen der Geräte-Firmware.
So schützen Sie sich: Jedes Gerät in Ihrem Netzwerk, das aus dem Internet heraus erreichbar ist, muss penibel konfiguriert werden. Vergeben Sie ein kompliziertes Passwort, kontrollieren Sie, ob Standard-Log-ins vorhanden sind, und aktualisieren Sie die Firmware.
6. Malware tarnt sich als System-Doppelgänger
Foto: Kaspersky
Bis zum Jahr 2017 nutzte Malware einen sehr simplen Trick, um sich vor den Augen des Anwenders zu verstecken: Sie benannte sich so wie eine Systemdatei, etwa svchost.exe, startete aber aus einem anderen Verzeichnis heraus. So konnte der Virus zumindest Einsteiger täuschen. Im Jahr 2017 stellten Sicherheitsforscher einen Doppelgängertrick vor, der auch ein Antivirenprogramm täuschen kann. Kein Jahr später beherrschte der erste Virus auch den "Process-Doppelgänging" genannten Trick. Darüber berichtet der Antivirenhersteller Kaspersky in seinem Blog. Mit Process Doppelgänging sei eine dateilose Code-Injektion gemeint, so Kaspersky, die eine Windows-eigene Funktion und eine nicht dokumentierte Implementierung des Windows Process Loaders nutzt. Durch eine Manipulation des Datei-Handlings unter Windows könne der Angreifer seine schädlichen Aktionen unter dem Deckmantel harmloser, legitimer Prozesse ablaufen lassen. Weitere Infos zu der Technik gibt es hier englischsprachig.
So schützen Sie sich: Diese Angriffstechnik ist sehr fortgeschritten und konnte 2018 auch etliche Antivirenprogramme austricksen. Aktuell sollten die Sicherheitstools solche Angriffe erkennen. Eine empfehlenswerte Antivirensoftware sind Eset Internet Security oder Kaspersky Internet Security.
7. Virus vom Managed Service Provider ohne Nutzeraktion
Die Ransomware Sodin verbreitet sich nicht nur per Mail, sondern kann auch ohne Zutun eines Windows-Nutzers einen PC befallen. Das gelang Sodin bei Nutzern, deren PCs an einen Managed Service Provider (MSP) angebunden waren.
Der Schädling Sodin kann sich über eine Sicherheitslücke in der Server-Software Oracle Weblogic auf den Server des MSP platzieren und dort über eine weitere Sicherheitslücke höhere Zugriffsrechte erlangen. Ist das geschehen, können die Angreifer den weiteren Sodin-Code per Remote-Befehl auf angeschlossene PCs installieren. Hier verschlüsselt Sodin die Dateien des Nutzers und fordert Lösegeld.
So schützen Sie sich: Betroffen waren in diesem Fall Firmenkunden, die ihre PCs von einem Service-Partner (MSP) warten lassen. Als Kunde können Sie Ihren MSP auf die Existenz von Sodin hinweisen.
8. Erpressung geht am PC auch ohne Virus
Eine der größten und erfolgreichsten Angriffswellen der vergangenen Monate waren Erpressermails, die ganz ohne Virencode auskamen. Die Kriminellen besorgen sich Log-in-Informationen von Nutzern aus dem Internet. Diese Infos, bestehend aus Mailadresse und Passwort, gibt es millionenfach im Internet. Sie stammen aus Datendiebstählen bei großen Internetdiensten, etwa Adobe, Dropbox, Yahoo, Sony und vielen weiteren.
Die Kriminellen nutzen diese Daten und schreiben ihren Opfern, dass sie im Besitz ihres Passwortes sind, und schicken das Passwort zum Beweis gleich mit. Da das Passwort tatsächlich vom Opfer genutzt wurde, erschrecken viele Empfänger. Der Erpresser behauptet zudem, dass er den PC des Empfängers per Trojaner unter seine Kontrolle gebracht hat und etwa per Videoaufnahme beweisen kann, dass das Opfer Porno-Webseiten besucht hat. Damit das Passwort und die Beweise für den Porno-Konsum geheim bleiben, solle das Opfer zahlen. Laut Experten ist die Zahlungsbereitschaft sehr hoch. Es sollen bereits 2,9 Millionen Dollar bezahlt worden sein. Das haben Forscher entdeckt, die die Zahlungen auf die Bitcoin-Adressen der Erpresser verfolgt haben. Der Sicherheitshersteller Symantec gibt an, dass er in den ersten fünf Monaten 2019 rund 289 Millionen solcher Erpressermails geblockt hat.
So schützen Sie sich: Erschrecken Sie nicht, wenn ein Spammer eines Ihrer Passwörter kennt. Wahrscheinlich hat der Internetdienst, zu dem das Passwort gehört, schon längst ein neues Passwort von Ihnen verlangt. Handeln müssen Sie in der Regel nur, wenn Sie ein und dasselbe Passwort für mehrere Dienste verwenden. Ändern Sie es dann umgehend bei allen Diensten. Bei der Verwaltung von Log-in-Daten helfen die Passwortmanager Lastpass und Keepass; Letzteres lässt sich auch komplett offline nutzen.
Ob einer Ihrer Log-ins bereits im Internet kursiert, prüfen Sie über die vertrauenswürdige Datenbank https://haveibeenpwned.com oder über das Tool PC-WELT Passwort Check.
9. Auch Android-Nutzer bleiben nicht verschont
Auf Android-Smartphones kommen die Schädlinge zum Beispiel als vermeintliche Bildbearbeitungs-App. So hat der Antivirenhersteller Kaspersky die Malware Mobok entdeckt. Der Schädling verbarg sich in scheinbar legitimen Apps zur Bildbearbeitung auf Google Play. Zum Zeitpunkt der Entdeckung waren die betroffenen Apps Pink Camera und Pink Camera 2 bereits rund 10.000 Mal installiert worden. Ihr Zweck war es, persönliche Daten der Nutzer abzugreifen und diese dann für die Anmeldung der Opfer bei zahlungspflichtigen Abonnementdiensten zu verwenden. Betroffene konnten die ungewollten Anmeldungen erst mit der nächsten Gebührenabrechnung ihrer Mobilfunk-Provider entdecken. Weitere Infos gibt es unter https://securelist.com.
So schützen Sie sich: Google Play hat die verseuchten Apps inzwischen entfernt. Der Vorfall zeigt aber, dass auch Google Play nicht vollkommen sicher ist. Empfehlenswert ist deshalb eine Antiviren-App für Android. In Tests auf www.av-test.org schneiden etwa die Apps von Kaspersky (kostenpflichtig) und Sophos (gratis) meist gut bis sehr gut ab.
10. Gefälschte Bitcoin-Geldbörse stiehlt eingezahlte Beträge
In einer Wallet speichert man seine Kryptowährung, etwa Bitcoins. Das Windows-Tool Bitcoin Core zählt zu den beliebtesten Wallets für Windows und Linux und stammt von der Website www.bitcoin.org selbst. Die Bekanntheit des Namens machten sich Kriminelle zunutze und veröffentlichten in Google Play eine App namens " Bitcoin Core - BTC Wallet ". Diese sah zudem genauso aus wie eine legitime Wallet im App-Store. Wer sich die Fälschung installierte, verlor jedes Geld, das er in die Wallet einzahlte, da diese stets eine fremde Empfängeradresse angab.
So schützen Sie sich: Da das Layout der betrügerischen App identisch mit einer legitimen Wallet-App ist, lässt sich die Fälschung daran nicht erkennen. Auffällig war eigentlich nur, dass erst "1000+" Downloads im App-Store für die App angegeben wurden. Für eine etablierte Wallet ist das zu wenig. Sie finden diese Angabe im Google- Play-Store unterhalb des "Installieren"- Buttons einer App und auf der Website https://play.google.com am Ende der Webseite zu einer App. Am besten suchen Sie auf einer seriösen Website für die gewünschte App nach einem Link, der zur passenden Google-Play-Store-Seite führt.