Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Was ist denn das für Schadsoftware?

Freitag, 22. November 2013, 2:54 Uhr

Eine Frage, die immer wieder einmal aufkommt, lautet: Was ist denn das für Schadsoftware, die an die Mail gehängt wurde; was passiert denn, wenn ich die Datei im Anhang öffne?

Diese Frage zu beantworten ist selbst für einen Experten schwieriger, als die meisten Menschen glauben möchten, denn…

  1. …ist Schadsoftware oft vorsätzlich so geschrieben, dass eine Analyse erschwert wird, und
  2. …besteht moderne Schadsoftware aus einem oft nur kleinen Programm, das vorhandene Sicherheitsmechanismen aushebelt und weitere Komponenten aus verschiedenen Internet-Quellen nachlädt.

Der einfachste Weg ist es, die Schadsoftware in einer Wegwerf-Installation zu starten, den Netzwerkverkehr zu überwachen und hinterher zu schauen, welche Teile des Betriebssystems verändert wurden und was bei der Nutzung des kompromittierten Computers passiert – also genau das zu tun, was ein Opfer tun sollte. Das Landeskriminalamt Niedersachsen scheint sich bei den umlaufenden „Rechnungen“, „Mahnungen“, „Bestellbestätigungen“, „Lieferscheinen“ etc. mit Schadsoftware-Anhang einmal genau diese Mühe gemacht zu haben:

Die Schadsoftware, die diese Kette an Aktionen ausgelöst hat, stammt aus einer E-Mail, die eine angebliche Rechnung als Dateianhang beinhaltete

Wer sich mal gruseln möchte, lese bitte einfach beim LKA Niedersachsen weiter. Hoffentlich kuriert diese Lektüre von jeder Leichtfertigkeit im Umgang mit E-Mail.

Ich kann es nicht oft genug sagen: Mailanhänge in geschäftlicher E-Mail stinken!

Es gibt keinen objektiven Grund für ein Unternehmen, inhaltlich nichtssagende (aber im Falle von Spam dabei meist alarmierend formulierte) Mail zu schreiben, um alle relevanten Informationen zur angeblichen Sache erst im Anhang zu offenbaren. Im Kommentarthread zu einer relativ frühen angeblichen „Mahnung“ dieser kriminellen Masche finden sich viele Zitate aus derartigen Spams, und beim Überfliegen sollte jedem klar werden, was ich mit dem Wort „inhaltlich nichtssagende Mail“ meine: Alle wichtigen Informationen befinden sich angeblich im Anhang, in der Mail stehen nur bedeutungslose Nummern.

Ein Anwaltsschreiben – das ist eine beliebte Angst-Masche der Spammer – kommt übrigens immer auf rechtssicherem Weg mit der Sackpost und wird bestenfalls vorab zur Information per E-Mail zugestellt, wobei halbwegs seriöse Rechtsanwälte darauf achten, dass immer im Textkörper der eigentlichen E-Mail eine Telefonnummer für eine eventuelle Rückfrage angegeben wird.

Wenn der Anhang ein ZIP-Archiv ist, in dem sich ein „Dokument“ befindet, sollte Alarmstufe Rot herrschen! Im Zweifelsfall nicht öffnen! Auch nicht vom Absender verblenden lassen, denn die Absenderadresse einer E-Mail kann sehr leicht und völlig beliebig gefälscht werden. Wenn es sich um Unternehmen handelt, mit denen man bislang nichts zu tun hatte, handelt es sich praktisch immer um Spam, die unbesehen gelöscht werden sollte. Wenn eine derartige Mail doch einmal plausibel erscheint – etwa, weil man wirklich etwas bestellt hat oder dort Kunde ist – lieber einmal telefonisch nachfragen, ob die Mail echt ist, bevor Anhänge aus einem ZIP-Archiv geöffnet werden.

Ein einziger unbedachter Klick kann sehr schnell erheblichen Ärger nach sich ziehen, von dem man monatelang „etwas hat“. Und natürlich ist das manipulierte Online-Banking nur eine mögliche Schadfunktion von vielen, wenn auch vermutlich oft die teuerste für die Betroffenen…

Und nein: Antivirusprogramme helfen nicht gegen die aktuellen Schädlinge, sondern nur gegen Schadsoftware, die bei den Antivirus-Unternehmen schon bekannt ist. Bei dieser Form der Spam ist das Antivirusprogramm oft vollkommen wirkungslos. Dies gilt auch, wenn die Kriminalpolizei auf der verlinkten Seite ihren in diesem Kontext ungeeigneten Textbaustein eingefügt hat¹. Der beste Virenschutz ist BRAIN.EXE

¹Ein Tipp, den die Kriminalpolizei nicht gibt, der aber viel wirksamer als die „gefühlte Sicherheit“ durch Antivirus-Schlangenöl ist: Einfach ein anderes Betriebssystem als Microsoft Windows benutzen! Das kostet kein Geld, und ist zurzeit die beste Abwehr gegen alle Schadsoftware, die mir bislang untergekommen ist.

6 Kommentare für Was ist denn das für Schadsoftware?

  1. Sebastian sagt:

    Hey Frank,

    verfolge deinen Blog schon ne halbe Ewigkeit lang und wurde bisher auch nie enttäuscht (vor allem immer wieder lustig, dass sich Spammer so gesehen eigentlich so unglaublich blöd in ihren Mails anstellen, dass es doch eigentlich schon schmerzt, wenn man sich mal anschaut, was da immer wieder im Spam-Ordner landet 😀 Nur leider reicht der „Aufwand“ ja schon oft genug…).

    Obwohl, einen Punkt gibt es, der mir immer wieder negativ aufstößt: Diese andauernde Hetze gegen Antivirus-Programme („Antivirus-Schlangenöl“ usw.). Klar, wenn man seinen Grips anstrengt und entsprechende Vorab-Maßnahmen ergreift, lässt sich schon vieles verhindern. Aber auch viele bereits vorhandene Gefahren eben nicht, vor allem in größeren Netzwerken wie bei Firmen.

    Mal was interessantes dazu zu lesen:
    - http://www.bedatec.de/security/virscan.html
    - http://www.itespresso.de/2013/01/24/ist-antivirensoftware-eigentlich-nutzlos/?ModPagespeed=noscript

    Antivirus-Programme haben also schon ihre Daseinsberechtigung, auch mit entsprechenden Maßnahmen 😉

    lg, Sebastian 🙂

    • Sebastian sagt:

      Sorry, meinte natürlich Elias. Bitte nicht übel nehmen die Verwechslung 🙂

    • Ein fröhliches Hallo, Sebastian,

      du bist also dieser eine Leser… 😉

      Aber zum Thema: Was du als „Hetze“ gegen Antivirus-Programme empfindest – zugegeben, „Schlangenöl“ ist wirklich nicht der sachlichste Ausdruck für diese Gattung Software – das ist hier erst so nach und nach entstanden; in älteren Texten finden sich viele gemäßigtere Formulierungen. Es ist entstanden, weil ich fast jeden Tag irgendwo erlebt habe, wie blind Menschen auf eine Software vertrauen, deren Funktion sie nicht verstehen. Ich mag keinen Glauben an Magie, die zu einer „gefühlten Sicherheit“ führt, auch dann nicht, wenn diese Magie in einem technischen Gewand kommt. Aus meiner Sicht ist der Glaube der meisten Anwender an ihre Antivirus-Software nicht viel besser als das Anflehen eines Heiligen um Fürbitte…

      Ich bin tatsächlich und mittlerweile unverrückbar der Meinung, dass es ein größerer Beitrag zur Sicherheit ist – wenn man schon nicht auf Microsoft Windows verzichtet (es gibt ja Leute da draußen, die bestimmte Anwendungen benötigen oder auch nur haben möchten und mit gutem Recht der Meinung sind, dass der Rechner dafür da ist, diese gefälligst laufen zu lassen) – den Browser mit geeigneten Plugins daran zu hindern, beliebig JavaScript- und Plugin-Code aus allen möglichen Quellen des Web auszuführen (dazu gehört zwingend ein Ad-Blocker) und sich darüber bewusst zu sein, dass an einer E-Mail alles gefälscht werden kann und dementsprechend vorsichtig mit E-Mail umzugehen, wozu insbesondere eine riesen Skepsis gegenüber jedem Anhang gehört.

      In Situationen, in denen Computer geteilt und/oder oft mit wechselnden externen Datenspeichern verschiedener Personen verbunden werden, kann es eine gute Idee sein, zusätzliche Sicherheiten einzubauen. Aber auch hier halte ich es für angemessener, die von Microsoft vorgesehene automatische Ausführung von Code auf angesteckten externen Datenträgern in der Systemsteuerung abzuschalten (Warum zum Henker wurde das überhaupt zum Standard erhoben?!) und in einem Firmennetzwerk mit Policies zu verhindern, dass Nutzer nach Belieben Software installieren können. Gut, dafür müsste der Administrator natürlich wissen, dass es Policies gibt…

      (Es ist unfassbar, was ich in meinem lustigen Leben schon administrieren gesehen habe! Ein Antivirus-Tool ist jedenfalls kein Ersatz für einen unfähigen Admin. Einmal ganz davon abgesehen, dass im betrieblichen Umfeld auch mutwillige Sabotage möglich und – bei geringer Wahrscheinlichkeit, erwischt zu werden – wohl gar nicht so selten ist.)

      Es gibt allerdings eine Gruppe von Windows-Nutzern, die in meinen Augen zwingend ein Antivirus-Programm benötigt: Leute, die ihre Software aus Filesharing-Netzwerken beziehen und sich regelmäßig aus ganz dunklen Netzkammern ihre Pr0nz und Moviez holen… 😀

      So, denn will ich nochmal ganz kurz auf die Artikel eingehen, zunächst auf F-Secure:

      Auch bei F-Secure haben unseren Fokus schon lange darauf gelegt, feindliche Inhalte davon abzuhalten, jemals ihr Ziel zu erreichen – statt sie erst zu prüfen, wenn sie schon im System laufen.

      Es freut mich natürlich, dass F-Secure sich im Text eines Mitarbeiters als so weitblickend darstellt. Ich würde die werten Programmierer von F-Secure um eine einzige Sache bitten: Die Erkennung von Dateinamensmustern wie etwa die Erweiterungen .pdf.exe, .docx.scr oder .jpg.com. Es gibt keinen mir einleuchtenden Grund, warum zum hackenden Henker jemand im wirklichen Leben seine ausführbaren Dateien so benennen sollte, dass zusammen mit einem irreführend verwendeten Piktogramm ein falscher Eindruck von Typ der Datei entstehen kann. (In der Standardkonfiguration blendet Windows ja die Dateinamenserweiterung aus, und ich habe manchmal Phantasien, die Leute, die vor achtzehn Jahren diese dumme Entscheidung getroffen haben, langsam über kleiner Flamme zu rösten.) Solche Dateinamen sind ein sehr einfach zu erkennendes Muster, das praktisch nur in Schadsoftware auftritt, die Menschen unter irgendeinem Vorwand untergejubelt werden soll. Und zwar seit Jahren… und… seit Jahren erfolgreich. Ich weiß nicht, wie viel Schadsoftware die Hersteller von Antivirusprogrammen jeden Tag sehen, aber es dürfte deutlich mehr sein, als in meiner kleinen Spamhölle im Verlaufe eines Jahres ankommt. Alles, was ich jeden Tag sehe, sehen diese Leute auch. Und es hat sich in all diesen Jahren noch nicht jemand gefunden, der einfach den Dateinamen danach untersucht, ob da mit einem Namenstrick eine der zwei Handvoll Extensions für ausführbare Dateien verschleiert werden soll? Um diese Datei mit der Kneifzange in eine Quarantäne zu werfen und den Anwender auf diese Weise deutlich zu warnen? Au weia! (Ich habe übrigens vernommen, dass sich das inzwischen – immerhin gut sechs Jahre, nachdem ich das erste Attachment mit dieser Masche bekommen habe – zu ändern beginnt und solche Dateinamen endlich aussortiert werden.)

      Ach!

      Wer nun aber hinreichend vorsichtig ist, nicht jede beliebige Website Code im Browser ausführen lässt und jeder Mail gegenüber skeptisch ist; wer sein Betriebssystem so konfiguriert hat, dass nicht automatisch Code von angesteckten Datenspeichern ausgeführt wird; wer sich keine Pr0nz und Warez zieht; wer nicht irgendwelche sinnfreien Programme aus fragwürdigen Quellen installiert, kann sich – von sehr tiefen und gefährlichen Exploits der Marke Bufferüberlauf und fundamental neuen psychologischen oder technischen Angriffen abgesehen – kaum etwas einfangen. Wer sich aber blind auf den versprochen automatischen und mühelosen Virenschutz durch Installation einer „schützenden Software“ verlässt, der von der (nicht unabhänigen, sondern werbegeld-abhängigen und somit auch von den Herstellern der Antivirus-Programme mitfinanzierten) Journaille und neuerdings vom niedersächsischen LKA an jeder passenden und unpassenden Stelle als quasimagisches Allheilmittel gegen alle Fährnisse des Internet empfohlen wird, kann sich darauf verlassen, dass er sich etwas einfängt.

      Und zwar eher früher als später.

      Ein im Auto eingebauter Airbag kann nicht die Vorsicht im Straßenverkehr ersetzen. Er kann nicht einmal den Unfalltod verhindern, nur unwahrscheinlicher machen. Jeder, der die Behauptung aufstellte, dass ein Airbag ein Ersatz für Vorsicht und ein wirksamer Schutz gegen den Unfalltod ist, würde hoffentlich von jedem Inhaber eines handelsüblichen Gehirnes ausgelacht; und wenn er andere von dieser Behauptung überzeugen wollte, würde er als gefährlicher Irrer angesehen.

      Was Antivirus-Software betrifft, ist dieser für den davon Betroffenen und überdem für andere Menschen gefährliche Irrsinn die Regel.

      Natürlich hinkt der Vergleich. 😉

      Denn ein Airbag unterscheidet sich in drei Punkten vom Antivirus-Programm.

      Erstens ist der Schaden durch eine Übernahme eines Computers durch eine Schadsoftware nicht ganz so unumkehrbar. Im schlimmsten Fall gibt es ein bis zwei Jahre unerfreulichen Schriftverkehr mit Banken, Rechtsanwälten, Staatsanwälten, lernt man ein paar Untersuchungsrichter kennen, denen man seine Geschichte erzählt und hat am Ende einen finanziellen Schaden von einigen tausend Euro, weil die eigene Identität, ein paar Accounts und die Internetleitung für betrügerische Geschäfte aller Art, Sabotage durch DDoS-Attacken, die Verbreitung illegaler Pornografie und manipuliertes Online-Banking missbraucht wurden. Das ist ziemlich scheiße, aber deutlich verschmerzbarer als der Tod. 😉

      Zweitens ist beim Airbag die technische Funktion auch für Laien völlig klar und verständlich. Bei der plötzlichen Abbremsung des Autos durch einen Aufprall wird ein Luftkissen in Lenkradhöhe binnen drei hundertstel Sekunden mit Druckluft gefüllt, um gefährliche, oft tödliche Kopfverletzungen zu reduzieren. Es ist möglich, die genaue Funktion zu spezifizieren, und der dadurch gegebene Zuwachs an Sicherheit ist quantifizierbar und einer vernünftigen Untersuchung zugänglich. Es ist auch nicht so, dass sich ein Airbag manchmal „einfach nur so“ öffnet, sondern es ist völlig klar, bei welcher physikalischen Einwirkung er aktiviert werden sollte. Nichts davon gilt äquivalent für Antivirus-Software.

      Und drittens ist es nicht so, dass der Einbau eines Airbags dem Auto irgendwie schadet, zu nennenswerten zusätzlichen Spritverbrauch führt oder gar dazu führen kann, dass das Auto auf einmal gar nicht mehr funktioniert. Antivirus-Software hingegen reißt nennenswerte Ressourcen des Computers an sich, führt durch ständig laufende, aufwändige Hintergrundprozesse zu einem höheren Energieverbrauch (wie hoch ist wohl die zusätzliche Treibhausgas-Belastung durch Antivirus-Programme?) und hat in der Vergangenheit immer wieder einmal dazu geführt, dass Komponenten des Betriebssystems als Schadsoftware erkannt wurden, so dass der Rechner nicht mehr funktionierte – und wenn es nicht ganz so schlimm kam, dann wurden immer einmal wieder zu Unrecht harmlose Websites (wie zum Beispiel auch diese hier) als angebliche Schadsoftware-Schleudern blockiert oder TCP/IP funktionierte mal nicht mehr. Letzteres ist ja in der Tat ein ganz wirksamer Schutz…

      Das ist eben der Unterschied zwischen quantifizierbarer, erklärbarer und untersuchbarer Sicherheit und einer eher psychologischen „gefühlten Sicherheit“, mit der man Software verkaufen will.

      Ich müsste eigentlich noch viel mehr schreiben, aber dieser Kommentar ist schon überlang und macht hoffentlich fühlbar, warum ich ein gewisses Urteil fälle und oft in zugegebenermaßen unsachlicher Weise vertrete. Meine Unsachlichkeit ist nichts weiter als meine zunehmende Genervtheit über eine Dummheit, die durch Reklame und eine dümmliche Presse vorangetrieben wird. Wenn die nicht näher quantifizierbare „teilweise“ oder „zusätzliche“ Sicherheit der Antivirus-Software zur „eigentlichen Computersicherheit“ erhoben und immer wieder als ganz wichtig und wesentlich dargestellt wird; wenn naive, technisch nicht ganz so kenntnisreiche Anwender durch diese Präsentation dazu verleitet werden, sorg- und gedankenlos zu werden und sich auf den Zauber unverstandener (und zu allem Überfluss: geheimgehaltener) Methoden zu verlassen – tja, dann ist dieses Schlagenöl tatsächlich ein Beitrag dazu, dass sich das „Geschäft“ der organisierten Kriminalität im Internet auch in zehn Jahren noch lohnen wird. Und damit sich das auch wirklich niemals ändern kann, kommt hinzu, dass das funktionierende „Geschäft“ der organisierten Internet-Kriminalität gleichzeitig das von Angst und Unkenntnis vieler Menschen angetriebene Geschäft der Antivirus-Unternehmen ist.

      Denn alle diese Unternehmen wären ziemlich schnell pleite, wenn den Menschen sichere Software und sichere Betriebssysteme zur Verfügung stünden – und wenn die Menschen alle wüssten, wie man sich selbst vor Angriffen mit Schadsoftware schützen kann. Das, was diese Unternehmen zu bekämpfen vorgeben, ist nicht mehr und nicht weniger als die Grundlage ihres Reibachs. Kein Wunder, dass die Ergebnisse so bescheiden sind.

  2. […] Text ist aus einem Kommentar für »Unser täglich Spam« entstanden, der es in meinen Augen wert ist, hervorgehoben zu […]

  3. […] einen völlig sicheren Schutz gegen Phishing, der einfach ist, keine zusätzliche Software und kein Schlangenöl erfordert und nichts kostet: Niemals in eine E-Mail klicken! […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert