Conficker-Virus breitet sich weiter aus

Ich habe ja eine gute Erziehung genossen und dabei auch gelernt, dass Schadenfreude äußerst unhöflich ist. Trotzdem fällt es mir manchmal schwer, diese unhöfliche Gefühlsregung zu unterdrücken. So auch in diesem Fall.

Conficker – ein Virus wie aus dem Museum

Eigentlich hatte ich ja gedacht, dass Schadsoftware, die sich per Wechseldatenträger verbreitet, mit der Verbreitung des Internets veraltet ist und nicht mehr entwickelt wird. Conficker beweist das Gegenteil. Die Software verbreitet sich wirklich über USB-Sticks und installiert sich über die Autorun-Funktion von Windows. Obwohl Microsoft bereits Ende Okotober 2008 einen Sicherheitspatch bereitgestellt hat, hat Conficker auf diese Weise nach verschiedenen Schätzungen bereits mehrere Millionen Rechner infiziert. Dabei handelt es sich nicht nur um Rechner von Privatanwendern, auch das Netz der Landesregierung von Kärnten hat es erwischt. Wie konnte es dazu kommen?

OK, jeder steckt mal einen USB-Stick in einen fremden Rechner. Dass sich dabei eine Schadsoftware auf den Stick kopiert ist nicht auszuschließen. Das kann jedem passieren. Aber wie kommt die Schadsoftware anschließend auf den eigenen Rechner? Zunächst einmal muss der Administrator irgendwann einmal angegeben haben, dass Installationsprogramme auf Wechseldatenträgern automatisch gestartet werden. In vielen Fällen ist das ja auch ganz bequem, beispielsweise wenn eine DVD eingelegt wird, von der eine Software installiert werden soll. Automatisch werden die Bildschirme des Installationsprograms angezeigt. Aber wenn es sich um eine Schadsoftware handelt, ist es mit der Bequemlichkeit  schnell vorbei. Sicher – der Virus ist problemlos installiert – aber will man das wirklich? Bei mir ist die Autorun-Funktion auf allen Rechnern ausgeschaltet.

Was geschieht eigentlich während der Installation einer Schadsoftware? Zunächst einmal muss sich die Software an eine Stelle kopieren, an der sie nicht so einfach gefunden werden kann. Zwischen den Dokumenten des Anwenders würde sie auffallen und würde schnell entdeckt. In c:\Windows\system oder einem ähnlichen Verzeichnis ist sie erheblich besser versteckt und die Gefahr, dass der Anwender die Schadsoftware entdeckt und einfach löscht, ist erheblich geringer. Dann muss sich die Software noch in der Registry eintragen, damit sie beim nächsten Systemstart erneut gestartet wird. In vielen Fällen muss sie auch noch weitere Funktionalitäten aus dem Internet nachladen und dafür eine Lücke in der Firewall aufmachen. Alle diese Aufgaben erfordern Adminrechte. Diese Adminrechte hat eine Software aber nur, wenn sie unter einem Administrator-Account gestartet wird. Ein „normaler“ Benutzer hat weder das Recht, in die Systemverzeichnisse zu schreiben, noch darf er die Registry verändern oder die Firewall öffnen. Damit Sie sich einen Virus oder eine andere Malware einfangen können, müssen Sie daher zum Einen mit Adminrechten arbeiten, und Sie müssen die Sicherheitsabfrage deaktiviert haben, in der Sie Ihr Passwort eingeben müssen, bevor Sie eine Aktion ausführen können, die Adminrechte erfordert. Wie dieser Sicherheitsmechanismus deaktiviert wird, stand kurz nach Erscheinen von Vista in allen Gazetten, da sie ja so furchtbar störend ist. Wenn Sie diese Abfrage ausgeschaltet haben, erhalten Sie jetzt die Quittung und Sie müssen nicht einmal bestätigen, dass Sie den Virus auch wirklich haben wollen.

Eigentlich ist es doch ganz einfach, sich gegen die Schadsoftware zu schützen. Fassen wir noch einmal zusammen:

  • Deaktivieren Sie die Autorun-Funktion
  • Arbeiten Sie immer mit den geringsten Benutzerrechten, die Sie benötigen. Loggen Sie sich nur dann mit Admin-Rechten ein, wenn Sie sie auch wirklich benötigen.
  • Lassen Sie die Sicherheitsabfrage vor den Aktionen mit Adminrechten eingeschaltet.
  • Sollte auf Ihrem Rechner das automatische Update ausgeschaltet sein, ändern Sie dies, damit Ihr Rechner durch die aktuellsten Sicherheitspatches geschützt wird.

Auch ja, benötigen Sie dann noch eine Anti-Virensoftware? Selbstverständlich. Aber das sollte halt nicht der einzige Schutz sein, sondern lediglich der Sicherheitsanker für Situationen, in denen alle anderen Mechanismen nicht greifen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.