PC-WELT hat auf einer Sicherheitskonferenz des Antiviren-Herstellers Kaspersky in Lissabon mit den Vertretern von unabhängigen Testlaboren für Antiviren-Programme und mit den Experten von Kaspersky gesprochen. Unsere Fragen beantworten Peter Stelzhammer vom Testlabor AV-Comparatives in Österreich, Andreas Marx vom Testlabor AV-Test.org in Deutschland, Simon Edwards von den englischen Dennis Labs . Außerdem sind die beiden Virenjäger Vitaly Kamluk (Moskau) und Marco Preuß (Deutschland) von den Kaspersky-Labs mit dabei.
PC-WELT: Sie sind Virenanalysten und haben in der Arbeit täglich mit Schädlingen zu tun. Hatten Sie auch auf Ihren privaten PCs schon mal einen Virus?
Stelzhammer: Ja einmal. Das war in den 90er. Damals war ich noch nicht im Antivirenlabor tätig. Ich kann mich heute aber nicht mehr daran erinnern, was das für ein Virus war.
Marx: Ja, Anfang der 90er Jahre. Ich hatte dann selber ein Entfernungsprogramm geschrieben. Das war für mich der Einstieg in die Antivirenforschung.
Edwards: Nein, noch nicht. Aber ich denke, das war mehr Glück als Verstand. (Anmerkung von PC-WELT: Simon Edwards ist Brite. Hier handelt es sich sehr sicher um britisches Understatement.)
Preuß: Nein, hatte ich nie.
Kamluk: Noch nie. Aber viele meiner Verwandten hatten schon Viren auf dem PC. Und ich muss die Systeme dann immer reparieren.
PC-WELT: Wie reagiere ich richtig, wenn mein PC mit einem Virus verseucht ist?
Stelzhammer: Sie folgen den Anweisungen, den Ihnen Ihr Antiviren-Programm gibt.
Preuß: Ich vertraue da auch auf mein Antiviren-Programm. Empfehle allerdings, den PC auch von einer Antiviren-CD zu booten und mit dieser den Rechner zu scannen.
PC-WELT: Ist es aber nicht sicherer, wenn ich Windows komplett neu installiere?
Stelzhammer: Ja schon. Ich persönlich würde den Virus aber selber löschen. Weniger erfahrenen Anwendern empfehle ich, den PC von einem Fachmann beim PC-Händler reinigen zu lassen. Die mach das mittlerweile ganz gut.
Edwards: Sie sollten unbedingt, Windows neu installieren. Es gibt zu viele Schädlinge, die nicht nur einen Virus auf dem PC platzieren, sondern mehrere Schad-Codes installieren. Ob die alle gefunden und gelöscht werden, bezweifle ich.
Marx: In unserem letzten Test von Antiviren-CDs und Antiviren-Programmen wurden nur rund ein Drittel aller infizierter PCs komplett gereinigt. Auf allen anderen fanden sich noch Virenreste.
Kamluk: Ich beseitige den Virus mit Software und manuell. Doch selbst ich kann dann keine 100prozentige Garantie geben, dass der PC dann völlig virenfrei ist.
Preuß: Ich vertraue auf unsere Software. Wenn der PC aber schlimm verseucht ist, sollte man ihn vielleicht doch besser neu aufsetzen.
PC-WELT: Wo ist die Gefahr am größten, sich einen Virus einzufangen?
Kamluk: Über zwei Drittel aller Viren kommen über Websites. Es folgen Infektionen per USB-Sticks und lokale Netzwerke. Interessant sind übrigens die Viren in Cracks und Key-Generatoren. Soweit wir das sehen, stammend diese Viren nicht von den Knack-Tool-Programmierern selber. Doch die “Tools” werden von Virenverbreitern manipuliert und dann wieder zum Download angeboten.
PC-WELT: Wie viele Viren infizieren meinen PC automatisch (drive by) und bei wie vielen muss ich selber klicken?
Kamluk: Grob geschätzt würde ich sagen, dass es mehr Viren gibt, die das Opfer selber starten muss. Es ist für die Kriminellen viel einfacher und billiger per Social Engineering Viren zu verbreiten, als eine Sicherheitslücke zu finden.
Preuß: Ich glaube, das wechselt auch sehr. Anfang des Jahres gab es so viele Lücken in Flash, Adobe Reader und Java, dass wir da viele Drive-by-Downloads gesehen haben.
PC-WELT: Und welche Absichten verfolgen die meisten Viren auf meinem PC?
Marx: Sie stehlen Ihre Daten oder schließen Ihren PC einem Bot-Netz an oder beides.
Kamluk: Kreditkartendaten sind übrigens kaum mehr gefragt. Die sind fast nichts mehr wert auf dem Schwarzmarkt. Aber Logins zu Banken, Paypal und eBay werden immer noch hoch gehandelt.
PC-WELT: Der BKA-Trojaner ist in Deutschland sehr verbreitet. Manche Varianten verschlüsseln sogar die Daten des Opfers. Gibt es für diesen Fall ein Entschlüsselungs-Tool, das die Daten rettet?
Kamluk: Wenn der Trojaner keine asynchrone Verschlüsselung nutzt, können wir die Dateien meistens noch retten. Auf unserer Website gibt’s Infos, wie wir helfen können.
PC-WELT: Der Schädling Zeus zählt zu den gefährlichsten und verbreitetsten Banking-Trojanern. Was macht ihn so erfolgreich?
Stelzhammer: Es ist für die Kriminellen so simpel, ihn zu nutzen. Sie brauchen keine Programmierkenntnisse, sondern können einen Zeus-Baukasten für nur 70 Dollar im Monat mieten. Damit klicken sie sich eine neue Zeus-Variante zusammen, bringen sie unter die Leute und stehlen einen Haufen Geld.
Edwards: Ja, der Code von Zeus ist schon gut gemacht.
Kamluk: Das Besondere an Zeus ist seine Fähigkeit, Code in den Browser zu injizieren. Er war einer der ersten Viren, der das konnte. Mit dieser Code Injection kann Zeus die Banking-Webseiten nach belieben verändern und dem Anwender alles Mögliche vorgaukeln.
Preuß: Zeus bietet zudem extrem viele Funktion. Er beherrscht den Man-in-the-Bowser-Trick, macht Screenshot, hat einen Keylogger und er fängt auch noch die Logins von andren Diensten ab, etwa von Paypal.
PC-WELT: Es gibt laufend neue Versionen von Zeus. Laut der Webseite https://zeustracker.abuse.ch/statistic.php werden von gängigen Antiviren-Programmen aber nur 40 Prozent der neuen Varianten erkannt. Woran liegt das?
Stelzhammer: Ja die Frage ist, wie lange werden die nicht erkannt. Manche Hersteller sind da schneller, andere langsamer.
Preuß: Das liegt vor allem an der immer neuen Verschlüsselung der neuen Versionen. Darum haben wir bei Kaspersky auch zusätzliche Schutz-Tools in unsere Security-Suite eingebaut, etwa den Safe-Browser.
PC-WELT: Apropos Super-Viren: Was war der interessanteste Virus, den Sie je gesehen haben.
Stelzhammer: (lacht) Am spannendsten finde ich den BKA-Trojaner, der nur ein JPG im Autostart von Windows ablegt. Das ist so simpel, dass es von keiner Antiviren-Software erkannt wird. Es ist ja nur ein Bild, das man etwa mit der Taste Esc weg bekommt.
Edwards: Ich mag den Wurm Code Blue. Er sucht automatisch nach Rechnern, die mit dem Schädling Code Red infiziert sind und beseitigt ihn. Leider führt Code Blue darüber hinaus nichts Gutes im Schilde.
Kamluk: Ich habe einige interessante Viren gesehen, Stuxnet zum Beispiel. Die andern sind nicht so bekannt. Gpcode war etwa der erste Virus, der eine asymmetrische Verschlüsselung auf sehr hoch entwickelte Weise eingesetzt hat. Wir haben lange gebraucht, bis wir für den eine Lösung hatten.
Preuß: Ich finde die Angriffe interessant, die auch außerhalb des Codes etwas leisten. Wenn etwa die Art und Weise wie der Virus auf einen PC gelangt, intelligent gemacht ist, habe ich da Interesse dran. Wobei diese Leistung natürlich nichts Positives ist.
PC-WELT: Und was ist der ansteckendste Virus, den Sie kennen?
Stelzhammer: In der letzten Zeit sehen wir nicht viele ansteckende Schädlinge. Die Zeit der Würmer ist vorbei. Malware agiert heute möglichst unauffällig.
PC-WELT: Viele Anwender nutzen heute mehr ihr Smartphone oder Tablet als ihren PC. Wie groß ist die Gefahr sich am Smartphone einen Virus einzufangen?
Stelzhammer: Die Gefahr geht gegen Null. Da gibt’s eigentlich nur die üblichen Phishing-Angriffe.
Edwards: Ja, geringe Gefahrenstufe.
Kamluk: Fast alle Androiden sind verseucht.
PC-WELT: Tatsächlich?
Kamluk: Das Design von Android lässt es zu, dass jede beliebige Website Dateien auf das Smartphone laden darf – ohne jede weitere Nutzereingabe. Wenn man auf einem gebrauchten Android-Phone in den Ordner “Downloads” guckt, finden sich dort fast immer verseuchte PDF- und APK-Dateien.
PC-WELT: Ja, aber diese Dateien sind ja nicht aktiv und richten keinen Schaden an.
Kamluk: (grinst schelmisch) Danach haben Sie nicht gefragt. Sie wollten nur wissen, wie groß die Gefahr ist, sich mit Android einen Virus einzufangen.
Marx: Drive by Downloads sind grundsätzlich möglich. Das haben Proof-of-Concept-Codes bewiesen. Doch bisher ist es für die Virenprogrammierer einfacher, mit Social Engineering zu arbeiten. Die Gefahr ist schon da, allerdings ist sie in Deutschland nicht so hoch wie etwa in Asien.
PC-WELT: Noch eine Frage an Herrn Kamluk. Sie habe 2010 als Chief Malware Expert in Japan gearbeitet. Was haben Sie dort erlebt und unterscheiden sich die Viren in Japan von denen im Rest der Welt?
Kamluk: Das Leben dort, die Leute und das Land waren sehr interessant. Ich habe dieses Jahr in Japan sehr genossen. Auch von der Arbeit, also vom Antivirenlabor, hatte ich mir vorweg sehr viel erwartet. Schließlich ist Japan das Land, aus dem so viele neue, innovative und spannende Technik kommt. Ich musste dann aber feststellen, dass die Viren der japanischen Programmierer selten sehr komplex sind. Das meiste, was dort entsteht, sind so etwas wie Spaßviren. Ich glaube die Japaner sind einfach zu höflich, um wirklich üble Viren zu programmieren.
PC-WELT: Vielen Dank für Ihre Zeit.
Das Interview führte Arne Arnold.
Autor: Arne Arnold
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.