Er ist wohl der gefährlichste Trojaner, den es bisher gab: Mebroot, auch unter den Namen Sinowal und Torpig bekannt. Er bewirkte, dass mein Internetprovider meinen Internetzugang gesperrt hatte. "You've been banned - Trojan Torpig detected" lautete neulich die Meldung, als ich mich einloggen wollte. Und das, obwohl mein AVG Anti-Virus-Programm nichts fand. Dieser Trojaner wird von vielen Antiviren-Programmen überhaupt nicht erkannt, da er mehrere Mechanismen anwendet, um sich unsichtbar zu machen. Man kann hier wohl schon von künstlicher Intelligenz sprechen. Der Trojaner ist sehr gefährlich, weil er darauf aus ist, Online-Banking-Daten und Passwörter für Internetseiten zu erschnüffeln und sie an die Hintermänner zurück ins Netz zu schicken. Es gab schon zehntausende geknackte Konten deswegen. Die Malware wird offenbar von einem russischen Ganoven-Netzwerk dauernd weiterentwickelt. Selbst wenn ein Virenscanner die Bedrohung erkennt, wird Mebroot schnell angepasst und ist dann wieder nicht mehr zu entdecken.
Hier ein guter zusammfassender Artikel zu Mebroot mit den technischen Details.
Infizieren kann man sich, ohne dubiose E-Mail-Anhänge oder Dateien herunterzuladen. Es reicht, ganz normale Webseiten anzusehen, nicht nur Porno-Seiten. Technology Review schreibt:
In an unpublished paper, researchers at the University of California at Santa Barbara describe a four-month study in which they connected their servers to a collection of compromised computers known as the Mebroot botnet. Among their findings, the researchers discovered that, while the seedier sites on the Internet--those hosting porn and illegal downloads--were most effective at redirecting users to a malicious download site, business sites were more common among the compromised referrers.
"Once upon a time, you thought that if you did not browse porn, you would be safe," says Giovanni Vigna, a UCSB professor of computer science and one of the paper's authors. "But staying away from the seedy places on the Internet is no longer an assurance of staying safe."
Es gibt ein paar Programme, wie etwa Gmer, die den Trojaner entdecken können und auch entfernen können sollen. Das Entdecken hat bei mir geklappt, das Entfernen hat zumindest auf meinem PC nicht funktioniert. Und ich bin nicht der Einzige, einige haben in Foren geschrieben, das sogar das Low-Level-Formatieren und Neuinstallation von Windows XP nichts gebracht haben (nur Windows 98/XP/2000 sind anfällig, Windows 7 nicht, über Windows Vista gibt es unterschiedliche Angaben). Hier zum Beispiel ein Post bei precisesecurity.com:
Kirvic January 15th, 2010 at 7:53 pm
I have this friend living on my 2 computers, a netbook with vista 32 bits, and a desktop win xp. I formatted, scan, system recovery, pray, i mean, did everything above, but nothing, it still there. I starting to think i need a new hard drive, but the thing is that, i have a lot of data that i need, if it let me burn on dvd there is the huge possibility of the files get infected? or it infects only the boot system files?
Auf meinem Laptop hatte ich den Trojaner auch, und da konnte ich ihn entfernen. Allerdings wahrscheinlich nur, weil ich zwischendurch Linux installiert habe, was die Festplatte auf andere Weise formatiert als Windows. Danach habe ich wieder Windows XP installiert, und der Trojaner war tatsächlich nicht mehr da. Ich hatte Linux, bzw. die Linux-Version Ubuntu, eigentlich nur als Alternative zu Microsoft ausprobieren wollen. Laut mehrerer Foren-Einträge scheint die Formatierung mit Linux oft die einzige Möglichkeit zu sein, die Malware loszuwerden.
Meinen Schreibtisch-PC will ich aber nicht komplett mit Linux formatieren, weil ich viel Musik und Filme auf der Festplatte habe, was nur aufwändig zu sichern wäre. Das wird wahrscheinlich bei vielen Leuten der Fall sein. Deswegen plane ich als zweites Betriebssystem Linux zu installieren und nur damit im Internet zu surfen, was ich jedem empfehlen würde, der Online-Banking macht oder sich um gehackte E-Mail- und Facebook-Konten Sorgen macht. Ich habe eine zweite kleinere Festplatte im Rechner, die gerade groß genug für Ubuntu ist, eine einsteigerfreundliche Linux-Version. Beim Einschalten des Computers kann ich dann jedesmal per Menü auswählen, ob ich Windows XP oder Ubuntu starten will. Windows XP benutze ich dann nur noch für Offline-Arbeiten, während ich mit Ubuntu im Internet surfe. Somit kann der Trojaner auf meinem Windows-System keinen Schaden mehr anrichten (er macht sich ansonsten nicht bemerkbar). Der große Vorteil von Ubuntu/Linux ist, dass dieses Betriebssystem gegen die meisten Viren/Trojaner unempfindlich ist. Die meisten User verwenden hier deswegen noch nicht mal einen Virenscanner oder eine Firewall. Ubuntu wird von Cyber-Kriminologen für Online-Banking empfohlen.
Wer keine zweite Festplatte im Rechner hat, aber die Möglichkeit hat, neu zu formatieren, der kann die Festplatte in zwei so genannte Partitionen aufteilen und dann jeweils auf einer Partition Windows und Linux/Ubuntu installieren. Auch hier gibt es die Möglichkeit, beim Start des Computers zu entscheiden, welches Betriebssystem geladen werden soll.
Eine weitere Möglichkeit ist es, Ubuntu innerhalb eines Fensters in Windows laufen zu lassen, mittels einer Virtualisierungssoftware wie VMWare Player. Dann läuft Ubuntu auf einem virtuellen PC. Alles was auf diesem PC passiert, kann dann keine realen Auswirkungen auf den Computer haben. Selbst wenn Ubuntu durch einen Virus infiziert werden sollte, was bei diesem Betriebssystem generell schon mal sehr unwahrscheinlich ist, könnte Windows und die Festplatte dann nicht beeinträchtigt werden. Nach Schließen des Ubuntu-Fensters verschwindet alles aus dem Arbeitsspeicher, dem RAM, des Computers. Ich werde diese Option mal testen. Natürlich gibt es auch noch die Möglichkeit, einfach komplett von Windows auf Ubuntu/Linux umzusteigen und ganz auf die Microsoft-Produkte zu verzichten.
Die Handhabung von Ubuntu ist einfach, es ist wie Windows ein Fenster-basiertes Betriebssystem. Firefox ist bei diesem kostenlosen System dabei, genauso wie die Microsoft Office-Alternative Open Office. Manche Dinge sind sogar unproblematischer als bei Windows: Mein Handy, das ich als Modem an den Laptop anschloss, wurde von Ubuntu ohne Installations-CD sofort erkannt. Ich konnte nach kurzer Zeit mit Firefox unter Ubuntu auf meinem Laptop surfen. Natürlich muss man anfangs etwas nach den richtigen Menüfunktionen suchen, da diese etwas anders strukturiert sind als bei Windows, aber wesentlich komplizierter als das Microsoft-Produkt ist es nicht. Kleiner Nachteil: Die Boot-Zeiten sind etwas länger und der Fensterbau etwas gemächlicher, was sich aber wohl nur bei meinem alten Pentium III-Laptop bemerkbar macht (900 Mhz, 256 MB RAM), bei neueren Rechnern dürfte das nicht ins Gewicht fallen.
Nachdem man Ubuntu kostenlos von der Homepage heruntergeladen und auf eine CD gebrannt hat, kann man es auch testen, ohne es auf der Festplatte zu installieren. Es ist möglich, Ubuntu einfach von der CD zu starten, ohne dass es bleibende Änderungen am Computer vornimmt.
Ich werde Ubuntu wahrscheinlich auch auf meinem Laptop irgendwann installieren, da wohl langfristig gesehen, Windows einfach zu unsicher fürs Internet ist. Zusammenfassend ist zu sagen: Es gibt Viren/Trojaner, die kaum von den Scannern entdeckt werden können, und die man sich einfach durchs Ansehen einer Webseite einfangen kann (Firewalls nützen übrigens dagegen auch nichts). Das heißt, viele User werden einen Passwörter stehlenden Schädling auf der Festplatte haben, ohne es überhaupt zu wissen. Wenn die Malware dann erstmal da ist, kriegt man sie manchmal noch nicht einmal durch eine einfache Formatierung der Festplatte oder andere Tools wieder los. Windows Vista und Windows 7 sind zwar gegen Mebroot unemfindlich, aber ich denke, dafür gibt es auch schon genug Viren und Trojaner und täglich werden es mehr. Bei Linux gibt es dagegen kaum Viren, nicht nur wegen der geringeren Verbreitung, sondern weil das System grundsätzlich sicherer ist.
Es gibt allerdings noch eine Möglichkeit, ein nicht infiziertes Windows XP-System ein bisschen sicherer zu machen: Sandboxie. Das ist ähnlich wie VMWare eine Virtualisierungssoftware. Damit kann man jede Anwendung in einem virtuellen Fenster ablaufen lassen. Gedacht ist sie beispielsweise für den Internet Explorer oder Firefox. Wenn man also den Internet Explorer in einer Sandbox laufen lässt, können Trojaner und Viren, die man sich beim Surfen einfängt, keinen Schaden anrichten, da sie nur in einem virtuellen Fenster ablaufen können. Sie können also nicht auf die Festplatte zugreifen und keine bleibende Veränderungen des Computers erreichen. Sobald man die Sandbox löscht, sind etwaige Viren auch gelöscht. Ich habe es getestet, es ist wirklich empfehlenswert. Allerdings besteht bei einem Microsoft Windows-System immer noch die Gefahr sich Viren durch manuelle Downloads einzufangen, die zum Beispiel sogar in Word- und PDF-Dokumenten versteckt sein können. Auch nützliche Freeware kann Malware enthalten und wird möglicherweise in einigen Fällen vor allem zu diesem Zweck verbreitet.
Bei einer Sache gibt es aber Entwarnung: Natürlich können Computerviren nicht auf Menschen übergreifen, trotz gegenteiliger Scherz-Schlagzeile oben.
