IT-Bedrohungen bekommen neue Impulse

Martin Schindler,

Noch im vergangenen Jahr wurden in Hacker-Kreisen am Fließband primitive Schädlinge produziert. Doch für Antivieren-Hersteller wie Kaspersky Labs scheint die Verschnaufspause vorbei zu sein. Immer perfider werden die Schädlinge und immer mehr kriminelle Energie scheint hinter den Attacken zu stecken.

Der Trend hat sich jetzt eindeutig geändert. Davon zeugt allein die Entwicklung des ersten schädlichen Bootkits. Zudem werden immer häufiger verschiedene Methoden zur
Dateiinfizierung eingesetzt, unter anderem komplexe polymorphe Technologien. Zur Abwehr von Antiviren-Programmen haben die Virenschreiber sogar einige Antiviren-Technologien übernommen, warnt Antivieren-Experte Alexander Gostev von Kaspersky Labs im ersten Quartalsbericht für 2008 zu aktuellen IT-Bedrohungen.

So stieg im ersten Quartal 2008 die Verbreitungsgeschwindigkeit neuer Schadprogramme weiter an, tausende neue Varianten wurden entdeckt. Technisch wurden die Schädlinge immer anspruchsvoller. Alte Ideen und Techniken wiederbelebt, stellen aber in einem veränderten Kontext eine viel größere Gefahr dar. Beispiele sind die Infizierung der Bootsektoren von Festplatten, die Verbreitung von Schadprogrammen über mobile Datenträger und die Infizierung von Dateien.

Anfang 2008 wurde auch die ‘alte Schule’ der Virenschreiberzunft symbolisch zu Grabe getragen. Im Februar erschien auf der Website der legendären Gruppe 29A eine Mitteilung
über die offizielle Auflösung dieser Gruppierung. Sie war verantwortlich für die Entwicklung von ‘Cap’, dem ersten Makrovirus, der eine globale Epidemie verursachte, ‘Stream’ dem
ersten Virus für zusätzliche NTFS-Ströme, ‘Donut’ dem ersten Virus für die .NET-Plattform und dem den ersten mobilen Schädling ‘Cabir’.

“Die Gruppe 29A kapitulierte unter dem Druck der zunehmenden Kommerzialisierung der Virenschreiberzunft. Heute entwickelt niemand mehr Schadprogramme zur Selbstverwirklichung, Selbstbestätigung oder aus reinem Forscherdrang, denn es ist bei weitem lukrativer, hunderte primitiver Trojaner für den Verkauf zu produzieren”, kommentiert Gostev.

Bootkits – Rootkits also, die sich aus dem Bootsektor jedes beliebigen Gerätes laden können – entwickelten sich Anfang des Jahres zum größten Problem der Antiviren-Industrie. Als die
Malware-Entwicklung noch in den Kinderschuhen steckte, gehörten Bootsektor-Viren zu den am weitesten verbreiteten Schädlingen. Diese Viren überschreiben den Originalcode des
Bootsektors von Disketten mit ihrem eigenen Code und erhalten so beim Bootvorgang die Kontrolle über das System, da sie vor dem Start des Antivirus-Programms geladen werden. Mit dem Erscheinen von Windows 95/98 und der Verdrängung von Disketten durch andere Medien verschwanden Bootsektor-Viren 10 Jahre lang von der Bildfläche.

Doch Anfang 2007 stellten zwei indische Programmierer, Nitin und Vipin Kumar, das Programm ‘Vbootkit’ vor – ein Rootkit, das aus dem Bootsektor geladen wird und unter
Windows Vista läuft. Eine alte Technologie – Infizierung von Bootsektoren – wurde hier mit dem modernen Rootkit kombiniert.