Einige von Euch haben sicher schon so eine E-Mail bekommen: “Virenwarnung” oder “Ihr Computer ist mit einem Virus infiziert” und fragen sich: “Ist die E-Mail echt?“- “Warum hab ich noch nichts davon gemerkt?” – “Wie merkt mein Provider, dass ich auf meinem Computer einen Virus habe?
Da wir diese Fragen auch sehr oft am Telefon hören und beantworten, möchte ich Euch auch diese Antworten liefern und so verständlich wie möglich in meinem ersten Gastbeitrag hier beantworten.

Ist die E-Mail echt?
Wenn persönliche Daten wie Kundennummer, Vertragsnummer und eine persönliche Anrede im Schreiben sind und diese auch noch stimmen, dann ist die E-Mail wahrscheinlich “echt”. Um ganz sicher zu gehen: Ruf’ doch einfach bei Deinem Provider an und frag’ bei ihm nach.
In seinem Beitrag “Hilfe: Mein GMX-Postfach ist gehackt” ist auch mein Kollege Frank auf dieses Thema eingegangen und hat dort exemplarisch eine Warn-E-Mail von GMX erklärt.

Warum hab ich noch nichts davon gemerkt?
Früher waren Viren auf dem Computer tatsächlich auffälliger. Der Computer wurde deutlich langsamer oder der Nutzer hat irgendwelche “bunten Fenster” angezeigt bekommen, die das Virus “öffnete”. Diese Auffälligkeit haben aktuelle Schadprogramme nur noch selten, schließlich soll die Malware unbemerkt im Hintergrund aggieren, nicht gefunden und gar entfernt werden.
Der beste Spion ist immer der, der nicht auffliegt.
Auch Anti-Viren-Programme bieten keinen 100%-igen Schutz. Kriminelle und Antiviren-Software-Hersteller liefern sich hier ein “Räuber und Gendarm-Spiel“. Die Entwickler von Schadsoftware sind immer einen Schritt voraus. Warum? Ganz einfach: Der Großteil der existierenden Anti-Viren-Programme sind “Pattern-basierend“.
Zur Erstellung von Gegenmechanismen brauchen AV-Hersteller eine Vielzahl von sogenannten Viren-Samples und vor allem Zeit um eine entsprechende und möglichst Fehl-Alarmierungen (sog. False Positives) vermeidende Viren-Signaturen zu erstellen. Verändern die Kriminellen daraufhin das Verhalten oder auch nur einzelne Code-Passagen, die zum Bilden der Signaturen herangezogen wurden, kann ein Anti-Viren-Programm diese nicht mehr erkennen und das Spiel beginnt von vorne.
Es gibt also immer Zeiträume, in dem man trotz aktuellem Anti-Viren-Programm ungeschützt ist. Das soll aber nicht bedeuten, dass man dann natürlich gleich “schutzlos” ins Netz gehen sollte. Man macht es ja auch nicht ohne Kondom nur weil es ja auch mal reißen könnte. 😉
Die letzte Frage ist die interessanteste:
– Woher weiß mein Provider dass ich infiziert bin?
– Hat er meinen Computer gescannt?
– Liest er meinen Internet-Traffic mit? 
Zu Eurer Beruhigung: Das Einzige das ungewollt und ohne Euer Wissen auf Euren Computer gekommen ist und dort alles mitlesen kann, ist der Computer-Schädling. Provider und andere Unternehmen, die solche Warnungen versenden, bekommen in der Regel fundierte Hinweise von Dritten, wie z.B. der Shadowserver Foundation, oder andere Sicherheits-Experten, die gegen die Bedrohung im Netz ankämpfen und die Kommunikationswege von Computerviren gezielt “unterwandern”, denn Trojaner und Bots brauchen immer eine Verbindung zu ihrem “Master”:

  • Ein Bot, der keine Befehle entgegen nehmen kann, ist für den Kriminellen nutzlos.
  • Ein Trojaner, der Eure Zugangsdaten nur lokal speichert, kann keinen Schaden anrichten.

Und was im Botnetz-Umfeld der Command & Control-Server ist (die Kommandozentrale), ist beim Trojaner eine Dropzone (Abwurfstelle).
Dieses “Feature” machen sich die ShadowServer Foundation und andere Initiativen dieser Art zu nutzen, um die Kommunikation mit dem Kriminellen gezielt zu unterbinden. Denn wenn es den Experten gelingt, das “nach Hause” telefonieren zu stören oder die Kommunikation gar zu “übernehmen”, dann ist das Botnetz tot oder unter Kontrolle. Da der Schädling von der feindlichen Übernahme aber nichts mitbekommt, nimmt er weiterhin regelmäßig Kontakt zu seinem “vermeintlichen” Meister auf und liefert fleißig seine gesammelten Daten ab oder fragt nach neuen Befehlen. Die so “sichtbar” werdenden Computer können dann anhand ihrer IP-Adresse einem Provider zugeordnet und die “eingesammelten” Accounts an die Unternehmen weitergemeldet werden, deren Nutzer gerade Passwörter “verloren” haben.
Ich hoffe, dass ich Euch mit diesem kleinen Beitrag einen kleinen Einblick in meine tägliche Arbeit liefern konnte. Solltet Ihr Fragen haben, oder Anmerkungen / Verbesserungsvorschläge, nutzt doch die Kommentarfunktion dieses Blogs.

Zum Autor dieses Gastbeitrags:
Matthias Simonis, Abuse Analyst, arbeitet seit Januar 2010 im zentralen Abuse Department der 1&1 Internet AG. Der geprüfte Fachinformatiker für Anwendungsentwicklung (IHK) analysiert dort Angriffe auf Kunden-Präsenzen, lokalisiert Einfallstore und ist für die Pflege der Pattern-Datenbank zur automatisierten Malware-Erkennung auf Webspaces zuständig.