Mit diesen FAQ's wollen wir Ihnen einen Überblick zu den wichtigsten Fragen und Antworten run um das Thema Viren, Würmer & Trojaner bieten.
Sie sind sich bei einem Mailanhang, Programm oder Sachverhalt nicht sicher? Unser VR-DialogCenter steht Ihnen mit Rat und Tat zur Seite.
Computer-Viren sind Programme mit Schadfunktion. Indem sie sich in andere Computerprogramme einschleusen vermehren sie sich. Als Schaden ist insbesondere der Verlust oder die Verfälschung von Daten oder Programmen anzusehen. Solche Programmfunktionen können sowohl unbeabsichtigt als auch bewusst gesteuert werden.
Sich selbständig über bestehende Netzwerkverbindungen oder per E-Mail verbreitende Viren. Diese nutzen häufig bestehende Schwachstellen in Betriebssystemen oder Anwendungen zur Verbreitung aus.
Ein Trojanisches Pferd ist ein Programm mit einer verdeckten, nicht dokumentierten Funktion oder Wirkung. Der Benutzer kann daher auf die Ausführung dieser Funktion keinen Einfluss nehmen, insoweit besteht eine gewisse Verwandtschaft mit Computer-Viren. Es ist jedoch keine Selbstreproduktionsroutine vorhanden. Trojanische Pferde waren ursprünglich in andere Programme mit nützlicher Funktion eingebettet - heutzutage wird der Begriff Trojanisches Pferd oder Trojaner aber auch verwendet, wenn das Programm sich in ein System oder eine Anwendung "einklinkt" und darin den Schadcode ausführt. Die Schadwirkung eines Trojanischen Pferdes ist umso größer, je mehr Rechte sein Wirtsprogramm besitzt. In der Regel hängt die Berechtigung des Wirtsprogramms von der Berechtigung des Anwenders ab.
Ein Drive-by-Download bezeichnet das unbewusste (engl. Drive-by: im Vorbeifahren) Herunterladen (Download) von Software auf den Rechner eines Benutzers. Unter anderem wird damit der unerwünschte Download von Schadsoftware allein durch das Anschauen einer dafür präparierten Webseite bezeichnet. Hierzu ist beispielsweise auch das Einblenden eines präparierten Werbebanners auf einer ansonsten seriösen Webseite ausreichend.
Als Spyware wird üblicherweise Software bezeichnet, die persönliche Daten des Benutzers ohne dessen Wissen oder gar Zustimmung an den Hersteller der Software oder an Dritte sendet.
Die wahrscheinlichste Infektionsart liegt in der ungeprüften Ausführung von Anhängen in E-Mails oder Browser-Dowloads aus dem Internet. Diese Downloads können auch unbemerkt vom Benutzer als sogenannte "Drive-by-Downloads" erfolgen.
Des weiteren können sich eine Vielzahl von Viren über Netzverbindungen verbreiten. Infizierte Dateien können auch über Datenträger ausgetauscht werden. Hierzu zählen austauschbare Datenträger wie etwa CD-ROM und USB-Geräte.
Der klassische Verbreitungsweg für Malware ist die E-Mail. Hier geht es darum, den Benutzer dazu zu bringen, Aktionen auszuführen, die zur Infektion seines Rechnersystems führen. Meist wird dazu seine Neugier geweckt oder ihm Angst gemacht.
Ein Problem stellt die Tatsache dar, dass einige Dienstleister ihre Rechnungen oder andere Information per E-Mail verschicken und so die Benutzer daran gewöhnt sind, entsprechende Nachrichten zu erhalten. Dieser Umstand wird häufig dazu ausgenutzt, eine solche Nachricht zu fälschen.
Charakteristisch für entsprechende Nachrichten ist meist eine Mitteilung, die den Empfänger auf vermeintliche Probleme mit einem Konto bei einem Onlinedienstleister oder -portal hinweist oder es wird über die Inanspruchnahme von (nichtbestellten) Diensten hingewiesen. Dies besiegelt dann meist die erfolgreiche Infektion des beherbergenden Rechnersystems.
Die folgenden Methoden werden am häufigsten zum Angriff angewandt:
Malware als Email-Anhang
Schon sehr lang in Gebrauch aber immer noch häufig angewandt ist die Methode, Malware direkt als Anhang einer Nachricht zu versenden. Bereits das Öffnen der Nachricht kann zu einer Infektion führen, besonders dann, wenn das Mailprogramm so konfiguriert ist, Anhänge automatisch zu öffnen. Bekannte Schadhafte Dateien werden schon am Mailgateway gesperrt, sodass Benutzer diese nicht erhalten.
Aktuell werden Dateien mit folgenden Endungen blockiert: .docm (Word-Dateien mit Makros)
Nachricht mit URL
Vorsicht ist auch bei Nachrichten geboten, die eine Aufforderung enthalten, einen URL zu besuchen, um Berechtigungsnachweise zu bestätigen oder Benutzerdaten zu aktualisieren. Im besten Fall handelt es sich bei den Seiten, die besucht werden sollen um mehr oder wenig gut gemachte Kopien der jeweiligen Originalseite auf der Daten eingegeben werden sollen, die dann abgephischt werden. Im schlimmsten Fall, führt schon der Besuch der Seite zu einer sog. Drive-by Infektion.
Trennen Sie das System umgehend vom Netzwerk um die Infektion weiterer Geräte zu verhindern! Hierbei müssen auch WLAN-Verbindungen berücksichtigt werden.
Wenn Sie folgende einfachen Verhaltensregeln beachten, können Sie das Risiko einer Vireninfektion merklich verringern:
- Wenn Sie Programme, Dokumente, Tabellen oder andere Dateien zugeschickt bekommen: Führen Sie diese niemals einfach aus! Alles, was auf Ihrem System ausgeführt bzw. geöffnet wird, sollte vorher auf Viren überprüft werden. Öffnen Sie keine Dateien oder Dokumente aus unbekannten Quellen!
- Jede E-Mail, die Sie unerwartet erhalten, sollte mit Vorsicht behandelt werden, auch wenn die E-Mail von einem Freund oder Bekannten kommt. Fragen Sie im Zweifelsfall lieber nach, ob die E-Mail wirklich bewusst abgeschickt wurde - manche Viren verschicken selbstständig E-Mails.
- Geben Sie Ihre E-Mail-Adresse nur an seriöse bzw. vertrauenswürdige Kontakte oder Partner weiter.
- Achten Sie bei der Eingabe von E-Mail-Adressen auf Webseiten auf die Datenschutzbestimmungen der Seite. Eine Weiterleitung Ihrer Daten an Dritte sollte generell ausgeschlossen sein.
- Nutzen Sie zum Surfen im Internet den Mozilla Firefox mit NoScript. Dieses Plugin verringert das Risiko eines Drive-By-Downloads.
Wenn der Virenscanner gemeldet hat, dass eine Vireninfektion erfolgreich verhindert wurde ("on access scan"), ist eine Infektion wahrscheinlich verhindert worden. Wenn der Virenscanner meldet, dass ein Virus auf dem System gefunden wurde, kann man nicht mehr pauschal sagen, ob für das System noch eine Gefahr besteht oder nicht.
Dies ist ein Hinweis darauf, dass ein zentraler Virenscanner auf den Mailservern einen Virus in einer E-Mail erkannt hat.
Wenn die Mail nicht zugestellt werden soll, ist kein weiterer Handlungsbedarf notwendig. Die Mail wird automatisch nach 30 Tagen aus der Quarantäne gelöscht.
Falls es sich bei der Virenmeldung um einen 'false positive' handelt, also um eine Fehlerkennung des Mailanhangs als Virus, wenden sich Bankmitarbeiter an den zuständigen Administrator.
In den meisten Fällen handelt es nicht tatsächlich um eine Virenwarnung, sondern vielmehr um Falschmeldungen (sogenannte Hoaxes). Ziel dieser Meldungen ist es, Nachrichten nach dem Kettenbriefverfahren zu versenden und Verunsicherung zu schaffen. Die Nachricht sollte aus diesem Grund nicht an Freunde / Bekannte / Kollegen weitergeleitet werden.
Grund hierfür sind in der Regel im Internet aktive E-Mail-Würmer. Die Vorgehensweise dieser Viren ist wie folgt :
1.) Ein System wird durch den Empfang einer E-Mail mit virulentem Anhang und dessen Ausführung infiziert
2.) Der Virus durchsucht das infizierte System nach E-Mail-Adressen (z. B. im Microsoft Outlook Adressbuch)
3.) Der Virus versendet sich eigenständig an die gefundenen E-Mail-Adressen
4.) Als Absender der E-Mails wird von dem Virus ebenfalls eine auf dem infizierten System gefundene E-Mail-Adresse / Domäne genutzt.
Darüber hinaus ist es möglich, dass ihre E-Mail-Adresse gefälscht oder übernommen wurde. Ändern Sie vorsorglich das Passwort für Ihre(n) Mailaccount(s).
Die Fiducia & GAD hat ein mehrstufiges Virenschutzkonzept. Auf jeder Stufe werden andere Virenschutz-Produkte eingesetzt. Dadurch erreichen wir eine höchst mögliche Erkennungsrate.
In der Regel werden Schadprogramme an den Virenscannern der sogenannten Internet-Border-Gateways (Mail-Gateway, Proxyserver) erkannt und gelöscht. Mails werden nochmals an den Mail-Servern gescannt. Der lokale Scanner am Arbeitsplatz ist dennoch sehr wichtig! In den folgenden Fällen, werden Schadprogramme (erst) lokal an Ihrem Arbeitsplatz erkannt:
Verschlüsselte Datenübertragung bis zu Ihrem Arbeitsplatz. Z. B. verschlüsselte E-Mails oder Zip-Archive mit Passwort
Zum Zeitpunkt der Prüfung an den Gateways/Servern haben deren Virenscanner das Schadprogramm noch nicht erkannt.
Datenaustausch lokal am Arbeitsplatz oder über lokale Netzwerke, z. B. USB-Stick, CD-ROM.
Sie haben mit der mehrstufigen Virenscanner-Architektur ein Höchstmaß an Schutz, aber kein Virenscanner bietet eine hundertprozentige Erkennung von Schadprogrammen.
In CERT-Meldungen zu Schadprogrammen werden in der Regel eine Vielzahl von Namen für ein Schadprogramm angegeben. Wenn ein Virenscanner ein Schadprogramm meldet, dann finden Sie zum Namen im PopUp-Fenster in der Regel unterschiedliche, manchmal widersprüchliche oder keine weiterführenden Informationen. Woher kommen diese Widersprüche bzw. Unterschiede?
In der Regel benennt jeder Virenscanner-Hersteller Schadprogramme anders, eine Abstimmung unter den Herstellern findet selten statt. Täglich werden viele hunderte neue Schadprogramme oder Varianten bereits bekannter Schadprogramme neu entdeckt.
Der Virenscanner eines Herstellers erkennt Varianten des gleichen Schadprogramms manchmal an anderen Merkmalen und ordnet ihnen dann andere Namen zu. In der Praxis ist es daher nicht möglich, einem Schadprogramm einen eindeutigen Namen oder einem Namen eindeutig ein Schadprogramm zuzuordnen.
Dennoch geben die Namen oftmals Anhaltspunkte zu den Schadroutinen der Schadprogramme. "W32..." sind Schadprogramme für Window 32-Bit Betriebssysteme.
