Die fünf raffiniertesten Viren heute

[Calimero]

1. Retefe: Ein spurloser Banking-Trojaner

quelle
http://www.pcwelt.de/ratgeber/Die_fuenf ... 16080.html

Der Banking-Trojaner Retefe kann sich vor seiner Entdeckung besonders gut schützen, denn er löscht sich kurz nach der Infektion des Systems selber. An das Geld seiner Opfer kommt er dennoch heran. Die kriminellen Verbreiter optimieren den Virus zunächst so lange, bis er von gängigen Antivirenprogrammen erst mal nicht erkannt wird. Dann bringen sie die Opfer dazu, den Virus auf ihren PCs zu starten. Sofort stellt er in Windows einen neuen DNS-Server ein und installiert ein Zertifikat für eine sichere SSL-Verbindung. Dann löscht er sich komplett vom System. Keine Antiviren-Software der Welt kann seinen Virencode nun noch entdecken. Sobald das Opfer seine Online-Banking-Website aufrufen möchte, wird der Browser durch den neuen DNS-Server auf eine gefälschte Banking-Seite umgeleitet. Die Verbindung dahin ist sogar per SSL verschlüsselt, sodass im Browser selbst das vertraute Vorhängeschloss erscheint. Natürlich ist auch die Banking-Seite perfekt nachgemacht. Der Rest ist für die Kriminellen ein Klacks. Wer sein Banking per Mobile-TAN absichert, bekommt den Hinweis, dass er eine neue Banking-App installieren muss. Das ist natürlich ein Android-Banking-Virus, der die TAN abfischt. Betroffen sind laut dem Sicherheitsspezialisten Trendmicro Kunden von Banken in der Schweiz, Österreich, Schweden und Japan.

Bedrohungspotenzial: Der raffinierte Retefe hat eine Schwachstelle: Die Kriminellen verbreiten ihn ganz simpel als Dateianhang einer Mail und tarnen ihn als angebliche Rechnung. Wer darauf nicht hereinfällt, bleibt verschont.

2. Zeus und seine Kinder: Die vielseitigen Bankräuber

Der Virus Zeus zählt zu den raffiniertesten Banking-Trojanern überhaupt, im Jahr 2013 war er laut Antivirenspezialist G Data für die Hälfte aller Bankdiebstähle per Virus verantwortlich. Bereits seit 2011 ist der Sourcecodevon Zeus öffentlich zugänglich. Viele Programmierer haben sich dort bedient, Zeus mit noch mehr Funktionen ausgestattet und Nachfolger wie zum Beispiel Citadel, Gameover Zeus oder Spyeye erstellt. Die Schädlinge setzen sich in Ihrem Browser fest, manipulieren Ihre Überweisung direkt vor der Übertragung zur Bank und fälschen daraufhin Ihren Kontostand im Browser, sodass Sie keinen Verdacht schöpfen. Zeus und seine Nachkommen sind gefährlich.

Bedrohungspotenzial: Antivirenexperten, die Polizei und das FBI haben teilweise sehr erfolgreich die kriminellen Verbreiter von Zeus sowie das Zeus-Netzwerk gejagt. Leider ist die Gefahr durch die Zeus-Nachkommen immer noch sehr hoch. Schützen können Sie sich am besten mit einem Antivirenprogramm und Updates (siehe Kasten „Virenschutz“).

3. Simplocker: Erpresser-Virus für Android

Der Schädling Simplocker verschlüsselt Dateien auf dem Smartphone und fordert umgerechnet rund 240 Euro Lösegeld. Simplocker ist nicht der erste Erpresservirus für Android und auch nicht der verbreitetste. Gefährlich macht ihn die Fähigkeit, alle Daten auf einer eingelegten SIM-Karte so zu verschlüsseln, dass Sie nicht mehr darauf zugreifen können. In Verbindung mit dem absurd hohen Lösegeld sind die Daten damit praktisch vernichtet. Der Antivirenspezialist Eset weist darauf hin, dass sich zudem nicht abschätzen lässt, ob die kriminellen Virenverbreiter nach Zahlung des Geldes die Daten tatsächlich freigeben würden. Da der Schädling Kontakt zu einem Befehlsserver (Command & Control Server) im Tor-Netzwerk aufnimmt, wäre ein Server-gesteuertes Freigeben zumindest theo­retisch möglich. Simplocker wird mittels Social Engineering unters Volk gebracht. So tarnen sich diese Schädlinge etwa als Flash-Player-App für Android oder als Videoplayer-App für Pornos. Eset hält Simplocker für einen „proof-of-concept“-Schädling. Die Kriminellen testen damit, wie gut der Virus funktioniert und welche Codeteile sie noch optimieren müssen. Eine deutschsprachige Variante eines Erpresservirus für Android gibt es übrigens auch. Der Koler.A genannte Schädling sperrt das Handy und fordert 300 US-Dollar Lösegeld.

Bedrohungspotenzial: Wenn Sie Android-Apps ausschließlich aus dem offiziellen Goo­gle Play Store laden, ist die Gefahr recht gering, sich Simplocker & Co zu holen. Wer allerdings Apps aus anderen Quellen lädt, sollte aus Sicherheitsgründen eine Antiviren-App für An­droid nutzen, etwa Eset Mobile Security , gratis.

4. Poweliks: Der Geister-Virus ohne Datei

Der Virus Poweliks kann sich nach der Infek­tion des Systems komplett in der Registry verstecken und wird so von keiner klassischen Scanmethode gefunden. Der Antivirenspezialist G Data hat den Schädling analysiert. Poweliks schreibt sich bei der Infektion in einen Autorun-Schlüssel der Registry hinein, damit er auch nach einem Neustart aktiv werden kann. In verschlüsselter Form enthält der Eintrag ein mit Base64 codiertes Powershell-Script. Im letzten Schritt führt dieser Shellcode dann eine Windows-Binärdatei aus, die eine Verbindung mit einem Internetserver herstellt und von dort aus etwa neuen Schadcode laden kann.

Bedrohungspotenzial: Poweliks hat sich bisher noch nicht weit verbreitet.

5. Shellshock: Einfallstor in Unix- und Linux-Systeme

Ende September 2014 wurden mehrere seit 1992 bestehende Sicherheitslücken in dem Unix Code Bash entdeckt. Die Shellshock genannten Lücken erregten bei Sicherheitsexperten sofort die größte Sorge, denn die Bash ist eine beliebte und seit 1987 bestehende Eingabeaufforderung für Befehle in Unix- und später in Linux-Systemen. Sie findet sich auf Webservern und auf Linux-PCs bei Heimanwendern, auf Mac-Rechnern von Apple und wahrscheinlich auf Millionen von Geräten wie DSL-Routern und Webcams. Bereits kurz nach Bekanntwerden der ersten Lücke in Bash kursierte Code im Internet (Linux/Bash0day), der Internetserver angreifen und zumindest teilweise übernehmen konnte. Anfang Oktober wurden die ersten erfolgreichen Angriffe auf Webserver bekannt.

Bedrohungspotenzial: Ob Ihr System betroffen ist, können Sie testen. Geben Sie in die Shell Ihres Systems folgenden Befehl ein:

test=“() { echo Hello; }; echo gehackt“ bash -c““

Erscheint nach dem Drücken der Taste Enter „gehackt“, ist Ihr System anfällig. Oder Sie nutzen eines der Prüf- und Schutz-Tools von Trendmicro .