Drive-by-Downloads: Trojanergrippe beim Surfen

Kürzlich hat Norton-Hersteller Symantec seinen 13. Sicherheitsreport veröffentlicht (PCtipp berichtete). Laut diesem gehen Cyberkriminelle vermehrt dazu über, ihre potentiellen Opfer auf präparierte Webseiten zu lotsen, statt ihnen Viren, Würmer oder Trojanische Pferde per Mail zuzustellen. Viele solcher Seiten sind Fälschungen bekannter Sites: In Spammails, Chats und Foren werden Links zu Imitationen von Diensten wie z.B. YouTube oder MySpace verbreitet. Per Mail werden Anwender noch immer auf gefälschte Bankseiten gelockt. Auch wer auf solchen Seiten keine Daten von sich preisgibt, läuft in Gefahr, seinen PC mit Schädlingen zu verseuchen.

Theoretisch könnte der Benutzer sich schützen, indem er solche Seiten prinzipiell nicht über Links besucht, die ihm von Fremden «empfohlen» werden.

Das reicht leider längst nicht mehr. Denn sogar auf echten, bekannten Webseiten besteht Schädlingsgefahr. Zum einen sind nicht alles Engel, die ihre Inhalte auf YouTube & Co. publizieren. Zudem nutzen Angreifer auch Sicherheitslücken auf namhaften Seiten oder hacken sich in die Kanäle von Bannerwerbern ein. Während auf einigen dieser Seiten immerhin noch ein Klick erforderlich ist, um sich den Schädling einzufangen, reicht bei manchen schon alleine der Besuch der Seite. Diese fiesen Tricks werden als «Drive-by-Download»-Attacken bezeichnet, zu Deutsch etwa «Download beim Vorbeifahren»-Angriffe.

Die Funktionsweise

Der für den Cyberkriminellen erfolgreiche Angriff besteht aus zwei Stufe: Zuerst baut er auf einer Webseite oder in einem Werbebanner-Script ein kleines Codeschnipsel ein, das wiederum ein Script ausführt, das er auf einem anderen Server platziert hat. Nun braucht er bloss zu warten, bis ein Besucher mit einem angreifbaren Webbrowser daherkommt. Dieser führt den Code vollautomatisch aus (für den Benutzer oft unsichtbar) und installiert den von der Fremdseite eingebundenen Schädling.

Das Resultat ist ein verseuchter PC, der sich via Internet gleich beim Schöpfer des Schädlings meldet. Was dieser damit anstellt? Er wird ihm weiteren Schädlingscode einimpfen, ihn gemeinsam mit anderen gekaperten PCs zu einem Botnetz zusamenschliessen, Tastatureingaben des Benutzers aufzeichnen usw.

Wer trägt die Schuld?

Vom vielzitierten «schwarzen Peter» geht wohl an alle Beteiligten ein Stück. Webseitenbetreiber aktualisieren ihre Serversoftware oft nicht zeitnah oder sie lassen sie mit unsicheren Einstellungen laufen. Auch die Bannerwerber machen ihre Hausaufgaben beim Prüfen der Einblendungen nicht richtig. Die Browserhersteller publizieren die Patches gegen Sicherheitslücken zu zögerlich: Allen voran die Firma Microsoft, die hierfür laut Symantec im Durchschnitt elf Tage braucht, während dasselbe bei Apples Safari, Opera und Firefox nach drei Tagen erledigt ist.

Aber auch die Anwender selbst tragen eine Teilschuld an der Misere. Was nützt das schnell veröffentlichte Update, wenn der Benutzer es nicht installiert?

Was dagegen hilft

Ein gut gepflegter Virenscanner reduziert das Risiko. Betrachten Sie den Ihren jedoch nur als letzte Bastion gegen solche Bedrohungen. Verringern Sie lieber die Angriffsfläche, die meistens in Browser-Plug-Ins steckt: Wie Symantecs Grafik links zeigt, enthielt die nur im Internet Explorer vorhandene ActiveX-Technologie im zweiten Halbjahr 2007 mit 79% nachwievor die meisten Sicherheitslücken. Der Umstieg auf einen alternativen Browser wie Opera oder Firefox macht mit ActiveX Schluss.

Lassen Sie die monatlich am Patch-Dienstag erscheinenden Windows-Updates am besten automatisch installieren. Pflegen Sie auch mindestens die folgenden Programme und Plug-Ins akribisch mit regelmässigen Updates: Apple QuickTime (ggf. ohne iTunes), Sun Java, Adobe Flash Player, Windows Media Player (via Windows-Update) und den Adobe Reader.

Einige dieser Anwendungen melden sich von selbst, wenn ein neues Update bereitsteht. Verlassen Sie sich aber nicht allzusehr darauf. Greifen Sie zu einem von drei praktischen Gratishilfsmitteln, die Ihren Softwarebestand prüfen und Ihnen veraltete Programme melden.

Eines davon ist der Personal Software Inspector (PSI) von Secunia. Ein weiteres nennt sich UpdateStar und für gelegentliche Tests ohne Installation eines Zusatzprogramms bietet sich der F-Secure Healthcheck an.