Post by joggl on Dec 22, 2004 17:16:35 GMT 1
Der Sicherheitsspezialist Kaspersky Lab hat eine neue Inkarnation des sehr variantenreichen Browser-Hijackers CoolWebSearch entdeckt, die -- einmal auf den PC heruntergeladen -- dort wie ein Virus weitere Dateien infiziert. Die neue Ausführung des bekannten Schädlings wird wohl dieselben Schadeffekte mit sich bringen wie ihre Vorläufer: Vermutlich leitet sie die Suchseite in den Browsereinstellungen auf eine reklamevermittelnde Website der Urheber um und sammelt Daten über das Surfverhalten des PC-Benutzers. Genauere Informationen liegen uns zurzeit nicht vor.
Doch während speziell dieser Schädling den Kammerjägern schon in der Vergangenheit das Leben mit häufigen Updates schwer gemacht hat, könnte eine Variante mit viralem Code völlig neue Probleme auf den Plan rufen, weil sie die Schwierigkeiten von Virensuchern mit denen der Spyware-Entfernern vereint.
Die Produzenten von Virenscannern waren bisher meist nur Stunden hinter den Virenentwicklern zurück, weil sich Viren sehr schnell im Netz ausbreiten und ebenso schnell bei den professionellen Saubermännern auffielen. Nur deshalb haben postwendend aktualisierte Virenscanner eine Chance, ansteckende Programme schon beim Eindringen in einen Rechner unschädlich zu machen.
Bei klassischer Spyware liegt der Fall ganz anders: Neue Varianten dieser Übelware brauchen Tage oder gar Wochen statt Stunden, bevor sie in den gängigen Spyware-Schutzprogrammen berücksichtigt werden. Schließlich breiten sich diese Schädlinge viel langsamer aus und tun dies zudem mit der Billigung gutgläubiger Anwender. Die meisten Vertreter dieser Übelware kommen nämlich in den Bäuchen trojanischer Pferde auf die Platte. Diese Wirtprogramme tunneln sich mühelos auch durch Firewalls hindurch, wenn Anwender vermeintlich nützliche Anwendungen herunterladen und willentlich bei sich installieren. Auch wenn man unliebsame Begleiter erst mit einer gewissen Verzögerung bemerkt, kann sie ein Spyware-Schützer typischerweise von der Platte putzen und ein Wiederaufleben damit verhindern.
Das könnte anders werden, wenn ein Trojaner gleich nach dem ersten Aufruf beginnt, andere Programme auf dem Opfer-Rechner zu manipulieren, sodass die Spionagesoftware dann auch beim Aufruf ursprünglich einwandfreier Programme in Gang kommt. Dann wären mehr noch als heute regelmäßige Suchläufe eines Spyware-Checkers angezeigt, der nicht nur Registry-Einträge und Konfigurationsdateien nach Hinweisen auf Schädlinge abzusuchen, sondern wie ein Virenscanner auch zahlreiche Binärdateien zu flöhen hätte und sich zudem mit der Schwierigkeit herumschlagen müsste, bei Fundstellen eine korrekte Klassifizierung vorzunehmen. Denn gerade die Verbreiter von Spyware gehen zunehmend in die Offensive und attackieren die Entwickler von Verteidigungspaketen, sie hätten diese oder jene legitime Software zu Unrecht als Spyware gebrandmarkt. Derlei Anschuldigungen werden sich immer schwerer bewerten lassen, wenn künftig auch einwandfreie Software mit böswilligen Routinen infiziert werden kann. (hps/c't)
heise online
Doch während speziell dieser Schädling den Kammerjägern schon in der Vergangenheit das Leben mit häufigen Updates schwer gemacht hat, könnte eine Variante mit viralem Code völlig neue Probleme auf den Plan rufen, weil sie die Schwierigkeiten von Virensuchern mit denen der Spyware-Entfernern vereint.
Die Produzenten von Virenscannern waren bisher meist nur Stunden hinter den Virenentwicklern zurück, weil sich Viren sehr schnell im Netz ausbreiten und ebenso schnell bei den professionellen Saubermännern auffielen. Nur deshalb haben postwendend aktualisierte Virenscanner eine Chance, ansteckende Programme schon beim Eindringen in einen Rechner unschädlich zu machen.
Bei klassischer Spyware liegt der Fall ganz anders: Neue Varianten dieser Übelware brauchen Tage oder gar Wochen statt Stunden, bevor sie in den gängigen Spyware-Schutzprogrammen berücksichtigt werden. Schließlich breiten sich diese Schädlinge viel langsamer aus und tun dies zudem mit der Billigung gutgläubiger Anwender. Die meisten Vertreter dieser Übelware kommen nämlich in den Bäuchen trojanischer Pferde auf die Platte. Diese Wirtprogramme tunneln sich mühelos auch durch Firewalls hindurch, wenn Anwender vermeintlich nützliche Anwendungen herunterladen und willentlich bei sich installieren. Auch wenn man unliebsame Begleiter erst mit einer gewissen Verzögerung bemerkt, kann sie ein Spyware-Schützer typischerweise von der Platte putzen und ein Wiederaufleben damit verhindern.
Das könnte anders werden, wenn ein Trojaner gleich nach dem ersten Aufruf beginnt, andere Programme auf dem Opfer-Rechner zu manipulieren, sodass die Spionagesoftware dann auch beim Aufruf ursprünglich einwandfreier Programme in Gang kommt. Dann wären mehr noch als heute regelmäßige Suchläufe eines Spyware-Checkers angezeigt, der nicht nur Registry-Einträge und Konfigurationsdateien nach Hinweisen auf Schädlinge abzusuchen, sondern wie ein Virenscanner auch zahlreiche Binärdateien zu flöhen hätte und sich zudem mit der Schwierigkeit herumschlagen müsste, bei Fundstellen eine korrekte Klassifizierung vorzunehmen. Denn gerade die Verbreiter von Spyware gehen zunehmend in die Offensive und attackieren die Entwickler von Verteidigungspaketen, sie hätten diese oder jene legitime Software zu Unrecht als Spyware gebrandmarkt. Derlei Anschuldigungen werden sich immer schwerer bewerten lassen, wenn künftig auch einwandfreie Software mit böswilligen Routinen infiziert werden kann. (hps/c't)
heise online