Interessant. Ich habe damit begonnen mich ein wenig der Funktionalität von Malware zu widmen. Im Prinzip besteht dieser Streichelzoo aus einer gewissen Menge an Baukastenprodukten, die später andere Module aus dem Internet nachladen. Na klar, das ist alles nichts Neues. Neu finde ich die aktuelle Entwicklung, dass die Tierchen sich auch auf dem MBR einnisten und hinten herum einige windows-interne Komponenten im Speicher patchen. Natürlich ist dagegen das Betriebssystem recht machtlos. Bevor ich es vergesse, so muss an dieser Stelle gesagt werden, dass ich mich selbst vorerst einmal mit der Windows-Malware auseinandersetze. Natürlich sind die anderen Betriebssysteme in gleicher Weise anfällig. Es gibt hier und da kleine Unterschiede, aber ein Patch ist ein Patch.
Nunja, der Infektionsweg ist aktuell auch meist der gleiche. Der Benutzer denkt meist tatsächlich noch als Mails. Aber im Ernst: Wer wurde wirklich mal per Mail infiziert? Bisher passierte mir das nicht. Anderen auch nicht. Vielleicht lag es auch an der Arbeitsweise meines Anti-Virus Programms zusammen mit meinem Mailclient. Vielleicht ist untertrieben, das war der Hauptgrund. Dazu kam einfach die Tatsache, das ich Zeug, was ich nicht kenne, nicht anklicke. Also, liebe Benutzer. Auch wenn einem die tollsten Sexbilder versprochen werden, Attachment löschen. Und schon sind so ziemlich alle Mailwürmer gebannt. Alle? Nein, nicht alle. Nur noch die HTML Interpretation deaktivieren, so dass sich nichts über die Webseiteninterpretation einnistet und keinerlei anderes Zeug, wie ActiveX und Javascript in Mails ausführen lassen. Das reicht. Schlussendlich haben auch die Provider mit ihren Mailscans viele einfach ausgerottet. Dazu kommt, das Virenspam auch einfach teurer ist, als die Installation eines Drive-By-Downloads.
Aktuell ist das Wort Drive-By-Download ja mehr oder weniger in aller Munde und eigentlich sollte sich jeder Benutzer darüber im Klaren sein, das er sich jederzeit so etwas einfangen kann. Das nicht nur auf Erotikseiten oder Seite mit einem fragwürdigen Inhalt. Auch völlig normale Seiten können geknackt und infiziert worden sind. Doch was tun? Wie geht sowas eigentlich?
Das ganze Hexenwerk eines Driveby basiert immer auf den Schwächen des Nutzercomputers gepaart mit einem Exploit. Der Exploit ist eigentlich so das A und O. Schließlich muss das Programm ja erstmal geladen werden. Meist handelt es sich um einen PDF Exploit. Über Fehler in der PDF Betrachtung wird ein Programmcode auf dem System ausgeführt. Dabei handelt es sich öfters um einen Dropper. Etwas zur Erklärung. Der PDF Betrachter ist ein Teilstück, welches im Browser läuft. Schließlich möchte der Benutzer schnell und einfach ein PDF Dokument öffnen und das gleich im Browser lesen. An dieser Stelle setzen einige der Angriffe an. Dem Programm wird ein Dokuemnt untergeschoben, also es wird geöffnet, das entsprechend dieses Teilstück angreift. Das geschieht durch einen Fehler im Betrachter selbst, der sich am Dokument verschluckt und plötzlich Teile davon als Programmcode ausführt. Viel kann dort nicht übertragen werden, aber es reicht, um einen Dropper zu übermitteln. Schon läuft etwas im Speicher des Browsers, das dort eigentlich nichts verloren hat. Doch was tut dieser Dropper? Er lädt andere Teile, oft die eigentliche Malware nach und schreibt sie in das Betriebssystem und führt sie natürlich auch aus. Poff. Der Trojaner wird nachgeladen und installiert sich in das System. Ich gebe zu, die Erklärung ist sehr dünn und sehr grob. Aber so ungefähr läuft das.
Was kann man machen? Zuerst reicht es oft, dem Browser das PDF-sichten abzugewöhnen. Es sollte statt dessen ein downloade-mich-mal Knopf erscheinen. Dazu deinstalliert man einfach das handelsübliche PDF Programm und installiert etwas einfaches, welches Browser nicht unterstützt. Unbequem, oder? Der andere Weg ist, entsprechend das Browserplugin zu löschen. Händisch. Das erfordert etwas mehr Geschick. Schon sind PDF basierende Drive-by-downloads gebannt. Es geht ein Fensterchen auf, das man doch eine PDF Datei öffnen oder herunterladen soll. An dieser Stelle dann entsprechend Abbrechen. Natürlich wird dies nicht für alles reichen. Es gibt noch unzählige andere Exploits. Allerdings generell hilft diese Vorgehensweise ganz gut weiter.