Gegen Spyware sind Ihr Antivirenprogramm und die Firewall machtlos

Warnung vor Sober Virus

Gegen Spyware sind Ihr Antivirenprogramm und die Firewall machtlos

Es gibt neue Gefahren im Internet, gegen die offenbar selbst ein aktueller Virenscanner oder sogar eine leistungsfähige Firewall nichts ausrichten können. Sie heissen Adware oder wegen der damit verbundenen Datenspionage auch Spyware. Solche Programme oder Programmmodule waren zunächst entwickelt worden, um Daten über die Nutzung und das Kaufverhalten eines Anwenders zumeist bei Freeware mit Werbeeinblendungen anonym zu sammeln. Seriöse Anwender informieren den betroffenen Anwender in aller Regel auch darüber, wenn solche Daten erhoben werden. Nur immer weniger Anwender von Adware scheinen seriös zu sein.

Seitdem mit Freeware und Werbeeinblendungen dieser Art nicht mehr genug Geld zu verdienen scheint, wird leider heute die Masse solcher Programme von sehr unterschiedlichen Interessenten heimlich installiert, um das Verhalten ahnungsloser Internetnutzer auszuspionieren. Sie als Nutzer merken das nicht einmal, weil alles sozusagen hinter Ihrem Rücken abläuft. Ihr Antivirusprogramm oder Ihre Firewall sind ebenfalls meist machtlos. Beide warnen Sie aber, wenn die Spyware versuchen sollte, von Ihrem Rechner heimlich Daten zu versenden. Es gibt 7 Warnzeichen, die Sie zum Schutz vor Spyware besonders beachten sollten:

1. Ihr PC und insbesondere der Internetzugang sind auffallend langsam. Das Stundenglassymbol ist häufig zu sehen, ohne dass eine grössere Anwendung aktiv ist.
2. Im Internet werden Ihnen vom Internet-Explorer laufend neue Fenster mit Werbung eingeblendet, ohne dass Sie einen Zusammenhang mit einer gerade besuchten Webseite erkennen können.
3. Ihre Firewall meldet, dass ein unbekanntes Programm versucht, eine Internet-Verbindung herzustellen. Oft heißt dieses Programm "Bundle.exe" oder "Wupdate.exe" und stammt von SAHAgent. Wird das Programm blockiert, erfolgt im raschen Abstand erneut ein Zugriffsversuch auf das Internet unter anderem Namen.
4. Ihre Internet-Zugangs-Software öffnet sich wie von Geisterhand gesteuert automatisch und stellt eine Internet-Verbindung her oder fordert zur Eingabe Ihres Passwortes für die Internet-Verbindung auf, falls es nicht gespeichert ist.
5. Es tritt eine Fehlermeldung auf wie diese: "bundle.exe Einsprungpunkt nicht gefunden". Der weitere Text lautet: "Prozedureinsprungpunkt WSC Update Provider wurde in der DLL WS2_32.dll nicht gefunden."
6. Die Tastatur am PS/2-Anschluss funktioniert plötzlich nicht mehr, obwohl Ihr Rechner keinerlei Anzeichen für einen Absturz zeigt und sich mit der Maus oder auch einer USB-Tastatur einwandfrei bedienen lässt.
7. Sehr verdächtig ist, wenn Ihr Antivirenprogramm plötzlich nicht mehr aktiv ist. Manche Viren können Antivirenprogramme ausschalten und auch deren Update verhindern.

Allerdings: Warnzeichen können auch eine andere Ursache haben. Ob Ihr PC tatsächlich mit Spyware infiziert ist, finden Experten möglicherweise über den Taskmanager, die Registry und einer Suche nach verdächtigen Dateien auf der Festplatte heraus. Dabei sollten Sie aber immer im "Hinterkopf behalten", dass neuere Spyware nicht leicht zu finden ist. Adware und Spyware sind nämlich gewöhnlich sehr raffiniert programmiert, um ein endgültiges Entfernen vom Rechner zu erschweren.

Computerwurm Sober verbreitet sich rasant weiter
 Sober schaltet Sicherheitssoftware ab

Die neueste Variante des Computerwurms Sober enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verschiedene Schadensfunktionen, um Sicherheitssoftware abzustellen.

Der W32.Sober.X@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine mit gefälschten Absender-Adressen versendet. Der Betreff ist in Englisch oder in Deutsch und beinhaltet den Text

• "Ihr Passwort",
• "Account Information",
• "SMTP Mail gescheitert",
• "Mailzustellung wurde unterbrochen",
• "RTL: Wer wird Millionaer",
• "Sie besitzen Raubkopien",
• "Sehr geehrter Ebay-Kunde"
• oder "Ermittlungsverfahren wurde eingeleitet"

Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .zip.

Wird der Anhang entpackt und die beinhaltete Datei geöffnet, wird der Wurm aktiviert.

Dem Anwender wird eine vermeintliche Fehlermeldung mit dem Inhalt "Error in packed Header" angezeigt.

Die Schadensfunktion
Sober versendet sich von infizierten Rechnern automatisch, schaltet verschiedene Virenschutzprogramme ab und spioniert darüber hinaus das System aus.

Allen PC-Nutzern empfiehlt das BSI dringend, eine spezielle Software zur Entfernung des Wurms herunterzuladen

Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

* BSI = Bundesamt für Sicherheit der Informationstechnik

.