Teil 4: Test: Internet Sicherheits-Pakete

Als ultimative Tarnung gelten Rootkits: Wenn heute von diesem Begriff die Rede ist, sind damit vor allem die Tarnungstechniken gemeint. Ein typisches Rootkit klinkt sich so in Windows ein, dass zum Beispiel einzelne Dateien oder ganze Verzeichnisse nicht im Explorer sichtbar sind. Auch Einträge in der Registry oder im Task-Manager verschwinden.

Ist ein Rootkit erst einmal aktiv, so gibt es keine sichere Methode, es bei laufendem Windows zu entdecken. Zwar haben etliche der Security Suites spezielle Suchroutinen für Rootkits. Doch neue Rootkits können diese austricksen. Letztlich bleibt nur, den PC mit einer bootfähigen Notfall-CD zu starten und mit einem Virenscanner zu prüfen. Weil dann Windows nicht gestartet wird, kann auch das Rootkit nicht aktiv werden. Im Test bieten Kaspersky, GData und Panda Assistenten zum Brennen solcher Notfall-CDs.

Eine besonders gefährliche Methode, um einen PC zu infizieren, sind die so genannten Exploits. Viele Programme inklusive Windows, Internet Explorer und Microsoft Office weisen Sicherheitslücken auf. Übergibt man aber ein speziell präpariertes Datenpaket, also zum Beispiel ein manipuliertes Word-Dokument, so stürzt das Programm sofort ab. Der Trick dabei: Das Word-Dokument enthält Programmcode, den Windows nach dem Absturz ausführt - und schon ist der PC infiziert. Ein Exploit ist die Methode, einen solchen Programmabsturz oder eine vergleichbare Sicherheitslücke auszunutzen. Doch nicht alle Exploits brauchen einen Absturz, bei vielen Exploits für den Internet Explorer arbeitet der Browser einfach weiter.

Das Gefährliche an solcher Malware ist, dass der Virencode ohne jeglichen Eingriff des Benutzers sofort aktiv wird. Bei Netzwerkwürmern genügt es zum Beispiel, wenn ein manipuliertes Programm aus dem Internet einen PC erreicht. Solche Netzwerklücken auszunutzen gehört zum Standardrepertoire aktueller Malware.

Nicht für jede Sicherheitslücke gibt es sofort einen Exploit, manche werden nie ausgenutzt. Immer öfter aber kommt es vor, dass fast gleichzeitig mit der Entdeckung einer Lücke auch ein Exploit im Internet kursiert. Solche Zero Day Exploits machen viele PCs leicht angreifbar. Der Exploit ist erst dann ungefährlich, wenn der jeweilige Software-Hersteller die Sicherheitslücke mit einem Update schließt. Das kann aber schon mal etliche Wochen dauern. Microsoft etwa veröffentlicht Windows-Updates einmal pro Monat. Ein Antivirenprogramm kann da wesentlich schneller reagieren, im Idealfall innerhalb weniger Stunden. Das Antivirenprogramm fängt dann die manipulierten Datenpakete ab, bevor sie das Zielprogramm erreichen.