System schützen

Systemanalyse
-> HijackThis
-> Secunia SI

Systembereinigung

Würmer
-> Mailwürmer
-> Netzwerk
     > Sasser

Forum (netz-treff.de)

Impressum



Surftipps
iron-city.de (extern)

Mailwürmer - Fragen und Antworten



  1. Ich bekomme laufend Wurm-Mails mit verseuchten Dateianhängen. Wie kann ich das verhindern?
  2. Meine Adresse ist ja weiterhin in den Adressbüchern meiner Bekannten gespeichert. Wie kann ich Wurmmails aus dieser Richtung verhindern?
  3. Ich habe doch einen Virenscanner. Schützt der mich nicht hinreichend?
  4. Welchen Sinn hat ein Virenscanner?
  5. Wenn ich doch viele Wurmmails erhalte? Was bleiben mir dann für Möglichkeiten?
  6. Ist Webmail sicherer als das Herunterladen von Mails mit einem lokal installierten Mailprogramm?
  7. Aber bin ich nicht schon mit dem Wurm infiziert, wenn eine verseuchte Mail mit dem Mailprogramm heruntergeladen wird?
  8. Mein Virenscanner hat im Profilordner bzw. in einer Mailbox-Datei meines eMail-Programmes einen Schädling entdeckt. Wie muss ich vorgehen?





Frage: Ich bekomme laufend Wurm-Mails mit verseuchten Dateianhängen. Wie kann ich das verhindern?

Antwort: Kaum. Sobald Sie Ihre E-Mail-Adresse öffentlich machen, und sei es auch nur gegenüber wenigen Leuten, so kann es bereits passieren, dass Sie irgendwann Wurmmails erhalten. Geben Sie Ihre Mailadresse weit verbreitet öffentlich an (z.B. in Forenbeiträgen, Chatrooms), oder tragen sich in größeren Gruppen zugänglichen Mailinglisten ein, so erhöhen Sie die Wahrscheinlichkeit deutlich, Wurmmails zu erhalten.

Um zu verstehen warum, sollten Sie das Verbreitungsprinzip solcher Würmer kennen: Ein Wurm konnte durch ein leichtsinniges Handeln eines Internetnutzers, der den Wurm auf seinem System installierte, aktiv werden. Der Wurm sucht nun auf dem infzierten System nach allen möglichen Adressen, an die er sich weiterversenden kann - diese findet er z.B. im Adressbuch. Dem nicht genung, durchsucht der Wurm etliche andere Dateien, die Mailadressen enthalten können, so u.a. Textdokumente, Tabellenkalkulationen, aber auch html-Dateien im lokalen Browsercache.

Somit versendet sich der Wurm ebenso an Bekannte des Betroffenen (Adressen im Adressbuch, in Textdokumenten), als auch an Unbekannte (Adressen aus html-Dateien). Dabei setzt er alle gefundenen Adressen wahllos und wechselweise als Absender und Empfänger ein, um sich a) möglichst weit zu verbreiten und b) die letzlichen Empfänger über seine wahre Herkunft hinweg zu täuschen.

Haben Sie nun also Ihre Mailadresse nicht nur an Bekannte weitergegeben, die Ihre Adresse dann im lokalen Adressbuch speichern, sondern auch noch z.B. in Forenbeiträgen genannt, so wird Ihre Adresse zusätzlich in html-Dateien im Browsercache von unzähligen Nutzern gespeichert, die Ihren Forenbeitrag gelesen haben.

Installiert sich auch nur einer dieser User einen Wurm, so werden Sie in der Folge etliche verwurmte Mails erhalten.

Daraus folgt: Um nicht mit Wurmmails überschüttet zu werden, sollten Sie Ihre hauptsächlich genutzte Mailadresse nur bedacht weitergeben. Legen Sie sich für Forenbeiträge oder Chats eine Zweit-Adresse an, die Sie gegebenenfalls auch wieder löschen können, oder wählen Sie hierfür einen Anbieter, der einen guten serverseitigen Wurmfilter bietet.



Frage: OK, aber meine Adresse ist ja weiterhin in den Adressbüchern meiner Bekannten gespeichert. Wie kann ich Wurmmails aus dieser Richtung verhindern?

Antwort: Das kann und muss in erster Linie jeder selbst für seinen PC umsetzen. Jeder, der das Internet nutzt, sollte sich über einige gewisse Grundregeln im Klaren sein. Setzen Sie auch Ihre Bekannten über diese Regeln in Kenntnis. Erstmal ganz pauschal gesagt: Man sollte sich ganz einfach keine Würmer installieren. Dies geht wie folgt:

Hinsichtlich Programmauswahl- und Pflege:
  • Verzichten Sie möglichst auf besonders anfällige Programme wie Outlook Express oder ähnliche, z.B. Incredi Mail, die zur Anzeige der Mails die Internet Explorer Engine nutzen. Können Sie aus bestimmten Gründen nicht auf Outlook / Express verzichten, stellen Sie zumindest sicher, dass empfangene Mails im "Nur-Text"-Format dargestellt werden.
  • Nutzen Sie besser ein gut gepflegtes E-Mail-Programm wie Mozilla Thunderbird. Aktivieren Sie aber bitte auch hier die Anzeige der Mails im Format "Nur Text". Diese Empfehlung gilt prinzipiell für jedes Mailprogramm.
  • Halten Sie das genutzte Mailprogramm stets auf dem aktuellen Stand; spielen Sie verfügbare Updates zeitnah ein.

Hinsichtlich des Umgangs mit empfangenen Mails:
  • Seien Sie stets misstrauisch, wenn es darum geht, dass Sie durch den Inhalt der Mail zu etwas verleitet werden sollen, z.B. zum Öffnen eines Dateianhanges oder zum Anklicken eines Links.
  • Bedenken Sie, dass das Fälschen der Absender eine Leichtigkeit ist. Bewerten Sie die Vertrauenswürdigkeit einer Mail also nicht allein anhand des Absenders!
  • Öffnen Sie keine Dateianhänge, die ausführbar sind. Darunter fallen unter anderem Dateien mit den Endungen exe, pif, scr, bat, com, cmd, chm, cpl, vbs, vbe, htm, html, hta, js, jse, reg.
  • Beachten Sie in diesem Zusammenhang, in Windows die Anzeige bekannter Dateinamenerweiterungen zu aktivieren. Somit sind Sie nicht anfällig gegenüber des Tricks, wobei doppelte Dateiendungen verwendet werden. Beispiel: dateiname.jpg.exe. Würden bekannte Dateinamenerweiterungen ausgeblendet, wäre lediglich dateiname.jpg zu sehen, nicht aber die entscheidende Endung "exe" erkennbar.
  • Lassen Sie sich auch nicht täuschen, wenn vor der letzten, entscheidenden Dateiendung eine große Anzahl von Leerzeichen gesetzt werden. Beispiel: dateiname.jpg .exe. Auch hier gilt: nicht ausführen!
  • Führen Sie also niemals einfach aus der Mail heraus einen Datei aus.
  • Haben Sie auch nur den geringsten Zweifel, lassen Sie den Anhang unberührt. Holen Sie lieber vorher einen Rat ein, fragen Sie z.B. in einem Forum nach, oder leiten den Dateianhang mit der Funktion "Weiterleiten" z.B. an die auf der folgenden Seite abrufbare Adresse weiter: http://sicher-ins-netz.info/analyse/submit.html.

Wenn Sie all dies beachten, und das müssen Sie, wenn Sie sich effektiv schützen wollen, kann Ihnen auf dem Mailwege kaum etwas passieren.



Frage: Aber ich habe doch einen Virenscanner. Schützt der mich nicht hinreichend?

Antwort: Ganz deutlich: Nein! Das kann er prinzipiell auch gar nicht. Dazu muss man Folgendes wissen: Neue Mailwürmer verbreiten sich in der Regel explosionsartig innerhalb weniger Stunden - weltweit.

In der ersten Verbreitungsphase ist dieser Wurm für die Virenscanner noch gar nicht bekannt (von einigen heuristischen, also an bestimmten Wurmeigenschaften orientierten Erkennungserfolgen einmal abgesehen). Die AntiViren-Labore müssen erstmal so eine Wurmdatei bekommen, um nach einer Analyse eine passende Signatur zu erstellen. Diese muss dann noch über ein Signaturenupdate den Nutzern zum Download zur Verfügung gestellt werden. Die Wartezeit hierfür beträgt, unterschiedlich von Fall zu Fall, wenige Stunden bis zu mehrere Tagen. Innerhalb dieses Zeitraumes bietet ein installierter Virenscanner keinen Schutz vor dem neuen Schädling.

Erreicht Sie nun so ein Wurm in der ersten explosionsartigen Verbreitungsphase, können Sie sich nur auf Ihr eigenes, bedachtes Handeln verlassen können (siehe dazu die obigen Hinweise).

Bedenken Sie ferner, dass es nicht nur Würmer sein können, die Sie auf dem Mailwege erreichen. Auch Trojaner, die, wenn sie aktiv werden, z.B. Ihre Passwörter oder sensible Onlinebanking- und Kreditkarteninformationen stehlen, sind da nicht selten. Da sie sich aber nicht so explosionsartig verbreiten, sondern eher in Spammails versandt werden, kann sich hier eine Erkennung durch den Virenscanner noch länger hinziehen oder gleich gar nicht erfolgen, wenn z.B. dieser Schädling durch das AV-Lab nicht registriert wurde.

Würden Sie sich allein auf den Scanner verlassen und bei Nichtmeldung einen infizierten Anhang ausführen, so könnten installierte "Schutzprogramme" wie Virenscanner oder Personal Firewalls in sekundenschnelle einfach deaktiviert werden. Das ist möglich, da die meisten User mit Administratorrechten ins Internet gehen.

Sie sehen: auch hier bietet der Virenscanner keinen zuverlässigen Schutz. Sie selbst tragen die Verantwortung. Nicht nur für sich selbst, sondern auch dafür, nicht zur Wurmschleuder zu werden und andere dadurch zu belästigen.



Frage: Welchen Sinn hat denn dann ein Virenscanner?

Antwort: Sie können ihn z.B. zu Filterzwecken nutzen, um bekannte Schädlinge zu löschen oder zu markieren, damit solche Mails im Mailprogramm gleich in einen entsprechenden Müllordner verschoben werden. Eine Nutzung zwecks Indentifierzierung bestimmter Schädlinge ist ebenfalls denkbar, wenn es darum geht, in einer Abuse-Mail (siehe unten) den verantwortlichen Wurm zu nennen. Als verlässliche Stütze hinsichtlich eines Mailwurmschutzes kann er aber nicht dienen.

Ganz im Gegenteil sind beim Einsatz eines Mailscanners Konflikte mit dem Mailprogramm / Mailserver nicht auszuschließen, eine SSL-verschlüsselte Verbindung wird vom Virenscanner z.B. auch gar nicht überwacht.



Frage: Und wenn ich doch viele Wurmmails erhalte? Was bleiben mir dann für Möglichkeiten?

Antwort: Nun, wie wir ja bereits wissen, fälschen die Würmer die Absenderadressen, sodass es keinen Sinn macht zu antworten und auf einen Wurmbefall hinzuweisen. Hier muss man also einen anderen Weg einschlagen. Schauen Sie sich die Header der jeweiligen Wurmmails genauer an, lesen Sie die IP des Absenders aus und geben Sie diese in die Whois-Abfrage des RIPE ein, um die Abuse-Adresse des zuständigen Internetproviders herauszufinden.

An diese Adresse mailen Sie nun den kompletten Header der Wurmmail mit der Bitte, den betroffenen User über die Wurminfektion zu informieren. Der Provider ermittelt dann anhand der IP und des Zeitpunktes, die aus dem mitgesandten Header ersichtlich sind, den entprechenden Kunden und setzt ihn über den Wurmversand in Kenntnis. In der Regel führt dies nach einigen Tagen dazu, dass der Wurmversand über den PC dieses Users gestoppt wird. Reagiert der User nicht, so wird der Provider ihn ggf. sperren.



Frage: Ist Webmail sicherer als das Herunterladen von Mails mit einem lokal installierten Mailprogramm?

Antwort: Nein. Webmail kann sogar unsicherer sein, da über den Browser ggf. aktive Inhalte ausgeführt werden. Besonders die Nutzung des Internet Explorers birgt hier ein höheres Sicherheitsrisiko. Bei einem Mailprogramm, welches die Mails im Nur Text Format darstellt, werden jedoch keine aktiven Inhalte ausgeführt. Auch kann man Phishing verhindern, da die Mails ja nicht im HTML-Format angezeigt werden.



Frage: Aber bin ich nicht schon mit dem Wurm infiziert, wenn eine verseuchte Mail mit dem Mailprogramm heruntergeladen wird?

Antwort: Nein. Der Wurm müsste zur Ausführung gelangen. Das kann er aber nur, wenn er a) eine Sicherheitslücke im Mailprogramm ausnutzt oder b) Sie den Wurm durch Ausführen der Datei selbst installieren würden. Beachten Sie jedoch die oben genannten Schutzhinweise, verhindern Sie eine ungewollte Wurminstallation effektiv.



Frage: Mein Virenscanner hat im Profilordner bzw. in einer Mailbox-Datei meines eMail-Programmes einen Schädling entdeckt. Wie muss ich vorgehen?

Antwort: Nicht selten melden einige Virenscanner Schädlinge innerhalb von Mailbox-Dateien, z.B. bei Nutzung der eMailprogramme Mozilla (Thunderbird) oder Netscape, aber auch Outlook bzw. Outlook Express. Dies bedeutet zunächst einmal keine Gefahr, solange ein Schädling in einer Mail nicht durch den Nutzer selbst ausgeführt wird.

Der Schädling ist hierbei also nicht aktiv, er liegt vielmehr inaktiv in der Mailbox.

Einige Virenscanner bieten hier die Löschung der Datei an, was Sie jedoch nicht bestätigen sollten. Der Grund: Mehrere eMails eines Ordners, z.B. des Posteingangsordners ihres Mailrogrammes, werden innerhalb einer Datei abgelegt. Stimmen Sie nun der Löschung zu, würden mit ihr auch alle anderen eMails Ihres Posteingangs verlorengehen.

Es macht also prinzipiell keinen Sinn, Mailbox-Dateien durch einen Virenscanner überwachen zu lassen. Löschen Sie besser suspekte Mails sofort, und wählen von Zeit zu Zeit in Ihrem Mailprogramm "Datei >Ordner komprimieren". Damit werden auch alte, bereits nicht mehr offensichtliche Mails, endgültig aus der Mailbox-Datei entfernt.

Ausführlichere Erläuterungen zu dieser Problemstellung finden Sie hier.



© Markus Klaffke 2004-2009 | Kommentare, Anregungen, Verbesserungsvorschläge bitte an die hier abrufbare Adresse mailen - vielen Dank!