Einleitung

Immer wieder ist es zu beobachten: Internetnutzer haben einen neuen Computer erworben, oder das Betriebssystem - Windows 2000 oder XP - wurde neu aufgesetzt. Unmittelbar danach stellt der Nutzer eine Verbindung zum Internet her. Kaum online, macht sich zusehends eine drastische Verlangsamung der Systemabläufe und der Internetverbindung bemerkbar, undefinierte Prozesse tauchen auf, der Taskmanager sowie der Registrierungseditor und ggf. installierte Antiviren-Programme werden geschlossen oder lassen sich erst gar nicht starten, in etlichen Fällen wird die Anzeige von Webseiten vieler AntiViren-Labs unterbunden. Was ist passiert?

Einigen Lesern sind "Blaster" oder "Sasser" sicher ein Begriff. Die Schädlingsnamen gingen vor Jahren durch die Presse, als sich diese Netzwerkwürmer explosionsartig im Internet verbreiteten und dabei großes Aufsehen erregten, da weltweit etliche Windows-Systeme abstürzten und ein normales Arbeiten unmöglich wurde.

Auch heute noch sind solche Würmer teils stark verbreitet. Sie führen zwar nicht mehr zu einer so großen Medienresonanz wie Sasser und Blaster, sind aber viel gefährlicher und fallen zudem weniger durch abstürzende Systeme auf. Doch wie genau verbreiten sie sich, wie erkennt man sie, und wie kann man sich am besten vor ihnen schützen? Antworten auf diese Fragen sollen die folgenden Erläuterungen geben.


A.) Der Verbreitungsweg / Grundlagen

Netzwerkwürmer sind nicht vergleichbar mit den vielleicht bekannteren Mailwürmern, die sich massenhaft an E-Mail-Adressen weiterversenden, weil PC-Besitzer zuvor unüberlegt einen Dateianhang aus einer E-Mail ausführten oder ihr E-Mail-Programm falsch konfiguriert haben.

Es ist nicht nötig, dass man den Browser startet und damit im Internet surft, das Mailprogramm aufruft, um Mails zu empfangen und zu versenden oder den Instant Messenger nutzt, um zu chatten. Denn Netzwerkwürmer vermögen bereits auf (unzureichend gesicherte) Windows-Systeme zu gelangen, sobald auch nur eine Internetverbindung hergestellt wurde: Wenige Sekunden bzw. einige Minuten können schon ausreichen.

Um die Problematik zu verstehen, sollte man sich zunächst das im Folgenden Grundlegende zu Gemüte führen:

Damit eine Nutzung des Internets möglich wird, muss eine Übertragung von Daten erfolgen - Daten müssen verschickt und empfangen werden können, genau wie auch Päckchen und Pakete, die man mit der Post versendet und empfängt, oder wie bei einem Boten, der eine Nachricht von A nach B, sowie darauf erfolgende Antworten wieder zurück nach A bringt.

Was muss der Bote wissen, damit er die Nachrichten zuverlässig hin- und zurück transportieren kann?

a) Zunächst einmal muss der Bote den Auftrag erhalten, eine Botschaft zu transportieren. Dieser Auftrag wird ihm z.B. vom Browser erteilt. Der Browser möchte eine bestimmte Internetseite anzeigen, z.B. www.tagesschau.de. Also teilt das Betriebssystem, in diesem Falle Windows, der Anfrage ein Bearbeitungs-"Fenster" (=Port) zu. Von diesen Ports gibt es viele, über 60.000. Sagen wir, der Anfrage des Browsers wird der Port mit der Nummer 2069 zugeteilt. Somit weiß der Bote, dass er, wenn er später zurückkehrt, die Antwort auf die Anfrage wieder bei Port 2069 abliefern muss, denn dort wird ja fortan auf die Antwort gewartet.

b) Der Port allein reicht jedoch nicht als Absenderinformation, denn wie auch im realen Leben braucht der Bote eine Hausanschrift, also den Wohnort mit Straße und Hausnummer. Würden Sie z.B. einem Fahrradkurier den Auftrag erteilen, etwas abzuholen und die Sendung bei Ihnen im "dritten Stock, mittlere Wohnung" abzuliefern, wüsste er noch lange nicht, wohin er sie bringen müsste. Denn es gibt ja viele Häuser mit einem dritten Stockwerk. Er muss daher auch die Straße und Hausnummer kennen, um die entsprechende Wohnung finden zu können. Diese Anschrift mit Ort, Straße und Hausnummer ist im Internet vergleichbar mit der sogenannten IP-Adresse - es ist die Anschrift Ihres Computers im Internet. Diese IP-Adresse wird Ihrem PC, wenn Sie sich über Ihren Internetprovider einwählen, automatisch zugeteilt. Als Beispiel nehmen wir die IP-Adresse 84.245.173.222.

Zwischenfazit: Der Bote kennt nun den Port, wo er später die Antwort abliefern muss, sowie die IP-Adresse, also die (Absender)-Anschrift Ihres Computers im Internet. Jetzt muss er noch wissen, wohin die Anfrage gesendet werden soll:

c) Gleichzeitig mit den Absender-Informationen wird dem Boten das Ziel mitgeteilt, in diesem Fall www.tagesschau.de. "www.tagesschau.de" ist dabei aber nur eine vereinfachte Darstellung. Denn wie wir bereits wissen, werden Adressen im Internet anhand von IP-Adressen dargestellt. Für tagesschau.de ist dies (derzeit) die 193.97.251.27. Sie ist nur für den Normalanwender nicht sichtbar, da diese Zahlenadressen in aus Buchstaben bestehende Namen übersetzt werden.

d) Und natürlich bekommt der Bote die Adresse des Ports mitgeteilt, an dem er die Anfrage abliefern muss. Hinter dieser Adresse gibt es, wie bei Ihrem Computer zu Hause, ebenfalls Ports, nur mit dem ersten wichtigen Unterschied: Bestimmte Fenster, also Ports, sind hier ständig offen. Für Anfragen zur Anzeige gewünschter (unverschlüsselter) Webseiten ist dies immer Port 80.

Es wird also von demjenigen, der die Webseite anbietet, auf dem entfernten Computer im Internet ein Dienst eingerichtet, der ständig zum Empfang von Anfragen bereit ist und dazu standardmäßig Port 80 offenhält. Dies bezeichnet man grob gesagt auch als Webserver. Ihr Computer zu Hause ist dabei das Gegenstück, in diesem Zusammenhang auch "Client" genannt, der, um es mit der Übersetzung des Begriffes aus dem Englischen zu sagen, der "Auftraggeber" oder "Kunde" ist. Der Webserver im Internet hingegen geht auf die Anfragen des Kunden ein und liefert über den bereitgestellten Dienst die angeforderten Daten (Anzeige der Webseite) zurück.

Zweites Zwischenfazit:

Nachdem vom PC des Internetnutzers (Client genannt), der eine Webseite aufrufen möchte, inklusive Absenderangabe eine Anforderung an den Webserver geschickt wurde, sendet der Webserver nun die angefgorderten Daten an die Absenderadresse zurück.

An dieser Stelle kommen wir zu einem entscheidenden Punkt:

Der Webserver im Internet hält durch den zur Verfügung gestellten Dienst ständig einen Port offen (Port 80). Ein aktiver Dienst öffnet also einen Port.

Wohingegen Ihr PC zu Hause, der Client, seinen Port, über den er die Anfrage an den Server stellte, nicht ständig offenhält. Er stellte nur eine Anfrage, weshalb nun an diesem einen Port auf die eine spezielle Antwort des Webservers gewartet wird. Der Port gilt somit nicht als "offen".

Ihr PC zu Hause ist also in der Regel stets der Client und kein (Web)Server, denn Sie wollen ja keine Dienste anbieten, Sie wollen auf Ihrem PC keine Webseite abspeichern, die andere Leute dann aufrufen können. Sie möchten sich lediglich selbst Webseiten von anderen Menschen anschauen, Sie möchten über E-Mails oder Chats kommunizieren.

Leider jedoch bietet Windows (NT, 2000, XP) standardmäßig sogenannte Netzwerkdienste an, welche ihrerseits Ports öffnen. Diese Netzwerkdienste sollen es u.a. für Heimanwender erleichtern, hausintern kleine Netzwerke z.B. zwischen den PCs von Familienmitgliedern einzurichten. Das kann z.B. zum Zwecke des vereinfachten Datenaustausches untereinander geschehen, oder aber zur Verbindung von Arbeits-PC und Notebook. Ebenso kann es erfolgen, weil man mit mehreren PCs einen vorhandenen Internetzugang nutzen möchte.

Microsoft beging allerdings bei der Konzeption dieser Netzwerkdienste einen prinzipiellen Fehler: Sie sind standardmäßig nicht nur intern verfügbar, sie werden auch in Richtung Internet angeboten! Das ist völlig unsinnig, denn Sie wollen diese Dienste ja eigentlich gar nicht für das Internet verfügbar machen. Selbst wenn Sie kein hausinternes Netzwerk nutzen, sind diese Dienste aktiv und öffnen Ports, die sofort nach Einwahl auch über das Internet ansprechbar sind.

Über den geöffneten Port ist nun der Dienst ansprechbar, der seinerseits den Port zuvor geöffnet hatte. Ein Dienst ist nichts anderes als eine bestimmte Software. Software enthält, da sie von Menschenhand programmiert wurde, Fehler. Diese Fehler reißen nicht selten Sicherheitslücken in die Software. Ist ein Dienst mit einer bekannten Sicherheitslücke über einen geöffneten Port ansprechbar, so kann diese Sicherheitslücke von Schädlingen ausgenutzt werden, um auf das verwundbare System zu gelangen.

Und genau auf diese Weise verbreiten sich die Netzwerkwürmer:

Sie wurden so programmiert, dass sie einfach bestimmte Bereiche von IP-Adressen nacheinander systematisch prüfen, ob hinter ihnen Computer mit dem Internet verbunden sind, auf denen die verwundbaren Dienste laufen. Finden sie so einen Computer, wird eine Routine zur Ausnutzung der Sicherheitslücke - (ein sogenannter Exploit) - gestartet und der Wurm auf Ihrem PC installiert. Kaum aktiv, sucht der Wurm nun ausgehend von Ihrem PC nach weiteren verwundbaren Computern im Internet. Auf diese Weise findet eine ständige, schnelle Verbreitung dieser Netzwerkwürmer statt.


B.) Wie kann ich mich nun schützen?

1.) Das ist ganz logisch erklärbar und auch gar nicht so schwer umsetzbar. Einerseits nutzen diese Würmer bekannte Sicherheitslücken aus. Diese Lücken sind jedoch inzwischen von Microsoft behoben worden, allerdidngs nur in neuen Versionen der betroffenen Software. Mit anderen Worten: Sie müssen Ihre Software, in diesem Fall Ihr Betriebssystem Windows, aktualisieren. Sogenannte "Patches", also Software-Flicken, stopfen die Sicherheitslücken, indem alte, verwundbare Dateien durch neue Dateien ersetzt werden, die die erkannten Fehler nicht mehr aufweisen.

Windows 2000 wird seitens Microsoft nicht mehr unterstützt, und sollte daher nicht mehr eingesetzt werden. Für Windows-XP-Installationen gilt: Vor der ersten Internetverbindung sollte offline das Service-Pack 3 installiert werden. Dadurch ist die Windows-"Firewall" standardmäßig aktiv und schützt von vornherein, genau wie standardmäßig bei Vista und Windows 7 - vor solchen Würmern.

Kurz: Erkannte Lücken stets durch anfängliches wie späteres Aktuellhalten des Betriebssystems stopfen!

2.) Gehen Sie über einen Router online - dieser schirmt das dahinter betriebene System gegenüber Netzwerkwürmern (aus dem Internet) ab. Begründung:

3.) Die Verbreitung der Schädlinge wird wie beschrieben auch dadurch möglich, dass unnötiger und unsinniger Weise standardmäßig Windows Netzwerkdienste in Richtung Internet angeboten werden, Dienste, die der Normalanwender mit Einzelplatz-PC gar nicht benötigt.

Wie oben bereits erwähnt, enthält jede Software Fehler. Daraus folgt, dass durch jede unnötig laufende Software und somit auch durch unnötig laufende Dienste die Fehleranfälligkeit in der Summe erhöht wird. Somit steigt, wenn diese Software in Richtung Internet angeboten wird, auch die von außen erreichbare Angriffsfläche.

Es wäre also logisch, um die Angriffsfläche zu verkleinern, auch nur die Dienste anzubieten, die man wirklich benötigt, und alle anderen abzuschalten. Denn selbst, wenn diese abgeschalteten Dienste Fehler enthalten, können diese Fehler nicht ausgenutzt werden, da der Dienst ja nicht erreichbar ist.

Kurz: Nur die Dienste nutzen, die Sie benötigen, alle anderen abschalten, um die Angriffsfläche zu verkleinern.

Die Maßnahmen unter Punkt 1.) sind zwingend erforderlich, Punkt 2.) ist dringend zu empfehlen und 3.) optional umzusetzen.

Optimal wäre, die Punkte 1.), 2.) und ggf. auch 3.) miteinander zu kombinieren, also ein stets aktuelles System verbunden mit dem Einsatz eines Routers (weitere Begründung hier) und dem Abschalten nicht benötigter Dienste. Entscheidend ist, dass diese Umsetzung bereits vor der ersten Internetverbindung erfolgt ist, da Sie anderenfalls mit einem löcherigen System ins Internet gehen würden. Die Folge wäre eine schnelle Infektion mit Netzwerkwürmern, die übrigens Backdoorfähigkeiten aufweisen. Damit wird Ihr System ein mögliches und wahrscheinliches Werkzeug für kriminelle Aktionen.

Übrigens: Oftmals als "All-in-One-Lösung" angepriesene Security Suites bzw. sogenannte Drittanbieter-Personal-Firewalls vergrößern eher noch die Angriffsfläche bzw. Fehleranfälligkeit und sollten somit zu Gunsten der windowseigenen "Firewall" sowie der oben genannten Maßnahmen nicht installiert werden.


C.) Entfernung:

Wurde Ihr System mit so einem Schädling infiziert, gehen Sie bitte wie folgt vor:

• Trennen Sie umgehend physikalisch die Internet- bzw. Netzwerkverbindung(en). "Physikalisch" heißt, z.B. durch Ziehen des Verbindungskabels.
• Fahren Sie das System herunter und starten nicht wieder hoch.
• Besorgen Sie sich eine Notfall-Start-CD, z.B. eine Live-CD wie Knoppix oder Ubuntu.
• Überprüfen Sie, ob im BIOS das Booten von CD aktiviert ist. Falls nicht, aktivieren Sie es und stellen es in der Bootreihenfolge vor den Start von "HDD" (also vor das Booten von einer Festplatte).
• Booten Sie von CD und sichern Sie auf diesem Wege wichtige Daten, die Sie zukünftig noch benötigen. Aber bitte nur Daten sichern, keine ausführbaren Dateien, denn diese sind fortan als nicht mehr vertrauenswürdig einzustufen.
• Erstellen Sie ggf. zum Zwecke der Beweissicherung (z.B. für den Fall, dass Ihr PC über aktive Schädlinge bereits strafrechtlich missbraucht wurde oder Dialer eine teure Einwahl verursacht haben) gesondert ein Image der Systempartition - ebenfalls mittels der Notfall-CD, versteht sich.
• Überschreiben Sie mit Hilfe des Live-Systems den MBR, partitionieren und formatieren Sie die Festplatte (empfohlen: NTFS als Dateisystem).
• Installieren Sie anschließend das Betriebssystem vom Originalmedium (Windows XP-CD- bzw. Vista/7-DVD).
• Spielen Sie alle benötigten Treiber ein (Chipsatztreiber zuerst), achten Sie jedoch darauf, dass auch diese nur von Originalmedien aus installiert werden.
• Installieren Sie das jeweils aktuellste Service-Pack (genauere Empfehlungen hier) inklusive aktuellster Patches. Besorgen Sie sich diese z.B. über einen anderen, sauberen PC, oder laden Sie sie über die Notfall-CD (Knoppix, Ubuntu).
• Konfigurieren Sie die Dienste sinnvoll.
• Starten Sie das System neu und wählen sich erst anschließend das erste Mal wieder ins Internet ein.
• Ändern Sie von dem nun sauberen System alle Zugangsdaten und Passwörter, denn diese sind seit der Infektion mit den Schädlingen auch anderen und nicht mehr nur Ihnen bekannt.
• Spielen Sie benötigte Daten (also keine ausführbaren Dateien, keine Programme) aus Ihrem Backup ein.

---