Die neuste Generation der Internetviren hört auf den Namen Blackhole – und sie lauern sowohl in sozialen Netzwerken, als auch in Spammails, auf Internetseiten und in Generatoren für Lizenzschlüssel. Der Schädling durchsucht den Rechner nach Sicherheitslücken. Ist das gelungen, ebnet er den Weg für andere schadhafte Software, die auf dem Computer des Verbrauchers Zugriff erhält. Das sind beispielsweise Keylogger: Programme, die jeden Tastenanschlag aufzeichnen und dadurch in die Lage versetzt werden, Passwörter und Bankverbindungen auszuspähen. Auch ein sogenannter Geiselnehmer bedeutet Pech für den Nutzer. Er blockiert das Gerät so lange, bis das geforderte Lösegeld überwiesen wurde. Gefälschte Antivirenpakete animieren derweil zum Kauf von nutzloser Software.
Experten sind sich einig: Die Blackhole-Familie hat sich 2012 besonders stark verbreitet. Schon im ersten Halbjahr wurden etwa sechs Millionen Windows-Rechner davon befallen. Drahtzieher dahinter sind kriminelle Netzwerke, die ihre Schädlinge im Stundenrhythmus verändern und auf anderen Servern platzieren. Dadurch ist es für Antivirenprogramme immer schwieriger geworden, die Eindringlinge aufzuspüren.
Windows-Computer bilden Testgrundlage
Bei einer Überprüfung von Schutzprogrammen durch die Stiftung Warentest durften auch Blackhole-Schädlinge zeigen, wozu sie im Stande sind. 14 Sicherheitspakete wurden getestet, wie auch vier kostenlose Programme. Nur wenige von ihnen waren in der Lage, die Blackholes zu identifizieren und unschädlich zu machen. Private Windows-Computer stehen bei dem Test im Fokus, weil Linux- und Apple-Rechner zum einen unattraktiver für Schadsoftware und außerdem weniger verbreitet sind.
Eine Spezialsoftware, die sogenannte virtuelle Maschine, hilft den Testern, die Programme zu prüfen. Marcus Pritsch ist Projektleiter bei der Stiftung Warentest und erklärt den Vorteil dieser Variante: Die virtuelle Maschine kann in den Ursprungszustand zurückgesetzt werden, falls das Schutzprogramm nicht gegen die Viren geholfen hat. Bei einem echten PC als Testgrundlage müsste in solchen Fällen das Betriebssystem aufwändig neuinstalliert werden. Doch auch dieses Vorgehen ist nicht ganz unproblematisch, weil manche Schädlinge virtuelle Maschinen erkennen und sie überhaupt nicht angreifen. Derartige Schädlinge müssen für einen Test selbstverständlich auf eine reale Maschine losgelassen werden, damit jeder Virus seine Wirkung auch vollständig entfalten kann.
Wie der Test abläuft:
Über die Bildschirme im Prüflabor flimmern Warnmeldungen und im Explorer wandern Datenpakete umher. Der Spuk ist nach wenigen Sekunden vorbei. Die Tester durften indes ein paar Tabus brechen und illegale Dateien laden, Anhänge von fragwürdigen E-Mails öffnen und verseuchte Internetseiten besuchen. Alle 75 Quellen enthielten ganz unterschiedliche Schädlinge, in deren Angesicht die Wächter ihre Zuverlässigkeit beweisen konnten. Solche Wächter sind dauerhaft aktiv und laufen im Hintergrund. Wenn sie verdächtige Vorgänge bemerken, alarmieren sie den Nutzer und löschen die auffällige Datei. Das funktioniert aber nicht bei allen Schädlingen. In einem solchen Fall wandern sie lediglich in die Quarantäne und werden unschädlich gemacht.
Im Test hatte Kaspersky den verlässlichsten Wächter. Nahezu alle Eindringline wurden abgewehrt, während Microsoft Security Essentials nur jeden dritten erkannte. (LB/BHB)
