Gefälschte Antivirus-Tools, auch FAKEAV genannt, sind zu einer erheblichen Gefahr geworden und immer mehr Nutzer fallen dieser profitablen Betrügerei zum Opfer. Zwar arbeiten die Sicherheitsanbieter hart daran, Anwender vor dieser Gefahr zu schützen, doch gehört das Wissen über diesen Betrug ebenso zu einem effektiven Schutz wie die technischen Lösungen. Nachfolgend ein paar Tipps, wie man ein gefälschtes Antivirusprogramm oder ähnliche Internet-Betrugsversuche erkennen kann.

Ein Antivirusprogramm, das sich selbst installiert und dann den PC „scannt“, ohne der Zustimmung des Nutzers, ist höchstwahrscheinlich ein Betrug.

Wenn die Kriminellen Suchmaschinen infizieren, sodass bestimmte Ergebnisse auf gefälschte Antivirusseiten zeigen, so sehen die Nutzer Warnungen, wie die folgende:

Klickt der Nutzer auf OK, so erlaubt er der Malware, sich selbst auf dem PC zu installieren und das System sofort zu scannen. Echte Antivirusanwendungen arbeiten nie auf diese Weise. Nutzer haben immer die Kontrolle über die Anwendung, und die Software fragt vor der Installation und dem Scannen explizit um Erlaubnis. Gibt es also ein Antivirusprogramm auf dem eigenen PC, das man nicht selbst installiert hat, so ist die Wahrscheinlichkeit hoch, dass es sich um Betrug handelt.

Antivirus-Software versucht, den Nutzer nicht zu stören.

Früher waren diese Anwendungen störend, vor allem wenn sie verdächtige Dateien gefunden hatten. Heutzutage jedoch haben die Sicherheitsanbieter die Benutzerschnittstellen ihrer Programme so verbessert, dass sie den Nutzer nicht tangieren. FAKEAV-Anwendungen aber nutzen absichtlich laute und störende Alerts, um Panik unter den Nutzern zu verbreiten.

Wird der Nutzer ständig daran erinnert, ein Produkt zu aktivieren, so ist es eine Fälschung.

Neue gefälschte Antivirus-Varianten haben sehr professionell wirkende Schnittstellen, doch sollten Nutzer gewarnt sein, wenn alles Nützliche einer Software-Aktivierung erfordert. Der Grund dafür liegt darin, dass das Hauptziel der Profit ist, und die beste Art an das Geld zu kommen, ist über Nutzer-Aktivierung. Die folgende Illustration zeigt ein Beispiel einer Aktivierungsseite für eine gefälschte Antivirus-Anwendung:

Damit im Zusammenhang steht eine weitere Möglichkeit, eine echte von einer falschen Antivirus-Anwendung zu unterscheiden: Echte Programme bieten an, jede Gefahr, die sie finden, sofort zu beseitigen, und wollen nicht erst Geld dafür haben. Beispielsweise funktionieren die Testangebote für Trend Micros Titanium 30 Tage ganz normal. FAKEAV-Anwendungen hingegen verlangen erst die Bezahlung für imaginäre Probleme, die sie angeblich gefunden haben.

Die Suchmaschine ist ein Freund.

Es gibt einen Internet-Spruch, der besagt, „alles ist nur einen Google-Suchlauf entfernt“. Scheint etwas verdächtig, so ist es dies wahrscheinlich auch, und der Nutzer sollte online Informationen dazu einholen, etwa den Produktnamen und die dazu gehörige Seite des Anbieters.

Die Produkte von Trend Micro sind alle in der Lage, gefälschte Antivirus-Software zu erkennen und zu entfernen. Auch für die Nutzer, die nicht Trend Micro-Kunden sind, gibt es kostenlose Tools, die FAKEAV-Infektionen beseitigen. Das Fake Antivirus Removal Tool ist kostenlos und wurde auf die Beseitigung der Gefahr im Zusammenhang mit FAKEAV zugeschnitten. Es scannt auf verdächtige Prozesse, Dateien, Ordner und Registry-Einträge, um gefälschte Antivirus-Software von Grund auf zu entfernen.

Die offizielle Website des Friedensnobelpreises ist infiziert worden. Das ist an sich schon schlimm genug, doch kommt hinzu, dass die Kriminellen für ihren Angriff eine Zero-Day-Schwachstelle im Mozilla Firefox-Browser ausgenützt haben. Mozilla bestätigte auf dem eigenen Blog die Sicherheitslücke  und versprach einen Patch dafür, sobald dieser ausgetestet ist. Besagte Lücke ermöglicht einen so genannten „Drive-by Download“, wobei eine bösartige Datei herunter geladen und ausgeführt wird, ohne dass der Nutzer dies mitbekommt.

Die Nobel-Site wurde mit einem bösartigen PHP-Skript kompromittiert, das die Threat Researcher als JS_NINDYA.A identifiziert haben. Aus irgendeinem Grund schränkte der Kriminelle den Wirkungsgrad des Angriffs ein. Mithilfe von Browser-Headern prüft der Exploit sowohl die Version von Firefox als auch die des genutzten Betriebssystems. Mozilla zufolge betrifft die Sicherheitslücke die Versionen Firefox 3.5 und 3.6, doch zielte der Angriff lediglich auf die neueren Version 3.6. Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen.
Der Exploit lädt einen Backdoor (BKDR_NINDYA.A) auf das System des Nutzers, der Verbindung zu einem Command & Control-Server aufnimmt. Zu den von dort erhaltenen Befehlen gehört das Herunterfahren des Opfersystems aber auch das Löschen aller Dateien auf dem System.
Trend Micro hat sowohl das Skript als auch die Payload entdeckt, die diese Attacken nutzen, und die damit verbundenen URLs blockiert. Auch gilt die neueste Firefox-Version 4 Berta als sicher. Mozilla empfiehlt zudem, als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist.

Kürzlich fand in Tokio die jährliche Konferenz Direction 2010 statt, bei der Trend Micro Partner und Kunden zum Meinungsaustausch trifft. Im Rahmen einer Panel-Diskussion debattierten Vertreter von AV-Comparatives, AV-Test und NSS Labs über den Bedarf an neuen Metriken und Methodologien beim Testen von Sicherheitsprodukten gegen reale Bedrohungen. Alle Teilnehmer waren sich darüber einig, dass neue Tests erforderlich sind, die die Angriffe auf die echten Kundenumgebungen besser widerspiegeln.

Es bedarf einer Reform der Methodologien von Testverfahren für Sicherheitsprodukte, um die heutigen Bedrohungen besser in den Griff zu bekommen

Live-Angriffsszenarien, gegen die die geplante Implementierung von Sicherheitslösungen geprüft wird, liefern die beste Darstellung der Effizienz der Arbeitsweise eines Produkts. Die Tester sollten auch in der Lage sein herauszustellen, wie die schädlichen Auswirkungen von Malware vor der Ausführung an unterschiedlichen Punkten blockiert werden können. Beispielsweise können verschiedene Lösungen folgendes leisten:

1. Sie blockieren Malware bei deren Auftauchen am Endpunkt (z.B. Web Filtering; Web Reputation Services)
2. Sie hindern bösartige Dateien an der Ausführung am Endpunkt (z.B. signaturbasiertes Scannen der Dateien)
3. Sie hindern Malware an der Ausführung schädlicher Aktionen (z.B. Verhaltensmonitoring) und
4. schützen Schwachstellen vor Exploits (z.B. Deaktivieren des Zugangs zu bekannten Schwachstellen, bis diese geschlossen sind).

Die längste Zeit über hat das traditionelle Testen lediglich das Aufspüren gemessen (siehe Punkt 2). Dieser Ansatz ist zu simpel, bestraft innovative Lösungsanbieter und missachtet den Wert des Blockierens einer Bedrohung in einem frühen Stadium der Ausführung. Zudem muss noch ein weiterer Aspekt beachtet werden: die Geschwindigkeit, in der neue Bedrohungen behandelt werden (schließlich gibt es alle 1,5 Sekunden eine neue Bedrohung).

Die Kunden profitieren von diesen neuen Tests, indem sie tatsächlich beurteilen können, welches Produkt sie am besten gegen die wahren Bedrohungen schützt. Sie müssen sich nicht länger die künstlichen „Shootouts“ gegen eine Million alter Schädlingsmuster ansehen, die über einen manuellen Scan geprüft werden. Die neuen Tests zeigen nicht nur, wie effektiv ein Produkt webbasierte Bedrohungen blockiert, sondern auch wie schnell der Sicherheitshersteller den Schutz gegen eine neue Bedrohung zur Verfügung stellt – Time to Protect.

Angesichts der Tatsache, dass Malware immer aggressiver wird und eine Umstellung in der Verbreitung der Schädlinge von der Selbstreplizierung auf Spam-Kampagnen stattfindet, gewinnen diese Aspekte ernorm an Bedeutung. Malware sieht heute anders aus als vor fünf Jahren, also sollten auch die Tests anders durchgeführt werden.

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

In letzter Zeit wurde ich mehrfach um meine Meinung zur Frage gebeten, welches der sicherste Browser sei. Vermutlich ist dies eine Reaktion auf Microsofts Update der Umfrage „Browser Choice“, über die auch der Nachrichtendienst The Register berichtet hatte. Meiner Meinung nach führt diese Fragestellung, bei der Anwender unter 12 Browsern wählen sollen, in die Irre. Denn ein Browser wird einem Nutzer nie Sicherheit geben, unabhängig davon, von welchem Hersteller er stammt. Anwender müssen eigene Schritte unternehmen, um ihre Sicherheit gewährleisten zu können.

Quelle: J. Anderson

Dieses Update zwingt Millionen Nutzer dazu, eine Wahl zu treffen, die sie überfordert. Es stehen nämlich neben Internet Explorer (sic!), Mozilla Firefox, Safari, Opera und Google Chrome noch weitere sieben Browser über das Microsoft Pop-up zur Auswahl.

Zu Recht richten heutzutage viele Anwender ihre Aufmerksamkeit in erster Linie auf die Sicherheit, wenn sie online browsen. Doch ist die Frage nach dem sichersten Browser falsch. Jedes Produkt hat seine Schwachstellen, Fehler und Patches. Aber die Angriffe richten sich mehr und mehr nicht nur auf die Browser sondern auch auf die Anwendungs-Plugins wie QuickTime, Flash oder Acrobat – und die lassen sich in unterschiedlichen Varianten der Browser einsetzen. Außerdem gibt es viele Attacken auf Einzelne, unabhängig vom eingesetzten Browser (etwa Phishing oder andere Social Engineering-Angriffe).

Deshalb ist die wichtigere Frage: „Wie kann ich meinen Browser am besten sichern?“ Trend Micro bietet kostenlose Werkzeuge wie Browser Guard und das Web Protection Add On für den Internet Explorer. Browser Guard entdeckt und blockiert weit verbreitete Exploit-Techniken (wie Heap Spray und Buffer Overflow oder sucht nach Shell-code). Damit bietet das Tool einen proaktiven Schutz vor unbekannten Gefahren. Das Web Protection Add-On blockiert bekannte bösartige Sites. Zudem gibt es eine ganze Reihe weiterer Tools und Plugins für viele andere Browser, etwa AdBlock Plus oder NoScript für Firefox.

Die verschiedenen Sicherheitswerkzeuge oder Techniken erfordern auch unterschiedliche technische Kenntnisse über die Browser oder auch über die Gefahren im allgemeinen, um eine effiziente Sicherheit im Internet für sich zu erreichen. Als hilfreich erweisen sich auch unabhängige Tests. Die beste Empfehlung in den meisten Fällen ist, bei dem Browser zu bleiben, den der Nutzer am besten kennt, und diesen entsprechend zu sichern.

In der letzten Februarwoche fand das erste Meeting in diesem Jahr der Anti-Malware Testing Standard Organization (AMTSO) statt.

Eines der heißen Themen des Treffens bezog sich auf eine Initiative, Reports von Test- und Zertifizierungsorganisationen zu überprüfen. Das Review Analysis Board (RAB) der AMTSO erhält eine diesbezügliche Anfrage und entscheidet dann über die Durchführung einer Überprüfung. Die Arbeit des RAB wird mit der des Review Analysis Committee (RAC) abgestimmt. Das RAC besteht aus freiwilligen Teilnehmern, die Reports auf der Grundlage der neun Prinzipien der Organisation analysieren. Die AMTSO-Grundsätze stellen ihre Mitglieder – Tester und Antivirus-Anbieter – auf. Sie werden von den akademischen Beratern der Organisation unterstützt. Die Testgrundsätze beziehen sich vor allem auf die Art und Weise wie veröffentlichte Reports ihrer Zielgruppe präsentiert werden können. Wichtig ist festzuhalten, dass der Review-Prozess nicht prüfen will, ob die richtigen Dinge getan wurden, sondern ob die durchgeführten Dinge richtig gemacht wurden.

Das heißt, ein Testreport entspricht den AMTSO-Prinzipien, solange eine akkurate Beschreibung dessen umfasst, wie Bedrohungs-Samples gesammelt und validiert wurden, wie Tests durchgeführt und welche Schlussfolgerungen daraus gezogen wurden (einschließlich der korrekten und fairen Kommunikation zwischen allen am Test Beteiligten). Die aktuelle, von einem Testlabor genutzte Testmethodologie steht für den Überprüfungsprozess nicht zur Debatte.

Als Beispiel kann der innovative Test der NSS Labs aus dem letzten Jahr dienen. Diesen hat das AMTSO danach überprüft, wie gut die Testmethoden und Bedingungen beschrieben sind und wie die Schlussfolgerungen den Testergebnissen gefolgt sind, unabhängig von der Methodologie und der  Art und Weise, wie der Test aufgesetzt war.

Die Prüfungen der AMTSO wollen weder Innovation in der Methodologie für Anti-Malware-Produkttests fördern noch behindern. Das Ziel ist die Verbesserung der Ergebnisqualität.

Beim Durchsehen verschiedener Blogs stieß ich auf einen Eintrag von Kaspersky Labs. In dem Blog gab der Autor des Eintrags offen zu, dass sein Arbeitgeber – unter der Vorgabe, die Testqualität verbessern zu wollen – die Konkurrenz ausgetrickst habe, um die eigene Position in den Medien zu verbessern.

Dafür hatte Kaspersky saubere Dateien erzeugt und Erkennung von Malware vorgetäuscht, um „vorzuführen“, dass andere Anbieter diese kopieren. Dies war eine riskante Entscheidung, denn die Forschungsorganisationen der Branche vertrauen einander und nutzen gemeinsam die vorhandenen Samples, um die Kunden zu schützen – für Trend Micro jedenfalls hat dies oberste Priorität. An dieser Stelle möchte ich auch hinzu fügen, dass Trend Micro nicht zu denjenigen Herstellern gehört hat, die von dem Trick betroffen waren, denn wir checken unsere Erkennungen selbst und verlassen uns nie auf die Kontrolle durch einen anderen Anbieter.

Abgesehen davon, dass es ein billiger Schabernack war, den Kaspersky veranstaltet hat, war ich sehr erfreut, die weitere Botschaft des Blog-Eintrags zu vernehmen: Der Anbieter hat endlich die Message verstanden, die Trend Micro seit langem verbreitet – nämlich die Testmethodologie muss sich ändern, und wirklichkeitsnahe Tests wie die von NSS Labs müssen durchgeführt werden!

Der Bedarf an geänderten Testmethoden stand auch hinter der Gründung der  Anti-Malware Testing Standards Organization (AMTSO), die sich für realistischere und nützlichere Benchmarks einsetzt.

Diese Geschichte zeigt, welchen Einfluss die Medien auf die Antivirus-Branche hat, sodass sogar ein geachteter Anbieter die Erkennungsraten manipuliert, allein um in der Presse positiv da zu stehen, anstatt sich auf die eigenen Kunden zu konzentrieren. Der Vorfall lehrt aber auch, dass die AMTSO die richtige Richtung einschlägt. Reine Erkennungsraten beruhen allein auf den Zahlen oder dem direkten Eins-zu-Eins-Vergleich und sind daher überholt, wenn es um den Wert und die Performance einer Sicherheitslösung geht. Kunden benötigen ganzheitliche Betrachtungsweisen, die ihnen ein realitätsnahes, auf Szenarien beruhendes Feedback zu der Wirkungsweise von verschiedenen Lösungen geben. Ich bin froh, dass Testorganisationen wie NSS Labs, AV-Comparatives und AV-Test dies mittlerweile verstanden haben und anfangen, diese Prinzipien anzuwenden.

Kürzlich haben die Sicherheitsanalysten von Trend Micro Spam-Nachrichten entdeckt, die vorgaben, von Trend Micro zu kommen. Es ist keine ungewöhnliche Technik der Cyberkriminellen, vertrauenswürdige Organisationen für Spam-Kampagnen zu nutzen.

Die E-Mails mit dem Betreff „Malware-Blocking-Tests stellen Trend Micro an die Spitze“ informieren die Nutzer über die kürzlich durchgeführten Tests der NSS Labs. In den Nachrichten wird auch beschrieben, wie die Tests durchgeführt wurden, bei denen es um das Erkennen von „mit Methoden des Social Engineering erzeugter Malware“ geht. Ironischerweise sind die E-Mails selbst ein gutes Beispiel dieser Art von Malware.

Klickt der Benutzer einen der in der Mail enthaltenen Links an, so wird er auf eine Phishing-Site http://l.trndmcro.com/rts/{BLOCKED} umgeleitet. In diesem Fall sind die Phishing-URL und die Domäne bereits geblockt. Außerdem hat Trend Micros Web Reputation auch den Zugang zu der betroffenen URL gesperrt. Laut Whois-Informationen wurde die Domäne im September dieses Jahres erstellt. Abgesehen davon, enthält die die Site keine weiteren Informationen dazu. Der Angriff nutzt auch die so genannte „genuine-looking URL“ Phishing-Technik, wobei die Kriminellen die URL des anvisierten Unternehmens nachahmen, um Nutzerinformationen zu stehlen.

Im Fall einer solchen Attacke sind traditionelle Spam-Filter, die lediglich Pattern nutzen, nicht mehr effektiv. Die Cloud Computing Technologie des Trend Micro Smart Protection Network hingegen, schützt Nutzer, denn sie entdeckt und sperrt Spam-Nachrichten und bösartige URLs auf der Grundlage der Reputationsbewertung.

Das scheint die Schlussfolgerung unabhängiger Tests zu sein, die vor Kurzem von NSS Labs veröffentlicht wurden.

Vielleicht erinnern Sie sich noch an den Juni 2008: Es gab ein wenig Aufruhr in der IT-Presse, als Trend Micro sich weigerte, an einigen der bekannten Anti-Malware-Tests, wie z. B. VB100, teilzunehmen. Unser Argument – damals wie heute – lautet, dass diese Tests die Bedrohung, so wie unsere Kunden sie erfahren, einfach nicht präzise wiedergeben. Daher lassen die Ergebnisse möglicherweise ein falsches Gefühl der Sicherheit aufkommen.

Das Internet hat sich zum am stärksten missbrauchten Angriffsweg entwickelt: Angriffe bestehen aus zahlreichen Varianten, nutzen verschiedene Protokolle, haben verteilte Quellen (Bot-Netze), sind oft zielgerichtet und können nicht mehr durch Pattern-Abgleichstechniken abgewehrt werden, die schon so lange das Kernstück von Sicherheitssoftware bilden.

Herkömmliche Sicherheitsprodukttests wurden mehrheitlich in einer isolierten Laborumgebung mit einer ausgewählten Liste von Malware vorgenommen – daher kommen die Fähigkeiten moderner Sicherheitssoftware nicht bestmöglich zum Zug. Trend Micro setzt auf die webbasierten Funktionen des Smart Protection Network, um dynamischen Echtzeitschutz bereitzustellen, der sich nicht nur auf bösartige Dateien konzentriert, sondern auch auf bösartige E-Mails und Websites. Dadurch ergibt sich eine intelligente, korrelierte Menge aus Regeln, mit denen bösartige Aktivitäten abgewehrt werden können.

Dies ist eine auf die Bedrohung und nicht auf Dateien ausgerichtete Sichtweise. Ziel ist es, so früh wie möglich die Infektionskette zu durchbrechen oder die Bedrohung zu sperren. Hierzu wird zuerst die „Angriffsschicht“ untersucht, oder wo die Bedrohung herkommt. Dann wird die Infektionsschicht untersucht, oder „was die Bedrohung tut, wenn sie ihr Ziel erreicht“.

Gerade wurden unabhängige und, was ganz wichtig ist, nicht gesponserte Tests von NSS Labs veröffentlicht, die die Wichtigkeit dieses neuen Ansatzes unterstreichen. Im Juli und August dieses Jahres führte NSS Labs an 17 Tagen rund um die Uhr Tests von 9 Privatanwender- und 10 Enterprise-Produkten durch.

Ist das webbasierte Smart Protection Network von Trend Micro bereit für den ganz großen Einsatz? Ich glaube, die Ergebnisse sprechen für sich.

„Trend Micro erzielte den besten Download- und Ausführungsschutz mit einem Gesamtergebnis von 96,4 %“. Quelle: NSS Labs Consumer Report, September 2009

NSS Labs Consumer Report, September 2009

NSS Labs Consumer Report, September 2009

Laden Sie den vollständigen Bericht von NSS Labs hier herunter