Einleitung

Immer wieder ist es zu beobachten: Internetnutzer haben einen neuen Computer erworben, oder das Betriebssystem - Windows 2000 oder XP - wurde neu aufgesetzt. Unmittelbar danach stellt der Nutzer eine Verbindung zum Internet her. Kaum o­nline, macht sich zusehens eine drastische Verlangsamung der Systemabläufe und der Internetverbindung bemerkbar, undefinierte Prozesse tauchen auf, der Taskmanager sowie der Registrierungseditor und ggf. installierte Antiviren-Programme werden geschlossen oder lassen sich erst gar nicht starten, in etlichen Fällen wird die Anzeige von Webseiten vieler AntiViren-Labs unterbunden. Was ist passiert?

Einigen Lesern sind "Blaster" oder "Sasser" sicher ein Begriff. Die Schädlingsnamen gingen durch die Presse, als sich diese Netzwerkwürmer explosionsartig im Internet verbreiteten und dabei grosses Aufsehen erregten, da weltweit etliche Windows-Systeme abstürzten und ein normales Arbeiten unmöglich wurde.

Auch heute noch sind solche Würmer stark verbreitet. Sie führen zwar nicht mehr zu einer so grossen Medienresonanz wie Sasser und Blaster, sind aber viel gefährlicher und fallen zudem weniger durch abstürzende Systeme auf. Doch wie genau verbreiten sie sich, wie erkennt man sie, und wie kann man sich am besten vor ihnen schützen? Antworten auf diese Fragen sollen die folgenden Erläuterungen geben.


A.) Der Verbreitungsweg / Grundlagen

Netzwerkwürmer sind nicht vergleichbar mit den vielleicht bekannteren Mailwürmern, die sich massenhaft an E-Mail-Adressen weiterversenden, weil PC-Besitzer zuvor unüberlegt einen Dateianhang aus einer E-Mail ausführten oder ihr E-Mail-Programm falsch konfiguriert haben.

Es ist nicht nötig, dass man den Browser startet und im Internet surft, das Mailprogramm aufruft, um Mails zu empfangen und zu versenden oder den Instant Messenger nutzt, um zu chatten. Denn Netzwerkwürmer vermögen bereits auf (unzureichend gesicherte) Windows-Systeme zu gelangen, sobald auch nur eine Internetverbindung hergestellt wurde: Wenige Sekunden bzw. einige Minuten können schon ausreichen.

Um die Problematik zu verstehen, sollte man sich zunächst das folgende Grundlegende zu Gemüte führen:

Damit eine Nutzung des Internets möglich wird, muss eine Übertragung von Daten erfolgen - Daten müssen verschickt und empfangen werden können, genau wie auch Päckchen und Pakete, die man mit der Post versendet und empfängt, oder wie bei einem Boten, der eine Nachricht von A nach B, sowie darauf erfolgende Antworten wieder zurück nach A bringt.

Was muss der Bote wissen, damit er die Nachrichten zuverlässig hin- und zurück transportieren kann?

a) Zunächst einmal muss der Bote den Auftrag erhalten, eine Botschaft zu transportieren. Dieser Auftrag wird ihm z.B. vom Browser erteilt. Der Browser möchte eine bestimmte Internetseite anzeigen, z.B. www.tagesschau.de. Also teilt das Betriebssystem, in diesem Falle Windows, der Anfrage ein Bearbeitungs-"Fenster" (=Port) zu. Von diesen Ports gibt es viele, über 60.000. Sagen wir, der Anfrage des Browsers wird der Port mit der Nummer 2069 zugeteilt. Somit weiss der Bote, dass er, wenn er später zurückkehrt, die Antwort auf die Anfrage wieder bei Port 2069 abliefern muss, denn dort wird ja fortan auf die Antwort gewartet.

b) Der Port allein reicht jedoch nicht als Absenderinformation, denn wie auch im realen Leben braucht der Bote eine Hausanschrift, also den Wohnort mit Strasse und Hausnummer. Würden Sie z.B. einem Fahrradkurier den Auftrag erteilen, etwas abzuholen und die Sendung bei Ihnen im "Dritten Stock, mittelere Wohnung" abzuliefern, wüsste er noch lange nicht, wohin er sie bringen müsste. Denn es gibt ja viele Häuser mit einem dritten Stockwerk. Er muss daher auch die Strasse und Hausnummer wissen, um die entsprechende Wohnung finden zu können. Diese Anschrift mit Ort, Strasse und Hausnummer ist im Internet vergleichbar mit der sogenannten IP-Adresse - es ist die Anschrift Ihres Computers im Internet. Diese IP-Adresse wird Ihrem PC, wenn Sie sich über Ihren Internetprovider einwählen, automatisch zugeteilt. Als Beispiel nehmen wir die IP-Adresse 84.245.173.222.

Zwischenfazit: Der Bote kennt nun den Port, wo er später die Antwort abliefern muss sowie die IP-Adresse, also die (Absender)-Anschrift Ihres Computers im Internet. Jetzt muss er noch wissen, wohin die Anfrage gesendet werden soll:

c) Gleichzeitig mit den Absender-Informationen wird dem Boten das Ziel mitgeteilt, in diesem Fall www.tagesschau.de. "www.tagesschau.de" ist dabei aber nur eine vereinfachte Darstellung. Denn wie wir bereits wissen, werden Adressen im Internet anhand von IP-Adressen dargestellt. Für tagesschau.de ist dies (derzeit) die 193.97.251.27. Sie ist nur für den Normalanwender nicht sichtbar, da diese Zahlenadressen in aus Buchstaben bestehende Namen übersetzt werden.

d) Und natürlich bekommt der Bote die Adresse des Ports mitgeteilt, an dem er die Anfrage abliefern muss. Hinter dieser Adresse gibt es, wie bei Ihrem Computer zu Hause, ebenfalls Ports, nur mit dem ersten wichtigen Unterschied: Bestimmte Fenster, also Ports, sind hier ständig offen. Für Anfragen zur Anzeige gewünschter (unverschlüsselter) Webseiten ist dies immer Port 80.

Es wird also von demjenigen, der die Webseite anbietet, auf dem entfernten Computer im Internet ein Dienst eingerichtet, der ständig zum Empfang vom Anfragen bereit ist und dazu standardmässig Port 80 offenhält. Dies bezeichnet man grob gesagt auch als Webserver. Ihr Computer zu Hause ist dabei das Gegenstück, in diesem Zusammenhang auch "Client" genannt, der, um es mit der Übersetzung des Begriffes aus dem Englischen zu sagen, der "Auftraggeber" oder "Kunde" ist. Der Webserver im Internet hingegen geht auf die Anfragen des Kunden ein und liefert über den bereitgestellten Dienst die angeforderten Daten (Anzeige der Webseite) zurück.

Zweites Zwischenfazit:

Nachdem vom PC des Internetnutzers (Client genannt), der eine Webseite aufrufen möchte, inklusive Absenderangabe eine Anforderung an den Webserver geschickt wurde, sendet der Webserver nun die angefgorderten Daten an die Absenderadresse zurück.

An dieser Stelle kommen wir zu einem entscheidenden Punkt:

Der Webserver im Internet hält durch den zur Verfügung gestellten Dienst ständig einen Port offen (Port 80). Ein aktiver Dienst öffnet also einen Port.

Wohingegen Ihr PC zu Hause, der Client, seinen Port, über den er die Anfrage an den Server stellte, nicht ständig offenhält. Er stellte nur eine Anfrage, weshalb nun an diesem einen Port auf die eine spezielle Antwort des Webservers gewartet wird. Der Port gilt somit nicht als "offen".

Ihr PC zu Hause ist also in der Regel stets der Client und kein (Web)Server, denn Sie wollen ja keine Dienste anbieten, sie wollen auf Ihrem PC keine Webseite abspeichern, die andere Leute dann aufrufen können. Sie möchten sich lediglich selbst Webseiten von anderen Menschen anschauen, sie möchten über E-Mails oder Chats kommunizieren.

Leider jedoch bietet Windows (NT, 2000, XP) standardmässig sogenannte Netzwerkdienste an, welche ihrerseits Ports öffnen. Diese Netzwerkdienste sollen es u.a. für Heimanwender erleichtern, hausintern kleine Netzwerke z.B. zwischen den PC's von Familienmitgliedern einzurichten. Das kann z.B. zum Zwecke des vereinfachten Datenaustausches untereinander geschehen, oder aber zur Verbindung von Arbeits-PC und Notebook. Ebenso kann es erfolgen, weil man mit mehreren PC's einen vorhandenen Internetzugang nutzen möchte.

Microsoft beging allerdings bei der Konzeption dieser Netzwerkdienste einen prinzipiellen Fehler: Sie sind standardmässig nicht nur intern verfügbar, sie werden auch in Richtung Internet angeboten! Das ist völlig unsinnig, denn Sie wollen diese Dienste ja eigentlich gar nicht für das Internet verfügbar machen. Selbst wenn Sie kein hausinternes Netzwerk nutzen, sind diese Dienste aktiv und öffnen Ports, die sofort nach Einwahl auch über das Internet ansprechbar sind.

Über den geöffneten Port ist nun der Dienst ansprechbar, der seinerseits den Port zuvor geöffnet hatte. Ein Dienst ist nichts anderes als eine bestimmte Software. Software entält, da sie von Menschenhand programmiert wurde, Fehler. Diese Fehler reissen nicht selten Sicherheitslücken in die Software. Ist ein Dienst mit einer bekannten Sicherheitslücke über einen geöffneten Port ansprechbar, so kann diese Sicherheitslücke von Schädlingen ausgenutzt werden, um auf das verwundbare System zu gelangen.

Und genau auf diese Weise verbreiten sich die Netzwerkwürmer:

Sie wurden so programmiert, dass sie einfach bestimmte Bereiche von IP-Adressen nacheinander systematisch prüfen, ob hinter ihnen Computer mit dem Internet verbunden sind, auf denen die verwundbaren Dienste laufen. Finden sie so einen Computer, wird eine Routine zur Ausnutzung der Sicherheitslücke - (ein sogenannter Exploit) - gestartet und der Wurm auf Ihrem PC installiert. Kaum aktiv, sucht der Wurm nun ausgehend von Ihrem PC nach weiteren verwundbaren Computern im Internet. Auf diese Weise findet eine ständige, schnelle Verbreitung dieser Netzwerkwürmer statt.


B.) Wie kann ich mich nun schützen?

1.) Das ist ganz logisch erklärbar und auch gar nicht so schwer umsetzbar. Einerseits nutzen diese Würmer bekannte Sicherheitslücken aus. Diese Lücken sind jedoch inzwischen von Microsoft behoben worden, alleridngs nur in neuen Versionen der betroffenen Software. Mit anderen Worten: Sie müssen Ihre Software, in diesem Fall Ihr Betriebssywstem Windows, aktualisieren. Sogenannte "Patches", also Software-Flicken, stopfen die Sicherheitslücken, indem alte, verwundbare Dateien durch neue Dateien ersetzt werden, die die erkannten Fehler nicht mehr aufweisen.

Kurz: Erkannte Lücken stets durch Aktuellhalten des Betriebssystems stopfen!

2.) Andererseits wird die Verbreitung der Schädlinge ja auch dadurch möglich, dass unnötiger und unsinniger Weise standardmässig Windows Netzwerkdienste in Richtung Internet angeboten werden, Dienste, die der Normalanwender mit Einzeplatz-PC gar nicht benötigt.

Wie oben bereits erwähnt, enthält jede Software Fehler. Daraus folgt, dass durch jede unnötig laufende Software und somit auch durch unnötoig laufende Dienste die Fehleranfälligkeit in der Summe erhöht wird. Somit steigt, wenn diese Software in Richtung Internet angeboten wird, auch die von aussen erreichbare Angriffsfläche.

Es wäre also logisch, um die Angriffsfläche zu verkleinern, auch nur die Dienste anzubieten, die man wirklich benötigt, und alle anderen abzuschalten. Denn selbst, wenn diese abgeschalteten Dienste Fehler enthalten, können diese Fehler nicht ausgenutzt werden, da der Dienst ja nicht erreichbar ist.

Kurz: Nur die Dienste nutzen, die Sie benötigen, alle anderen abschalten, um die Angriffsfläche zu verkleinern. Wie das geht, sehen Sie hier sehr schön erläutert.

Wichtig ist, dass die beiden Punkte 1.) und 2.) miteinander kombiniert werden, also ein stets aktuelles System verbunden mit dem Abschalten nicht benötigter Dienste. Entscheidend ist, dass diese Umsetzung bereits vor der ersten Internetverbindung erfolgt ist, da Sie anderenfalls mit einem löcherigen System ins Internet gehen würden. Die Folge wäre eine schnelle Infektion mit Netzwerkwürmern, die übrigens Backdoorfähigkeiten aufweisen. Damit wird Ihr System ein mögliches und wahrscheinliches Werkzeug für kriminelle Aktionen.


C.) Entfernung:

Wurde Ihr System mit so einem Schädling infiziert, gehen Sie bitte wie folgt vor:

• Trennen Sie umgehend physikalisch die Internet- bzw. Netzwerkverbidnung(en). "Physikalisch" heisst, z.B. durch Ziehen des Verbindungskabels.

• Fahren Sie das System herunter und starten nicht wieder hoch.

• Besorgen Sie sich eine Notfall-Start-CD, z.B. eine Live-CD wie Knoppix oder Kanotix.

• Überprüfen Sie, ob im BIOS das Booten von CD aktiviert ist. Falls nicht, aktivieren Sie es und stellen es in der Bootreihenfolge vor den Start von "HDD" (also vor das Booten von einer Festplatte).

• Booten Sie von CD und sichern Sie auf diesem Wege wichtige Daten, die Sie zukünftig noch benötigen. Aber bitte nur Daten sichern, keine ausführbaren Dateien, denn diese sind fortan als nicht mehr vertrauenswürdig einzustufen.

• Erstellen Sie ggf. zum Zwecke der Beweissicherung (z.B. für den Fall, dass Ihr PC über aktive Schädlinge bereits strafrechtlich missbraucht wurde oder Dialer eine teure Einwahl verursacht haben) gesondert ein Image der Systempartition - ebenfalls mittels der Notfall-CD, versteht sich.

• Partitionieren und formatieren Sie die Festplatte (empfohlen: NTFS als Dateisystem bei Windows 2000 / XP).

• Installieren Sie anschliessend das Betriebssystem vom Originalmedium (Windows XP-CD).

• Spielen Sie alle benötigten Treiber ein, achten Sie jedoch darauf, dass auch diese nur von Originalmedien aus installiert werden.

• Installieren Sie das jeweils aktuellste Service-Pack (für Windows XP z.B. das Service-Pack 2) ink. aktuellster Patches. Besorgen Sie sich diese z.B. über einen anderen, sauberen PC, oder laden Sie sie über die Notfall-CD (Knoppix, Kanotix).

• Konfigurieren Sie die Dienste sinnvoll. Beachten Sie auch die weitergehenden Hinweise auf der verlinkten Webseite.

• Starten Sie das System neu und wählen sich erst anschliessend das erste Mal wieder ins Internet ein.

• Ändern Sie von dem nun sauberen System alle Zugangsdaten und Passwörter, denn diese sind seit der Infektion mit den Schädlingen auch anderen und nicht mehr nur Ihnen bekannt.

• Spielen Sie benötigte Daten (also keine ausführbaren Dateien, keine Programme) aus Ihrem Backup ein.