Virenscanner geraten zunehmend in Verruf und sind, wie ich dargestellt habe, unter anderen Betriebssystemen als Windows eher sinnlos. Heute kann ich ein ganz konkretes Beispiel veröffentlichen, das diese Meinung unterstützt.

Ein mittelständisches Unternehmen erhielt am vergangenen Freitag eine vorgebliche E-Mail einer saudi-arabischen Firma namens Bifold Group, komplett mit Anschrift und Firmenlogo im Fuß. In englischer Sprache wurden „zwei Produkte im Gesamtwert von $ 17.500“ bestellt und auf das im Anhang befindliche Word-Dokument als Bestellung verwiesen. Für die betreffende Empfänger-Firma wäre das eine plausible Bestellung, auch wenn der ungenaue Ausdruck „Produkt“ natürlich etwas verdächtig wirkt.

Die gut geschulte Mitarbeiterin, die diese E-Mail erhielt, kontaktierte mich. Zu diesem Zeitpunkt hatte die E-Mail erfolgreich eine Firewall-Appliance mit Debian Linux passiert, auf der zwei täglich mehrfach aktualisierte Virenscanner laufen, nämlich ClamAV und Cyren. Die Appliance checkt den E-Mail-Verkehr, der an dieser Stelle unverschlüsselt vorliegt. Auch der F-Secure auf dem Windowsrechner der Mitarbeiterin bemängelte den E-Mail-Anhang zunächst nicht, schlug aber beim Versuch, an mich weiterzuleiten, an.

Am Montag darauf erhielten dieselbe Mitarbeiterin und eine Kollegin die E-Mail erneut, diesmal mit dem Vermerk „resend“, was die vermeintliche Bestellung wieder etwas glaubwürdiger machte. Beide kontaktierten mich erneut. Diesmal gelang sogar die Weiterleitung an mich problemlos, was nahelegt, dass der Schadcode über das Wochenende verändert wurde. Drei Virenscanner versagten also vollständig.

Hier die E-Mail als Bildschirmfoto:

Vermeintliche Bestellung der Bifold Group
Vermeintliche Bestellung der Bifold Group

Ich habe das Word-Dokument gespeichert und auf virustotal.com hochgeladen. Das Ergebnis waren 9 Warnungen aus 56 Scannern, das sind gerade mal 16%. Und dieses Ergebnis ist erfahrungsgemäß schon sehr hoch – meist sind es noch weniger Treffer, weil die in solchen Kampagnen eingesetzte Schadsoftware meist nur wenige Stunden lang verteilt wird, bevor sie verändert wird. Dadurch bekommt sie eine neue Signatur. Auf diese Weise entkommt solche Schadsoftware der eindeutigen Entdeckung, da die Hersteller der Antivirensoftware nicht genug Zeit bekommen, eine Signatur zu ermitteln und an die installierten Virenscanner weiterzureichen. Das dauert meist Tage oder Wochen, nicht nur wenige Stunden.

Das virustotal.com-Ergebnis:

Scanergebnis auf virustotal.com
Scanergebnis auf virustotal.com

Immerhin sind einige bekannte Namen unter den Scannern, die die Datei als schädlich identifizieren. Nicht selten sind es nur unbekannte Scanner.

Es zeigt sich also, dass man Dokumente aus E-Mail-Anhängen, die auch nur den kleinsten Anlass zu Zweifeln geben, auf virustotal.com überprüfen lassen sollte. Sich auf einzelne Scanner zu verlassen, kann fatal sein. Viel wichtiger ist für die Sicherheit, dass die Empfänger der E-Mail gut geschult und aufmerksam sind.

Da auch ein gutes Ergebnis auf virustotal.com keine hundertprozentige Sicherheit geben kann, sollten Dokumente aus Microsoft Office, die per E-Mail versendet wurden, nicht mit Microsoft Office geöffnet werden. Es gibt überhaupt keinen vernünftigen Grund, nicht das freie und kostenlose Libre Office parallel zu MS Office zu installieren. In dieser Office-Suite werden die meisten Dokumente aus MS Office zumindest verarbeitbar geöffnet, aber die schädlichen Makros funktionieren darin nicht. Im Falle des Anhangs der oben gezeigten E-Mail entpuppt sich das Word-Dokument nicht als Bestellung, sondern als 469 Seiten Binärcode – also ein Programm. Damit steht fest, dass es sich um einen Angriff und keine legitime Bestellung handelt.

Virenscanner ersetzen also in keiner Weise die Aufmerksamkeit und das Gefahrenbewusstsein des einzelnen Anwenders. Wer sich auf Virenscanner verlässt und sich damit selbst aus der Verantwortung nimmt, handelt fahrlässig.

War dieser Beitrag für Sie nützlich? [thumbs-rating-buttons]

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert