Leitfaden zur erfolgreichen Virenabwehr

Kapitel 1: Einführung

Veröffentlicht: 16. Aug 2004

Obwohl viele Organisationen Antivirussoftware bereitgestellt haben, infizieren neue Viren, Würmer und andere Formen von Malware (böswillige Software) weiterhin mit hoher Geschwindigkeit zahlreiche Unternehmensnetzwerke. Dies ist scheinbar zunächst nicht erklärbar, also stellt sich hier die Frage, warum es trotzdem dazu kommen kann und wie diesen Herausforderungen adäquat zu begegnen ist. Aus Schilderungen gegenüber Microsoft von IT-Spezialisten und IT-Sicherheitsmitarbeitern betroffener Unternehmen lässt sich eine Tendenz ablesen, wie die folgenden Aussagen zeigen:

"Die Benutzer haben die Anlage in ihren E-Mails ausgeführt, obwohl wir ihnen wieder und wieder gesagt haben, dass sie solche Anlagen nicht öffnen sollen..."

"Die Antivirussoftware hätte dies verhindern müssen, die Signatur für diesen Virus war jedoch noch nicht installiert."

"Dies hätte niemals durch unsere Firewall dringen dürfen. Wir wussten noch nicht einmal, dass diese Ports angegriffen werden können."

"Wir wussten nicht, dass Patches auf unseren Servern installiert werden müssen."

Der Erfolg der jüngsten Angriffe zeigt, dass der standardmäßige Ansatz, Antivirussoftware auf jeden Computer im Unternehmen bereit zu stellen, u. U. nicht ausreichend ist. Die letzten Ausbrüche breiteten sich mit alarmierender Geschwindigkeit aus - schneller als die Softwarebranche Viren erkennen, identifizieren und Antivirustools zum Schutz gegen den Angriff bereitstellen kann. Die Techniken der neuesten Malwaretypen haben sich ebenfalls erheblich weiterentwickelt, wodurch die jüngsten Ausbrüche der Virenerkennung entgehen und sich diese Malware erfolgreich ausbreiten konnte. Zu diesen Techniken zählen:

Social Engineering. Viele Angriffe geben vor, von einem Systemadministrator oder offiziellen Dienst zu stammen, und erhöhen somit die Wahrscheinlichkeit, dass Endbenutzer die Malware ausführen und ihre System infizieren.

Schaffung von Hintertüren. Die Mehrzahl der letzten Ausbrüche versuchte, eine Art nicht autorisierten Zugang zu bereits infizierten Systemen zu öffnen, um dem Hacker den wiederholten Zugriff auf die Systeme zu ermöglichen. Durch diesen wiederholten Zugriff kann ein Hacker beliebigen Code ausführen oder die Systeme mit neuer Malware infizieren, indem er diese als "Zombies" in koordinierten DoS-Angriffen (Dienstverweigerung) einsetzt.

Diebstahl von E-Mail-Adressen. Aus infizierten Systemen gelesene E-Mail-Adressen werden von Malwareprogrammen verwendet, um sich selbst an andere Opfer weiterzuleiten, wobei die Autoren der Malware die Adressen ebenfalls erfassen und für den Versand von Malwarevarianten verwenden können. Sie können die Adressen aber auch mit anderen Malwareautoren gegen Tools oder Virenquellcode tauschen oder an andere Interessenten verkaufen, die damit Spammail erzeugen.

Eingebaute Module zum E-Mail-Versand. E-Mail ist das primäre Mittel für die Propagierung von Malware. Viele Formen von Malware beinhalten jetzt ein Modul zum eigenständigen E-Mail-Versand, um die Ausbreitung des böswilligen Code zu beschleunigen und die Wahrscheinlichkeit zu reduzieren, dass der Angriff durch ungewöhnliche Aktivitäten entdeckt wird. Illegale Massenmailer nutzen jetzt Hintertüren in infizierten Systemen zur Verwendung solcher E-Mail-Versandmodule aus. Aus diesem Grund wird davon ausgegangen, dass die Mehrzahl der im letzten Jahr produzierten Spammails über diese infizierten Systeme gesendet wurde.

Ausnutzung der Sicherheitslücken von Produkten. Malware nutzt vermehrt die Sicherheitslücken von Produkten zur Propagierung und ermöglicht so eine schnellere Ausbreitung des böswilligen Codes.

Ausnutzung neuer Internettechnologien. Sobald neue Internettools erhältlich sind, werden sie von Malwareautoren untersucht, um ihre Verwendbarkeit für böswillige Zwecke festzustellen. Kürzlich wurden z. B. Instant Messaging und Peer-to-Peer-Netzwerke (P2P) zum Ziel solcher Bemühungen.

Diese Malwarebegriffe und -techniken werden in den folgenden Kapiteln dieses Leitfadens ausführlich beschrieben.

Microsoft engagiert sich bereits seit Jahren, um die von ihr produzierten Anwendungen bestmöglich zu sichern, und arbeitet im Kampf gegen die Bedrohungen durch Malware mit zahlreichen Partnern zusammen. Zu den jüngsten in diesem Zusammenhang von Microsoft unternommenen Anstrengungen zählen:

Enge Zusammenarbeit mit Herstellern von Antivirussoftware zur Gründung der Virus Information Alliance (VIA). Die Mitglieder der VIA tauschen technische Informationen zu neu entdeckter Malware aus, so dass sie den Kunden schnell Informationen zum Ziel, zur Auswirkung und zu den erforderlichen Maßnahmen mitteilen können.

Erforschung neuer Sicherheitstechnologien wie Active Protection Technology und Dynamic System Protection zur Absicherung der Microsoft Windows®-Plattform. Weitere Informationen zu diesen Themen finden Sie in den Anmerkungen von Bill Gates bei der RSA-Konferenz 2004 auf der Microsoft-Website unter folgender Adresse:
http://www.microsoft.com/presspass/exec/billg/speeches/2004/02-24rsa.aspx (in Englisch)

Unterstützung der Gesetzgebung zur Eliminierung von Spam sowie Zusammenarbeit mit der Polizei und Internetdienstanbietern (ISPs) bei der strafrechtlichen Verfolgung von Spamoperationen. Informationen zu einer zu diesem Zweck gegründeten Allianz finden Sie unter "America Online, Microsoft und Yahoo! Join Forces Against Spam" (in Englisch) auf der Microsoft-Website unter http://www.microsoft.com/presspass/press/2003/apr03/04-28JoinForcesAntispamPR.asp.

Ankündigung des Antivirus-Belohnungsprogramms und enge Zusammenarbeit mit Polizeidienststellen zur Eindämmung der Bedrohungen durch Malwareautoren. Weitere Informationen zum Antivirus-Belohnungsprogramm finden Sie auf der Seite "Microsoft Announces Antivirus Reward Program" (in Englisch) auf der Microsoft-Website unter http://www.microsoft.com/presspass/press/2003/nov03/11-05AntiVirusRewardsPR.asp.

Dieser Sicherheitsleitfaden von Microsoft soll Ihnen dabei helfen, alle Punkte in Ihrer Infrastruktur zu identifizieren, an denen Verteidigungsmaßnahmen zur erfolgreichen Virenabwehr implementiert werden sollten. Zudem wird erläutert, wie Sie eine Infektion in Ihrer Umgebung beheben und die Systeme anschließend wiederherstellen können.

Auf dieser Seite
ÜbersichtÜbersicht
ZielgruppeZielgruppe
Stilistische Regelungen des LeitfadensStilistische Regelungen des Leitfadens

Übersicht

Der Leitfaden zur erfolgreichen Virenabwehr besteht aus den folgenden Kapiteln:

Kapitel 1: Einführung

Dieses Kapitel enthält eine kurze Einführung in diesen Leitfaden sowie einen Überblick über jedes Kapitel und die Zielgruppe. Zudem werden einige Malwarebegriffe und -techniken kurz vorgestellt.

Kapitel 2: Bedrohungen durch Malware

Dieses Kapitel definiert unterschiedliche Malwaretypen und nennt die in dieser Kategorie enthaltenen (sowie die darin nicht enthaltenen) Programmtypen. Darüber hinaus finden Sie in diesem Kapitel Informationen zu Malwareeigenschaften, Angriffs- und Propagierungsmöglichkeiten.

Kapitel 3: Erfolgreiche Virenabwehr

Dieses Kapitel umfasst detaillierte, auf den Empfehlungen von Microsoft beruhende Informationen zum Einrichten einer umfassenden Virenabwehrsystems für Ihre Clients, Server und Netzwerkinfrastruktur. Benutzerrichtlinien und andere von Microsoft für die Planung des gesamten Sicherheitssystems empfohlene Sicherheitsmaßnahmen werden ebenfalls behandelt.

Kapitel 4: Ausbruchskontrolle und Wiederherstellung

Dieses Kapitel beinhaltet einen auf bewährten Methoden und internen Erfahrungen bei Microsoft beruhenden Schritt-für-Schritt- Ansatz zur Lösung von Malwareangriffen und der anschließenden Wiederherstellung.

Zielgruppe

Dieser Leitfaden soll IT-Spezialisten und IT-Sicherheitsmitarbeitern ein besseres Verständnis der von Malware ausgehenden Bedrohungen ermöglichen. Er erläutert, wie sich Organisationen gegen diese Bedrohungen verteidigen und im Fall eines Malwareangriffs schnell reagieren können.

Obwohl in diesem Leitfaden die Virenabwehr für Umgebungen mit vielen Clients und Servern beschrieben wird, gilt sie auch für Organisationen, die ihre gesamten Geschäftsabläufe über nur einen Server ausführen. Sämtliche Verteidigungshinweise dienen dem Schutz der Umgebung vor Malwareangriffen und sind somit für Organisationen jeder Größenordnung relevant. Einige der empfohlenen Maßnahmen, z. B. die Systemüberwachung und -verwaltung, gehen jedoch möglicherweise über die Anforderungen mancher Unternehmen hinaus. Das Autorenteam dieses Leidfadens empfiehlt dennoch jedem Leser die sorgfältige Lektüre dieser Hinweise, da sie ein besseres Verständnis der Bedrohungen ermöglichen, die Malware heutzutage für Computersysteme in der ganzen Welt darstellt.

Stilistische Regelungen des Leitfadens

Die folgende Tabelle enthält die in dem Leitfaden zur erfolgreichen Virenabwehr verwendete Stilistik.

Tabelle 1.1: Stilistische Konventionen

Element    Bedeutung

Fett

Dateinamen und Elemente der Benutzeroberfläche werden fett dargestellt.

Kursiv
- oder -
<Kursiv>

Die Kursivformatierung wird für vom Benutzer eingegebene und änderbare Zeichen verwendet. Kursive Zeichen in eckigen Klammern stellen variable Platzhalter dar, für die der Benutzer spezifische Werte eingeben muss. Beispiel:

  <Dateiname.ext> bedeutet, dass Sie die kursiv formatierte Variable  
Dateiname.ext durch einen für Ihre Konfiguration geeigneten Dateinamen ersetzen müssen.

Kursivformatierung wird auch zur Darstellung neuer Begriffe verwendet. Beispiel:

  Digitale Identität – Die eindeutige Kennung und beschreibenden Attribute
  einer Person, einer Gruppe, eines Geräts oder eines Dienstes.

Bildschirmtext-Schrifttart

Diese Schriftart wird für auf dem Bildschirm angezeigten Ausgabetext verwendet.

Festbreitencodeschriftart

Diese Schriftart wird für Codebeispiele verwendet. Beispiel:
  public override void Install(IDictionary savedState)

Festbreitenbefehlsschriftart

Diese Schriftart wird für Befehle, Optionen und Attribute verwendet, die der Benutzer an einer Eingabeaufforderung eingibt. Beispiel:
  Geben Sie an der Eingabeaufforderung Folgendes ein:
  CScript SetUrlAuth.vbs

%SystemRoot%

Der Ordner, in dem das Betriebssystem Windows installiert ist.

Hinweis

Weist den Leser auf zusätzliche Informationen hin.

Wichtig

Weist den Leser auf ergänzende zur Ausführung einer Aufgabe wesentliche Informationen hin.

Vorsicht

Warnt den Leser davor, dass die Durchführung oder die fehlende Durchführung einer bestimmten Aktion zu einem Datenverlust führen könnte.

Achtung

Weist auf eine mögliche Gefährdung des Benutzers oder der Hardware hin, sollte eine bestimmte Aktion durchgeführt bzw. nicht durchgeführt werden.


**
**