Test: Wurm- und Virus-Angriff auf Windows PC

Sobald ein PC mit dem Internet verbunden ist, prasseln Wurmangriffe auf ihn herein. Ein Selbstversuch zeigt, wie schnell ein PC mit frisch installiertem Windows XP Home von Würmern befallen wird.

Da sitzt er in der Nacht, auf seinem Gesicht spiegelt sich das matte Schimmern des Bildschirms. Mit irrem Blick und irrsinniger Geschwindigkeit hackt er auf seiner Tastatur Befehle ein, bis er sich schließlich zurück lehnt und einen Schluck aus der Cola-Dose nimmt. Geschafft – wieder ein Computer gehackt.

Alles Unsinn. Niemand sitzt am anderen Ende der Leitung und versucht, in Ihren PC einzudringen. Keine Cola, kein Schimmern, keine Hackerromantik. Im Gegenteil: Es reichen ein paar kleine Programme, um Ihren Computer in Besitz zu nehmen – alles geht automatisch. Und es geht auch nicht um das Hacken, sondern darum, Ihren Computer mit Werbung zuzupflastern und in eine Wurmfabrik umzuwandeln.

Der Grund, warum der klassische Hacker fast arbeitslos ist, liegt in den zahlreichen Sicherheitslücken von Windows von Microsoft. Auf Grund seiner massenhaften Verbreitung ist dieses Betriebssystem bevorzugtes Opfer der Angreifer. Sobald eine Sicherheitslücke bekannt wird, stürzen sich Script Kiddies — halbstarke Programmierer — auf die Lücken und versuchen sie auszunutzen. Schon kurz nach Bekanntwerden der Lücke ist der „Exploit“ da, ein Programm, das den Fehler ausnutzt. Selbst schuld, wenn man dann noch einen PC hat, bei dem diese Lücke nicht geschlossen ist.

In der Tat: meist sind die Benutzer selbst schuld. Jahrelange Panikmache vor dem übermächtigen Big Brother Microsoft ließ viele vergessen, dass der Verbindungsaufbau zu den Servern in Redmond auch gutes bringen: nämlich Patches, die Sicherheitslücken schließen. So sind auch heute noch unzählige Computer im Netz, die fleißig als Virenschleudern arbeiten und andere Computer befallen.

Live am Netz

Beweis gefällig? Dann lesen Sie live mit, wie ein frisch installierter PC binnen Minuten im Netz zu Grunde geht. Der Testaufbau besteht aus einem PC in einem Netzwerk. Per Firewall-Einstellung wird der PC zur DMZ erklärt – zur demilitarisierten Zone. Sprich: Der Computer wird dem Internet ohne weiteren Schutz ausgesetzt, als wäre er direkt mit dem Netz verbunden. Alle anderen Computer waren zum Zeitpunkt des Tests aus.

Auf dem PC wird ein Windows XP Home aus der Packung heraus installiert, die einst mit dem PC geliefert wurde. Es handelt sich dabei um eine Version ohne Service Packs.

Kurz nach dem Ende der Installation geht es schon los: Windows XP Home will nach Hause telefonieren und sich aktivieren. Mit dieser ersten Verbindungsaufnahme ist es schon passiert. Ein Blick in die Log-Dateien des Routers zeigt nach wenigen Sekunden rege Aktivität: Vom ungeschützten Computer aus gehen zahllose Anfragen an zufällig erzeugte Adressen im eigenen Netzwerk — die meisten Anfragen gehen an den Port 135, einige an die 445. Beides sind Ports, die Windows für seine Netzwerkdienste verwendet. Die Aktivität ist ein deutlicher Hinweis auf einen Wurm, der sich bereits eingenistet hat und weitere Opfer sucht.

Der Wurm ist so aktiv, dass das Surfen zum Geduldsspiel wird. Der Aufruf einer Website wie Google dauert fast eine Minute. Kein Wunder – die Diode an der Netzwerkkarte blinkt nicht mehr nur, sie brennt dauernd – der Wurm nutzt die volle Bandbreite und scheint auch fleißig Daten in das Internet zu schießen.

Noch sind keine fünf Minuten vergangen, da zeigen sich erste Crashs – ein Programm namens „protopro“ hat Probleme und muss beendet werden. Die Suche nach „protopro“ im Internet bringt Hinweise auf einen Trojaner. Das weckt die Neugier. Sollten sich schon Programme eingenistet haben? Ein Blick auf das Laufwerk C gibt die klare Antwort: Ja.

Ein Programm namens „Internet Optimizer“ hat sich schon auf dem Rechner installiert. Und ein kurzer Besuch in der Registry zeigt einen Schlüssel für „ISTsvc“ — Glückwunsch: Das ist ein Browser-Hijacker.

Zwei weitere Abstürze seltsam unbekannter Programme brechen die weitere Suche nach Eindringlingen ab: Neustart.

Danach ist erst einmal Ruhe. Auch das Netzwerklämpchen blinkt nicht mehr. Also ab ins Internet, das Windows Update starten und ein Antivirenprogramm holen. Doch dieser Versuch geht nach hinten los. Nach dem Herstellen der Verbindung wird der Wurm wieder aktiv und sucht nach weiteren Opfern im Netz. Es ist nur eine Frage der Zeit, bis er sich seinen Weg in das Internet hinaus sucht und weitere Opfer findet.

Genug gewurmt. Zeit, um festzustellen, was sich wirklich auf dem Computer tummelt. Also das Netzwerk abstöpseln und Norton Antivirus von CD installieren. Die Installation schlägt zunächst fehl. Verhindert da etwas das Setup? Ein Versuch, in den Taskmanager zu blicken, misslingt ebenfalls – der Manager erscheint immer nur unten rechts in der Taskbar. Voodoo? Oder dreckige Software, die alle Wege versperren will?

Neustart, neuer Versuch. Doch das reguläre Herunterfahren über das Startmenü misslingt. Also den Resetknopf drücken und warten, bis Windows wieder da ist. Diesmal startet die Installationsroutine von Norton Antivirus. Hoffnung. Tatsächlich kann wenige Minuten später der Rechner neu starten und mit dem automatischen Update von Norton Antivirus loslegen.

Sekunden nach dem Start des Update erscheint eine erste Sicherheitswarnung. Ein Programm versucht, Verbindung zum Computer aufzunehmen. Noch während die Meldung zu sehen ist öffnet sich der Internet Explorer selbsttätig und freut sich: „Congratulations!“ – „Glückwunsch“, die Installation einer neuen Toolbar ist jetzt komplett. Man möge doch regelmäßig auf die Links klicken, um zu sehen, was es neues gibt.

Schnell die Sicherheitswarnung von Norton Antivirus mit „Blockieren“ beantworten, den Browser schließen und das Live-Update starten. Immerhin geht das jetzt recht zügig. Der Wurm ist anscheinend gestoppt. Während das Update läuft, fällt in der Taskbar ein neues Icon auf. Ein „180searchAssistant“ will helfen. Wobei? Also in den in den Optionen auf „Uninstall Information“ klicken und erfahren, dass das Programm in der Systemsteuerung unter Software entfernt werden kann. Gute Idee. Und bei der Gelegenheit sollen auch noch der Internet Optimizer, ISTsvc, Media-motor, SiteFind, SlotchBar und WebRebates vom Rechner fliegen. Ob das gelingt?

Während der Deinstallation meldet Norton Antivirus die ersten Würmer: Vier Dateien sind infiziert. Dreimal „W32.Spybot.Worm“ und einmal „Download.Trojan“. Natürlich soll das Programm die Dateien gleich löschen.

Noch ein Problem: Der Versuch, ISTsvc zu deinstallieren, bremst den PC so herunter, dass er nicht mehr bedienbar ist. Immerhin lässt sich der Taskmanager starten. Da ist auch schon der Bösewicht gefunden: ein Programm namens „cmd.exe“ braucht praktisch alle Systemressourcen, lässt sich aber abschießen. Normalerweise ist cmd.exe die Kommandozeileneingabe von Windows XP. Doch die ist meilenweit nicht zu sehen. Besser keine weiteren Programme deinstallieren und dem Virenscanner die Arbeit überlassen.

Norton Antivirus ist da effektiver. Das Programm hat einstweilen drei der vier Infektionen erledigt. Der „Download.Trojan“ bleibt aber erhalten. Norton bietet an, den Trojaner zu isolieren. Doch das klappt nicht.

Neustart.

Neue Überraschung.

Ein Tool namens „Power Scan“ bietet gleich nach dem Start an, den Computer auf Pornobilder hin zu untersuchen. Das zeugt von einen seltsamen Humor: Wann bitte, und mit welcher Bandbreite hätten Pornobilder auf den PC gelangen sollen?

Immerhin startet auch der automatische Virenscan von Norton. Powerscan muss warten. Nach ein paar Minuten ist das Ergebnis: drei infizierte Dateien, 36 „risikobehaftete“ – sprich Adware, Spyware und anderer digitaler Ekelkram.

Nach dem Entfernen der Dateien scheint einigermaßen Ruhe auf dem Netz zu sein. Der Internet Explorer öffnet sich auch nur noch auf Wunsch.

Norton Antivirus führt noch ein Update durch.

Noch einmal checken, wieder vier Fundstellen. Dann noch ein Versuch im abgesicherten Modus. Diesmal findet Norton Antivirus nichts.

Erleichterung, Neustart.

Und wieder erscheint „Power Scan“.

Jetzt ist Schluss mit lustig. Das System ist nicht ganz sauber und wird es wohl auch nicht mehr werden. Also mit der wieder gewonnenen Bandbreite das Service Pack 2 für Windows XP herunter laden, auf CD brennen. Dann wird Windows XP komplett neu installiert. Das ist die einzige zuverlässige Hilfe.

Denn selbst wenn ein Virenscanner vermeintlich ganze Arbeit leistet – ganz sauber wird dieser Computer nicht mehr. „Power Scan“ beweist, dass noch Reste bleiben. Ein wirklich sauberes System gibt es nur mit einer frisch formatierten Festplatte. Und darauf dann ein Antivirenprogramm wie Norton Antivirus installieren, damit das System auch sauber bleibt.

Fazit: Vorsicht beim Installieren von alten Windows-Versionen

Falls Sie noch eine alte Version von Windows XP ohne Service Pack 2 besitzen und diese installieren wollen, ist Ihr PC extrem gefährdet. Schon direkt nach dem ersten Verbindungsaufbau zu Ihrem PC stürzen sich Würmer auf das System. Ihre Windows-Installation ist binnen weniger Minuten kaputt.

Die Installation von Windows XP darf deshalb nur dann erfolgen, wenn folgende Vorbereitungen getroffen sind:

  • Der PC darf nicht mit direkt dem Internet verbunden sein.
  • Vor der Installation unbedingt das Service Pack 2 von Windows XP besorgen und auf CD bereithalten.
  • Unbedingt einen Virenscanner bereithalten.
  • Das neue Windows nicht gleich online aktivieren. Keinesfalls eine Verbindung mit dem Internet herstellen, am besten den Stecker von Modem, ISDN oder DSL-Anschluss ziehen.
  • Nach der Installation sofort die CD mit dem neuesten Service Pack einlegen und dieses installieren. Danach sofort den Virenscanner installieren.

Sind diese Vorsichtsmaßnahmen getroffen, können Sie den Schritt ins Internet wagen. Dort aber sofort neueste Viren-Signaturen holen und das Windows-Update starten.

Noch besser: Investieren Sie ein paar Euro und besorgen Sie sich einen Router mit eingebauter Firewall. Schalten Sie diese Firewall ein. Damit sind alle Computer in Ihrem Netzwerk einigermaßen gegen Würmer geschützt. Wenn dann ein Windows XP mit Service Pack 2 im Einsatz ist, bildet der Router die erste Verteidigungslinie. Auf dem PC schützen dann noch die Windows-Firewall und der Virenscanner vor digitalem Ungemach.

Und am allerwichtigsten: Sorgen Sie immer dafür, dass Ihr Windows XP automatisch alle notwendigen Updates holt. Nur so werden Sicherheitslücken schnell geschlossen und Ihr PC bleibt sicher.

Übrigens: Beachten Sie diese Regeln auch dann, wenn Sie eine aktuelle Windows-Version inklusive Service Pack 2 installieren. Denn Sicherheitslücken und Wurmangriffe darauf treten immer wieder auf.

Lesen Sie hier weiter: Film im Netzwerk ansehen mit dem VLC Media Player