Heutzutage ist es schwierig herauszufinden, ob eine Maschine infiziert ist. Die Cyberkriminellen versuchen vor allem, mit Hilfe von Trojanern an Daten zu gelangen (Spionage), beziehungsweise den fremden Computer zu missbrauchen, um allumfassende Angriffe ("distributed denial of service") zu starten und Spam oder andere unerlaubte Anwendungen zu verbreiten.

Manche Infektionen dienen keinem Selbstzweck denn oft wird bei der Erstinfektion lediglich eine spezielle Installationssoftware im System abgelegt. In diesem Fall wird der Zugang zum Rechner über diese Installationssoftware an den Meistbietenden verkauft, der dann seinen spezifischen Trojaner einschleusen kann.

Die am häufigsten verwendeten Virenträger sind:

• Schadwebseiten (infizierte Seiten mit hohen Besucherzahlen, Schadwebseiten oder E-Mails auf denen Besucher durch Werbung geködert werden, Links in E-Mails);

• infizierte Anhänge in E-Mails;

• Wechseldatenträger.

Um Schadprogrammen vorzubeugen, befolgen Sie den Leitfaden.

Versuchen Sie, eine Risikoanalyse durchzuführen um herauszufinden, ob der Angriff bewusst auf Sie abgezielt war, oder ob Sie zufällig zum Opfer wurden. Folgende Fragen können Ihnen dabei helfen:

• Wie hoch ist die Wahrscheinlichkeit, dass jemand Sie ausspionieren will?

• Besitzen Sie Daten, die für andere Firmen von Interesse sein könnten?

• Arbeiten Sie für das Militär?

• Arbeiten Sie für einen Dienst der Regierung?

• Haben Sie als Subunternehmer Zugriff auf hoch vertrauliche Daten?

• Sind Sie gerade dabei, auf eine Ausschreibung zu antworten?

• Gehören Sie einem internationalen Konsortium an, das gerade auf eine Ausschreibung antwortet?

Wenn Sie eine dieser Fragen mit "Ja" beantwortet haben, ist es wahrscheinlich, dass ein Cyberkrimineller Sich für Sie interessieren könnte und Sie gezielt als Opfer ausgesucht hat.  Falls nicht, wurden Sie wahrscheinlich rein zufällig ein Opfer von Cyberkriminalität. Ihre Maschine wird an den Meistbietenden weiterverkauft werden.

Auch die Mittel, die vom Angreifer verwendet werden, um mit Ihnen in Kontakt zu treten, können Aufschluss darüber geben, ob Sie gezielt im Visier der Kriminalität stehen. Ein unpersönliches Schreiben deutet eher auf einen zufälligen Angriffsversuch hin, während die persönliche Anrede schon gezielter ist.

Manche Cyberkriminelle versuchen, durch mutwillige Attacke so viele Maschinen wie möglich zu infizieren. Diese Kriminellen haben sich auf den "Übernahme" von Computern spezialisiert und installieren ein Programm, das die Kontrolle aus der Distanz ermöglicht. Manchmal versuchen sie, die Opfer ihren Heimatländern entsprechend aufzuteilen, zwischen Bürgern und Betrieben zu unterscheiden und eventuell sogar einzelne Opfer zu identifizieren. Je nach "Qualität" des Opferprofils bringt ein Computer mehr oder weniger Geld beim Weiterverkauf. Der Meistbietende erhält schlussendlich den Zuschlag. Er wird anhand des sich bereits auf dem Computer befindlichen Trojaner seine eigenen spezifischen Schadprogramme aus der Distanz installieren. Meist geht es ihm dabei um:

• Datenklau (hauptsächlich Zugangsdaten, Passwörter und Kontonummern) zum Beispiel aus den Bereichen e-Banking, e-Commerce, soziale Netzwerke, E-Mails,...;

• Die Benutzung der Maschine zum Verschicken von Spam;

• Die Benutzung der Maschine zur Beherbergung von schädlichen Web-Servern, oder Web-Servern mit illegalen Inhalten;

• Die Benutzung der Maschine zum Starten von Angriffen des Typs "Serviceverweigerung" ("denial of service"), wie Proxy, um auf Links zu klicken;

• Gezielte Angriffe.

Die opportunistischen Angriffe sind meist von großem Ausmaß, da die schädlichen Codes, welche für den Fernzugriff notwendig sind, bestenfalls erst nach einigen Tagen von den Herstellern der Antivirenprogramme entdeckt werden. Es besteht sogar die Möglichkeit, dass das Antivirenprogramm auch dann noch nicht das Schadprogramm erkennt. In diesem Fall muss auf eine Antivirus-Live-CD zurückgegriffen werden.

Im Gegensatz zu opportunistischen Angriffen mit weitem Ausmaß, konzentrieren sich gezielte Angriffe generell auf ein spezifisches Opfer. Dabei wird eine bestimmte Einzelperson ausgewählt, die Teil des anvisierten Betriebs ist. Schadprogramme  sind speziell für diese Art von Angriffen konzipiert und bleiben vom Antivirenprogramm meist unerkannt. Gezielte Angriffe können durch folgende Überträger stattfinden:

• Den Kauf des Zugriffs auf einen Computer eines spezifischen Organismus. (Verkauft werden solche Zugriffe von Kriminellen, die opportunistische Angriffe ausführen).

• Social engineering per E-mail, mit infizierten Dateien (KMUs: siehe  Spam / Phishing, Social engineering / unangebrachte Kommunikation);

• Social engineering durch physischen Zugang und gezielter Infektion von Maschinen (KMUs: siehe Eindringen in Einrichtungen, Einbringen oder Entfernen von Material, Benutzung unerlaubter Programme, Verwendung eines internen Benutzerkontos durch einen Externen);

• Social engineering durch physischen Zugang und Einschleusen von infizierten Wechseldatenträgern (KMUs: siehe Eindringen in Einrichtungen, Einbringen oder Entfernen von Material) ;

• Social engineering durch Versenden von physischer Post inklusive infizierter Wechseldatenträger;

• Social engineering durch das Verteilen von infizierten Geschenken (während Konferenzen, Messen,...);

• Social engineering durch Locken des Opfers auf eine schädliche Webseite ;

• Infektion von unbewachtem Informatik-Material (in Flughäfen, Hotels, Konferenzsälen,...) (KMUs: siehe Eindringen in Einrichtungen, Einbringen oder Entfernen von Material, Benutzung unerlaubter Programme, Verwendung eines internen Benutzerkontos durch einen Externen, Spam / Phishing, Social engineering / unangebrachte Kommunikation).

Es ist sehr schwierig, einen Angriff dieser Art zu erkennen. Diese Codes machen kaum auf sich aufmerksam, da sie sich, wenn überhaupt, nur sehr langsam verbreiten. Stattdessen bleiben sie meist unentdeckt und versuchen über den größtmöglichen Zeitraum hinweg vertrauliche Informationen zu sammeln.

Die Aktivität des Schadprogramms kann unter Umständen in den Logs der Firewall oder des Proxy-Servers nachgewiesen werden.

Es ist sehr oft schwierig herauszufinden, ob eine Maschine infiziert ist, und es ist noch schwieriger, sie zu reinigen. Der investierte Aufwand und die gewählte Methode müssen dem Grad an Kritikalität der betroffenen Maschine entsprechen.

• Wenn es sich eher um einen opportunistischen Angriff handelt und die Maschine keine vertraulichen Daten enthält und nicht für kritische Operationen wie z.B. E-Banking gebraucht wird, können Sie versuchen, die Maschine zu desinfizieren:

  • Ihr Antivirenprogramm erkennt die Infektion wahrscheinlich nicht als solche. Sonst hätte es sie von vornherein abgehalten. Nehmen Sie die Maschine vom Netzwerk und versuchen Sie sofort, die Maschine mithilfe der Live-CD eines anderen Antiviren-Herstellers zu desinfizieren. Noch besser ist es, wenn Sie 4 bis 5 Tage warten, bevor Sie diese Säuberung durchführen: Ein modernes Schadprogramm bleibt während der ersten Tage unentdeckt und die Hersteller von Antivirenprogrammen benötigen diese Zeitspanne, um eine Signatur aufzustellen. Achtung: Eine Desinfektion durch ein Antivirenprogramm kann eventuell zur Löschung von infizierten Systemdateien führen. Es kann also sein, dass der Computer nach der Desinfektion nicht mehr funktioniert; er muss dann mithilfe einer Installations-Disk repariert, beziehungsweise neu installiert werden.

• Wenn Sie wissen, zu welchem Zeitpunkt Ihre Maschine infiziert wurde, und dass Sie über vor diesem Zeitpunkt gespeicherte Dateien verfügen, können Sie versuchen, diese wiederherzustellen. Vergessen Sie nicht, alle nötigen Updates nach Wiederherstellung der Systeme durchzuführen.

• In den anderen Fällen empfehlen wir Ihnen, eine komplette Neu-Installation durchzuführen:

  • Speichern Sie Ihre Daten auf einer externen Festplatte

  • Formatieren Sie die interne Festplatte und reinstallieren Sie den Computer mithilfe Ihrer bevorzugten Installations-Disk.