Heise Security vermelden einen neuen Trojaner, welcher sich clever unter dem Radar der meisten Virenscanner bewegt. Dazu wird der eigentliche Schadcode nicht direkt auf den Rechner geladen, sondern eine funktionell ungefährliche Visual-Basic-Datei bezieht den eigentlichen Schadcode aus dem HTML-Code einer Webseite und führt diesen Schadcode gleich direkt im Arbeitsspeicher aus. Damit wird das Funktionsmodell der meisten Virenscanner untergraben, welche üblicherweise nur auf der Festplatte liegende Dateien beim Öffnen oder Schreiben prüfen. Derzeit handelt es sich nur um einen Trojaner, welcher eine solche Technologie nutzt – da aber das Modell sehr erfolgversprechend aussieht, könnte es in Zukunft noch viel mehr solcherart Trojaner geben.

Abhilfe hier gegenüber kann ein verhaltensbasierte Erkennungsmodell des Virenscanners sein – diese verhaltensbasierten Erkennungsmodelle sind aber bei weitem nicht perfekt und mit Fehlalarmen behaftet, welche es für den wenig erfahrenen Windows-Nutzer schnell unpraktikabel machen. Das einzige, was hier wirklich sicher funktioniert, ist eine Personal Firewall, die zur (semi-manuellen) Kontrolle auch der ausgehenden Verbindungen eingesetzt wird – mittels dieser kann man nämlich den kompletten Internetzugriff der das ganze startenden Visual-Basic-Datei untersagen.

Kritisch wird es, sofern deren Internetzugriff vonnöten oder plausibel ist – beispielsweise, um mittels der startenden Visual-Basic-Datei irgendetwas harmloses nachzuladen. Wenn man beispielsweise an eine reguläre Downloader-Datei für irgendeine harmlose Software den Nachladecode für die trojaner-infizierte Software dranhängt, kommt man in größte Nöte: Der Internet-Zugriff wird gewährt, weil der Zweck als Downloader dies bedingt und sowohl die startende Datei als auch die damit heruntergeladene Software auch nachprüfbar sind virenfrei – nur daß die startende Visual-Basic-Datei im Hintergrund die trojaner-infizierte Webseite geöffnet und sich von dieser den Trojaner-Code geholt sowie schon längst ausgeführt hat.

Ob das Benutzer-Modell von Windows 7 hier weiterhelfen kann, ist auch nicht ganz klar: Im derzeit konkreten Fall, wo sich der Trojaner gleich ins Systemverzeichnis zu schreiben versucht, würde das wohl daran scheitern, wenn man unter Windows 7 üblicherweise nur mit eingeschränkten Rechten unterwegs ist. Geht ein anderer das gleiche Funktionsmodell benutzender Trojaner dagegen weniger aggressiv zu Werke oder trickst das Benutzer-Modell irgendwie aus, wird dieser wohl doch irgendwie durchkommen können. Die Crux an der ganzen Sache ist weniger mit Sicherheitseinstellungen etc. zu lösen als vielmehr dem Fehler im Design geschuldet, daß aus dem Internet geladene Daten einfach so im Arbeitsspeicher als Code ausgeführt werden können – ohne daß das ganze vorher jemals ein Virenscanner zu Gesicht bekommen hat.

Es bleibe abzuwarten, wie heftig diese Sicherheitslücke zukünftig ausgenutzt wird und ob andere Sicherheitsmechanismen in der Praxis dann doch greifen (oder eben nicht). Generell betrachtet kann man anhand dieses Falles aber durchaus über eine Designänderung an Windows nachdenken – alternativ müssen die Hersteller von Antiviren-Software dringend über den Erfassungshorizont ihrer Produkte nachdenken, welcher nun offenbar wirklich einfachst zu unterlaufen ist.

Nachtrag vom 7. Februar 2012

Wie sich aus der Diskussion über diese News-Meldung ergab, sind wir hier etwas übers Ziel hinausgeschossen – der konkrete Trojaner ist zwar durchaus spitzfindig erdacht, die von uns angesprochene "Windows-Designlücke" ist jedoch eine generelle Eigenschaft von Windows und auch anderer aktueller Desktop-Betriebssysteme wie MacOS und Linux. Ganz generell unterscheiden aktuelle Betriebssysteme nicht zwischen Daten und Code in ihrem Hauptspeicher – es gibt Technologie, die dies einschränken, aber jene Eigenschaft gehört einfach bei aktuellen Betriebssystemen dazu. Völlig richtig wird zudem in der Diskussion zu dieser News-Meldung angemerkt, daß der Virenscanner natürlich auch und zuerst auf die Loader-Datei anspringen sollte, selbst wenn diese frei vom eigentlichen Schadcode ist.