Tobias Heuken

Bei den Anti-Virenprogrammen PC Cillin 14, Internet Security 2007 und Internet Security 2008 aus dem Hause Trend Micro scheint nach einem Update der Pattern-Dateien vom 4. September die Freund-Feind-Erkennung – vor allem unter Windows XP mit Service Pack 2 – versagt haben: So identifizierten die genannten Programme nach Angaben von Teilnehmern des Winfuture-Forums wichtige Windows-Systemdateien wie netui0.dll, pstorec.dll und (offenbar in selteneren Fällen) winsocks32.dll fälschlicherweise als Trojaner und entfernten diese beziehungsweise schoben sie in Quarantäne. Wer die daraufhin gegebenenfalls erscheinende Windows-Meldung, die SP2-CD einzulegen, ignorierte und den Rechner neustartete, stellte fest, dass seine Netzwerk-/Internet-Anbindung nicht mehr funktioniert. Bei einigen Anwendern soll zudem die Systemdatei dpcdll.dll entfernt worden sein, die Teil der Lizenzverwaltung von Windows ist – mit der Folge, dass das Betriebssystem wegen einer angeblich fehlenden Lizenz den Zugriff verweigert.

Mit „Luxemburg“ verbindet man automatisch die Begriffe Diskretion und (Daten-)Sicherheit. Wie die ESET Virus Labs jedoch herausfanden, führt der Wurm Win32/Inject.NBL genau das Gegenteil im Schilde. Dieser aus Luxemburg verschickte Virus befällt seit Anfang dieser Woche vor allem Anwender von Windows Live Messenger, AIM und Triton. Befallene PCs werden gegen ihren Willen und ohne Wissen des Anwenders in Botnetze eingespeist und vermutlich für das Versenden von Malware missbraucht.

Neugierde wird bestraft

Dass auch scheinbar harmlose MP3-Dateien eine Gefahr darstellen können, demonstriert ein Wurm, der Multimedia-Dateien in den Formaten MP3, WMA und WMV infiziert. Er setzt dazu in den Dateien eine Markierung, die besagt, dass zum Abspielen ein spezieller Audio-Codec erforderlich sei. Die Musik- und Videodateien lassen sich damit weiterhin abspielen. Allerdings erscheint beim ersten Versuch, sie im Windows Media Player zu öffnen, eine Popup-Box zur Installation des Codecs aus dem Internet. Dahinter verbirgt sich jedoch ein hinterhältiges Schadprogramm.

AVG will in einem kommenden Update seines Virenscanners die Safe-Searching-Komponente deaktivieren, die schädliche Webseiten in Suchergebnissen markieren kann. Der Hersteller reagiert damit auf massive Kritik von Netzwerkadministratoren, dass der sogenannte LinkScanner bei seinen Analysen der Webseiten zu viel Bandbreite beanspruchen würde. Der Scanner ruft im Voraus die etwa von Google zu einem Suchbegriff gefundenen Seiten auf – und zwar alle auf einer Ergebnisseite angezeigten. Dabei ist es unerheblich, ob der Anwender eine der Seiten besucht, der Web-Traffic kommt trotzdem zustanden.

Von solch einem Support kann der normale Anwender nur träumen: Rund-um-die-Uhr-Online-Support, 6 Monate lang Softwareersatz, so oft man will. Die Entwickler des Trojanerbaukastens Turkojan bieten ihren Kunden einiges, um sie zufriedenzustellen. In der Gold Edition hat der Kunde laut Preisliste innerhalb von sechs Monaten beliebig oft Anspruch auf eine Ersatzversion des Toolkits, sobald ein Virenscanner einen von ihm gebauten Trojaner erkennt. Daneben wartet die 249 US-Dollar kostende Gold Edition mit zahlreichen Funktionen auf, die weit über das hinausgehen, was man früher von solchen Baukästen gewohnt war: Videostreaming über eine Webcam, Audiostreaming über ein am PC angeschlossenes Mikrofon und Realtime-Screen-Viewing, um jede Aktion auf einem infizierten System verfolgen zu können. Dass ein mit Turkojan 4.0 erstellter Trojaner daneben auch Passwörter ausspähen kann und Tastatureingaben mitliest, muss man da kaum noch erwähnen.