Dialer - Ein Fall für Anti-Viren-Software?
Internet-Dialer nutzen das bekannte Abrechnungsverfahren für Dienstleistungen, die – in diesem Falle teuer – über die Telefonleitung erbracht werden. Einige Dialer bleiben selbst dann noch aktiv, wenn der Computer-Nutzer längst glaubte, sie abgeschaltet zu haben – mit der Folge, dass für einfaches Surfen mehr als 1,70 Euro pro Minute berechnet werden. Bei anderen Dialern werden für die einmalige Nutzung Beträge bis zu 900,- Euro fällig.
Einige kostenlose Anwendungen, die Dialer ausschalten können, sind bereits im Internet zu finden. Ebenso sind laut der Info-Seite Trojaner-Info.de Dialer(öffnet im neuen Fenster) aufgetaucht, die versuchen, eben diese "gegnerische Software" gezielt auszuschalten. Auf die Frage, ob Anti-Virus- bzw. Firewall-Produkte in Zukunft um einen Schutz vor "Dialern" erweitert werden sollen, antworteten Experten von Network Associates (McAfee), Sophos, Symantec und Trend Micro recht ähnlich.
"Grundsätzlich wäre ein Schutz vor derartiger Software an der Firewall oder via Anti-Viren-Software durchaus denkbar" , so Gernot Hacker, Virenexperte bei Sophos. Er betont jedoch, dass die Erkennung sehr aufwendig ist, da die Dialer in letzter Konsequenz jedes Mal anders aussehen. "Die hierfür genutzten Dateinamen und Setuproutinen haben immer eine neue Gestalt, man kann hier kaum einen Vergleich mit Derivaten von Viren heranziehen."
Raimund Genes, Manager of European Operations bei Trend Micro, betont: "Es ist sehr schwer, bei Dialern zu unterscheiden, ob diese bewusst vom Anwender installiert wurden oder aus Profitgier von jemandem programmiert wurden, der diese dann zur wundersamen Geldvermehrung einsetzt." Er ergänzt jedoch: "Handelt es sich also um eine vorsätzliche Täuschung, zum Beispiel wird ein Programm als Spieleerweiterung ausgegeben und baut stattdessen immer eine kostenpflichtige Verbindung auf, so handelt es sich per Definition um ein trojanisches Pferd und das wird auf Kundenwunsch natürlich aufgenommen. Aber das muss immer von Fall zu Fall entschieden werden. Aus diesem Grund ist es sehr schwierig für Antivirenhersteller, da einen generellen Service anzubieten."
Marc Vos, Product Manager McAfee bei Network Associates (NAI), stuft Dialer, die ohne Nachfrage in Aktion treten, ebenfalls als Trojaner ein, den man auch als solchen erkennen werde. Auch er sieht jedoch den unvorsichtigen Benutzer als Schwachstelle: "Wenn das Programm zuerst die Erlaubnis des Nutzers einholt, bevor es irgendwelche Änderungen macht oder irgendwelche Nummern wählt, werden wir es nicht erkennen" , so Vos. Jack Clark, Product Marketing Manager von NAI ergänzt jedoch: "... wenn die Methoden um Erlaubnis zu bitten sehr angreifbar sind und wir genügend Nachfragen von unseren Kunden erhalten, ist es wahrscheinlich, dass wir die Erkennung hinzufügen."
Raimund Genes sieht in der Dialer-Erkennung zudem Parallelen zu so genannten Spaßprogrammen, die beispielsweise das Formatieren der Festplatte simulieren: "Wir erkennen viele Spaßprogramme und diese fangen dann beim 'Virennamen' mit Joke_ an. Aber etliche Kunden beschweren sich, dass wir diese an sich harmlosen Programme blockieren. Das selbe Problem ergibt sich bei der Blockierung von Dialern."
Die Erkennung bzw. Vereitelung der Installation und die Entfernung sind zwei sehr verschiedene Dinge. Gernot Hacker von Sophos dazu: "Die Deinstallation ist – wie Sie ja bereits wissen – unter Umständen nicht sehr trivial, da diese Programme das Ziel verfolgen, so resistent als möglich im System zu bleiben. Auch liegt hier im Regelfall eine Umkonfiguration der DFÜ-Netzwerk-Einstellungen vor. Und um diese rückgängig zu machen, müsste das hierfür zu nutzende Tool eine Sicherung der noch gewollten Konfiguration durchführen. Dies ragt über klassischen Virenschutz deutlich hinaus, für derartige Aufgaben existieren ja auch Tools wie z.B. Second Chance [Anmk. der Redaktion: Powerquest bietet das Tool nicht mehr an] oder GoBack, die per Mausklick eine Systemkonfiguration sichern und gegebenenfalls nach Änderungen wieder den Urzustand herstellen."
Die Konsequenz hieraus ist, dass im Zusammenhang mit dem Thema Sicherheit eine Schärfung des Bewusstseins aller Anwender ein wichtiges Ziel ist. "Nur durch den sorglosen Umgang mit Programmen – sei es durch Download von Websites oder durch E-Mail-Attachments – kann sich ein derartiger Dialer überhaupt ins System schmuggeln. Und wenn an diesem System ein hochgradig sorgloser Anwender sitzt, würde dieser vermutlich auch durch entsprechende Software nicht zu schützen sein, da ein derart strukturierter Anwender vermutlich gar kein Interesse an derartiger Software haben dürfte" , so Gernot Hacker von Sophos.
Marc Vos, von NAI dazu: "In den meisten Fällen werden Internet-Surfer auf einer Website gefragt, auf einen bestimmten Button zu drücken, um zu einem bestimmten Bereich zu gelangen und nur in kleiner Schrift wird erklärt, dass durch Klick auf den Button die Internet-Verbindung unterbrochen und eine neue Verbindung über eine wirklich teure Telefonnummer aufgebaut wird. Diese Art von Aktivität kann verhindert werden, wenn die auf einer Webseite angebotenen Informationen sorgfältig gelesen werden." Hierbei lässt Vos unberücksichtigt, dass sich zunehmend Dialer ausbreiten, die auf den entsprechenden Webseiten keinerlei Informationen über ihren Einsatzzweck verraten und auf die Neugier der Anwender setzen.
Keine Gefährdung sieht Sophos für Unternehmen, da Firmennetzwerke einem Anwender ohnehin nicht die Möglichkeit zur Installation derartiger Software ermöglichen – allerdings müssen dann Windows-NT/2000/XP-Systeme auch entsprechend konfiguriert sein. Firewalls würden bei richtiger Einstellung Internet-Dialer sowieso nicht ins Firmennetz lassen. Gernot Hacker dazu: "Man kann bereits jetzt auf dieser Ebene den Transfer von ausführbaren Dateien unterbinden, dies hängt jedoch auch vom jeweiligen Produkt ab."
Auch bei Symantec untersucht man die Dialer-Thematik derzeit, so die deutsche Niederlassung gegenüber Golem.de. Konkrete Ankündigungen gibt es jedoch seitens Symantec derzeit nicht, da es sich hauptsächlich um ein auf den deutschen Markt beschränktes Problem handele.
Aus dem Schneider – selbst bei eingefangenem Dialer – sind Firmen oder Privatnutzer, deren Internet-Verbindung über eine Ethernet-Verbindung besteht. Dazu zählen auch analoge oder ISDN-Internet-Verbindung, die nicht über einen PC, sondern über Router im Netzwerk aufgebaut werden. Allerdings bewahren auch technische Hürden – Software inbegriffen – den Nutzer nicht im Mindesten davor, unbekannte Software nicht unbedacht auszuführen und im Zweifelsfall die eigene Neugier zu zügeln.
Wer nicht auf kommerzielle Lösungen der klassischen Anti-Viren-Hersteller warten will, wird bereits im Free- und Shareware-Bereich fündig. Die Seiten www.dialerschutz.de(öffnet im neuen Fenster) , www.dialerhilfe.de(öffnet im neuen Fenster) und www.trojaner-info.de(öffnet im neuen Fenster) bieten nähere Informationen zu Dialern und stellen Anti-Dialer-Programme(öffnet im neuen Fenster) zum Download bereit.
Nachtrag vom 19. April 2002:
Kurz nach der Veröffentlichung dieses Artikels bietet die deutsche H+BEDV Datentechnik ihren Virenscanner AntiVir in einer neuen Version mit integriertem Dialer-Schutz an. Privatanwender dürfen die Software kostenlos nutzen und finden passende Downloads unter www.free-av.de(öffnet im neuen Fenster) .
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.