Microsoft-Virenexperte: "Viren bringen kein Geld ein, Scareware schon"

Gefälschte Antivirensoftware, auch Scareware oder Rogue AV genannt, verursacht die mit Abstand meisten Anrufe bei Microsofts telefonischer Antiviren-Hilfe. Das sagt Redmonds oberster Virenjäger Vinny Gulloto. Ihm zufolge finden sich auch in den Logfiles von Forefront-Installationen, Microsofts Antivirensoftware für Unternehmen, reichlich Hinweise auf Scareware-Infektionen.

Offenbar laden also auch Mitarbeiter über ihre Unternehmens-PCs die vermeintliche Schutzsoftware herunter. Wie viele dieser Scareware-Installationen hinterher durch Zahlung aktiviert werden, weiß Gullotto nicht. Die Beliebtheit von Scareware kann er aber leicht erklären: "Viren bringen kein Geld ein, Rogue AV schon." Entsprechend viele Entwickler würden sich mittlerweile auf die lukrative Malware-Form konzentrieren.

Gullotto kann neben den eigenen Forefront-Logs auch auf eine ziemlich breite Datenbasis zugreifen, um sich ein Bild der aktuellen Bedrohungslage zu machen: Mehr als 690 Millionen PCs weltweit werden inzwischen vom Malicious Software Removal Tool (MSRT) monatlich untersucht. Das Tool meldet seine Entdeckungen anschließend nach Redmond. Eines der Ergebnisse der jüngsten Scans: Der Anfang 2009 als Superwurm bekannt gewordene Conficker verbreitet sich nach wie vor und dient – kaum überraschend – unter anderem zur Installation von Scareware. Außerdem zeigen die Statistiken, dass die meisten PCs mehrfach befallen sind. Im Schnitt finden sich laut Gullotto zwei oder drei Malware-Samples auf infizierten Maschinen.

Gullotto und sein Team nahmen auch Angriffe unter die Lupe, die durch gezieltes Phishing (Spear Phishing) eingeleitet wurden. Schlagzeilen machten Attacken dieser Art beispielsweise, als unter anderem Google Opfer eines solchen Angriffs wurde. Vinny Gullotto entzaubert die oftmals als technische Meisterleistungen dargestellten Angriffe: "Meiner Meinung ist das einzig wirklich Maßgeschneiderte bei den von uns untersuchten Attacken die ursprüngliche E-Mail. Die damit verschickte Malware hingegen kommt von der Stange beziehungsweise aus dem Baukasten und wurde nicht für ein spezielles Ziel erschaffen." Der Microsoft-Manager gesteht aber auch ein, dass seine Datenbasis in diesem Fall dünn ist: Kaum ein Opfer einer solchen Attacke will Details über die Angriffe herausgeben. (ju)