Handy Antivirus

Das ist eine gute Nachricht. Symantec bietet unter dem Namen Norton Everywhere demnächst einen vereinheitlichten Schutz für alle internetfähigen Geräte – und damit natürlich auch Smartphones und Handys. Anbei die Pressemitteilung von Symantec:

München, 31. Mai 2010 – Mit Norton Everywhere präsentiert Symantec einen neuen Ansatz beim Schutz vor Internet-Angriffen: Die Initiative reicht über klassische Computeranwendungen hinaus und umfasst nahezu alle Bereiche, bei denen der Anwender mit dem Internet in Berührung kommt. Symantec ergänzt dabei eigenes Know-How, Technologien sowie Infrastrukturen (Internetsicherheit, Backup) durch strategische Kooperationen mit ausgewählten Partnern, um Norton Services im umfassenden Sinne für Endanwender anbieten zu können. Für den Nutzer heißt das: Egal, wo er sich befindet, oder womit er ins Internet geht – Norton bietet Schutz. Die Angebote sollen zum einen direkt für Anwender zur Verfügung stehen, zum anderen über Business-to-Business Angebote bereit gestellt werden. Dabei beziehen sie jegliche internetfähigen Geräte (Smartphones, iPad, Fernseher, Gamingkonsolen usw.) sowie auch die Knotenpunkte des Internets, das Domain Name System (DNS), mit ein.

Zitat von Janice Chaffin, President Consumer Business Unit, Symantec:
“Es gibt immer mehr Geräte abseits des klassischen PC, mit denen die Nutzer ins Internet gehen. Damit erhöht sich natürlich auch das Gefahrenpotenzial. Je breiter das Spektrum, desto weniger wirksam kann eine isolierte Lösung sein. Es kommt darauf an, systematisch und geräteübergreifend zu schützen. Norton Everywhere bietet den Nutzern vor dem Hintergrund eines veränderten Marktumfelds maximale Sicherheit – und zwar so flexibel, wie es die Anwender inzwischen selber in ihrem Online-Verhalten sind. Unser Vorteil: Symantec verfügt über alle notwendigen Ressourcen, um buchstäblich jedes internetfähige Gerät zu sichern.”

Norton Mobile – Schutz vor Verlust
Smartphones haben den Markt erobert – mit immer neuen Features und Applikationen. Schon Ende nächsten Jahres wird der Smartphone-Absatz voraussichtlich den der PCs übersteigen. Norton Mobile adressiert unter anderem auch den Verlust des Smartphones sowie den Schutz von gespeicherten Daten. Mit der Applikation Norton Smartphone Security for Android, in der Beta-Version im Juni 2010 erhältlich, können mobile Endgeräte im Verlustfall vom Besitzer über jede Distanz hinweg per SMS gesperrt und Inhalte vom Display entfernt werden. Hinzu kommen der Schutz vor Schadcode sowie vor unerwünschten Anrufen.

Norton Connect in der Beta-Version sorgt für Zugriff auf jede mit Norton Online Backup oder Norton 360 archivierte Datei – ganz gleich, ob der Nutzer ein iPhone, iPad oder ein Android-basiertes Gerät besitzt.

Mit m.norton.com beinhaltet Norton Mobile einen weiteren Service: Unter dieser Adresse finden die Nutzer aktuelle News, Videos, Downloads und mehr – im Juni wird die Seite auch in deutscher Sprache verfügbar sein.

Symantec kooperiert für die Entwicklung weiterer Services für Android und Windows Mobile mit HTC MobilityNow, HTC Corporation, einem schnell wachsenden Unternehmen im Bereich der mobilen Anwendungen.

Norton DNS – Schutz am “Knotenpunkt”
DNS steht für Domain Name System, die “Schaltstelle” des Internets. Norton DNS Beta bietet dem Nutzer grundlegende Schutzfunktionen wie Anti-Phishing, Anti-Malware und Anti-Spyware. Dabei greift Norton DNS genau an der entscheidenden Stelle: Bei jedem Aufruf einer Internetseite werden automatisch sogenannte DNS-Anfragen gestartet. Norton DNS filtert diese Anfragen und analysiert sie auf mögliche Gefahren und Schadenspotenziale. So bringt der Service dem Anwender noch mehr Sicherheit – mobil, aber auch am PC. Norton DNS ist in der Beta-Version im Juni 2010 frei erhältlich und erlaubt den Nutzern, durch entsprechende Anpassung der DNS-Einstellungen an ihren Routern jedes Endgerät im Haushalt wirksam zu schützen. Über die Installation einer Applikation erfolgt die Konfiguration auch automatisch. Diese kann im Juni unter www.nortondns.com heruntergeladen werden.

Übrigens: Android-Nutzern bietet Norton DNS einen schnelleren, noch sichereren Internetzugang über WLAN über die Installation eines Apps (erhältlich über Android Market).

Norton für weitere internetfähige Geräte
Laut IDC sind bereits heute mehr als 10 Milliarden Endgeräte weltweit mit dem Internet verbunden – herkömmliche PCs nicht mit eingerechnet. In vier Jahren werden es an die 20 Milliarden sein. Diese Geräte sind in der Regel nur unzureichend bis gar nicht gesichert. Der Norton Service liefert integrierte Schutzfunktionen für verschiedenste internetfähige Endgeräte wie Blue-Ray Player, TV-Geräte oder Media Streamer, aber auch Alarmanlagen, Digitalkameras oder digitale Bilderrahmen. Symantec arbeitet in diesem Bereich mit Mocana Corporation für die Entwicklung von Angeboten zusammen, die es Herstellern ermöglichen, Sicherheitslösungen direkt in den Geräten zu integrieren (z. B. sicherer Online-Speicher, intelligente Updates für Betriebssystem, Applikationen usw.).

Ende der Pressemitteilung

Zusammengefasst wird es im ersten Schritt noch kein gelbes Paket (die typische Farbe der Norton-Produkte) geben, das alle Schutzfunktionen von Handy, PC oder anderen internetfähigen Geräten beinhaltet. Dies liegt auch an den unterschiedlichen Erscheinungsdaten. Sehr wohl besetzt Symantec alle wesentlichen Kanäle, um in nicht allzu ferner Zukunft ein Softwarepaket anzubieten, dass mit vielleicht einem einheitlichen und einfachen Lizenzmodell jedes Gerät schützt.

Je nachdem, welcher Hersteller von Antivirensoftware einen Virus zuerst entdeckt, wird dieser mit unterschiedlichen Namen bezeichnet. So ist der Hobbes-Virus auch als Hobble bekannt. Noch verwirrender sind die rein technischen Bezeichnungen in den Virusdefinitionen der Hersteller von Antivirensoftware: SymbOS/Hobble.A-tr, SymbOS/HOBBES.A!tr, Trojan.SymbOS.Hobble.a, SYMBOS_HOBBES.A

Es handelt sich immer um den gleichen Schädling, einen Trojaner, welcher auf frühen Versionen von Symbian die Antivirensoftware von Symantec angreift. Das sorgt oft für reichlich Verwirrung bei der Identifikation sowie späterer Beseitigung des Virus.

Auch ist oft eine Klassifikation der Schadwirkung schwierig. So benimmt sich mancher Schädling wie ein Wurm und gleichzeitig wie ein Trojaner. Die Fähigkeit zur eigenen Replikation ist dann mit Ausspähungsfunktionen sowie  ggf. dem Auslesen von Passwörtern verbunden. Hier eine saubere Trennlinie zu ziehen, fällt schwer.

Persönlich kann ich nur empfehlen, sich genau mit der eigenen Antivirensoftware zu beschäftigen. Es macht wenig aus, wie ein Virus nun von anderen Herstellern bezeichnet wird. Hauptsache ist doch, dass ein ausreichender Schutz und im Schadensfall eine zuverlässige Beseitigung möglich ist.

Wenn man sich einen Virus auf dem Handy eingefangen hat, hilft manchmal nur noch grobes Geschütz. Speziell bei Verseuchung systemrelevanter Dienste können Antivirenprogramme das Handy nicht oft mehr ohne Schaden retten. Hier ist dann ein kompletter Reset angesagt, welcher das Handy auf die Werkseinstellungen zurücksetzt.

Mit diesem drastischen Mittel ist man zwar den Virus los, jedoch auch alle Kontaktdaten sowie SMS und MMS. Falls es soweit kommt, ist ein Backup der gesammelten Daten nützlich. Dies kann man mit einfachen Mitteln selbst erstellen. Die meisten Programme für Handys (bsp. die Nokia Suite oder auch Dienstprogramme von Samsung) haben in ihren Funktionen eine Backuplösung eingebaut. Einfach anklicken und schon hat man eine Kopie des Handyspeichers auf dem PC. Wer regelmäßig sein Mobiltelefon mit Outlook auf dem PC synchronisiert, hat es noch einfacher. Hier wird nach dem Reset des Handys einfach eine neue Synchronisation gestartet, welche den Inhalt von Outlook und damit sowohl Kontakte, wie auch Nachrichten wieder verfügbar macht.

Richtig lästig ist ein Hardreset aber bei sehr breit genutzten Handys. Dann sind erst einmal alle Applikationen weg oder zumindest völlig verstellt. Auch das Betriebssystem befindet sich wieder im Urzustand ohne die zwischenzeitlich vielleicht eingespielten Patches und Aktualisierungen der Sicherheit.

Entsprechend muss erst einmal das Betriebssystem wieder hergestellt und auf einen aktuellen Stand gebracht werden. Danach empfiehlt sich auf jeden Fall die Installation eines aktuellen Virenscanners. Wer einmal von einem Virus, Trojaner oder Wurm erwischt wurde, weiß nicht unbedingt, wie die Infektion passierte. So lange dies nicht bekannt ist und sauber abgeblockt werden kann, sollten Virenscanner und Firewall das Handy schützen.

Hier sollte auf jeden Fall ein zusätzlicher Virenscanner auf dem PC eingesetzt werden, der für die Virenfreiheit des Datensatzes garantiert. Erst dann kann man wieder die Anwendungen aufspielen und die Daten von Backups oder Outlook wieder einlesen.

Wer einmal das komplette Prozedere einer Neuinstallation eines Handys durchgeführt hat, wird in Zukunft wahrscheinlich bedeutend vorsichtiger sein – das kann richtig Arbeit werden.

Betroffene Systeme: ältere Symbian-Systeme
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Mrex ist ein Virus, der sich als Installationsversion von Anti-Mrex ausgibt. Er macht nicht allzu viel Schaden, weil er sich nur mit folgenden Dateien ins System einträgt:

C:\system\data\colorscm.dat
C:\sysdata\startup.mp4
C:\sysdata\shutdown.mp4
C:\info.txt

Als Auswirkung wird die Farbwiedergabe des Handys kräftig gestört. Auch sind Probleme beim Neustart möglich, wenn sich das Mobiltelefon “aufhängt”. Die Dateien können durch manuelle Überspielung/Löschung entfernt werden. Auch ist ein Reset des Handys möglich – dann aber unter Verlust der gespeicherten Kontakte und Nachrichten.

Mrex ist schon recht alt und wird eigentlich von jedem aktuellen Antivirenprogramm, beispielsweise Umu, F-Secure, Kaspersky oder Symantec sauber und ohne weitere Schäden eliminiert.

Nicht nur im Internet und auf dem PC ist man von Spam und Phishing betroffen. Wer sein Handy als Kommunikationsmittel intensiv nutzt, wird früher oder später auch Ausspähversuche und Spam-Emails erleben. Ich darf mal kurz aus einer Presseinfo von Symantec zitieren bezüglich Phishing und Spam im April – wer Emails per Handy abruft, bekommt ebenfalls derartige Bedrohungen.

Presseinfo von Symantec:

Burger, Döner oder lieber Phish? Eine bekannte Fast-Food-Kette ist im April Opfer eines globalen Phishing-Angriffs geworden. In Massen-E-Mails erklärten Onlinebetrüger, dass das Unternehmen seinen Kundenservice verbessern wolle. Sie riefen dazu auf, an einer Umfrage teilzunehmen. Als Dank stellte man den Mail-Empfängern eine Aufwandsentschädigung in Aussicht und bat sie, ein Formular mit persönlichen Daten wie Pin- und Kreditkartennummern auszufüllen.

Im April hat sich im Vergleich zum Vormonat zudem der Anteil des so genannten „Dotted Quad Spam” verdreifacht. Hierbei handelt es sich um eine Technik, mit der Betrüger Spamfilter umgehen wollen. Ist eine URL-Adresse als Spamdomäne identifiziert, wird sie von den meisten Filtersystemen souverän aussortiert. Um diesen Mechanismus auszutricksen, hinterlegen Spammer kleine HTML-Ordner auf fremden Servern, die sie vorher infiziert haben. Die Empfänger von Spamnachrichten werden auf scheinbar seriöse Seiten geleitet, auf denen sie automatisch auf die eigentliche Spamseite durchgereicht werden.

Insgesamt waren 17 Prozent aller Spamnachrichten im April Scam oder Phishing, wobei Phishing-Angriffe um 33 Prozent zunahmen. Im April enthielten 89 Prozent aller Mailnachrichten Spam. Dabei lockten Onlinebetrüger mit besonderen Angeboten zum Muttertag oder mit dem „Deal of the Day” bei Amazon.com.

Gut, zurzeit ist nicht einmal jedes zehnte Handy mit einer brauchbaren Antivirensoftware unterwegs. Aber nicht außer Acht lassen darf man die direkte Bedrohung, welche durch Systemangriffe möglich sind. Ungeschützte Bluetooth-Verbindungen sowie ein munterer Austausch von SIM-Karten sowie Speichermedien machen ein Handy nun wirklich nicht sicherer.

Betrachten wir einmal, wie ein typischer Angriff aussehen könnte. Ein Handy hat zunächst immer den Funktionsstand des Betriebssystems, mit dem es ausgeliefert wurde. Sind zwischenzeitlich neue Viren oder Systemangriffe aufgetaucht, macht man sich mit einem alten System erst einmal tendenziell verwundbar. Das wiederum hängt sehr stark vom Betriebssystem des Handys ab, wie gut es verschiedene Prozesse gegeneinander abschirmen kann.

Beispielsweise die Linux-basierten Systeme von Apple sowie Android sind schon ziemlich gut gegen unerwünschte Eindringlinge geschützt. Kritisch wird es immer dann, wenn ein Prozess (beispielsweise der Handy-Browser für das Internet) geknackt wird und sich dieser Angriff auf weitere Prozesse und kritische Daten ausdehnen kann. Hier hilft dann eine Firewall, wenn sie den Angriffsversuch erkennt und von vornherein von gefährdeten Applikationen abblocken kann. Hierfür muss die Firewall permanent aktuell gehalten werden und die möglichen Knackpunkte der Applikationen und des Betriebssystems “kennen”.

Das ist gar nicht mal so leicht angesichts von zig möglichen Programmen, den Unterschieden zwischen WAP und WEB (Moderne Handys beherrschen beides) sowie auch noch sehr schnellen Versionsänderungen der Handy-Software. Ein Antivirus-System für den PC mit eingebauter Firewall hat es da doch etwas leichter auf Dauer.

Trotzdem ist der Gedanke an eine Firewall besonders bei unternehmenskritischer Nutzung des Mobiltelefons angebracht. Immerhin haben ein paar Antivirensysteme gleich eine kleine Firewall im Gepäck.

Was selbst bei aktuellen Handys immer noch etwas lästig ist: die nachlassende Akkulaufzeit beim Betrieb einer Firewall. Hier lohnt sich ein genauer Blick auf die Software sowie eine ständige Aktualisierung des Betriebssystems und wichtiger Applikationen – Spannung, Spiel und Spaß haben auf einem Business-Handy eh nichts zu suchen. Dann kann man eventuell etwas an den Funktionen und Schaltungsintervallen einstellen, damit nicht zu viel Akkuleistung für den Firewallbetrieb und die Überwachung an sich gesichterter Systeme verloren geht.

Betroffene Systeme: Symbian S60 third Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Yxe ist ein Wurm in verschiedenen Varianten. Allen gemeinsam ist der Infektionsweg, bsp. durch Überzeugung des Opfers, die Installation auszuführen. Yxe wird daher hauptsächlich in sozialen Netzen vervielfältigt, bei denen vermeintlich seriöse Gesprächspartner MMS zusenden oder den Virus als SIS-Datei über das Internet bewerben.

Auf dem Handy versucht Yxe nach erfolgreicher Installation, Daten des Smartphones auszulesen und diese in Form von Logdateien über eine http-Verbindung an einen Server zu übermitteln. Die http-Adresse ist kann hierbei variieren. Zusätzlich legt der Virus eine Kopie von sich selbst an. Dazu wird noch der Applikationsmanager beschädigt wie auch eventuelle fremde Dateimanager. Dann erfolgt ein Auslesen der Kontaktliste und ein Versand der Virus-Kopie an alle Kontakte.

Genau wie Transmitter gibt es ein Problem mit der Authentifizierung der SIS-Datei. Verschiedene Varianten von Yxe nutzen ein Zertifikat von Symbian, das zwischenzeitlich widerrufen wurde. Wie so manche andere Viren kommt Yxe aus China. Daher ist absolute Vorsicht angebracht, wenn man entweder über soziale Netze (in China ist Raubkopieren Volkssport) oder sonstwie chinesische Software angeboten bekommt.

Zu den Abwehrmaßnahmen: S60 Handys können widerrufene, also ungültige, Zertifikate erkennen, wenn man im Applikationsmanager die Liste aktueller Zertifikate auf den neuesten Stand bringt. Hierfür ist eine Internetverbindung nötig, damit man sich von Symbian die aktuelle Liste herunterladen und aufs Handy überspielen kann. Yxe würde in diesem Fall schon durch das Betriebssystem abgelehnt. Der Virus taucht nach Installation als normale Applikation auf dem Handy auf und kann ganz normal gelöscht werden. Hierfür sollte man sich den Namen gemerkt haben, mit dem Yxe sich während der Installation gemeldet hatte.

Noch besser ist natürlich Antivirensoftware von westlichen Herstellern, die mit dem Schädling kurzen Prozess machen. F-Secure, Umu, Symantec oder auch Kasperky haben entsprechende Antivirenprogramme.

Betroffene Systeme: Symbian S60
Übertragungsweg: MMS, Bluetooth, Installationsdatei (SIS)
Schadwirkung: gering

Mabir ist eine funktional erweiterte Schadroutine ähnlich des Cabir-Virus, daher auch die ähnliche Bezeichnung. Er kann Symbian S60 Geräte infizieren, indem er nach in der Nähe befindlichen Bluetooth-Geräten sucht. Zusätzlich lauscht Mabir nach einkommenden SMS sowie MMS und sendet eine infizierte SIS-Datei zurück an den Absender. Hier ist dann auch Vorsicht angebracht, da MMS nicht nur Bilder oder Töne umfassen können – eine häufige Fehlannahme – sondern auch SIS-Dateien und darin enthaltene Viren.

Beim Versand via Bluetooth benutzt Mabir immer den Dateinamen caribe.sis, beim Versand via MMS immer den Dateinamen info.sis. Der darin enthaltene Virus ist derselbe.

Ein gängiges Antivirus-Programm, etwa F-Secure, Umu, Symantec oder Kaspersky blockt Mabir ab und kann ein infiziertes Handy säubern. Da der Virus schon älter ist und aktuelle Versionen von Symbian deutlich bessere Schutzmechanismen haben (Verifizierungscode der SIS-Datei), sind die neuesten Handys weniger gefährdet. Trotzdem ist und bleibt eine Antivirensoftware für Smartphones empfehlenswert.

Betroffene Systeme: Symbian S60
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Der Virus PBSteal scheint eine Weiterentwicklung von Cabir zu sein. Die Schadroutine ist ein wenig merkwürdig. Einmal installiert, liest PBSteal das komplette Kontaktverzeichnis aus (PBSteal=PhoneBook Steal). Der Virus sucht dann nach Bluetoothgeräten in der Nähe und überträgt wiederholt alle Kontakte hübsch formatiert an die nächstmögliche Bluetoothverbindung. Gemunkelt wird, dass es sich um einen chinesischen Programmierer handelt, welcher PBSteal schrieb.

Falls man den Virus nicht mit gängiger Antivirensoftware von bspw. F-Secure, Umu, Symantec oder Kaspersky entfernen möchte, ist auch eine manuelle Löschung möglich.

Folgende Dateien sind zu entfernen:

C:\system\apps\pbexplorer\pbexplorer.rsc
C:\system\Mail\00110001_S\PBDeveloper.rsc
C:\SYSTEM\MAIL\PHONEBOOK.TXT – die geklaute Kontaktliste

Trotzdem ist der Einsatz eines Antivirus-Programms empfehlenswert, da nicht ausgeschlossen werden kann, dass weitere Viren oder neuere Versionen von PBSteal auf dem Handy vorhanden sind.

Es ist gut, wenn man einen Virenscanner auf dem Handy hat. Noch besser ist es, wenn dieser nichts kostet. So gibt es einige Hersteller, welche Downloads von Testversionen anbieten oder – noch besser – gleich ihr Antivirenprogramm als Freeware anbieten. Allerdings handelt es sich nicht in allen Fällen um die aktuellsten Versionen, welche auch vor ebenso aktuellen Gefahren einen Schutz anbieten.

So gibt es von Smartpctools.com einen kostenlosen Virenscanner fürs Handy, der aber bei einigen Downloadplattformen nur in der Version vom 24.05.2009 angeboten wird, also fast ein Jahr alt. Auf der Herstellerseite habe ich keine aktuellere Version gefunden. Inzwischen gibt es jedoch neue Bedrohungen, denen man begegnen sollte. Deutlich besser sieht es da bei F-Secure aus, deren Testversion immer ziemlich aktuell ist. Zurzeit gibt es die Version vom Februar 2010, das reicht erst einmal für einen brauchbaren Basisschutz. Auch von Avira`s Antivir Mobile gibt es leidlich aktuelle Versionen im Web, wenn man etwas herumsucht.

Der Schutz vor Viren alleine ist aber nicht der einzige Punkt, nach dem man die Software auswählen sollte. Beispielsweise F-Secure hat gegenüber einfacheren Systemen einen guten Funktionsumfang mit zusätzlicher Diebstahlsicherung – kann aber nur 7 Tage als Testversion genutzt werden. Avira ist 30 Tage nutzbar, jedoch etwas schwächer qua Ausstattung. Sehr leistungsfähig ist auch Kaspersky Anti-Virus Mobile, das ebenfalls als recht aktuelle Testversion zur Verfügung steht.

Die Downloads für mobile Antivirensoftware werden oft von den Download-Plattformen etwas stiefmütterlich behandelt. Die Suche nach den aktuellsten Versionen ist lästig – längst gibt es nicht überall aktuelle Versionen. Ein Blick aufs Erzeugungsdatum der Datei ist daher auch vor der Installation empfehlenswert.

Selbstredend sollte man Antivirensoftware nur von bekannt zuverlässigen Webseiten herunterladen. In Deutschland sind dies beispielsweise magnus.de, chip.de oder pcwelt.de oder natürlich die Hersteller selbst. Auf dubiosen Seiten kann man sich sehr schnell einen Virus einfangen, wenn sich das vermeintliche Schutzprogramm selbst als Schädling erweist – Dateien kann man beliebig benennen.