Magnus Kalkuhl ist Virusanalyst für den deutschsprachigen Raum beim Softwarehersteller Kaspersky Lab.
sde: Der Pandawurm wütet in China, in Deutschland kennt ihn kaum jemand. Woran liegt das?
Kalkuhl: Für Würmer und Viren ist es nicht ungewöhnlich, dass sie nur in bestimmten Ländern oder Regionen wüten. Vergangenes Jahr gab es einen Schadcode namens "Ransomware", der vor allem im Russland grassierte, die gefälschten Telekom-Rechnungen mit Trojaner im Anhang sind vorwiegend im deutschsprachigen Raum unterwegs. Schuld daran sind sprachliche Barrieren. Eine Mail aus China mit chinesischen Zeichen wird von einem Empfänger in Deutschland wahrscheinlich sofort gelöscht. Würmer verbreiten sich zudem über das Adressbuch des Mailprogramms. Darin sind eben oft nur Bekannte aus dem gleichen Kulurkreis. Außerdem reagieren die Antivirenhersteller sehr schnell auf Angriffe, innerhalb einiger Stunden steht in der Regel ein Gegenmittel parat. Epidemien gibt es heutzutage deshalb nur wenige, die Programmierer der Schadsoftware haben ein ein sehr enges Zeitfenster, in dem sie ungeschützte Rechner erreichen.
sde: Der Panda-Wurm zerstört Daten auf der Festplatte, daraus erhält niemand einen Vorteil. Wecleh Absicht steckt hinter einem solchen Angriff?
Kalkuhl: Daten zu zerstören ist eigentlich die lassische Anwendungsweise von Viren. Früher haben sich Programme sehr oft nur verbreitet um zu löschen. Den Programmierern war der große Schaden zum Teil gar nicht bewusst. Es ging eher um Ansehen in der Programmierer-Gemeinde und man freute sich, wenn die Medien berichteten. Heutzutage sind Angriffe eigentlich anders gestaltet und haben oft kriminellen Hitnergrund. Zum Beispiel werden Trojaner verschickt, um sogenannte Botnetze zum Versand von Spam-Nachrichten zu installieren oder um Passwörter auszuspionieren. Das soll der User aber nach Möglichkeit nichts von einem Angriff merken. Der Programmierer des Panda-Wurms ist daher wahrscheinlich eher ein "Script-Kiddie", also ein Programmierer ohne kriminellen Hintergrund. Es könnte aber auch ein Test sein, wie gut sich der Schadcode verbreitet.
sde: Der Wurm beginnt nach seiner Aktivierung damit, Daten zu zerstören und den Rechner neu zu starten. Wie kann man sich bei einem Befall vor Datenverlust schützen?
Kalkuhl: Wenn man merkt, dass der Rechner infiziert ist, am besten erstmal ausschalten. Es gibt sogenannte Live-CDs, auf denen befindet sich eine Minimalversionen von Windows und Antivirensoftware. Mit diesen CDs kann man den Rechner starten, ohne das infizierte Betriebssystem zu starten, und dann den Schadcode entfernen. Allerdings rate ich dazu, nach einer Vireninfektion den Rechner neu zu installieren. Viele Programme laden mittlerweile nach ihrer Aktivierung sofort weiteren Code nach, der nicht vom Virenscanner erfasst wird und so das System unbemerkt schädigen kann.