Man kennt das: Der verseuchte Anhang einer Mail oder eine Datei von einem USB-Stick wird auf den Rechner geladen - schont schlägt das Virenprogramm Alarm. Eine neue Generation von Schädlingen aber kann sich geschickt vor den Virenjägern verstecken. Sie verbreiten sich in erschreckendem Tempo.

Die Virenexperten von Kaspersky wurden durch Zufall auf einen der neuen Schädlinge aufmerksam, weil eine Bank ungewöhnliche Prozesse im Arbeitsspeicher eines Sicherheitsservers entdeckte. Das berichtet Kaspersky auf seinem Blog. Die Software konnte die Daten von Systemadministratoren mitschneiden, verschaffte sich so mehr Zugriffsrechte. Am Ende sorgte sie dafür, dass die Angreifer sich an Geldautomaten bedienen konnten.

Dateilose Schadsoftware

Um sich zu tarnen, macht sich die von Kaspersky "Duqu2" getaufte Schadsoftware die Funktionsweise der Antiviren-Programme zunutze. Die durchsuchen in der Regel die Festplatte nach Dateien und prüfen sie dann auf ihre Gefährlichkeit. Die neuen Schädlinge bleiben aber nicht als Datei auf dem Datenträger - und entziehen sich so schlicht den Such-Routinen. Diesem Umstand verdanken sie auch ihren Spitznamen als "Fileless Malware", dateilose Schädlinge.

Nach Angaben von Kaspersky nutzen die Schadprogramme dafür gleich eine ganze Reihe von Strategien. Eines haben sie alle gemeinsam: Als ersten Schritt entsorgen sie die Installationsdatei. Dann nisten sie sich in verschiedenen Teilen des Systems ein, die deutlich schwieriger auf Angriffe abzuklopfen sind, etwa den Arbeitsspeicher oder bestimmte Netzwerk-Prozesse. Ein guter Teil überlistet Kaspersky zufolge auch Windows-Prozesse und lässt sich als Script über die Kommandozeile ausführen. Mindestens 140 Unternehmen in 40 Ländern wurden in letzter Zeit so attackiert, fanden die Experten heraus.

Banken und Behörden im Visier

Bisher wurden die dateilosen Attacken vor allem in Firmen- und Behördennetzwerken beobachtet. Ganz oben stehen Banken auf der Liste, berichtet Kaspersky. Das dürfte mehrere Gründe haben: Zum einen sollten solche Netzwerke deutlich besser gesichert sein als der durchschnittliche Heimrechner. Zum anderen bieten sie potenziell größere Gewinne, rechtfertigen also auch aufwendigere Angriffe. Zu guter Letzt dürften solch hochkarätige Ziele häufiger gezielt ins Visier professioneller Hackergruppen geraten, seien sie staatlich finanziert oder auf klassische Industriespionage aus.

"Es wird immer mehr ein weiteres Werkzeug im Repertoire von Angreifern", sagte Sicherheitsexperte Greg Linares gegenüber "Wired". Ein großer Vorteil geht allerdings mit der größeren Verbreitung verloren: Dateilose Attacken sind dann am effektivsten, wenn die Sicherheitsverantwortlichen nicht mit ihnen rechnen und dadurch Warnzeichen nicht erkennen. Mit den entsprechenden Vorsichtsmaßnahmen lässt sich auch die Bedrohung durch die neuen Schädlinge drastisch senken.

Wann kommen dateilose Angriffe Zuhause an?

Bei Privatanwendern werden die Programme vorerst wohl trotzdem nicht in Massen auftauchen. Noch lohnt sich der Aufwand bei privaten Rechnern kaum. Zudem sind die Bedingungen schlechter: Weil mit einem Neustart auch der Arbeitsspeicher gelöscht wird, fällt etwa dieser Nistplatz weg, Server im Dauerbetrieb haben die wenigsten Zuhause stehen. Sollten die Kosten sinken, dürfte das auf Dauer aber kaum schützen. Bis dateilose Angriffe zum Massenphänomen werden, ist es aber wohl noch eine Weile hin. Erpressungstrojaner bringen schlicht mit deutlich weniger Aufwand mehr Geld.