Killer-Virus? Alles halb so wild!
Panik verkauft sich gut, und deshalb bauscht die Presse Meldungen gerne auf. So heißt es vom Rombertik-Virus, dass er die Festplatte zerstört (Stern) oder vernichtet (Focus). Wow! Sollte es wirklich ein Stück Software geben, das Festplatten „vernichten“ kann, immer her damit! Das wäre beim Verschrotten alter Platten enorm praktisch.
In Wirklichkeit ist das natürlich Quatsch. Rombertik zerstört keine Hardware. Er löscht aber den Startbereich (MBR) der Platte und verschlüsselt Benutzerdaten. Während der MBR sich gut reparieren lässt, kann die Verschlüsselungsfunktion erheblichen Schaden anrichten. Dagegen helfen nur häufige Sicherheitskopien, denn es ist in diesem Fall nicht vorgesehen, dem Opfer gegen Lösegeld einen Schlüssel zu den Daten zur Verfügung zu stellen. (Vielleicht haben die Angreifer das für eine spätere Version geplant?)
Derart destruktive Viren gab es schon vor einer gefühlten Ewigkeit. Sie sind aber aus der Mode gekommen, weshalb Journalisten sie heute als brandheiße Neuigkeit verkaufen. Zerstörerische Malware war zu Zeiten en vogue, als der durchschnittliche Virenprogrammierer ein pickeliger Halbstarker war, der in seiner Freizeit den Rüpel spielte. Das sind die gleichen Leute, die auch gerne Mülleimer anzünden. Aber die Zeiten sind vorbei. Heute sind Malware-Entwickler profitorientierte Geschäftsleute, die kein Interesse daran haben, die befallenen PCs zu beschädigen.
Von einem kaputten PC kann man keine Kreditkartennummern abgreifen. Das ist das Geschäftsmodell von Rombertik: Er späht den Benutzer aus und liefert persönliche Zugangsdaten an die Hintermänner. Das Besondere an dieser Malware ist ihre Selbstverteidigung: Das Programm überwacht Zugriffe von Antivirenprogrammen oder Analysewerkzeugen auf den eigenen Code. Nur wenn Rombertik so einen Zugriff entdeckt, werden die destruktiven Programmteile ausgeführt. Bleibt er unbehelligt, so geht er nur seiner Spionagetätigkeit nach. Die Malware besteht außerdem zu über 90 Prozent aus überflüssigem Code.
Böse Zungen deuteten das schon als Hinweis auf Microsoft, aber das entbehrt natürlich jeder Grundlage. In Wirklichkeit sollen diese Programmteile nur ablenken. Rombertik wird von aktuellen Antivirenprogrammen erkannt. Wer auf Nummer sicher gehen will, startet einen Antiviren-Scan von einem sauberen Startmedium aus.