Malware – Die großen Gefahren im Internet

Malware
Was ist Malware?
Das Wort Malware ist eine Kombination der beiden englischen Wörter "malicious" und "software", die in etwa so viel wie bösartige Software bedeuten. Der zweifelhafte Sinn und Zweck dieser Art von Programmen ist also eindeutig: Sie sollen Schaden anrichten. Dies kann die unterschiedlichsten Formen annehmen. Bei der Definition ist es wichtig darauf hinzuweisen, dass Malware ohne das Einverständnis des Computernutzers agiert oder versteckte Funktionen besitzt, die es verschweigt, um dann heimlich seiner Aufgabe nachgehen zu können. Software mit der man anderen Schaden zufügen kann ohne sich dabei selber zu benachteiligen zählt in der Regel nicht mit in diese Gruppe.

Hier würde man eher von Hacking Tools reden. Alles in allem ist der Begriff also relativ freizügig zu interpretieren. Sicher ist nur, dass es sich immer um Software, kleine Tools oder andere direkt und indirekt ausführbare Dateien handeln muss, die im weitesten Sinne einem ganz bewusst einen Schaden zufügen möchten. Klassische Vertreter dieser Gattung sind also: Viren, Würmer, Trojaner, Hijacker, Spyware.

Darüber hinaus gibt es noch einige weitere Arten von Malware, die alle ungefähr ähnlich wie die bereits aufgezählten Hauptgruppen agieren.

Unausgereifte Programme hingegen, die aufgrund einer schlechten Programmierung beispielsweise für Datenverlust sorgen, sind genau so wenig Malware wie Hoaxe oder normale Spam Mails, da sie entweder den Schaden nicht bewusst anrichten oder nicht ausführbar (also statisch) sind.

Viren

Viren haben vier grundlegende Eigenschaften, die sie von harmloser Software unterscheiden. Einmal vervielfältigen sie sich ohne das Wissen und die Erlaubnis des Anwenders (Replikation), sie sind Parasiten, sie besitzen eine zerstörerische Wirkung (Payload) und versuchen sich bei jedem Start des Betriebssystems oder eines bestimmten Programms selbst mitzustarten, um so weiteren Schaden anrichten zu können. Je nach Virus kann aber der eine oder andere Punkt wegfallen.

Je nachdem wie der Virus programmiert wurde und welcher Gruppe er angehört, unterscheidet sich auch die Schadroutine. Es gibt verhältnismäßig harmlose Viren, die kaum eine Auswirkung zeigen oder den Nutzer nur nerven, es gibt aber auch welche, die Dateien löschen oder verfälschen. Einige der zerstörerischen Exemplare formatieren die Festplatte oder überschreiben das BIOS. Im letzteren Fall würde ein regelrechter Hardwareschaden entstehen. Das Original BIOS kann nur noch vom Hersteller zurückgespielt werden, weil kein Laufwerk mehr erkannt würde, von dem man das BIOS selbst erneuern (flashen) könnte. Entweder summieren sich dadurch hohe Kosten und lange Wartezeiten, oder man muss sich ein neues Mainboard kaufen. Glücklicherweise sind solch gefährliche Viren eher die Ausnahme.

Es gibt fast keine Tätigkeit, bei der man sich nicht infizieren könnte. Im Internetzeitalter wird das Öffnen eines verseuchten E-Mail Anhangs der häufigste Weg sein. Es kann aber auch schon reichen, eine böswillige Webseite zu besuchen (Drive-by-Download). Früher war die Verbreitung per infizierter Diskette gang und gäbe. Allgemein kommt aber jeder Datenträger (USB Sticks und Speicherkarten darf man nicht vergessen), das Netzwerk oder downgeloadete Software in Frage. Einfach jedes Medium, welches Daten speichern oder übertragen kann, kann auch einen Virus beherbergen.

Um einen Virus zu aktivieren und damit den Rechner zu verseuchen (kompromittieren), bedarf es in der Regel einer Interaktion. Diese ist meistens durch das eigenhändige Öffnen oder Ausführen einer Datei gegeben. Auch eine beim Booten im PC befindliche CD Rom (DVD) kann zu einer Infektion führen. Wird nun ein Virus gefunden, der noch nicht aktiviert wurde, so ist das System auch nicht verseucht. Bestehen jedoch Zweifel, sollte man beim Virenfund vorerst vom Schlimmsten ausgehen.

Würmer

Anders als Computerviren infizieren Würmer keine fremden Dateien. Sie sind also eigenständig arbeitende Software und kommen ohne Wirtsdatei aus. Ihr Hauptaugenmerk liegt auf deren massenhaften Weiterverbreitung im Netzwerk oder Internet und weniger auf der lokalen Vermehrung oder Infizierung von Dateien. Da aber dieses Ziel ohne Wissen und Zustimmung des Computerbesitzers verfolgt wird, sind die oftmals nicht zerstörerischen Würmer dennoch als schädlich zu bezeichnen.

Genau genommen müsste man sogar noch zwischen Computerwurm und Computerwurmsegment unterscheiden. Die Segmente sind die einzelnen Wurmdateien auf den infizierten Rechnern, die versuchen sich weiter zu verbreiten und der eigentliche Computerwurm ist der Sammelbegriff für all die Segmente eines Wurmes zusammen. In der Anwenderpraxis wird aber diese Unterscheidung nicht mehr vorgenommen.

Würmer Funktionsweise

Im Prinzip liegt bei den meisten Würmern der Schaden in der Weiterverbreitung. Dabei verursachen sie Internettraffic und nehmen Computerressourcen in Anspruch. Dies hat zur Folge, dass einmal der Rechner langsamer wird und du unter Umständen eine erhöhte Onlinerechnung hast. Auch die Infrastruktur des Internets wird durch die Gesamtheit aller Würmer stark belastet, da sie durch den massenhaften Versand ihrer Kopien sehr viel Verkehr und Kosten verursachen. Manchmal werden Sie ebenfalls dazu benutzt, um zeitgleich von vielen tausend befallenen Rechnern aus Angriffe auf Webserver durchzuführen (DDoS Attacken), sodass diese überlastet werden und nicht mehr erreichbar sind. Durch einen Fehler in der Programmierung des Wurmes kann es mitunter zu schädlichen Nebenwirkungen kommen (wie das Herunterfahren des Betriebssystems). Einige Würmer führen sogar einen speziellen Payload (Schadensroutine) mit sich und löschen oder manipulieren neben der Weiterverbreitung auch Dateien auf dem befallenen System. Streng genommen sind dies allerdings schon hybride Würmer, da sie durch die Schadroutine Merkmale von anderer Malware wie Viren beinhalten.

Neuerdings werden auch Würmer dazu benutzt, um massenhaft Spam Mails zu verschicken (Spambot Network) oder die ideologische Gesinnung einiger Zeitgenossen zu verbreiten.

In der Regel findet die Verbreitung per E-Mail statt. Dazu versendet ein Wurm Kopien von sich selbst an alle E-Mail-Adressen, die er auf deinem Computer findet. Diese sucht er nicht nur in Adressbüchern und Datenbanken, sondern in nahezu allen Dateien, die Text enthalten können. Zum eigentlichen Versenden verwendet er eine eigenen SMTP Engine (ein mini E-Mail-Programm um Mails zu verschicken), die er selbst mitbringt oder aber ein bereits auf dem Rechner eingerichtetes E-Mail-Konto. Um den wahren Absender solch einer Wurmmail nicht so schnell ermitteln zu können und damit die Infektion einzudämmen, fälschen heutige Würmer die Versandadressen. Es kann also vorkommen, dass der angezeigte Absender der Wurmmail überhaupt nicht infiziert ist und nur seine Adresse missbraucht wurde. Aus diesem Grund macht es auch keinen Sinn, auf eine Wurmmail zu antworten und vor einer Infektion zu warnen oder gar seinem Ärger freien Lauf zu lassen. Leider haben dies einige Netzwerkadministratoren und Webmaster noch nicht so richtig verstanden und verschicken automatische Benachrichtigungen, wenn Sie eine Wurmmail empfangen. Solltest du also eine E-Mail erhalten, in der steht, dass du mit dem Wurm xyz infiziert bist und ihn weiter versendest, heißt dies nicht, dass es auch in Wirklichkeit so ist. Es ist lediglich ein Indiz dafür, dass irgendjemand mit diesem Wurm infiziert ist und deine E-Mail-Adresse auf seinem Computer gespeichert hat.

Würmer, die diese Verbreitungsmethode verfolgen, nennt man Mass Mailing Würmer (Massenmailer). Dabei generieren Sie einen kurzen Text in der E-Mail mit dem Hinweis darauf, dass im Anhang weiteren Informationen vorhanden seien. Öffnet man nun aus Neugierde solch einen Anhang, infiziert man sich ebenfalls mit dem Wurm und verbreitet ihn weiter. Parallel zur E-Mail Verbreitung legen solche Würmer auch oftmals einige Dutzend Mal Kopien von sich selbst in Netzwerkfreigaben oder Tauschbörsenverzeichnisse mit Dateinamen ab, die zum Öffnen animieren sollen. Wer sich nun solch eine Datei aus einer Tauschbörse herunterlädt oder im Netzwerk findet und öffnet, der infiziert sich ebenfalls.

Eine andere Verbreitungsweise ist die über Sicherheitslücken im Betriebssystem. Die Effizienz ist beeindruckend. In so einem Fall sucht ein Wurm von einem bereits infizierten Rechner aus Teile des Internets oder Netzwerkes nach weiteren Rechnern ab, die dieselbe Sicherheitslücke aufweisen. Sobald er einen gefunden hat, sendet er eine Kopie von sich selbst an diesen Rechner. Dabei macht sich der Wurm die Tatsache zu Nutze, dass der Anwender in keiner Weise tätig werden muss. Es reicht also eine aktive Verbindung zum Internet oder anderen Rechnern aus, um infiziert zu werden. Man muss weder Mailanhänge öffnen, noch Webseiten besuchen. Zwei weltbekannte Exemplare dieser Gattung sind Blaster und Sasser. Normalerweise spricht man bei dieser Art schlicht und einfach von Netzwerkwürmern.

Trojaner

Trojanische Pferde haben es sich zur Aufgabe gemacht, einen infizierten Rechner nach einem vorher festgelegten Schema auszuspionieren. Daher hat ein derartiger Schädling auch kein Interesse daran sich selbstständig weiter zu verbreiten. Viel wichtiger ist es für ihn unentdeckt auf den Rechner zu gelangen und auch dort zu verbleiben sowie eine ungestörte Verbindung ins Internet aufzubauen, um die gewonnenen Informationen an den Programmierer oder Modifizierer zu übertragen.

Trojaner Funktionsweise

Getreu ihrem historischen Vorbild schleichen sich trojanische Pferde oftmals als vermeintlich harmlose oder nützliche Tools auf den Rechner ein, die du selber heruntergeladen oder zugeschickt bekommen hast. Öffnet man nun so eine Datei, installiert sich der Schädling unbemerkt auf dem System, da man zur Tarnung das Trägerprogramm nutzen kann und somit in der Regel keinen Verdacht schöpft.

Es gibt aber auch einige, die sich bedeutend weniger Mühe geben. Sie täuschen zwar auch ein nützliches Programm vor, möchte man dieses nutzen, so erscheint nur eine Fehlermeldung - der Trojaner installiert sich aber trotzdem. Wie nun diese Dateien im Einzelnen auf den Rechner gelangen ist sehr variabel. Oftmals dürfte es aber per E-Mail, Tauschbörse, Instant Messenger oder normalen Download, beziehungsweise fremden Datenträgern passieren. In solchen Fällen liegt es an dir, dass du dubiose ausführbare Dateien erkennst und nicht öffnest. Solltest du bereits mit einem anderen Schädling infiziert sein, ist es auch möglich, dass Trojaner gedropped werden (ohne deine Zustimmung und Wissen aus dem Internet nachgeladen und auf deinem Rechner abgelegt werden). Dabei kann der Trojaner auch ohne Interaktion von dir aktiviert werden.

Sind sie erstmal auf dem Zielrechner installiert und somit aktiv, kann der Schaden ins Unermessliche reichen. Dies liegt daran, dass sie "nur" spionieren, aber ansonsten versuchen, den täglichen Betrieb so gut wie nicht zu stören. Daher kann es im Extremfall Monate dauern, bis man Verdacht schöpft und seinen Rechner genauer untersucht. Zwischenzeitlich kann der Trojaner in Ruhe deine Passwörter, Kreditkartennummer und Kontoverbindungsdaten erkunden und an seinen Autor schicken, der diese dann missbrauchen kann.

Betriebsspionage und Erlangung sonstiger vertraulicher Daten sind ebenfalls beliebte Ziele eines Trojaners. Dies mag für Privatpersonen etwas weit hergeholt klingen, der Versuch dazu dürfte aber dennoch an der Tagesordnung sein. Grade mittelständische Betriebe unterschätzen oftmals das enorme Gefahrenpotential.

Leider sind Trojaner Autoren sehr kreativ, wenn es darum geht, ihre Software zu tarnen. Damit nach der Aktivierung solch ein Schädling überhaupt "Sinn" macht (allen, die jetzt empört aufschreien sei gesagt, dass es sarkastisch gemeint ist), muss er automatisch bei jedem Systemstart mitgeladen werden. Andernfalls wäre er nach dem nächsten Neustart des Rechners deaktiviert und somit nicht mehr direkt schädlich. Um diesen Startaufruf möglichst zu verschleiern, gibt es viele Methoden:

Hat man großes Glück, so findet man dessen Startanweisungen in den Run Einträgen der Registry. Hält man diese sauber und hat von Anfang an nur das Nötigste darinstehen, wird einem ein neuer Eintrag sicherlich bald auffallen, auch wenn er einen harmlosen Namen tragen sollte. Daher gehen die moderneren Trojaner dazu über, sich von den Programmen starten zu lassen, die sie auskundschaften sollen. Der Internet Explorer soll hier als ideales Beispiel aufgeführt werden. Er verwendet bei weniger sicherheitsbewussten Anwendern so viele Active X Elemente, Browser Helper Objects sowie Plug-Ins, dass es gar nicht auffallen wird, wenn sich noch ein Trojaner dazwischen mogelt. Es gibt aber noch viele andere Startmethoden, die oftmals gar nicht mehr verwendet werden. Diese gehen bereits so ins Detail, dass man als normaler Anwender kaum noch eine Chance hat, einen Schädling per manueller Suche zu finden. Erschwerend kommt hinzu, dass trojanische Pferde von den Autoren oftmals auf persönliche Bedürfnisse angepasst werden können, sodass sie häufig nur schwer von Antivirenprogrammen erkannt werden. Einige versuchen von Anfang an eine Entdeckung auszuschließen, indem sie den Virenscanner oder die Firewall, die möglicherweise den Internettraffic melden würde, einfach terminieren (ausschalten) beziehungsweise letztere auch tunneln (umgehen).

Sobald ein trojanisches Pferd aktiviert wurde, hat es also viele Möglichkeiten sich versteckt zu halten.

Hijacker

Hijacker sind eine "Weiterentwicklung" und Kombination von aggressiver Spyware und trojanischen Pferden, die zum Beispiel den Internet Explorer von Microsoft beim Surfen infizieren und einige vom Nutzer gewählte Einstellungen ungefragt und dauerhaft verändern. Dies äußert sich am häufigsten durch eine abgeänderte Start- oder Suchseite, kann aber auch weitaus gravierendere Folgen haben. Nicht selten wird die Windows "hosts" Datei dahingehend verändert, dass das Aufrufen von speziellen Webseiten, auf denen man Hilfe gegen Hijacker bekommen könnte, nicht mehr möglich ist oder die Anfrage auf eine völlig fremde Seite umgeleitet wird. Das Wort Hijacker kommt aus dem Englischen, heißt so viel wie "Entführer" und steht ursprünglich für das ungewollte Umleiten von Suchanfragen.

Die häufigsten Schadfunktionen sind auf jeden Fall die angesprochenen Veränderungen der Start- sowie Suchseite des Browsers, das Umleiten auf nicht aufgerufene Webseiten, das Sperren von einzelnen Internetpräsenzen und das Anzeigen von unerwünschter Werbung. Darüber hinaus können aber noch weitere Schädlinge installiert und die Favoriten, das Startmenü und der Desktop um Werbelinks ergänzt werden. Auch kommt es vor, dass in einigen Fällen Windowsfunktionen nicht mehr nutzbar sind (zum Beispiel das Aufrufen des Taskmanagers) oder Systemdateien verändert werden. Dies alles kann natürlich nur durch massive Systemveränderungen erreicht werden, die sich oftmals nicht mehr genau zurückverfolgen lassen und tief in die Registry rein reichen.