Menü: Viren & Co.
Menü: Viren & Co.
Computer-Viren & Co. | Malware


1. Viren


Definition: Ein Computer-Virus ist eine nicht selbstständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.

Daraus ist abzuleiten, dass der Virus ein Wirtsprogramm benötigt. Vor allem diese Eigenschaft (und seine Reproduktionsfähigkeit) ist für die Namensbezeichnung “Virus”, gemäß seinem biologischen Abbild, verantwortlich.

1.1 Viren-Kategorien
Computer-Viren sind Programme mit Schadensfunktionen (Verlust oder die Verfälschung von Daten oder Programmen) und lassen sich in folgende Kategorien einteilen:

Makroviren
Diese benutzen Steuersequenzen in Daten-Dateien, welche beim Arbeiten mit dem jeweiligen Programm (z.B. word) missbraucht werden. Haben sich in den letzten Jahren stark “etabliert” und richten großen Schaden an. Beispiele: “Bat.Chantal, Melissa, Mmkv, W97M.Resume”.

Datei-File-Viren
Durch Aufruf des Wirtsprogrammes, in welchem sich der Virus eingenistet hat bzw. enthalten ist, wird dieser aktiv. Beispiele: “Tremor, Krishna, Hare”

Boot-Viren
Diese befinden sich im Boot-Sektor einer Diskette, Festplatte oder Partition-Record (auch Partition-Sektor oder Master Boot Record genannt). Sie werden durch Starten des Computers (booten) aktiv. Beispiele: “Newboot, AntiCMOS, Quandary”



2. Würmer (Sonderform der Viren, auch Scriptviren genannt)

Ein Wurm ist ein Programm, welches sich über das Netzwerk selbständig von Computer zu Computer weiter verbreitet. Das Ziel ist, in einem Netzwerk so viele Computer wie möglich zu befallen. Würmer benötigen zum Ausbreiten kein menschliches Zutun. Sie verbreiten sich rasend schnell innerhalb des Firmennetzwerks oder über das Internet. Beispielsweise versenden sie sich selbstständig mit Hilfe der E-Mail-Funktionen an eine belibige Internetadresse oder greifen über einen TFTP-Server an, wie z.B. in der Vergangenheit der LOVSAN-Wurm oder Sasser. 
Manche Würmer haben zusätzlich noch eine Ladung (Payload), welches dann ein Schadprogramm, wie z.B. ein herkömmlicher Virus, ist. Dieses richtet dann innerhalb des Computers weiteren Schaden an. Als Beispiele für Würmer wären neben Lovsan W32/Sober-Wurm (am 24.10.2003 entdeckt) noch W32.Paylap@mm (14.11.2003), MyDoom (27.01.2004), Bagle (19.01.2004) und Netsky (18.02.2004) zu nennen.

Verbreitungs-Arten

  • Installation von befallener Software
  • direktes Ausführen des Anwenders (z.B. e-mail-Anhang)
  • selbständiges Ausbreiten über das Internet und Befall von ungepachten Systemen


3. Trojanische Pferde

Trojaner erfreuen sich (wie Würmer) zunehmender “Popularität”. Als solche werden Programme bezeichnet, welche dem Anwender oder dem System vorspielen eine bestimmte Funktion zu haben oder auszuführen, nach ihrem Aufruf/Start aber mit ihrem wahrem Gesicht aufwarten und eine gänzlich andere, meist zerstörerische oder ausspionierende Funktion ausführen. Sie unterscheiden sich von den Computerviren und Würmern durch die fehlende Eigenschaft der Reproduzierbarkeit bzw. Selbstvermehrung. Beispiele für Trojaner wären “Back Orifice, Backdoor.Subseven, Kak, NetBus, Subseven. Letzteres besitzt 113 Funktionen.

Handelt es sich um eine ganze Sammlung von Schadprogrammen (siehe auch Rootkit), spricht man von einem “Trojan-Dropper”.

3.1 Ransomware: Trojaner, die Dateien der Opfer verschlüsseln und für deren Entschlüsslung ein Lösegeld bezahlt werden soll, nennt man Ransomware. Beispiele hierfür wären Locky, TeslaCrypt, CryptoLocker, CryptoWall, CTB-Locker oder SynoLocker. Ein wirksamer Schutz vor Ransomware sind Softwareinschränkungen (Software Restriction Policies) über die Gruppenrichtlinien zu veranlassen, d.h. Anwendungen können dann nicht mehr machen, was sie wollen. Sehen Sie dazu diesen Beitrag (Schutz vor Ransomware-Verschlüsselungs-Trojanern).

Verbreitungs-Arten

  • Über gezielte Angriffe eines sogenannten Intruders (Eindringling), als Payload (Ladung) eines Wurms oder als e-mail-attachment (Anlage) in Form eines ausführenden Programms
  • über gehackte Webseiten (Drive-by Download)
  • siehe auch Der Weg und Werdegang eines Schädlings


4. Hoaxes

Man bezeichnet e-mails, welche Warnungen vor Viren, Tipps zur Entfernung desselbigen und Aufforderungen zur Weiterleitung an Freunde und Kollegen enthalten, als Hoaxes. Meistens wird der Anwender zur Löschung einer angeblich infizierten Datei in einem bestimmten Systemordner aufgefordert, welche dann i.d.R. dazu führt, dass bestimmte Funktionen des Betriebssystems nicht mehr funktionieren (weil die gelöschte Datei nun fehlt). Ein Hoax (übersetzt Jux oder Scherz) hat also keinen realen Hintergrund, sondern vielmehr wird der Anwender selbst missbraucht, indem er in Angst oder gutem Glauben zu, unter Umständen schwerwiegenden, Veränderungen des Computersystems verleitet wird. Beispiele: “Live is beautiful” oder “Vita Bella” oder “SULFNBK.EXE Warning”.



5. Spyware

Programme, welche den Internetanschluss (eine bestehende Verbindung) eines Anwenders im Hintergrund (backchannel) ohne dessen Wissen und Erlaubnis missbrauchen, um bestimmte Informationen zu übermitteln, nennt man Spyware. Diese Daten können dazu verwendet werden, Ihre Surfgewohnheiten und damit verbundene Vorlieben herauszubekommen (Kundenprofil). Oder Herauszufinden, ob sie illegale Software installiert haben....im Extremfall kommt dann Post vom Staatsanwalt oder Sie werden mit Spam (Werbemails) zugemüllt. Auch einige Betriebssysteme senden geheime Daten, weshalb diese ebenso in die Kategorie Spyware einzustufen sind und einer besonderen Untersuchung bedürfen. Die neusten Spywarevarianten loggen sogar Tastatureingaben (Passwortklau). Beispiele: “Gator, Claria, nCase, BonziBuddy, Webhancer, Cydoor, Radiate, Timesink, Conducent”

Obwohl eine solche geheime Datenübermittlung nicht legal ist, kümmern sich die wenigsten Firmen darum und sammeln kräftig Informationen.

Verbreitungs-Arten
Das “Einfangen” kann beim Surfen im Internet erfolgen, wenn der Browser mit “aufgeweichten” Sicherheitseinstellungen verwendet wird. Die häufigste Art ist jedoch über die Installation von Programmen, welche Spyware enthalten. Hier wäre nicht nur freeware zu nennen, auch namhafte Firmen lassen sich auf das üble Spiel mehr und mehr ein. Den ersten Spy haben Sie bereits bei einem vorinstallierten Windows-Betriebssystem auf dem Rechner.



6. Rootkit

Ein Rootkit ist ein (Administrator-)Bausatz bzw. eine Sammlung von Softwaretools, welches sich nach dem Eindringen in ein Computersystem auf demselbigen installiert, um den Schadcode wie unter 1.-5. beschrieben (z.B. vor Virenscannern) zu verstecken. Somit ist ein Rootkit quasi eine Art Trojanisches Pferd (auch Trojan-Dropper genannt) bzw. die Grenze zwischen den beiden Bezeichnungen ist fliessend. Ein Rootkit schafft sozusagen die Basis zum Einschleusen von (weiteren) Viren & Co. über Hintertüren (sog. Backdoors).

Antivirensoftware-Entwickler wollen dem mit heuristischer Vorgehensweise entgegnen, indem Antivirensoftware lernfähig ist und verdächtiges Verhalten einer Software melden und ggf. blockieren kann, auch wenn keine passende Virensignatur vorliegt bzw. wenn sich der Schadcode erfolgreich versteckt oder getarnt hat.

Siehe auch Der Weg und Werdegang eines Schädlings



7. Bootkit

Die Definition entspricht grösstenteils der Rootkits. Allerdings haben Bootkits Werkzeuge an Bord, mit welchen weitere Sicherheitshürden des infizierten Systems überwunden werden können. So kann u.a. auch der Bootsektor des Computers manipuliert werden, d.h. das System startet sich “selbständig” neu, um den (die) Schädling(e) vollends tief im kompromittierten System zu installieren. Während des Hochfahrens werden dabei vom Bootkit bestimmte Systemfunktionen abgefangen bzw. “umgebogen”, damit die Schadsoftware voll funktionsfähig ist.

Bootkits sind eine sehr gefährliche Bedrohung, weil sie quasi eine Mischung aus den vorhandenen Angriffsmöglichkeiten sind, sprich das gesamte Spektrum abdecken.

Siehe auch Der Weg und Werdegang eines Schädlings



8. Botnetze

Unter einem Bot-Netz (“Bot” abgeleitet vom Begriff “robot”=selbst-, ferngesteuert, automatisch) versteht man einen Verbund von infizierten Rechnern, die zentral von einem Command-and-Control-Server aus gesteuert/ferngesteuert werden können (über ein sog. Hintertür=backdoor).
D.h. die “Verwaltung” der Vielzahl von ferngesteuerten Computern erfolgt über die Bot-Netze. Die Betreiber der Bot-Netze sind in der Lage, im Hintergrund (backdoor) der befallenen Rechner, massenhaft Spams zu versenden, gar dritte Rechner oder Netzwerke zu attackieren, weitere Viren und Co. einzuschleusen und Daten (Passwörter, Kontodaten...) auszulesen, Tastatureingaben aufzuzeichnen etc...

Für ca. 100-200 US-$ pro Stunde (derzeit aktueller Preis) können einzelne Bot-Netze sogar gemietet werden, um “eigene Interessen” zu verfolgen. Auch können IP-Adressen infizierter Rechner (z.B. Webserver) gekauft werden. So ist mittlerweile das Virenprogrammieren zum Big Business geworden und wird nicht mehr aus reinem Spaß oder Geltungsbedürfnis betrieben: Wo Geld zu verdienen ist, wird eben professionalisiert; dies hat auch die Cracker-Szene erkannt und rüstet auf - lt. des Antiviren-Softwareherstellers Symantec werden rd. 30.000-40.000 Rechner TÄGLICH unter die Kontrolle von Crackern bzw. Internet-Kriminellen gebracht. Was da wohl noch so kommen mag.....

Bekannte und sehr grosse Botnets sind Rustock und Srizbi

Siehe auch Der Weg und Werdegang eines Schädlings



9. Exploit

Man spricht von einem Exploit (to exploit: ausbeuten, ausnutzen, ausschlachten), wenn Schadsoftware eine Reihe von Befehlen ausführt, die eine Schwachstelle oder fehlerhafte Funktion eines anderen Computerprogramms ausnützt, um dem Angreifer entsprechende Privilegien auf dem angegriffenen System zu verschaffen (z.B. Rechteausweitung zur Ausführung weiterer Befehle als Administrator oder root). Es gibt mittlerweile auf dem Malware-Markt sogar schon Hacker-Toolkits (Baukästen), die gängige Exploits vergangener bzw. bekannter Sicherheitslücken beinhalten.

Exploits werden auch von gutartigen Hackern (Sicherheitsexperten) entwickelt, um eine Sicherheitslücke aufzuzeigen bzw. um diese zu beweisen (Proof of Concept), damit der betroffene Softwarehersteller entsprechend reagieren kann. Einzelheiten werden gegenüber der Öffentlichkeit i.d.R. so lange zurückgehalten, bis ein Patch ausgeliefert wurde, der die Lücke schliesst. Man will so dem Auftauchen von Zero-Day-Exploits (siehe nächsten Absatz) entgegenwirken.

Bei einem sog. Zero-Day-Exploit (man könnte es so übersetzen: ‘ “Nullter”-Tag-Angriffsprogramm’) handelt es sich um aktive Schadsoftware, die bereits am selben Tag “auf dem Markt” ist, an welchem die Sicherheitslücke (an diesem Tag eine Zero-Day-Lücke) veröffentlicht wird. Der wahre Horror sind Less-than-Zero-Day-Exploits (‘weniger-als-der-“nullte”-Tag-Angriffsprogramme’), die auf noch nicht bekannten oder unveröffentlichten Sicherheitslücken aufsetzen, denn hier kann gängige Virensoftware aufgrund fehlender Signaturen nicht greifen. Auch Systeme auf aktuellem Stand (alle Patches und Updates eingefahren) sind über (Less-than)Zero-Day-Exploits verwundbar, da zu der Sicherheitslücke entweder noch kein Patch vorliegt oder im schlimmsten Fall niemand, ausser den Angreifern, Kenntnis über das Sicherheitsleck hat. Die Anzahl der Spezialisten, die Less-than-Zero-Day-Exploits entwickeln können, ist jedoch glücklicherweise sehr begrenzt, weshalb solche Exploits allerdings auf dem illegalen Markt der Malware sehr, sehr teuer verkauft werden (man spricht von 40.000,-- bis 80.000,-- Euro und mehr...).
Mit absoluter Sicherheit wird auch der sog. “Bundestrojaner” auf immer neuen Less-than-Zero-Day-Exploits aufsetzen, die über Steuermittel teuer auf einem illegalen Markt eingekauft und an die jeweilige Situation angepasst werden müssen.

Die hauptsächliche Verbreitung von Exploits erfolgt über Würmer und gehackte Webseiten, auf welchen diese plaziert werden, um das Besucher-System zu befallen (sog. Drive-by Download). Für den Anwender bzw. Webseitenbesucher ist es sehr schwierig respektive unmöglich eine manipulierte Website als solche zu erkennen.
Drive-by Downloads machen (Stand 09.2008) rund zwei Drittel aller Angriffe aus. D.h. die klassische Verbreitung von Malware über eMail-Anlagen ist auf dem Rückzug, da die Anwender hier sensibler geworden sind.



Gegenmassnahmen

Schutz vor Befall von Viren, Spyware und Co ist nur mit einem Sicherheitskonzept zu erreichen. Auch ist der gesunde Menschenverstand (Hirn-2.0) immer einzuschalten, sprich erst denken, dann klicken.

Tipps für Windows-Anwender:
Vor einem ausführlichen Virenscan, sollte das (Windows)Betriebssystem im abgesicherten Modus hochgefahren werden (beim Booten F8 klicken und entsprechenden Modus auswählen).
Bei Windows sollte bei einem Verdacht auf Viren die Systemwiederherstellung temporär deaktiviert werden (vor dem ausführlichen Virenscan), um einem evtl. vorhandenen Schadcode kein erneutes Aufleben zu ermöglichen (denn manche Malware ist beim Booten in der Lage auf einen früheren Systemstatus zurückgreifen, sofern vorhanden). Nachdem eine “weisse Weste” sichergestellt ist, kann die Systemwiederherstellungs-Funktion wieder aktiviert werden.

Tipps für alle Anwender:
Die sicherste und bestmögliche Untersuchung auf Viren & Co. erfolgt von einem zweiten System, welches auf die zu untersuchende(n) Partition(en) bzw. Datenträger zugreifen kann. Dies muss nicht zwingend ein zweiter Computer sein, sondern es kann auch ein im Arbeitsspeicher (RAM) über CD/DVD oder USB-Stick gebootetes (sauberes) System auf demselben Computer eingesetzt werden - z.B. Knoppicillin.
Die Vorteile liegen klar auf der Hand: Das eingesetzte gestartete System ist (hoffentlich :-) garantiert virenfrei und es kann auf ALLE (auch Systemdateien) der zu untersuchenden Partition(en) des Datenträgers zugegriffen werden. Ferner können mehrere Virenscanner (unterschiedliche Hersteller) hintereinander eingesetzt werden, was vom installierten, zu untersuchenden System aus nicht (ohne grösseren Aufwand zu betreiben) möglich wäre.

Kommentieren