Trojanische Pferde

Trojanische Pferde - oft und fälschlicherweise als Trojaner bezeichnet - unterscheiden sich von Würmern und Viren dadurch, dass sie sich nicht selbsttätig reproduzieren. Der Name „Trojanisches Pferd“ ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Zusätzlich beinhalten Trojaner jedoch einen versteckten Programmteil, der gleichsam eine Hintertür zum befallenen Rechner öffnet und so nahezu vollen Zugriff auf das betroffene System gewähren kann, ohne dass der Benutzer dies bemerkt.
Die Methoden von Trojanern sich zu verstecken sind dabei schier unbegrenzt. Sie können sich in Kommandozeilenbefehlen für UNIX-Systemadminstratoren wie „passwd, ps, netstat“ verstecken (einfache Rootkits) oder als „Remote-Access-Trojans“ (sog. RATs, auch Backdoor genannt) daherkommen. Diese heimtückischen Programme werden aber auch als Bildschirmschoner oder Spiele per E-Mail verschickt. Ein einmaliges Starten genügt bereits und der Schädling infiziert das System.

 

Würmer

Ein Wurm hängt sich im Gegensatz zu einem Virus nicht an ausführbare Dateien an. Er verbreitet sich dadurch, dass er über Netzwerke oder Rechnerverbindungen auf andere PCs übertragen wird.

 

Netzwerk-Würmer

In Netzwerken werden auf zufällig ausgewählten Rechnern einige Ports gescannt und wenn eine Attacke möglich ist, werden die Schwachstellen in Protokollen (z. B. IIS) oder deren Implementierung zur Verbreitung ausgenutzt. Bekannte Vertreter dieser Art sind „Lovsan/Blaser“ und „CodeRed“.

Sasser nutzt einen Buffer-Overflow-Fehler im „Local Security Authority Subsystem Service“ (LSASS) und infiziert Rechner während einer Verbindung zum Internet.

 

E-Mail-Würmer

Bei der Verbreitung per E-Mail kann der Wurm vorhandene E-Mail Programme (z. B. Outlook, Outlook-Express) verwenden oder eine eigene SMTP-Mail-Engine mitbringen. Abgesehen vom entstehenden Netzwerktraffic und den erhöhten Systemressourcen können Würmer noch weitere Schadensfunktionen beinhalten. Prominente Mitglieder dieser Gruppe sind „Beagle“ und „Sober“.

 

Peer-to-Peer-Würmer

P2P-Würmer kopieren sich in die Freigaben von Peer-to-Peer-Tauschbörsen wie „Emule“, „Kazaa“ etc. Dort warten sie mit verlockenden Dateinamen von aktueller Software oder prominenten Personen auf Opfer.

 

Instant-Messaging-Würmer

IM-Würmer nutzen Chat-Programme, um sich zu verbreiten. Sie nutzen dabei nicht nur die Funktionen zum Dateitransfer. Immer öfter senden sie einen Link auf eine schädliche Webseite. Manche IM-Würmer sind sogar in der Lage, mit den Opfern in spe zu chatten.

 

Viren

Auch Viren zielen auf ihre eigene Reproduktion und Verbreitung auf andere Computer ab. Dazu hängen sie sich an andere Dateien an oder nisten sich im Bootsektor von Datenträgern ein. Sie werden oft unbemerkt von austauschbaren Datenträgern (wie z. B. Disketten), über Netzwerke (auch Peer-to-Peer), per E-Mail oder aus dem Internet auf den PC eingeschleust.

 

Viren können an vielen unterschiedlichen Stellen im Betriebssystem ansetzen und über unterschiedlichste Kanäle wirken. Man unterscheidet folgende Gruppen:

 

Bootsektor-Viren

Bootsektor- oder MBR-Viren (= Master Boot Record-Viren) setzen sich vor den eigentlichen Bootsektor eines Datenträgers und sorgen so dafür, dass bei einem Bootvorgang über diesen Datenträger erst der Viruscode gelesen wird und danach der Original-Bootsektor. Auf diese Weise kann sich der Virus unbemerkt im System einnisten und wird von da ab auch beim Booten von der Harddisk mit ausgeführt. Oft bleibt der Virencode nach der Infektion im Speicher bestehen. Solche Viren nennt man speicheresident. Beim Formatieren von Disketten wird der Virus dann weitergegeben und kann sich so auch auf andere Rechner ausbreiten. Aber nicht nur bei Formatier-Vorgängen kann der Bootbereichvirus aktiv werden. So kann durch den DOS-Befehl „DIR“ die Übertragung des Virus von einer infizierten Diskette in Gang gesetzt werden. Je nach Schadensroutine können Bootbereichviren hochgradig gefährlich oder einfach nur störend sein. Der älteste und verbreitetste Virus dieser Art trägt den Namen „Form“.

 

Datei-Viren

Viele Viren nutzen die Möglichkeit sich in ausführbaren Dateien zu verstecken. Dazu kann die Wirtsdatei entweder gelöscht/überschrieben werden oder der Virus hängt sich selbst an die Datei an. In letzterem Fall bleibt der ausführbare Code der Datei weiterhin funktionsfähig. Wird die ausführbare Datei aufgerufen, startet zunächst der meist in Assembler geschriebene Virencode und erst danach das ursprüngliche Programm (sofern nicht gelöscht).

 

Multipartite Viren

Diese Virengruppe ist besonders gefährlich, da ihre Vertreter sowohl den Bootsektor (bzw. Partitionstabellen) infizieren, als auch ausführbare Dateien befallen.

 

Companion-Viren

Unter DOS werden COM-Dateien vor gleichnamigen EXE-Dateien ausgeführt. Zu  Zeiten, als Rechner nur oder häufig über Kommandozeilenbefehle bedient wurden, war dies ein wirkungsvoller Mechanismus, um unbemerkt schädlichen Code auf einem Rechner auszuführen.

 

Makroviren

Auch Makroviren hängen sich an Dateien an. Sie sind aber nicht selbst ausführbar. Die Makroviren sind auch nicht in Assembler, sondern in einer Makrosprache wie etwa Visual Basic geschrieben. Um die Viren auszuführen bedarf es eines Interpreters für eine Makrosprache, wie er in Word, Excel, Access und PowerPoint integriert ist. Ansonsten können bei Makroviren die gleichen Mechanismen wirken wie bei Datei-Viren. Auch sie können sich tarnen, zusätzlich den Bootsektor verseuchen oder Companion-Viren erstellen.

 

Stealth-Viren und Rootkits

Stealth- oder Tarnkappen-Viren besitzen spezielle Schutzmechanismen, um sich einer Entdeckung durch Virensuchprogramme zu entziehen. Dazu übernehmen sie die Kontrolle über verschiedene Systemfunktionen. Ist dieser Zustand erst einmal hergestellt, so können diese Viren beim normalen Zugriff auf Dateien oder Systembereiche nicht mehr festgestellt werden. Sie täuschen dem Virensuchprogramm einen nicht infizierten Zustand einer infizierten Datei vor oder machen die Datei für den Virenschutz unsichtbar. Die Tarnmechanismen von Stealth-Viren wirken erst, nachdem der Virus im Arbeitsspeicher resident geworden ist.

 

Polymorphe Viren

Polymorphe Viren enthalten Mechanismen, um ihr Aussehen bei jeder Infektion zu verändern. Dazu werden Teile des Virus verschlüsselt. Die im Virus integrierte Verschlüsselungsroutine generiert dabei für jede Kopie einen neuen Schlüssel und teilweise sogar neue Verschlüsselungsroutinen. Zusätzlich können Befehlssequenzen ausgetauscht oder zufällig eingestreut werden, die nicht für das Funktionieren des Virus erforderlich sind. So können leicht Milliarden von Varianten eines Virus entstehen. Um verschlüsselte und polymorphe Viren sicher zu erkennen und zu beseitigen, reicht der Einsatz klassischer Virensignaturen häufig nicht aus. Meist müssen spezielle Programme geschrieben werden. Der Aufwand zur Analyse und zur Bereitstellung geeigneter Gegenmittel kann dabei extrem hoch sein. So sind polymorphe Viren ohne Übertreibung als die Königsklasse unter den Viren zu bezeichnen.

 

Intended Virus

Als Intended Virus wird ein teilweise defekter Virus bezeichnet, der zwar eine Erstinfektion einer Datei vollbringt, sich von dort aus aber nicht mehr reproduzieren kann.

 

E-Mail-Viren

E-Mail-Viren gehören zur Gruppe der sog. „Blended threats“ (= vermischte Bedrohung). Solche Malware kombiniert die Eigenschaften von Trojanern, Würmen und Viren. Im Rahmen des Bubbleboy-Virus wurde bekannt, dass es möglich ist, schon über die Voransicht einer HTML-Mail einen Virus auf den PC einzuschleusen. Der gefährliche Virencode versteckt sich in HTML-Mails und nutzt eine Sicherheitslücke des Microsoft Internet Explorers. Die Gefahr dieser „Kombi-Viren“  nicht zu unterschätzen.