Was ist eine
Malware-Kategorie?

 

 

 

Wenn von Viren, Würmern und Trojanischen Pferden gesprochen wird, ist damit im Allgemeinen ein schädlicher Aspekt von Software verbunden. Als Oberbegriff dafür hat sich auch im Deutschen der Begriff Malware (von malicious = boshaft, schädlich und Software) durchgesetzt.
Unter Malware werden Programme zusammengefasst, die in böser Absicht elektronische Daten unzugänglich machen, verändern, löschen oder Unbefugten zugänglich machen. Malware besitzt immer eine Schadensfunktion (engl. Payload) und verursacht unterschiedliche Effekte. Dies kann von eher harmlosen Bekundungen des eigenen Vorhandenseins über Ausspionieren von persönlichen Daten bis hin zur Löschung der Festplatte reichen.
Malware kann man in die 3 Gruppen untergliedern: Trojanische Pferde, Würmer und Viren. Spyware und 0190-Dialer werden zu den Trojanischen Pferden gezählt. In einem erweiterten Sinn fallen auch Hoaxes darunter.

Gemeinsamkeiten von Viren und Würmern

Viren und Würmer sind aus folgenden Teilen aufgebaut: 

Reproduktionsteil

Mit diesem Programmteil wird die Vermehrung des Virus durchgeführt. Dieser Teil ist obligatorisch für alle Viren und Würmer. Die Infektion kann über Disketten (und andere wechselbare Datenträger), freigegebene Ordner, Netzwerkscans, Peer-to-Peer Netzwerke oder E-Mails und Instant Messages erfolgen. Dabei nutzen die Schädlinge viele verschiede Angriffspunkte, die teilweise nur auf bestimmten Kombinationen von Hardware, Software und Betriebssystem funktionieren.

Erkennungsteil

Im Erkennungsteil wird geprüft, ob schon eine Infektion mit diesem Virus vorliegt. Jedes Wirts-Programm wird nur einmal infiziert, um die Verbreitung zu beschleunigen und die Tarnung aufrecht zu erhalten.

Bedingungsteil

Sowohl die Verbreitung als auch die Schadensfunktion können von Bedingungen abhängig programmiert sein. Im einfachsten Fall startet der schädliche Code automatisch, ohne dass das Opfer etwas davon bemerkt. in einigen Fällen muss die Payload vom Opfer selbst gestartet werden. Das kann der Aufruf eines verseuchten Programms sein, das Öffnen eines E-Mail Attachments bis hin zum Phishing von persönlichen Daten. der Start des schädlichen Codes kann auch an Bedingungen geknüpft sein. Z.B. tritt bei einigen Viren der Schaden an einem bestimmten Datum oder bei einer bestimmten Anzahl von Aufrufen ein. Die Ausführung kann auch davon abhängen, dass bestimmte Programme auf dem Rechner vorhanden sind. 

Schadensteil

Die Schadensfunktionen (engl. Payload), die mit Viren und Würmern einhergehen kann man in folgende Gruppen einordnen:

  • Mit Backdoor-Programmen verschafft sich der Hacker Zugang zum Rechner und den Daten und kann so Daten manipulieren oder Denial of Service Attacken starten.
  • Es können Datenmanipulationen vorgenommen werden. Das reicht von (mehr oder weniger lustigen) Meldungen, Anzeigen und Geräuschen bis hin zum Löschen von Dateien und Laufwerken.
  • Der Zugang zu Daten kann z.B. durch Verschlüsselung unterbunden werden.Es können auch Informationen ausgespäht und versendet werden. Ziel dieser Attacken sind Passwörter, Kreditkartennummern, Loginnamen und andere persönliche Daten und Firmengeheimnisse.
  • Oft werden verseuchte Rechner für Denial of Service (DoS) Attacken missbraucht. DoS Attacken zielen darauf ab, einen Dienst oder eine Webseite durch übermäßig häufige Anfragen zu überlasten. Wenn die Attacke nur von einer Quelle kommt, lassen sich solche Attacken sehr leicht abwehren. In Distributed Denial of Service (DDoS) Attacken werden daher infizierte Rechner missbraucht, um die Attacken zu unterstützen. DoS und DDoS Attacken können darauf zielen, das Zielsystem herunterzufahren, die Bandbreite und Speicherauslastung zu überladen oder den Dienst im Netzwerk nicht mehr auffindbar zu machen. Ein expliziter Schadensteil kann aber auch fehlen. Aber die verschwendete Rechenzeit, die benötigte Netzwerkbandbreite und der erhöhte Speicherplatz stellen ohnehin eine Payload dar.

Tarnungsteil

Würmer, Trojaner und Viren versuchen sich vor der Entdeckung durch Benutzer und Virenerkennern zu schützen. Dazu verwenden Sie eine Reihe von Mechanismen.

Sie erkennen z.B. wenn Debugger laufen oder schützen sich durch überflüssige und verwirrende (Assembler-) Codezeilen. Sie verbergen die Spuren einer Infektion. Dazu wird u.a. die Ausgabe von Statusmeldungen oder Log-Einträge gefälscht. Z.B. kann ein speicherresidenter Virus dem System vorgaukeln, dass der Speicher den er belegt immer noch von dem zuvor entfernten Programm stammt. Diese Vorgehensweise ist insbesondere von Rootkits bekannt.
Um der Entdeckung zu entgehen verschlüsseln manche Viren sich selbst und/oder Ihren Schadenscode. Bei der Entschlüsselung können immer die gleichen Schlüssel verwendet werden, die Schlüssel können aus einer Liste entnommen sein (oligomorph) oder die Schlüssel können unbegrenzt neu erzeugt werden (polymorph). Mit Laufzeitpackern werden ausführbare Dateien so umstrukturiert, dass sie nur mit neuen Virensignaturen erkannt werden können


Würmer

Ein Wurm hängt sich im Gegensatz zu einem Virus nicht an ausführbare Dateien an. Er verbreitet sich dadurch, dass er sich über Netzwerke oder Rechnerverbindungen auf andere Rechner überträgt.

Netzwerk-Würmer

In Netzwerken werden auf zufällig ausgewählten Rechnern einige Ports gescannt und wenn eine Attacke möglich ist, werden die Schwachstellen in Protokollen (z.B. IIS) oder deren Implementierung zur Verbreitung ausgenutzt. Bekannte Vertreter dieser Art sind „Lovsan/Blaser” und „CodeRed". Sasser nutzt einen Buffer-Overflow-Fehler in der Local Security Authority Subsystem Service (LSASS) und infiziert Rechner während einer Verbindung zum Internet.

E-Mail-Würmer

Bei der Verbreitung per E-Mail kann der Wurm kann ein Wurm vorhandene E-Mail Programme (z.B. Outlook, Outlook Express) verwenden oder eine eigene SMTP-Mailengine mitbringen. Abgesehen vom entstehenden Netzwerktraffic und den erhöhten Systemresourcen können Würmer noch weitere Schadensfunktionen beinhalten. Prominente Mitglieder dieser Gruppe sind Beagle und Sober.

Peer-to-Peer-Würmer

P2P-Würmer kopieren sich in die Freigaben von Peer-to-Peer Tauschbörsen wie Emule, Kazaa etc. Dort warten sie mit verlockenden Dateinamen von aktueller Software oder prominenten Personen auf Opfer.

Instant-Messaging-Würmer

IM-Würmer nutzen Chatprogramme um sich zu verbreiten. Sie nutzen nicht nur die Funktionen zum Dateitransfer. Immer öfter senden sie einen Link auf eine schädliche Webseite. Manche IM-Würmer sind sogar in der Lage mit den Opfern in spe zu chatten.


Viren

Auch Viren zielen auf ihre eigene Reproduktion und Verbreitung auf andere Computer ab. Dazu hängen sie sich an andere Dateien an oder nisten sich im Bootsektor von Datenträgern ein. Sie werden oft unbemerkt von austauschbaren Datenträgern (wie z.B. Disketten) , über Netzwerke (auch Peer-to-Peer), per E-Mail oder aus dem Internet auf den PC eingeschleust.

Viren können an vielen unterschiedlichen Stellen im Betriebssystem ansetzen, über unterschiedlichste Kanäle wirken. Man unterscheidet folgende Gruppen:

Bootsektor-Viren

Bootsektor- oder MBR-Viren (= Master Boot Record-Viren) setzen sich vor den eigentlichen Bootsektor eines Datenträgers und sorgen so dafür, dass bei einem Bootvorgang über diesen Datenträger erst der Viruscode gelesen wird und danach der Original-Bootsektor. Auf diese Weise kann sich der Virus unbemerkt in das System einnisten und wird von da ab auch beim Booten von der Harddisk mit ausgeführt. Oft bleibt der Virencode nach der Infektion im Speicher bestehen. Solche Viren nennt man speicheresident. Beim Formatieren von Disketten wird der Virus dann weitergegeben und kann sich so auch auf andere Rechner ausbreiten. Aber nicht nur bei Formatier-Vorgängen kann der Bootbereichvirus aktiv werden. So kann durch den DOS-Befehl DIR die Übertragung des Virus von einer infizierten Diskette in Gang gesetzt werden. Je nach Schadensroutine können Bootbereichviren hochgradig gefährlich oder einfach nur störend sein. Der älteste und verbreitetste Virus dieser Art trägt den Namen 'Form'.

Datei-Viren

Viele Viren nutzen die Möglichkeit sich in ausführbaren Dateien zu verstecken. Dazu kann die Wirtsdatei entweder gelöscht/ überschrieben werden oder der Virus hängt sich an die Datei an. In letzterem Fall bleibt der ausführbare Code der Datei weiterhin funktionsfähig. Wenn die ausführbare Datei aufgerufen wird, wird zunächst der meist in Assembler geschriebene Virencode ausgeführt und danach das ursprüngliche Programm gestartet (sofern nicht gelöscht).

Multipartite Viren

Diese Virengruppe ist besonders gefährlich, da ihre Vertreter sowohl den Bootsektor (bzw. Partitionstabellen) infizieren als auch ausführbare Dateien befallen.

Companion-Viren

Unter DOS werden COM Dateien vor gleichnamigen EXE Dateien ausgeführt. Zu den Zeiten als Rechner nur oder häufig über Kommandozeilenbefehle bedient wurden war dies ein wirkungsvoller Mechanismus um unbemerkt schädlichen Code auf einem Rechner auszuführen.

Makroviren

Auch Makroviren hängen sich an Dateien an. Diese sind aber nicht selbst ausführbar. Die Makroviren sind auch nicht in Assembler, sondern in einer Makrosprache wie etwa Visual Basic geschrieben. Um die Viren auszuführen bedarf es eines Interpreters für eine Makrosprache wie sie in Word, Excel, Access und PowerPoint integriert sind. Ansonsten können bie Makroviren die gleichen Mechanismen wirken wie bei Datei-Viren. Auch sie können sich tarnen, zusätzlich den Bootsektor verseuchen oder Companion-Viren erstellen.

Stealth-Viren und Rootkits

Stealth-Viren oder Tarnkappen-Viren besitzen spezielle Schutzmechanismen, um sich einer Entdeckung durch Virensuchprogramme zu entziehen. Dazu übernehmen sie die Kontrolle über verschiedene Systemfunktionen. Ist dieser Zustand erst einmal hergestellt, so können diese Viren beim normalen Zugriff auf Dateien oder Systembereiche nicht mehr festgestellt werden. Sie täuschen dem Virensuchprogramm einen nicht infizierten Zustand einer infizierten Datei vor oder machen die Datei für den Virenschutz unsichtbar. Die Tarnmechanismen von Stealth-Viren wirken erst, nachdem der Virus im Arbeitsspeicher resident geworden ist.

Polymorphe Viren

Polymorphe Viren enthalten Mechanismen, um ihr Aussehen bei jeder Infektion zu verändern. Dazu werden Teile des Virus verschlüsselt. Die im Virus integrierte Verschlüsselungsroutine generiert dabei für jede Kopie einen neuen Schlüssel und teilweise sogar neue Verschlüsselungsroutinen. Zusätzlich können Befehlssequenzen ausgetauscht oder zufällig eingestreut werden, die nicht für das Funktionieren des Virus erforderlich sind. So können leicht Milliarden von Varianten eines Virus entstehen. Um verschlüsselte und polymorphe Viren sicher zu erkennen und zu beseitigen, reicht der Einsatz klassischer Virensignaturen häufig nicht aus. Meist müssen spezielle Programme geschrieben werden. Der Aufwand zur Analyse und zur Bereitstellung geeigneter Gegenmittel kann dabei extrem hoch sein. So sind polymorphe Viren ohne Übertreibung als die Königsklasse unter den Viren zu bezeichnen.

E-Mail-Viren

E-Mail-Viren gehören zur Gruppe der sog. „Blended threats” (= vermischte Bedrohung). Solche Malware kombiniert die Eigenschaften von Trojanern, Würmen und Viren. Im Rahmen des Bubbleboy-Virus wurde bekannt, dass es möglich ist, schon über die Voransicht einer HTML-Mail einen Virus auf den PC einzuschleusen. Der gefährliche Virencode versteckt sich in HTML-Mails und nutzt eine Sicherheitslücke des Microsoft Internet Explorers. Die Gefahr dieser „Kombi-Viren” nicht zu unterschätzen.

Intended Virus

Als Intended Virus wird ein teilweise defekter Virus bezeichnet, der zwar eine Erstinfektion einer Datei vollbringt, sich von dort aus aber nicht mehr reproduzieren kann.


Trojanische Pferde

Trojanische Pferde - oft und fälschlicherweise als Trojaner bezeichnet - unterscheiden sich von Würmern und Viren dadurch, dass sie sich nicht selbsttätig reproduzieren. Der Name „Trojanisches Pferd“ ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Zusätzlich beinhalten Trojaner jedoch einen versteckten Programmteil, der gleichsam eine Hintertür zum befallenen Rechner öffnet und so nahezu vollen Zugriff auf das betroffene System gewähren kann, ohne dass der Benutzer dies bemerkt. Die Methoden von Trojanern sich zu verstecken sind dabei schier unbegrenzt. Sie können sich in Kommandozeilenbefehlen für UNIX-Systemadminstratoren wie „passwd, ps, netstat“ verstecken (einfache Rootkits) oder als „Remote-Access-Trojans“ (sog. RATs, auch Backdoor genannt) daherkommen. Diese heimtückischen Programme werden aber auch als Bildschirmschoner oder Spiele per E-Mail verschickt. Ein einmaliges Starten genügt bereits und der Schädling infiziert das System.
Ihre Klassifikation kann erfolgt anhand ihrer Schadfunktion.

Backdoors

Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Es gibt aber auch legitime Nutzungsmöglichkeiten. Viele Systemadministratoren verwenden Fernwartungsprogramme, um Rechner von seinem aktuellen Standort zu administrieren. Insbesondere bei großen Unternehmen ist dies sehr nützlich. Üblicherweise erfolgt der Eingriff des Systemadministrators dabei mit dem Wissen und Einverständnis des PC-Users. Erst wenn diese Backdoor-Funktionen ohne Wissen des PC-Users eingesetzt werden und schädliche Aktionen ausgeführt werden wird ein Backdoorprogramm zur Malware.

Adware

Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf. Bei passender Gelegenheit werden dann Werbebotschaften eingeblendet. Oder die Ergebnisse von Suchanfragen werden manipuliert.

Dialer

Dialer werden oft unbemerkt auf dem Rechner installiert. Sofern die DFÜ-Verbindung über ein Modem hergestellt wird, wird dann beim nächsten Verbindungsaufbau eine teure 0900 o.ä. Nummer verwendet. Mit dem „Gesetz zur Bekämpfung des Missbrauchs von (0)190er/(0)900er Mehrwertdiensterufnummern” sind zwar seit dem 15. August 2003 einige Auflagen (Preisobergrenzen, Registrierung) in Kraft getreten, dennoch sind Dialer immer noch eine lästige Plage, die mitunter zu hohen finanziellen Schäden führen können. Mehr zum Dialerschutz erfahren Sie unter www.dialerschutz.de.

Spyware

Mit Spyware werden Daten gestohlen: Passwörter, Dokumente und Daten, Registriernummern von Software, E-Mailadressen uvm. Die Daten werden entweder auf Datenträgern gesucht oder aus dem Netzwerkverkehr herausgefiltert. Auch die Eingaben aus Webformularen (insbesondere bei Online-Banken) werden gesammelt. Im schlimmsten Fall haben die Angreifer dann Zugang zu allen E-Mailkonten, Foren, Online-Shops, die das Opfers nutzt. Online-Kriminelle nutzen diese Tarnung gerne.

Downloader und Dropper

Viele Trojanische Pferde haben eine spezifische Aufgabe. Downloader und Dropper haben die Aufgabe eine Datei auf den infizierten Rechner zu laden oder zu kopieren. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.


Malware im weiteren Sinne

Der Vollständigkeit halber sollen hier noch einige andere lästige und teilweise auch schädliche Kategorien erwähnt werden, die wir nicht zur Gruppe der Malware zählen.

Hoaxes

Hoaxes sind angebliche Falschmeldungen, die oftmals per E-Mail verbreitet werden. Die Empfänger werden aufgefordert die E-Mail-Warnung an Freunde und Bekannte weiterzuleiten. Meistens handelt es sich bei diesen Hinweisen allerdings nur um Panikmache.

Spam

Eine ebenfalls teure und lästige Plage ist das Versenden unerwünschter Werbemail oder Propagandamail. Moderne Anti-Spam Programme kombinieren statische (Textanalyse, Mailserverlisten) und statistische (basierend auf Bayes Theorem) Verfahren um die unerwünschte Post zu filtern.

Phishing

Unter Phishing versteht man den Versuch persönliche Daten wie Loginnamen, Passwörter, Kreditkartennummern, Bankzugangsdaten etc. durch gefälschte Webseiten oder E-Mails zu erhalten. Oft wird man dazu auf gefälschte Webseiten gelockt. In den letzten Jahren hat dieses Phänomen stark zugenommen. Spezialisierte Trojanische Pferde sorgen mittlerweile für Milliardenschäden. Mehr dazu erfährt man auf www.antiphishing.org (engl.).