Was ist eigentlich Malware?

Was ist eigentlich Malware?

Von | 22. August 2019, 12:51

Überall taucht der Begriff Malware auf. Was ist das eigentlich?

Das Wort Malware ist eine Kombination der beiden englischen Wörter „malicious“ und „software“, die in etwa so viel wie bösartige Software bedeuten. Kein Computernutzer darf sich in falscher Sicherheit wiegen. Ganz gleich, ob Windows, Linux oder Mac. Alle Betriebssysteme werden von diversen Malwaretypen bedroht. Auch wenn Mac- und Linux-Systeme im Vergleich zu Windows-PCs eine kleinere Angriffsfläche bieten, bleiben sie nicht vor Malware verschont.

Der zweifelhafte Sinn und Zweck dieser Art von Programmen ist eindeutig: Sie sollen Schaden anrichten und können die unterschiedlichsten Formen annehmen. Im Prinzip ist Malware der Oberbegriff für alle Arten von Schadprogrammen. Bei der Definition ist es wichtig darauf hinzuweisen, dass Malware ohne das Einverständnis des Computernutzers agiert oder versteckte Funktionen besitzt, die es verschweigt, um dann heimlich seiner Aufgabe nachgehen zu können. Software, mit der man anderen Schaden zufügen kann, ohne sich dabei selbst zu benachteiligen, zählt in der Regel nicht mit in diese Gruppe.

Hier würde man eher von Hacking-Tools reden. Alles in allem ist der Begriff also relativ freizügig zu interpretieren. Sicher ist nur, dass es sich immer um Software, kleine Tools oder andere direkt und indirekt ausführbare Dateien handeln muss, die im weitesten Sinne einem ganz bewusst einen Schaden zufügen möchten. Klassische Vertreter dieser Gattung sind: Viren, Würmer, Trojaner und Hijacker.

Darüber hinaus gibt es noch einige weitere Arten von Malware, die alle ungefähr ähnlich wie die bereits aufgezählten Hauptgruppen agieren. Die Grenzen zwischen den Malware-Arten sind fließend, so dass die Klassifizierung nicht allzu wörtlich genommen werden darf.

Unausgereifte Programme, die aufgrund einer schlechten Programmierung beispielsweise für Datenverlust sorgen, sind genau so wenig Malware wie Hoaxes (Virenfalschmeldungen) oder normale Spam Mails, da sie entweder den Schaden nicht bewusst anrichten oder nicht ausführbar (also statisch) sind.

Viren

Viren haben vier grundlegende Eigenschaften, die sie von harmloser Software unterscheiden. Einmal vervielfältigen sie sich ohne das Wissen und die Erlaubnis des Anwenders (Replikation), sie sind Parasiten, sie besitzen eine zerstörerische Wirkung (Payload) und versuchen sich bei jedem Start des Betriebssystems oder eines bestimmten Programms selbst mit zu starten, um so weiteren Schaden anrichten zu können. Je nach Virus kann aber der eine oder andere Punkt wegfallen.

Je nachdem wie der Virus programmiert wurde und welcher Gruppe er angehört, unterscheidet sich auch die Schadroutine. Es gibt verhältnismäßig harmlose Viren, die kaum eine Auswirkung zeigen oder den Nutzer nur nerven, es gibt aber auch welche, die Dateien löschen oder verfälschen. Einige der zerstörerischen Exemplare formatieren die Festplatte oder überschreiben das BIOS. Im letzteren Fall würde ein regelrechter Hardwareschaden entstehen. Das Original BIOS kann nur noch vom Hersteller zurückgespielt werden, weil kein Laufwerk mehr erkannt würde, von dem man das BIOS selbst erneuern (flashen) könnte. Entweder summieren sich dadurch hohe Kosten und lange Wartezeiten, oder man muss sich ein neues Mainboard kaufen. Glücklicherweise sind solch gefährliche Viren eher die Ausnahme.

Es gibt fast keine Tätigkeit, bei der man sich nicht infizieren könnte. Im Internetzeitalter wird das Öffnen eines verseuchten E-Mail Anhangs der häufigste Weg sein. Es kann aber auch schon reichen, eine böswillige Webseite zu besuchen (Drive-by-Infektion). Früher war die Verbreitung per infizierter Diskette gang und gäbe. Allgemein kommt aber jeder Datenträger (USB Sticks und Speicherkarten darf man nicht vergessen), das Netzwerk oder heruntergeladene Software in Frage. Einfach jedes Medium, welches Daten speichern oder übertragen kann, kann auch einen Virus beherbergen.

Um einen Virus zu aktivieren und damit den Rechner zu verseuchen (kompromittieren), bedarf es in der Regel einer Interaktion. Diese ist meistens durch das eigenhändige Öffnen oder Ausführen einer Datei gegeben. Auch eine beim Booten im PC befindliche CD Rom (DVD) kann zu einer Infektion führen. Besonders einfach ist die Versendung eines Virus per Email unter Vortäuschung interessanter Funktionen. Dabei ist nicht nur der Weg sehr leicht zu beschreiten, sondern auch die Viren sind sehr einfach zu konstruieren. Zur Täuschung des Opfers dienen gestohlene E-Mail-Adressen, die einen bekannten oder seriösen Absender vortäuschen.

Findet ein Virenscanner einen Virus, der noch nicht aktiviert wurde, so ist das System auch nicht verseucht. Bestehen jedoch Zweifel, sollte man beim Virenfund vorerst vom Schlimmsten ausgehen.

Würmer

Anders als Computerviren infizieren Würmer keine fremden Dateien. Sie sind also eigenständig arbeitende Software und kommen ohne Wirtsdatei aus. Ihr Hauptaugenmerk liegt auf deren massenhaften Weiterverbreitung im Netzwerk oder Internet und weniger auf der lokalen Vermehrung oder Infizierung von Dateien. Da aber dieses Ziel ohne Wissen und Zustimmung des Computerbesitzers verfolgt wird, sind die oftmals nicht zerstörerischen Würmer dennoch als schädlich zu bezeichnen.

Genau genommen müsste man sogar noch zwischen Computerwurm und Computerwurmsegment unterscheiden. Die Segmente sind die einzelnen Wurmdateien auf den infizierten Rechnern, die versuchen sich weiter zu verbreiten und der eigentliche Computerwurm ist der Sammelbegriff für all die Segmente eines Wurmes zusammen. In der Anwenderpraxis wird aber diese Unterscheidung nicht mehr vorgenommen.

Im Prinzip liegt bei den meisten Würmern der Schaden in der Weiterverbreitung. Dabei verursachen sie Internet-Traffic und nehmen Computerressourcen in Anspruch. Dies hat zur Folge, dass einmal der Rechner langsamer wird und du unter Umständen eine erhöhte Onlinerechnung hast. Auch die Infrastruktur des Internets wird durch die Gesamtheit aller Würmer stark belastet, da sie durch den massenhaften Versand ihrer Kopien sehr viel Verkehr und Kosten verursachen. Manchmal werden Sie ebenfalls dazu benutzt, um zeitgleich von vielen tausend befallenen Rechnern aus, Angriffe auf Webserver durchzuführen (DDoS Attacken), sodass diese überlastet werden und nicht mehr erreichbar sind. Durch einen Fehler in der Programmierung des Wurmes kann es mitunter zu schädlichen Nebenwirkungen kommen (wie das Herunterfahren des Betriebssystems). Einige Würmer führen sogar einen speziellen Payload (Schadensroutine) mit sich und löschen oder manipulieren neben der Weiterverbreitung auch Dateien auf dem befallenen System. Streng genommen sind dies allerdings schon hybride Würmer, da sie durch die Schadroutine Merkmale von anderer Malware wie Viren beinhalten.

Würmer werden auch dazu benutzt, um massenhaft Spam Mails zu verschicken (Spambot-Network) oder die ideologische Gesinnung einiger Zeitgenossen zu verbreiten.

In der Regel findet die Verbreitung per E-Mail statt. Dazu versendet ein Wurm Kopien von sich selbst an alle E-Mail-Adressen, die er auf deinem Computer findet. Diese sucht er nicht nur in Adressbüchern und Datenbanken, sondern in nahezu allen Dateien, die Text enthalten können. Zum eigentlichen Versenden verwendet er eine eigenen SMTP Engine (ein mini E-Mail-Programm, um Mails zu verschicken), die er selbst mitbringt oder aber ein bereits auf dem Rechner eingerichtetes E-Mail-Konto. Um den wahren Absender solch einer Wurm-Mail nicht so schnell ermitteln zu können und damit die Infektion einzudämmen, fälschen heutige Würmer die Versandadressen. Es kann also vorkommen, dass der angezeigte Absender der Wurm-Mail überhaupt nicht infiziert ist und nur seine Adresse missbraucht wurde. Aus diesem Grund macht es auch keinen Sinn, auf eine Wurm-Mail zu antworten und vor einer Infektion zu warnen oder gar seinem Ärger freien Lauf zu lassen. Leider haben dies einige Netzwerkadministratoren und Webmaster noch nicht so richtig verstanden und verschicken automatische Benachrichtigungen, wenn Sie eine Wurm-Mail empfangen. Solltest du also eine E-Mail erhalten, in der steht, dass du mit dem Wurm xyz infiziert bist und ihn weiter versendest, heißt dies nicht, dass es auch in Wirklichkeit so ist. Es ist lediglich ein Indiz dafür, dass irgendjemand mit diesem Wurm infiziert ist und deine E-Mail-Adresse auf seinem Computer gespeichert hat.

Würmer, die diese Verbreitungsmethode verfolgen, nennt man Mass-Mailing Würmer (Massen-Mailer). Dabei generieren Sie einen kurzen Text in der E-Mail mit dem Hinweis darauf, dass im Anhang weiteren Informationen vorhanden seien. Öffnet man nun aus Neugierde solch einen Anhang, infiziert man sich ebenfalls mit dem Wurm und verbreitet ihn weiter. Parallel zur E-Mail Verbreitung legen solche Würmer auch oftmals einige Dutzend Mal Kopien von sich selbst in Netzwerkfreigaben oder Tauschbörsenverzeichnisse mit Dateinamen ab, die zum Öffnen animieren sollen. Wer sich nun solch eine Datei aus einer Tauschbörse herunterlädt oder im Netzwerk findet und öffnet, der infiziert sich ebenfalls.

Eine andere Verbreitungsweise ist die über Sicherheitslücken im Betriebssystem. Die Effizienz ist beeindruckend. In so einem Fall sucht ein Wurm von einem bereits infizierten Rechner aus, Teile des Internets oder Netzwerkes nach weiteren Rechnern ab, die dieselbe Sicherheitslücke aufweisen. Sobald er einen gefunden hat, sendet er eine Kopie von sich selbst an diesen Rechner. Dabei macht sich der Wurm die Tatsache zu Nutze, dass der Anwender in keiner Weise tätig werden muss. Es reicht also eine aktive Verbindung zum Internet oder anderen Rechnern aus, um infiziert zu werden. Man muss weder Mailanhänge öffnen noch Webseiten besuchen. Zwei weltbekannte Exemplare dieser Gattung sind Blaster und Sasser. Normalerweise spricht man bei dieser Art schlicht und einfach von Netzwerkwürmern.

Trojaner

Trojanische Pferde haben es sich zur Aufgabe gemacht, einen infizierten Rechner nach einem vorher festgelegten Schema auszuspionieren und einen Backdoor-Zugang zum System zu erhalten. Daher hat ein derartiger Schädling auch kein Interesse daran sich selbstständig weiter zu verbreiten. Viel wichtiger ist es für ihn unentdeckt auf den Rechner zu gelangen und auch dort zu verbleiben.

Getreu ihrem historischen Vorbild schleichen sich trojanische Pferde oftmals als vermeintlich harmlose oder nützliche Tools auf den Rechner ein, die du selber heruntergeladen oder zugeschickt bekommen hast. Öffnet man nun so eine Datei, installiert sich der Schädling unbemerkt auf dem System, da man zur Tarnung das Trägerprogramm nutzen kann und somit in der Regel keinen Verdacht schöpft.

Es gibt aber auch einige, die sich bedeutend weniger Mühe geben. Sie täuschen zwar auch ein nützliches Programm vor, möchte man dieses nutzen, so erscheint nur eine Fehlermeldung – der Trojaner installiert sich aber trotzdem. Wie nun diese Dateien im Einzelnen auf den Rechner gelangen ist sehr variabel. Oftmals dürfte es aber per E-Mail, Tauschbörse, Instant Messenger oder normalen Download, beziehungsweise fremden Datenträgern passieren. In solchen Fällen liegt es an dir, dass du dubiose ausführbare Dateien erkennst und nicht öffnest. Solltest du bereits mit einem anderen Schädling infiziert sein, ist es auch möglich, dass Trojaner gedropped werden (ohne deine Zustimmung und Wissen aus dem Internet nachgeladen und auf deinem Rechner abgelegt werden). Dabei kann der Trojaner auch ohne Interaktion von dir aktiviert werden.

Sind sie erstmal auf dem Zielrechner installiert und somit aktiv, kann der Schaden ins Unermessliche reichen.

  • Daten werden gelöscht oder verschlüsselt
  • Daten werden blockiert
  • Daten werden kopiert

Im Extremfall kann es Monate dauern, bis man Verdacht schöpft und seinen Rechner genauer untersucht. Zwischenzeitlich kann der Trojaner in Ruhe deine Passwörter, Kreditkartennummer und Kontoverbindungsdaten erkunden und an seinen Autor schicken, der diese dann missbrauchen kann.

Betriebsspionage und Erlangung sonstiger vertraulicher Daten sind beliebte Ziele eines Trojaners. Dies mag für Privatpersonen etwas weit hergeholt klingen, der Versuch dazu dürfte aber dennoch an der Tagesordnung sein. Grade mittelständische Betriebe unterschätzen oftmals das enorme Gefahrenpotential.

Hijacker

Hijacker sind eine „Weiterentwicklung“ und Kombination von aggressiver Spyware und trojanischen Pferden, die zum Beispiel den Browser beim Surfen infizieren und einige vom Nutzer gewählte Einstellungen ungefragt und dauerhaft verändern. Dies äußert sich am häufigsten durch eine abgeänderte Start- oder Suchseite, kann aber auch weitaus gravierendere Folgen haben. Nicht selten wird die Windows „hosts“ Datei dahingehend verändert, dass das Aufrufen von speziellen Webseiten, auf denen man Hilfe gegen Hijacker bekommen könnte, nicht mehr möglich ist oder die Anfrage auf eine völlig fremde Seite umgeleitet wird. Das Wort Hijacker kommt aus dem Englischen, heißt so viel wie „Entführer“ und steht ursprünglich für das ungewollte Umleiten von Suchanfragen.

Die häufigsten Schadfunktionen sind auf jeden Fall die angesprochenen Veränderungen der Start- sowie Suchseite des Browsers, das Umleiten auf nicht aufgerufene Webseiten, das Sperren von einzelnen Internetpräsenzen und das Anzeigen von unerwünschter Werbung. Darüber hinaus können aber noch weitere Schädlinge installiert und die Favoriten, das Startmenü und der Desktop um Werbelinks ergänzt werden. Auch kommt es vor, dass in einigen Fällen Windowsfunktionen nicht mehr nutzbar sind (zum Beispiel das Aufrufen des Taskmanagers) oder Systemdateien verändert werden. Dies alles kann natürlich nur durch massive Systemveränderungen erreicht werden, die sich oftmals nicht mehr genau zurückverfolgen lassen und tief in die Registry rein reichen. Wer auf Nummer sicher gehen will, installiert eine gute Virenschutz-Software, die Hijacker aufspürt und rückstandslos entfernt.

Wie kann ich Malware-Infektionen vermeiden?

  • Verdächtige E-Mail-Anhänge nicht öffnen. Leider ist das Problem nicht dadurch zu beseitigen, dass man auf EXE-Dateien in Email-Anhängen achtet. Geeignet für den Transport von Malware sind alle Arten von ausführbaren Dateien. Verdächtige E-Mails einfach nicht öffnen!
  • Niemand wird freiwillig ein Schadprogramm auf sein System laden. Malware-Entwickler müssen ihre Produkte also tarnen. Daher gilt: Downloads ohne vorherige Virenscanner-Kontrolle nicht starten.
  • Regelmäßig überprüfen, ob alle Programme (Betriebssystem, Browser…) auf dem neuesten Stand sind.
  • Unter Windows: Ein Benutzerkonto mit eingeschränkten Rechten nutzen.
  • Die beste Verteidigung gegen Malware besteht darin, die eigenen Daten regelmäßig zu sichern.

Weitere Themen zu „Was ist eigentlich…?“ findet man hier vor.

Autor: Felix Bauer | Security Consultant
Web: https://www.felix-bauer-it.de/
Twitter: https://twitter.com/FelixBauer100
Artikelbild: Shutterstock / Von thodonal88
- Wir brauchen deine Unterstützung -
An alle unsere Leserinnen und Leser! Wir haben keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle Interessierten offen halten. Wenn jeder, der unsere Rechercheberichte liest und mag, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben
. Hier kannst Du unterstützen: via
PayPal und Steady
- Werbung -
- Werbung -