Malware - Ein Überblick

Sie sind inzwischen zur Seltenheit geworden und machen nur rund zehn Prozent der Schadsoftware-Fälle aus. Viren infizieren gespeicherte Daten so, dass bei deren Ausführungen Störungen auftreten. Sie breiten sich nicht von selber aus, sondern erfordern immer eine Aktion des Benutzers. Bekämpft werden sie durch Virenscanner, die allerdings nur in Signaturen beschriebene spezielle Bitmuster erkennen und dann in der Regel diese Dateien in Quarantäne stecken oder gleich vernichten, eine Reparatur ist nur in seltenen Fällen möglich. Die Signaturen der Virenscanner-Software müssen auf dem aktuellen Stand gehalten werden. Eine ausführlichere schon sehr alte Erklärung gibt es hier.

Ihr wesentliches Merkmal ist die Fähigkeit, sich selbst zu vervielfältigen, sobald ein Benutzer sie aktiviert hat. Dazu reicht einfaches Draufklicken. Einmal in ein System eingeschleust, tun sie das ganz von alleine. Meist werden sie über verseuchte Anhänge von Mails eingefangen. Auch Links auf zweifelhafte Internetseiten können eine Infektion auslösen.

Sie sind als unverfänglich erscheinende Programme , die sich nach Aktivierung durch einen Benutzer ähnlich wie Würmer im Computernetz eines Unternehmens selbständig verbreiten. Eine populärste Masche ist es, sich als Antivirussoftware auszugeben und zu , behaupten, der Rechner sei infiziert und den Benutzer zu einem angeblichen "Cleaner-Programm" umzuleiten, das dann seinen Flurschaden startet. Besonders gefährlich sind Trojaner, die den Angreifern erlauben, die befallenen Rechner fernzusteuern und viele weitere Rechner zu infizieren. Die Programme sind so kompliziert gebaut, dass sie von vielen Firewalls nicht erkannt werden.

Hier handelt es sich um eine Spezialform von Trojanern, die die Dateien auf den befallenen Rechnern verschlüsseln. Anschließend wird dann ein Lösegeld verlangt, in Kryptowährung, damit man den Erpresser nicht ermitteln kann. Ausführlichere Beschreibung hier.

Etwas zutreffender sollten sie Tarnkappen-Angriffe heißen. Sie hinterlassen keine Spuren und lassen sich nur schwer durch Sicherheitslösungen für Endgeräte erkennen. Sie manipulieren bis dahin vertrauenswürdige Anwendungen so, dass diese die Angriffe selbst ausführen. Sie lagern ihre schädlichen Befehle nur im Arbeitsspeicher der infizierten Rechner, wo sie von herkömmlichen IT-Sicherheitslösungen nicht gefunden werden. Typischer Ablauf: Anwender klickt auf einen Link oder den Anhang einer Phishing-Mail, Schadsoftware wird unauffällig in den Arbeitsspeicher oder andere unübliche Bereiche geschrieben, um ihn vor Schutzsoftware zu tarnen. Dann werden Klartext-Kennwörter aus dem Arbeitsspeicher gelesen. Mit den erbeuteten Berechtigungen wandert der Angriff von Gerät zu Gerät, um immer mehr Zugriffsrechte zu erlangen. Die auf externen Speichermedien aktivierten Signaturerkennungen für Malware werden komplett umgangen.

Ablauf eines Tarnkappenangriffs. Quelle: McAfee.

Meist handelt es sich um Mischformen aus Würmern und Trojanern. Sog. Rootkits versuchen, die komplette Kontrolle über das angegriffene Betriebssystem zu erreichen und sich erfolgreich vor der eingesetzten Abwehr-Software zu verstecken. Bots gehören ebenfalls in diese Schublade, eine Schadsoftware, die den befallenen Rechner für weitere Aktionen benutzt und so ein Botnet aufbaut, mit dessen Hilfe dann ein Distributed-Denial-of-Service- Angriff (DDoS) durchgeführt werden kann, eine von vielen Stationen aus mutwillig herbeigeführte Überlastung der angegriffenen IT-Infrastruktur, sodass diese lahmgelegt wird. Auch Spyware wie z.B. Keylogger kann man hierzu zählen; sie versuchen, an Zugangsdaten heranzukommen, mit derer Hilfe die kriminellen Betreiber dann z.B. Konten abräumen können. Phishing-Mails sind in diesem Zusammenhang eine hackerseitig beliebte Strategie. Die Aufzählung lässt sich noch stundenlang fortsetzen.