Schadsoftware im Überblick
Oft hört man "Ich habe keine Schadsoftware auf meinem Rechner, dass würde ich doch merken!", ein Spruch, der vielleicht vor 25 Jahren gültig war, heute aber schon lange nicht mehr gilt. Es gibt viele Arten von Schadsoftware, und Sie erkennen davon nur die, deren Autoren es so wollen. Die meisten Schädlinge arbeiten heimlich, still und unbemerkt im Hintergrund und fallen erst auf, wenn es für Sie zu spät ist.
Scareware und Ransomware - die "laute" Schadsoftware
Die einzige Schadsoftware, die sich immer bemerkbar macht, gehört zur Kategorie der Scareware oder Ransomware. Während die Scareware Sie meist zum Kauf unnötiger und wirkungsloser Fake-Virenscanner verleiten soll, erpresst die Ransomware von Ihnen Geld zur Freigabe zuvor von ihr verschlüsselter Dateien oder gesperrter Systeme. Die Schädlinge müssen sich bemerkbar machen, damit Sie in ihrem Sinne aktiv werden können. Alle anderen Schädlinge haben aber i.A. kein Interesse daran, von Ihnen bemerkt zu werden.
Spyware - Auffällige Vertreter haben sofort verloren
Schon Spyware ist zwingend darauf angewiesen, nicht entdeckt zu werden. Wie sollte sie den Benutzer ausspähen, wenn der von ihrer Anwesenheit wüsste? Oder haben Sie schon mal von einem Spion gehört, der überall sofort erkannt wird? Nein, "James Bond" ist keine richtige Antwort. Ein ähnlich bekannter Geheimagent würde im echten Leben ziemlich schnell zum Akten stapeln in den Keller versetzt.
Viren - früher laut, heute leise
Die Fehleinschätzung "Schadsoftware bemerkt man" geht vermutlich auf die ersten Viren zurück. Exemplare wie z.B. der Cascade-Virus machten sich mit Absicht bemerkbar. Cascade z.B. sorgte zwischen dem 1. Oktober und 31. Dezember 1988 dafür, das nach dem Start eines infizierten Programms die Buchstaben vom Bildschirm purzelten und sich am unteren Bildschirmrand auftürmten (Video davon).
So einen Schädling erkennt man natürlich, ebenso wie die ersten Viren mit echter Schadfunktion, die z.B. Dateien löschten. Aber wenn man die erkannte, war es schon zu spät und der Schaden eingetreten. Das gleiche gilt für die Viren der nächsten Generation, die im Rahmen des Wettlaufs zwischen Viren- und Anti-Viren-Autoren entstanden. Auch die fielen durch ihre ausgeführte Schadfunktion auf, aber eben auch erst, wenn es zu spät war. Die aktuellen Viren fallen meist erst auf, wenn man nach ihnen sucht. Ansonsten verrichten sie heimlich, still und leise ihre bösartigen Aufgaben.
Würmer - früher auffällig, heute unauffällig
Auch bei den Würmern hat sich die "Sichtbarkeit" im Laufe der Zeit geändert, genauer: An ihre geänderten Aufgaben angepasst. Die ersten Würmer hatten nur einen Aufgabe: Sich selbst zu verbreiten. Dabei fielen sie meist durch ihre Nebenwirkungen auf, Schadfunktionen gab es noch nicht. Schon die ersten Würmer mit Schadfunktion fielen meist erst auf, wenn es zu spät war und die Schadfunktion bereits ihre Aufgabe erfüllt hatte. Und je gefährlicher die Schadfunktion, desto versteckter die Würmer, eine Hintertür ist eben nur so lange nützlich, wie sie vom Opfer nicht bemerkt wird. Ebenso heimlich agierte die nächste Generation der Würmer, erst wenn die Schadfunktion aktiv wurde, machte der Wurm sich bemerkbar.
Würmer im Web durchliefen die gleiche Entwicklung wie ihre Kollegen im Netz und E-Mails: Die ersten Exemplare gaben noch Meldungen auf den infizierten Seiten aus, aber schon der Webmail-Wurm Yamanner agierte (auch) heimlich und sammelte Daten.
Bei der nächsten Generation nahm die Gefährlichkeit der Schadfunktionen weiter zu, entsprechend gross war das Interesse, möglichst nicht entdeckt zu werden. Besonders gut ist das an Conficker und Stuxnet zu sehen: Beide legen Wert auf Tarnung, um möglichst lange ungestört Schaden anrichten zu können.
Etwas anders sieht es bei Smartphone-Würmern aus: Die sind teilweise auf die Mitarbeit der Opfer angewiesen, die Bluetooth-Verbindungen zustimmen oder den Wurm starten müssen. Entsprechend fallen sie einem informierten Benutzer also auf, der sie dann auch gleich stoppen kann. Der erste iPhone-Wurm konnte sich schon ohne Hilfe verbreiten, tauschte aber auffällig das Wallpaper aus. Aber schon die nächsten iPhone- und Android-Würmer arbeiteten ebenso versteckt wie ihre aktuellen Kollegen für Desktop-Rechner und Server.
Trojaner - Heimliche Mitreisende verraten sich selten
Auch Trojaner legen Wert auf Heimlichkeit. Sie ist sogar ihre Existenzgrundlage: Kaum jemand würde absichtlich Schadsoftware starten, nur durch die Tarnung als nützliches Programm erreichen diese Schädlinge also ihr Ziel. Dass ein Trojaner installiert wurde, bemerkt das Opfer meist erst, wenn die Schadfunktion aktiv geworden und es für eine Reaktion zu spät ist. Und manchmal fällt der Trojaner selbst gar nicht auf, z.B. wenn ein "Trojan Downloader" Schadcode nachlädt und sich danach selbst beendet. Wird später die nachgeladene Schadsoftware erkannt, fehlt vom Trojaner oft jede Spur.
Zeus - Erst wenn das Geld weg ist, fliegt er auf
Ein gutes Beispiel für einen schädlichen Trojaner ist Zeus. Dieser Schädlingsbaukasten bzw. diese Schädlingsfamilie wird auch auf anderen Wegen verteilt, einmal installiert verhält sich Zeus aber immer betont unauffällig und tut alles, um nicht enttarnt zu werden. Nur so kann er seine Hauptaufgabe, das Ausspähen sensitiver Informationen wie z.B. Zugangsdaten zum Onlinebanking, erfüllen. Erst wenn Geld vom Konto verschwunden ist und der Rechner auf Schadsoftware untersucht wird, fällt der Schädling auf. Übrigens ist auch ein installierter Virenscanner keine Garantie dafür, dass jede Schadsoftware erkannt wird. Die Erkennungsrate für den im Internet aufgetauchten Zeus-Sourcecode war z.B. anfangs ziemlich schlecht. Und bei der Mobil-Variante sieht es nicht unbedingt besser aus.
Exploit-Kits - Tarnung ist das halbe Leben
Auch Exploit-Kits legen Wert auf Tarnung, jedenfalls für den auf harmlosen Websites eingeschleusten Teil des Codes. Damit der möglichst lange Drive-by-Infektionen verbreiten kann, wird er aufwändig getarnt. So ist es z.B. nicht ungewöhnlich, wenn der Schadcode nur dann ausgegeben wird, wenn die Besucher der Seite von einer Suchmaschine kommen. Wird die Seite z.B. aus den Bookmarks eines Webbrowsers aufgerufen, wird sie unverändert ausgegeben, so dass regelmäßige Besucher keinerlei Änderungen bemerken. Die Veröffentlichung vieler Exploit-Kits im Internet dürfte auch in dieser Hinsicht kaum neue Erkenntnisse liefern, da der entsprechende Schadcode ja sowieso auf den für die Drive-by-Infektionen präparierten Websites gefunden und analysiert werden kann.
Rootkits - Entwickelt, um versteckt zu werden
Rootkits existieren nur zu einem einzigen Zweck: Nicht entdeckt zu werden. Wenn Sie also ein Rootkit auf Ihrem Rechner bemerken, ist (aus Sicht der Cyberkriminellen) irgend etwas schief gelaufen. Schließlich sollen die Rootkits ja möglichst nicht einmal vom Virenscanner entdeckt werden, ein Vorfall wie der vom Bootkit Alureon ausgelöste Blue Screen of Death nach der Installation der Patches zum Security Bulletin MS10-015 sind daher eine seltene Ausnahme. Zwar sind Rootkits weder unauffindbar noch unzerstörbar, aber sie sind die am besten versteckte Schadsoftware. Und virtualisierende Rootkits gehen dabei noch einen Schritt weiter, indem sie das angegriffene System in einer virtuelle Maschine verschieben und sich damit außerhalb der Sichtweite der darauf laufenden Programme, insbesondere natürlich alle Arten von Schutzprogrammen, verbergen. Das gleiche gilt für Rootkits in der Hardware, auch die lässt sich aus dem infizierten System heraus nur schwer erkennen. Wenn die sich bemerkbar macht, dann nur auf Grund eines Fehlers - sonst würde sie ja den eigenen Zweck ad absurdum führen. Und das gilt natürlich auch für Smartphone-Rootkits.
Remote Administration Toolkits - versteckte RATten
Auch Remote Administration Toolkits machen sich selten von selbst bemerkbar, jedenfalls in den schädlichen Varianten. Ebenso wie Spyware können sie ihre Aufgabe nur erfüllen, wenn sie nicht erkannt werden. Oder würden Sie eine solche Hintertür offen lassen, wenn Sie sie erst mal bemerkt haben?
Botnets - Der Balken im Auge
Bei den Botnets müssen Sie zwei Probleme unterscheiden: Das Vorhandensein allgemein bemerken Sie z.B. an den regelmäßigen Spam-Wellen. Auch den Erfolg oder Misserfolg von Aktionen gegen die Botnets können Sie beobachten. Schadsoftware, die Ihren Rechner in ein Botnet integriert, sorgt aber i.A. dafür, dass Sie davon nichts merken. Schließlich soll der Rechner ja möglichst lange im Botnet bleiben, und einmal entdeckte Schadsoftware wird meist schnell gelöscht.
Infektionen verhindern oder beseitigen
Nach Möglichkeit sollte man Infektionen mit Schadsoftware vermeiden, indem man sein System absichert und möglichen Gefahren aus dem Weg geht. Das ist natürlich nicht immer möglich, so dass ein Virenscanner das Schlimmste verhindern soll. Aber der kann nicht jede Infektion verhindern und stellt streng genommen so wie jedes zusätzlich installierte Programm ein mögliches weiteres Einfallstor dar.
Ist die Schadsoftware erst mal installiert, können Sie nur noch hoffen, dass Sie sie erkennen und entfernen können, bevor ein Schaden eintritt. Während die Entfernung durch Virenscanner oder spezielle Tools bei Scareware, Ransomware und Spyware meist noch relativ einfach möglich ist, lassen sich manche Viren, Würmer, Trojaner und Rootkits nur schwer oder auch gar nicht restlos beseitigen.
Insbesondere bei Rootkits sollten Sie im Zweifelsfall das System neu installieren. Denken Sie daran: Das Rootkit wurde entwickelt, um möglichst gar nicht erst entdeckt zu werden und nach einer Entdeckung der Löschung möglichst lange zu widerstehen. Selbst wenn der Virenscanner oder das spezielle Anti-Rootkit-Tool ein gesäubertes System melden könnten Reste des Rootkits die Säuberung überstanden haben. Niemand wird Ihnen garantieren, dass das System nach dem Entfernen des Rootkits wirklich völlig Schadsoftwarefrei ist. Eigentlich läuft das ganze auf eine einzige Frage hinaus: Welcher Entwickler war besser - der des Rootkits oder der des Virenscanners bzw. Anti-Rootkit-Tools?
Hiermit ist das Thema "Schadsoftware" zumindest vorerst abgeschlossen. Die Cyberkriminellen werden schon dafür sorgen, dass es irgendwann eine Fortsetzung gibt. In der nächsten Folge geht es wie angekündigt um eine neue Bedrohung im Web: Das Cookiejacking.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner
- Zeus
- Exploit-Kits
- Rootkits
-
- Rootkits - Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 - Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill - Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets
- Gegenmaßnahmen
- Schadsoftware im Überblick
Trackbacks