Dipl.-Inform. Carsten Eilers

Auch das Wort "Spyware" ist eine Zusammensetzung eines englischen Worts mit dem Wort "software". "Spy" bedeutet Spion, in diese Fall haben wir es also mit Spionage-Software zu tun. Und so wie Spione im realen Leben legt auch die Spyware Wert darauf, unerkannt zu bleiben. Denn sie will nur eines: Ihre Daten. Und die würden Sie ja wahrscheinlich schnell in Sicherheit bringen oder gar nicht erst eingeben, wenn Sie die Spyware erkennen würden.

Spyware ist nicht der einzige Name für spionierende Schadsoftware. Weitere Bezeichnungen sind Info(rmation)-Stealer oder Password-Stealer, also Informations- bzw. Passwort-Dieb. Allen Varianten ist eins gemeinsam: Sie installieren sich heimlich auf einem Rechner und suchen dort nach bestimmten Informationen oder warten auf die Eingabe bestimmter Daten.

Harmlose Software mit Spyware = Adware

Spyware kommt nicht nur in Form von Schadsoftware auf den Rechner, auch manche eigentlich harmlosen Programme bringen Spyware mit, um ihre Benutzer auszuspionieren. Meist handelt es sich dabei um über Werbung finanzierte Programme, die über das Ausspähen des Surfverhaltens der Benutzer Informationen zum Einblenden gezielter Werbung sammeln. I.A. stimmt der Benutzer dieser Spyware sogar zu, entsprechende Klauseln gibt es irgendwo tief verborgen in den Lizenzbedingungen. Oft in komplett in Großbuchstaben geschriebenen Klauseln, natürlich zum Zwecke der Hervorhebung und nicht wegen der schlechteren Lesbarkeit.

Allerdings kommt nicht jede Adware mit Spyware-Komponenten daher, es gibt auch seriöse Adware, die die Benutzer nicht ausspioniert. Die bekannteste dürfte der Mail-Client Eudora sein, der auch in einer werbefinanzierten Vollversion ("Sponsored mode") verfügbar ist.

Spyware in der Grauzone

Eine weitere Variante der Spyware wird vom Eigentümer des Computers freiwillig installiert, um die Benutzer auszuspionieren. Dazu gehören z.B. Keylogger und andere Überwachungssoftware auf Unternehmensrechnern. Entsprechende Programme bewegen sich in einer Grauzone: Zwar ist ihr Einsatz nicht zwingend illegal, oft werden sie aber für illegale Zwecke verwendet. Entsprechend werden sie i.A. auch von Antivirenprogrammen oder speziellen Anti-Spyware-Programmen zumindest als potentielle Gefahr erkannt und gemeldet.

Spione, die sabotieren und kompromittieren

Auch wenn der Name "Spyware" nur auf das Ausspionieren von Daten hinweist, hat Spyware mitunter weitere Funktionen wie das Umleiten von Seitenaufrufen im Webbrowser, die Änderung von Einstellungen wie z.B. der Browser-Startseite oder das Nachladen weiterer Software. Auch die Manipulation, meist in Form simplen Ausschaltens, vorhandener Sicherheitsfunktionen und -programme wie Firewall und Virenscanner gehört zum Repertoire mancher Spyware. Dadurch wird ein von Spyware befallener Rechner meist früher als später mit weiterer Schadsoftware infiziert.

Generell verhält sich die Spyware möglichst unauffällig, von den oben genannten Ausnahmen abgesehen. Dadurch fällt sie einem Benutzer ohne Einsatz entsprechender Schutzprogramme meist erst dann auf, wenn sich der Rechner ungewöhnlich verhält, z.B. weil die CPU von der Spyware übermäßig belastet wird. Das ist oft erst dann der Fall, wenn sich bereits mehrere Spyware-Exemplare und weitere Schädlinge auf dem Rechner eingenistet haben und sich gegenseitig in die Quere kommen. Teilweise werden aber auch diese Störungen auf das Betriebssystem oder die Hardware geschoben, so dass die Spyware unerkannt bleibt. Manch gefühlt langsamer werdender älterer Rechner ist gar nicht zu alt für die absichtlich installierte Software, stattdessen reißt die Schadsoftware die meiste Rechenzeit an sich und bremst die normalen Programme aus.

Gefährlich ist Spyware vor allem, so lange sie unauffällig bleibt und ihrer Hauptaufgabe nachgeht. Die kann im Sammeln von Informationen zum Einblenden zielgerichteter Werbung bestehen, die dann entweder als Popup-Fenster, im zugehörigen normalen Programm oder auch im Webbrowser erscheint. Andere Spyware späht Benutzernamen, Passwörter und andere vertrauliche Informationen aus, und manche Varianten betreiben Klickbetrug in Affiliate-Netzwerken.

Spione mit Kamera

Relativ neu ist das Ausspähen der Benutzer über die integrierte Webcam der Rechner. Bekannt geworden ist diese Möglichkeit vor allem durch das sog. WebcamGate im Frühjahr 2010: Ein Schulbezirk in den USA hat die in den den Schülern zur Verfügung gestellten Macbooks vorhandene Webcam genutzt, um den Schülern zu Hause nach zu spionieren. Aufgeflogen ist der Vorfall, als einem Schüler zu Hause "improper behavior" vorgeworfen und mit einem Bild der Webcam bewiesen wurde. Die heimlich installierte Sicherheitssoftware zum Finden gestohlener Geräte, die auch den Zugriff auf die Webcam erlaubt, wurde missbraucht, um die Schüler zu Hause zu beobachten. Außerdem wurden Chat-Protokolle und besuchte Webseiten ausgespäht.

Während beim WebcamGate ein Programm aus der Grauzone missbraucht wurde, wurde im Juli 2010 über tatsächliche Schadsoftware berichtet. Ein Mann aus dem Raum Aachen hat einen als Bildschirmschoner getarnten Trojaner an Schülerinnen verschickt, über den er Zugriff auf die Webcams der infizierten Rechner bekam, um die Mädchen zu beobachten. Im November gab es einen ähnlichen Fall in den USA, diesmal wurde der Trojaner als angebliches Video verteilt.

Einige Spyware-Exemplare

Eine sehr bekannte Spyware ist der Trojaner Zbot/Zeus, der es auf Zugangsdaten fürs Onlinebanking abgesehen hat. Ihm werde ich eine spätere Folge widmen, so dass er hier nur der Vollständigkeit halber erwähnt wird.

Sowohl für das iPhone (Theorie und Praxis) als auch für Windows Mobile und Android gibt es Spyware, die u.a. auch die aktuelle Position des Smartphones ausspähen kann. Und sowohl in Apples App Store als auch in Googles Android Marketplace gibt es (zu) neugierige Programme.

Eine besondere Form der Spyware ist laut RANDY ABRAMS von ESET Adobe Flash: Flash-Cookies erlauben das Speichern von Informationen und das Erkennen des Benutzers an den Cookie-Einstellungen des Webbrowsers vorbei, und die meisten Benutzer nutzen die unsicheren Default-Einstellungen für den Flash Player.

Im Juni 2010 berichtete Intego über eine Spyware für den Mac, die mit verschiedenen normalen Programmen und Bildschirmschonern mitinstalliert wird: OSX/OpinionSpy. Außer die Benutzer auszuspähen kann der Schädling weitere Schadsoftware nachladen, außerdem wird eine Backdoor geöffnet.

Im Juli 2010 warnte Dell vor infizierten Motherboards: Die Server Management Firmware enthielt eine Windows-Spyware aus der Spybot-Familie (s.u.). Ein in der Produktion benutzter Rechner war mit dem Wurm infiziert und hat dann die Firmware infiziert.

Im Oktober 2010 berichtete Trend Micro über eine neue Trojaner-Familie mit Spyware-Fähigkeiten: CARBERP. Der Schädling wird von anderer Schadsoftware nachgeladen oder über Drive-by-Infektionen eingeschleust und schreibt sich in Verzeichnisse, die nicht von der User Account Control (UAC) von Windows Vista und 7 erfasst werden. Er hängt sich in Netzwerks-APIs ein und überwacht das Surfverhalten des Benutzers, außerdem werden Anweisungen nachgeladen und gesammelte Daten verschickt.

So kommt die Spyware auf den Rechner

Typische Spyware verbreitet sich nicht selbst, sondern wird von anderen Programmen zusätzlich installiert. Das können entweder normale Programme wie z.B. Kazaa oder als nützliche Tools getarnte Trojanische Pferde sein. Aber auch die Installation im Rahmen einer Drive-by-Infektion oder durch andere Schadsoftware wie z.B. Viren oder Würmer ist möglich. Ein berühmt-berüchtigtes Beispiel für letzteres ist der Wurm Spybot, der in einigen Varianten Spyware enthält.

Ein weiterer Angriffspunkt sind die Webbrowser, insbesondere die Browser Helper Objects des Internet Explorer oder Toolbars, die Spyware-Komponenten enthalten oder installieren können.

Darüber hinaus gibt es noch die Spyware-Programme aus der Grauzone, die absichtlich installiert werden.

Gegenmaßnahmen

Zum Finden bzw. Erkennen von Spyware gibt es spezielle Anti-Spyware-Programme (von denen es natürlich ebenfalls Fake-Varianten gibt), und natürlich erkennen auch normale Virenscanner diese Schädlinge. Die Anti-Spyware-Programme sind teilweise in der Lage, die Spyware zu entfernen. Da einige Varianten sich sehr tief im System einnisten, ist das Entfernen nicht immer vollständig möglich, so dass zur Säuberung des Rechners eine Sicherung aller Daten und eine Neuinstallation des Systems notwendig ist.

Bisher ging es um den Einsatzzweck von Schadsoftware: Scareware erschreckt den Benutzer, Ransomware erpresst ihn und Spyware spioniert ihn aus. Ab der nächsten Folge geht es um die Verbreitung der Schadsoftware. Den Anfang machen Viren, die harmlose Dateien zur Verbreitung nutzen.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware - Der Spion in Ihrem Computer

Viren - Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer - Schadsoftware, die sich selbst verbreitet

Trojaner - Der Feind im harmlosen Programm

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Exploit-Kits - Die Grundlage für Drive-by-Infektionen

Rootkits - Schadsoftware im System

Remote Administration Toolkits - Fernwartung in der Grauzone

Botnets - Zombie-Plagen im Internet

Schadsoftware - Infektionen verhindern

Schadsoftware im Überblick