IT Aktuell Bild1

Starke Softwarefeatures wie Antivirus, Antisypyware und Anti-Phishing sorgen für den besten Schutz gegen Viren & Co.

Schadprogramme sind Programme, die ohne Einwilligung und Wissen des Benutzers auf dessen Rechner schädliche Funktionen ausführen. Meist sind Schadprogramme dabei getarnt und werden heimlich auf einem Rechner ausgeführt. Schadprogramme werden für unterschiedlichste Ziele eingesetzt. Unter anderem werden sie zur Fernsteuerung von Systemen, zum Ausforschen von Passwörtern, zum Sammeln von Daten, aber auch zum Aufzeichnen von Tastatureingaben verwendet.

Im folgenden wird der Begriff Viren-Schutzprogramm verwendet, gemeint ist jedoch ein Programm zum Auffinden jeglicher Schadsoftware. Die nachfolgende Verwendung des Begriffs Schadprogramm schließt die Computer-Viren mit ein.

Schadprogramme können eine Vielzahl unterschiedlicher Schadfunktionen enthalten, die bei einem Angriff auch kombiniert werden können. Anhand der folgenden Merkmale lassen sich Schadprogramme klassifizieren:

Viren

Ein Virus (auch Computer-Virus) ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Solche Funktionen von Programmen können sowohl unbeabsichtigt als auch bewusst gesteuert auf­treten. Als Schaden ist hier insbesondere der Verlust oder die Verfälschung von Daten oder Programmen von größter Tragweite.

Die Eigenschaft der Reproduktion führte in Analogie zum biologischen Vorbild zu der Bezeichnung "Virus". Die Möglichkeiten der Manipulation sind sehr vielfältig. Besonders häufig ist das Überschreiben von Daten oder das Anlagern des Virus-Codes an andere Programme und Bereiche des Betriebssystems. Computer-Viren können im Prinzip bei allen Betriebssystemen auftreten. Aufgrund der starken Verbreitung liegt die größte Bedrohung jedoch im Bereich der Personalcomputer (PC) mit x86-Architektur.

Es werden mehrere Grundtypen von Computer-Viren unterschieden, wobei diese auch in Misch- und Sonderformen auftreten können:

Boot-Viren

Boot-Viren befinden sich im Bereich des Boot-Sektors oder Master Boot Records eines Speichermediums, beispielsweise einer Festplatte. Beim Bootvorgang werden unter anderem Programmteile ausgeführt, die zwar eigenständig sind, sich aber in sonst nicht zugänglichen und im Inhaltsverzeichnis des Speichermediums nicht sichtbaren Sektoren befinden. Boot-Viren überschreiben diese mit ihrem Programm. Der originale Inhalt wird an eine andere Stelle auf dem Datenträger verlagert. Ein Boot-Virus wird aktiv, noch bevor das Betriebssystem komplett geladen ist.

Datei-Viren

Die meisten Datei-Viren (auch File-Viren genannt) lagern sich an Programmdateien an. Datei-Viren werden beim Aufruf einer infizierten Datei gestartet und verbreiten sich dadurch. Anschließend wird das Originalprogramm gestartet, so das es für den Benutzer so aussieht, als würde das Programm wie gewohnt starten. Es sind jedoch auch primitivere, überschreibende Viren bekannt, die sich an den Anfang des Wirtsprogramms setzen, so dass dieses nicht mehr fehlerfrei läuft.

Datei-Viren können unterschiedlichste Schadfunktionen beinhalten, unter anderem können sie z. B. Dateien löschen oder die Festplatte formatieren. Statt sich an vorhandene Dateien anzulagern, kopieren sich mittlerweile viele Datei-Viren als eigene Datei in das Betriebssystem. Durch Manipulation an den Einstellungen des Betriebssystems (z. B. über Autostart-Einträge) stellen solche Datei-Viren sicher, dass sie zukünftig ausgeführt werden.

Makro-Viren

Auch Makro-Viren sind in Dateien enthalten. Makro-Viren infizieren jedoch nicht die Anwendungsprogramme selbst, sondern die damit erzeugten Dateien. Betroffen sind alle Anwendungsprogramme, bei denen in die erzeugten Dateien nicht nur einzelne Steuerzeichen, sondern auch Programme eingebettet werden können (z. B. Microsoft Office, StarOffice/OpenOffice). Einige Datenformate können auch Objekte enthalten, die ihrerseits Programme enthalten können. Durch solche geschachtelten Einbettungen können ebenfalls Viren in Dateien gelangen.

Makros sind Programme, mit deren Hilfe das Anwenderprogramm um zusätzliche Funktionen erweitert werden kann, die auf den Anwendungsfall zugeschnitten sind (z. B. Erzeugen einer Reinschrift aus dem Entwurf eines Textes). Makro-Viren werden beim Arbeiten mit den Dateien gestartet. Häufig verbreiten sich Dateien mit Makro-Viren über E-Mail, das Internet, aber auch über CD s oder USB-Sticks.

Skript-Viren

Ein Skript ist ein Programm, das von einem Interpreter ausgeführt wird. Häufig werden solche Skripte auf Web-Servern oder eingebettet in Web-Seiten (z. B. JavaScript) verwendet. Diese Skripte werden meist unbemerkt ausgeführt und können unter Umständen von Angreifern missbraucht werden, um Schadsoftware auf das IT-System zu laden.

Bot-Viren

Bei einem Bot-Virus handelt es sich um ein Programm, das meist heimlich, zum Beispiel beim Besuch einer infizierten Web-Seite, installiert wird. Ein Bot-Virus kann beispielsweise heimlich E-Mails versenden, Daten ausspionieren oder aber mit anderen Bots im Netz kommunizieren, um DDoS -Angriffe (Distributed Denial-of-Service) durchzuführen. Viele Bots verhalten sich zunächst ziemlich unauffällig, so dass die Benutzer nichts Ungewöhnliches bemerken. Doch Angreifer können gezielt Bots "aktivieren", indem sie Kommandos an den jeweils befallenen PC versenden. Der Name "Bot" leitet sich vom Begriff "Robot" ab.

Stealth-Viren

Stealth-Viren werden auch als Tarnkappen-Viren bezeichnet. Stealth-Viren versuchen, sich vor einer möglichen Entdeckung zu schützen, indem sie z. B. Viren-Schutzprogramme erkennen und beim Scannen der infizierten Datei ihren Code aus der Datei entfernen, um diesen erst nach dem Scan wieder hinzuzufügen.

Polymorphe Viren

Polymorphe Viren gehören zu den gefährlichsten Arten von Viren. Sie ändern bei jeder neuen Infektion ihr Erscheinungsbild durch Verschlüsselung oder Permutation und sind dadurch für Virenscanner schwer zu erkennen. Üblicherweise verschlüsseln Polymorphe Viren ihren Schadenscode bei jeder Infektion neu. Auch der Kodierungsschlüssel wird meist bei jeder Infektion neu erstellt, wobei die Routine, die die Schlüssel neu erstellt, auch selbst im verschlüsselten Code des Virus abgelegt ist.

Retro-Viren

Um sich selbst vor einer Erkennung durch Viren-Schutzprogramme oder Firewalls zu schützen, versuchen Retro-Viren, diese zu deaktivieren oder zu manipulieren. Durch die Deaktivierung können z. B. andere Schadprogramme unbemerkt nachgeladen werden.

Würmer

Würmer sind selbstständige und selbstreproduzierende Programme, die sich in einem System (vor allem in Netzen) ausbreiten. Würmer benötigen im Gegensatz zu Viren keinen Wirt. In der Regel stehlen Würmer Rechenzeit oder Übertragungskapazität. Dadurch können sie innerhalb kürzester Zeit viele Computer beeinträchtigen und einen großen wirtschaftlichen bzw. finanziellen Schaden verursachen.

Trojanische Pferde

Ein Trojanisches Pferd (oft auch verkürzt als "Trojaner" bezeichnet) ist ein Programm mit einer Schadfunktion, das in ein anderes Programm verdeckt eingebettet ist. Trojanische Pferde werden verbreitet, indem sie in möglichst "attraktive" Wirtsprogramme integriert werden, die dann beispielsweise zum Download angeboten oder als Anhang per E-Mail verschickt werden. Trojanische Pferde können nicht nur unmittelbare Schäden verursachen, sondern auch Informationen über einzelne Rechner oder über das lokale Netz ausspähen.

Rootkits

Unter Unix bezeichnet man mit "root" den Administrator, der weitgehende Zugangs- und Zugriffsrechte hat. Ein Rootkit ist eine Sammlung von Werkzeugen, die dazu verwendet werden, ohne Wissen des Benutzers möglichst uneingeschränkten Zugriff auf das System zu erhalten. Auch wenn der Begriff "Rootkit" in der Unix-Welt entstanden ist, gibt es heutzutage eine Vielzahl von Windows-Rootkits. Sie verändern zum Beispiel Systemdateien oder ermöglichen es einem Angreifer, die Kontrolle über das infizierte System zu erlangen. Anschließend kann der Angreifer beispielsweise versuchen, weitere Schadprogramme über das infizierte System zu versenden.

Backdoor

Eine Backdoor ist eine "Hintertür", die es einem Angreifer ermöglicht, Zugang zu einem Computer oder zu Funktionen von Programmen zu erhalten. Backdoors können unter anderem im Betriebssystem oder in Anwendungsprogrammen installiert werden. Meist wird eine Backdoor dazu verwendet, um weitere Schadprogramme, wie zum Beispiel ein Trojanisches Pferd, auf einem Computer zu hinterlassen.

Spyware

Als Spyware werden Programme bezeichnet, die heimlich, also ohne darauf hinzuweisen, Informationen über einen Benutzer bzw. die Nutzung eines Rechners sammeln und an Unberechtigte weiterleiten. Spyware gilt häufig als lästig, aber nicht als so gefährlich wie Viren, Würmer oder Trojanische Pferde. Durch Spyware können aber durchaus Sicherheitsprobleme entstehen, was sich beispielsweise in der unbemerkten Weitergabe von persönlichen Daten, aber auch durch die damit verbundenen unerlaubten Eingriffe in das IT-System zeigt. Unter anderem kann die Systemkonfiguration, z. B. in der Windows Registry, geändert werden, oder es kann ausführbarer Code eingespielt werden, beispielsweise DLL s, ActiveX- oder Java-Objekte. Spyware gelangt in vielen Fällen durch unberechtigtes Herunterladen von Software, Updates oder sonstigen Dateien (Musik oder Dokumente aus zweifelhaften Quellen) aus dem Internet auf das IT-System.

In Spyware können auch Programme zum Mitschneiden von Tastatureingaben, sogenannte Keylogger, integriert sein. Hierbei werden alle Tastatureingaben aufgezeichnet und möglichst unbemerkt an den Angreifer übermittelt. Dieser entnimmt dann aus den mitgeschnittenen Informationen die für ihn wichtigen Daten, wie z. B. Anmelde-Informationen oder Kreditkartennummern.

Dialer

Kostenpflichtige Internet-Angebote wurden in der Vergangenheit häufig über die Telefonrechnung abgerechnet, indem die Benutzer über spezielle Einwahl-Programme auf kostenpflichtige Telefonnummern umgelenkt wurden. In Deutschland waren dies beispielsweise Nummern mit der Vorwahl 0190 oder 0900.

Die dafür benutzten Dialer sind Programme, die auf dem Rechner einen neuen Internetzugang einrichten. Nach dem Download und der Installation auf dem PC wählt sich der Dialer ins Internet ein. Eine zu dieser Zeit bereits bestehende Internetverbindung wird in der Regel zuvor getrennt. (Dies funktioniert allerdings nur über Wählzugänge, nicht jedoch über DSL oder ähnliche Techniken.) Die kostenpflichtigen Inhalte können dann über die neue Verbindung abgerufen werden. Dabei ist die vom Dialer benutzte Einwahlnummer maßgeblich für die Höhe der anfallenden Kosten. Sowohl pro Einwahl als auch pro Zeiteinheit können hohe Gebühren anfallen.

Durch die Verbreitung von DSL haben Dialer stark an Bedeutung verloren.

Scareware

Scareware setzt sich aus den englischen Wörtern "Scare" (deutsch: Schrecken) und "Software" zusammen. Scareware dient in erster Linie dazu, Benutzer zu verunsichern oder ihnen Angst zu machen. Dem Benutzer wird zum Beispiel beim Besuch einer Web-Seite eine Warnmeldung angezeigt, dass sein PC von einem Virus befallen ist. Gleichzeitig wird ihm zur Virusbeseitigung ein kostenloses Viren-Schutzprogramm angeboten. Dieses Programm beinhaltet dann das eigentliche Schadprogramm. Oder aber es werden dem Benutzer kostenpflichtige, meist funktionslose Programme zur Beseitigung des angeblich gefundenen Schadprogrammes angeboten.

Es ist zu beachten, dass die oben aufgeführten Merkmale von Schadprogrammen lediglich Beispiele sind, die in der Praxis häufig auftreten. Im konkreten Einzelfall kann ein Schadprogramm durchaus andere oder zusätzliche Funktionen enthalten.

In den letzten Jahren sind durch die komplexer werdenden Verbreitungsmechanismen aktueller Schadsoftware die Unterscheidungen zwischen Viren, Würmern und Trojanischen Pferden unscharf geworden. Bei einem Angriff kommen in der Regel verschiedene, modular aufgebaute Programme nacheinander oder zeitgleich zum Einsatz. Die Hersteller von Viren-Schutzprogrammen benutzen deshalb häufig den Sammelbegriff "Malware" (Malicious Software) oder ganz allgemein Schadsoftware oder Schadprogramme.

Quelle: BSI - Bundesamt für Informationssicherheit und Exakt - Die Story / MDR