Sie spionieren uns aus, stehlen Geld, Fotos und Ideen. Und das alles ohne unser Wissen. Malware ist eine ernstzunehmende Gefahr für unser digitales Leben. Seit die ersten Computer auf dem Markt sind, bringen Kriminelle Malware in Umlauf. Das Wort "Malware" setzt sich aus den englischen Begriffen "malicious" (bösartig) und "software" zusammen - und steht damit für die Bedrohung aus dem Netz. Allein schon durch ihre kaum überschaubare Masse sorgen Schadprogramme für Verunsicherung und Chaos bei den Nutzern. Doch was genau ist Malware und wie funktioniert sie? In unserem Ratgeber erklären wir Ihnen, wie sich die verschiedenen Arten unterscheiden und wie gefährlich diese sind.
Die wichtigsten Kategorien kurz erklärt
Digitale Bedrohungen gibt es viele. Mittlerweile zählen wir fast 700 Millionen Schadprogramme. Und die sind längst nicht alle gleich. Sie lassen sich aber in bestimmte Kategorien einordnen, in denen die wichtigsten Funktionen von Schadprogrammen berücksichtigt sind. Diese Funktionen kann man am besten erklären, wenn man sich an den verschiedenen Phasen bei der Infektion von Rechnern orientiert:
- Rechner angreifen und kapern
- Malware nachladen, im System ablegen und ausführen Kontrolle erlangen und behalten
- Schädliche Aktionen ausführen
In den Anfangszeiten der Viren und Würmer wurden diese verschiedenen Funktionen in einer großen Datei vereint. Mittlerweile ist Malware so modular aufgebaut, dass die einzelnen Funktionen auch in einzelne Dateien gekapselt sind.
Der 1. Schritt: Der Rechner wird gekapert
Damit Kriminelle auf einem Rechner ein Schadprogramm ausführen können, müssen sie sich zunächst Zugang dazu verschaffen. Das ist prinzipiell auf zwei Wegen möglich: Der eine ist rein technischer Natur und der andere erfordert die Mithilfe des Nutzers. In beiden Fällen bekommt der Computerbesitzer jedoch nicht mit, dass Kriminelle im Begriff sind, seinen Rechner zu kapern und er diese womöglich dabei unterstützt.
a. Vom Nutzer unbemerkt und ohne dessen Mitwirkung
b. Der Nutzer ist unwissentlich beteiligt
a. Software Engineering - Vom Nutzer unbemerkt
Es ist nicht viel nötig, um sich einen Virus, Wurm oder Trojaner einzufangen. Oft ist dafür noch nicht einmal die Mithilfe des Nutzers nötig. Mitunter reicht es aus, dass der Rechner mit dem Internet oder einem lokalen Netzwerk verbunden ist. Es kann aber auch beim täglichen Umgang mit dem Rechner passieren, wenn man einen Datenträger einlegt, eine Webseite besucht oder ein Programm startet.
Würmer zählen neben Viren zu den ältesten Formen der Malware. Ihr wichtigstes Merkmal ist, dass sie sich selbst weiterverbreiten. Dazu brauchen sie im Gegensatz zu Viren kein Trägermedium wie etwa eine Datei oder einen Bootsektor. Die verschiedenen Arten von Würmern werden anhand des zur Verbreitung verwendeten Kommunikationskanals kategorisiert. Einige Kanäle sind für die Kommunikation von Rechnern untereinander konzipiert. Ein solcher Wurm kann sich ohne Einfluss von Computernutzern sehr rasch verbreiten. In vielen Fällen nutzen Würmer aber Kommunikationswege, die auch von Menschen genutzt werden. Dabei ist der Schädling häufig auf die Mithilfe des Nutzers angewiesen, wie im Fall der Würmer. Es gibt zwar einzelne Exemplare, die Sicherheitslücken im Mailprogramm ausnutzen, aber in der Regel wird der Wurm erst aktiv, wenn jemand den Dateianhang öffnet oder eine enthaltene URL anklickt.
Mit Melissa 1999 und dem Loveletter im Jahr 2000 begann die Ära der Würmer, die 2004 mit Sasser, NetSky, Bagle und MyDoom ihren Höhepunkt erreichte. Würmer gibt es aber schon seit den frühen Tagen des Internets. Robert Morris schrieb 1988 ein Programm, das eigentlich Rechner zählen sollte. Durch einen Programmierfehler verbreitete es sich ungebremst und legte zehn Prozent des damaligen Internets lahm. Der Morris-Wurm ist der erste bekannt gewordene Internet-Wurm.
Internet-Würmer durchsuchen das Internet permanent nach Rechnern, die sie automatisch angreifen und übernehmen können. Wenn Sie einen Computer oder ein anderes vernetztes System (z.B. WebCams, Router, DVD-Recorder) mit passenden Sicherheitslücken finden, schlagen sie augenblicklich zu. Sie agieren dabei völlig eigenständig. Ein Angriff dauert üblicherweise nur Bruchteile einer Sekunde. Dadurch können sie sich sehr rasch weltweit verbreiten.
Wie kann die Infektion ablaufen? Welche Voraussetzungen sind notwendig?
Sobald ein Rechner direkt aus dem Internet erreichbar ist, kann er angegriffen werden. In manchen Fällen dauert es nur wenige Sekunden bis ein Angriff erfolgt. Üblicherweise wird mit speziellen Datenpaketen versucht eine Sicherheitslücke in Software oder Diensten auszunutzen, die von außen erreichbar sind. Mehr dazu im Abschnitt unten über Exploits.
Ein Router kann schützen, weil er dafür sorgt, dass nur er im Internet sichtbar ist und er nur Datenpakete weiterleitet, die auch von einem seiner Rechner "bestellt" wurden. Ein Router ist aber nicht als Schutz konzipiert und lässt sich leicht umgehen. Effektiver schützen Firewalls.
Wie schadet der Internetwurm?
Wenn der Angriff eines Internet-Wurms erfolgreich abgeschlossen wird, kann er wie weiter unten beschrieben den Rechner vollständig übernehmen und beliebige Programmen mit beliebigen Schadfunktionen aufspielen (mehr dazu gleich). Bei einigen Würmern (z.B. Lovesan/Blaster, Sasser, SQL-Slammer) wurde der eigentliche Schaden dadurch angerichtet, dass der angegriffene Rechner neu booten musste. Das Herunterfahren der Systeme in Banken, Krankenhäusern, Fluglinien, Telefonieanlagen etc. verursachte Millionenschäden.
Wie läuft das technisch ab?
Die Basis für die Angriffe sind IP-Adressen. Im einfachsten Fall (IPv4) bestehen sie aus 4 Nummern jeweils zwischen 0 und 255. Internet-Würmer erzeugen mehr oder weniger zufällig solche IP-Adressen und probieren aus, ob die dazugehörigen Rechner für die verwendeten Exploits anfällig sind. Da hinter IP-Adressen eine gewisse Logik steckt, kann man darüber steuern wo der Wurm aktiv sein soll oder auch wo er nicht aktiv sein soll. Man kann den Bereich auf Länder, Regionen oder auf einzelne Firmen begrenzen. Man kann auch einzelne Regionen sperren (z.B. weil die dort ansässigen AV-Software-Anbieter die Aktivitäten bemerken könnten). Wenn ein Angriff gut vorbereitet ist, können im Vorfeld mit speziellen Suchmaschinen Listen den IP-Adressen verwundbarer Rechner (oder WebCams) erzeugt werden. Angriffe auf Millionen Rechner weltweit können so in wenigen Minuten abgeschlossen sein.
Netzwerk-Wurm
Ähnlich wie Interner-Würmer suchen Netzwerk-Würmer nach angreifbaren Rechnern, allerdings im lokalen Netzwerk oder im Intranet. Sie nutzten zusätzlich Verbreitungswege, die für lokale Netzwerke typisch sind wie z.B. Dateiserver, Mail- und Webserver oder andere Kommunikationsprotokolle - auch drahtlose wie z.B. WLAN-Würmer oder Bluetooth-Würmer.
Autostart
Der Infektionsweg über den Autostart oder AutoRun missbraucht die automatischen Startmechanismen des Betriebssystems, um Schadprogramme auf dem Rechner auszuführen. Ein Spezialfall davon sind Bootsektor-Viren. Mehr dazu in der Infobox "Viren".
Wie läuft die Infektion ab?
Um die Nutzung von USB-Sticks, CDs und DVDs bequemer zu machen, werden automatische bestimmte Routinen aufgerufen. Was genau passieren soll, kann auf dem Datenträger hinterlegt werden. Angreifer können so schädliche Aktionen starten. Sobald ein verseuchter Datenträger an den Rechner angeschlossen wird, beginnt die Infektion. Nur wer die Autostart-Funktionen im Betriebssystem konsequent ausschaltet ist vor solchen Angriffen sicher.
Wie läuft das technisch ab?
Wenn ein Datenträger an den Rechner angeschlossen wird, sucht das Betriebssystem nach einer Datei namens "autorun.inf". In ihr können Befehle hinterlegt werden, die normalerweise ohne weitere Rückfrage dazu führen, dass eine Installations-CD mit der Installation der Software beginnt oder eine Video-DVD das passende Startmenu anzeigt. Malware-Autoren nutzen diese Möglichkeiten, um automatisch den mitgebrachten Schadcode auf dem Rechner zu starten.
Ähnlich wie Interner-Würmer suchen Netzwerk-Würmer nach angreifbaren Rechnern, allerdings im lokalen Netzwerk oder im Intranet. Sie nutzten zusätzlich Verbreitungswege, die für lokale Netzwerke typisch sind wie z.B. Dateiserver, Mail- und Webserver oder andere Kommunikationsprotokolle - auch drahtlose wie z.B. WLAN-Würmer oder Bluetooth-Würmer.
Der Infektionsweg über den Autostart oder AutoRun missbraucht die automatischen Startmechanismen des Betriebssystems, um Schadprogramme auf dem Rechner auszuführen. Ein Spezialfall davon sind Bootsektor-Viren. Mehr dazu in der Infobox "Viren".
Wie läuft die Infektion ab?
Um die Nutzung von USB-Sticks, CDs und DVDs bequemer zu machen, werden automatische bestimmte Routinen aufgerufen. Was genau passieren soll, kann auf dem Datenträger hinterlegt werden. Angreifer können so schädliche Aktionen starten. Sobald ein verseuchter Datenträger an den Rechner angeschlossen wird, beginnt die Infektion. Nur wer die Autostart-Funktionen im Betriebssystem konsequent ausschaltet ist vor solchen Angriffen sicher.
Wie läuft das technisch ab?
Wenn ein Datenträger an den Rechner angeschlossen wird, sucht das Betriebssystem nach einer Datei namens "autorun.inf". In ihr können Befehle hinterlegt werden, die normalerweise ohne weitere Rückfrage dazu führen, dass eine Installations-CD mit der Installation der Software beginnt oder eine Video-DVD das passende Startmenu anzeigt. Malware-Autoren nutzen diese Möglichkeiten, um automatisch den mitgebrachten Schadcode auf dem Rechner zu start
Ein Exploit (von engl. to exploit = ausnutzen) macht sich eine oder mehrere Sicherheitslücken in der bereits auf dem Computer befindlichen Software zu Nutze. Ein Exploit ist das Kernstück eines erfolgreichen vollautomatischen Angriffs.
Wie kann ein Exploit ablaufen?
Ein Exploit basiert auf einer Sicherheitslücke in Rechnerkomponenten, im Betriebsystem oder in der verwendeten Software. Die Abläufe in Rechnern und Netzwerken sind so komplex, dass sich Fehler auch bei größter Sorgfalt kaum ausschließen lassen. Ein Exploit nutzt einen oder mehrere solcher Sicherheitslücken aus, um den eigenen schädlichen Code auszuführen. Auf diese Weise bringt der Angreifer den Rechner unter seine Kontrolle. In den meisten Fällen bekommt der Nutzer von den Aktivitäten eines Exploits nichts mit. Einige Exploits brauchen viel Rechenleistung (dann wird der Rechner sehr langsam) oder viel Arbeitsspeicher (dann friert das aktuelle Fenster ein).
Wie bei den Internet-Würmern kann ein Exploit-Angriff vollautomatisch ablaufen. Man kann aber auch in der üblichen Nutzung des Rechners davon betroffen werden. Etwa wenn ein USB-Stick angeschlossen wird oder beim Betrachten eines Verzeichnisses. Am häufigsten trifft man beim Surfen im Internet auf Exploits. Allein das Aufrufen einer Seite reicht dort aus, um den Computer oder das Smartphone zu infizieren. Dabei kann es sein, dass der Webserver von den Angreifern kontrolliert wird (weil sie den Server selbst betreiben oder den Zugangscode gestohlen haben). Einfach zu bedienende Tools - sog. Exploit Kits - versetzen selbst technisch wenig versierte Angreifer in die Lage sehr komplexe Exploits zu verwenden. Es kann aber auch sein, dass die schädlichen Komponenten über Werbung in die Webseite gelangen. Der Angriff erfolgt unbemerkt im Hintergrund, quasi im Vorübergehen. Daher werden solche Angriffe als "Drive-by-Infektion" bezeichnet.
Exploits kann man nicht nur in vollautomatischen Angriffen einsetzen. Man kann sie auch mit Social Engineering Tricks kombinieren. Man könnte ein Opfer auf eine präparierte Webseite locken. Oder man kann eine E-Mail versenden, die ein manipuliertes Archiv, Dokument, Bild, Video oder Musik etc. enthält. Beim Öffnen oder Betrachten des Anhangs wird der Rechner dann automatisch gekapert.
Wie kann man sich schützen?
Die meisten aktiv genutzten Exploits basieren auf Sicherheitslücken, die vom Hersteller der Software schon lange behoben sind. Der beste Schutz gegen Exploits besteht darin, die verwendete Software stets auf dem neuesten Stand zu halten. Wer sein Betriebssystem, seinen Browser und dessen Plugins wie Adobe Flash Player, PDF Reader oder Java nicht aktualisiert, riskiert, dass sich Kriminelle bekannte Sicherheitslücken zu Nutze machen, um sich durch diese Zutritt zum Rechner zu verschaffen. Auch Office-Produkte und Multimedia-Player sollten regelmäßig aktualisiert werden.
Wie läuft das technisch ab?
Ein Exploit erlaubt es Unbefugten beliebigen Code auf dem Rechner des Opfers auszuführen. Dazu muss der Ablauf des angegriffenen Programms so geändert werden, dass der Angreifer seinen Code ausführen kann. Es gibt viele Wege, wie das geschehen kann und mittlerweile gibt es ebenso viele Verfahren, die einfache Exploits verhindern. Auf diese hochkomplexe Materie gehen wir hier nicht näher ein. Der Umfang des Schadcodes in einem Exploit ist normalerweise sehr knapp bemessen. Daher werden Programme des Betriebssystems oder Codeschnipsel der attackierten Software für die nächsten Schritte genutzt. Um z.B. weitere Dateien aus dem Internet nachzuladen, wird gerne die Funktion "URLDownloadToFile" genutzt. Um deren Position im Arbeitsspeicher zu ermitteln, muss der Angreifer in einer Tabelle (Export Address Table) nachschlagen. Der Aufruf mit den passenden Parametern und das Ausführen der heruntergeladenen Daten braucht nur ein paar Byte. Was der nachgeladene Code bewirkt, wird vom Angreifer bestimmt.
In diesem Abschnitt haben wir vorwiegend technisch durchgeführte Angriffe kennengelernt. Internet-Würmer agieren autonom und greifen weltweit Rechner in Windeseile Rechner an und übernehmen sie. Ähnlich agieren Netzwerk-Würmer allerdings im lokalen Netzwerk. Ein Exploit sorgt letztlich für den eigentlichen Angriff. Schadsoftware kann auch per Autostart im System aktiviert werden, wenn ein Datenträger angeschlossen wird. Das passiert bei der täglichen Nutzung oder kann Resultat einer Täuschung sein. Bei einigen Kategorien ist die Unterscheidung in automatische Angriffe und Angriffe mit Nutzerbeteiligung nicht immer klar getrennt. Würmer werden danach klassifiziert, welchen Kommunikationskanal sie nutzen. Bislang haben wir solche Würmer betrachtet, wo Maschinen miteinander kommunizieren. Nun werden wir sehen, dass Würmer auch Kommunikation zwischen Menschen für ihre Verbreitung nutzen.
b. Social Engineering - Der Nutzer ist beteiligt
Mit raffinierten Tricks verleiten Kriminelle ihre Opfer immer wieder dazu, dass diese ihnen die Tür zu ihrem System öffnen. So unterstützen die Nutzer die Angreifer unwissentlich dabei, die Kontrolle über ihren Rechner zu erlangen. Experten unterscheiden Würmer danach, welche Art der Mithilfe vom Nutzer gefordert ist Wenn ein rein technologischer Angriff nicht möglich oder zu aufwendig ist, wird der Nutzer eingebunden. Das Spektrum reicht von kleinen Hilfestellungen (Besuch einer Webseite, Öffnen eines Dokuments) bis hin zur Ausführung des Schadcodes. Die gängigsten Wege sind E-Mail, Instant Message oder Tauschbörsen.
E-Mail-Wurm
Ein E-Mail-Wurm nutzt - wie der Name schon sagt - E-Mails zu seiner Verbreitung. Frühe Versionen haben die E-Mail-Adressen aus den Kontakten im lokalen Adressbuch ausgelesen. Die Verbreitung war entsprechend ungesteuert. Neuere Versionen bringen daher ihre Adressliste mit oder laden sie aus dem Internet nach. So kann der Angreifer genau steuern, wer welche E-Mails bekommt und vor allem wie viele es sind. Die massiven E-Mail-Wellen der frühen Tage, wie sie etwa von Loveletter oder Melissa verursacht wurden, sollen vermieden werden. Es gilt keine Aufmerksamkeit zu erregen. Bei der Verbreitung per E-Mail kann der Wurm vorhandene E-Mail Programme (z. B. Outlook, Mail) verwenden. Manche Würmer bringen aber auch eine eigene Lösung wie eine eigene SMTP-Mail-Engine mit, über die sie sich verschicken ohne auf das vorhandene Mail-Programm zurückzugreifen. Die dadurch verursachte Rechnerbelastung ist so gering, dass sie vom Nutzer nur selten bemerkt wird.
Der einfachste Weg zur Weiterverbreitung des Wurms ist ein Dateianhang, der vom Nutzer geöffnet und gestartet werden muss. Die Texte der E-Mails enthalten entsprechende Täuschungsmanöver. Gerne genommen sind vermeintliche Rechnungen, Mahnungen, Gewinne, Warnungen uvm. Da Dateianhänge leicht geprüft werden können, werden Nutzer auf Webseiten gelockt. Dort kann ein Download hinterlegt sein und entweder per Klick oder automatisch starten. Im hinterhältigsten Fall ist die Webseite kompromittiert und versucht den Rechner per Drive-By-Infektion zu übernehmen.
IM-Wurm
Instant-Messenger-Würmer verbreiten sich über Chat-Apps wie z.B. ursprünglich ICQ oder IRC (IRC-Wurm) oder aktueller Jabber, WhatsApp und Skype. Dort verbreitet sich der Wurm entweder über einen Link auf eine Website (mit Download oder Drive-By-Angriff) oder verschickt seinen Code direkt per Datentransfer. Ausgereifte Instant Messenger-Würmer können sogar mit ihren Opfern chatten bevor sie den schädlichen Link "erwähnen" bzw. die Datei senden. Zur Weiterbreitung sind die Kontaktlisten des Opfers ein beliebtes Mittel.
SMS-Wurm/ MMS-Wurm
Auch vor Smartphones machen Würmern nicht halt. Sie nutzen den Versand von SMS-Nachrichten, um auf Download- bzw. Shopseiten mit begehrten Apps zu verweisen. MMS erlaubt sogar die direkte Übertragung, wird aber sehr selten genutzt. Nach der Installation der schönen neuen App sendet sie ähnliche SMS-Nachrichten an alle Kontakte des Opfers.
P2P-Wurm
P2P steht für Peer-to-Peer und damit für ein Prinzip zum Teilen und Austauschen von Daten. P2P-Würmer kopieren sich in die Freigaben von Peer-to-Peer Tauschbörsen wie Emule oder Kazaa. Dort warten sie mit verlockenden Dateinamen von aktueller Software, neuen Filmen oder prominenten Personen darauf, dass Opfer sie öffnen. Nach dem Start kopiert sich der Wurm in die eigenen Freigaben und wartet bis jemand die Dateien herunterlädt und öffnet.
Netzwerk-Wurm (Nachtrag)
Auch Netzwerk-Würmer verfolgen eine ähnliche Strateige wie P2P-Würmer. Sie legen Dateien mit inressant klingenden Namen in lokalen Freigaben ab und warten bis ein neugieriger Nutzer sie sieht und öffnet.
Zusammenfassung
Die Infektion des Rechners ist die erste Hürde, die der Angreifer nehmen muss. Würmer nehmen diese Hürde entweder vollautomatisch oder setzen auf die Mitarbeit des Nutzers. Dabei nutzen Würmer die Wege, auf denen sich Rechner und Mensch austauschen. Mit dem Wurm bringt der Angreifer den Rechner unter seine Kontrolle. Sobald er das geschafft hat, kann er seinen eigentlichen Plan verfolgen und weitere schädliche Funktionen ausführen.
Der 2. Schritt: Die Malware wird ausgeführt
Wenn ein Angreifer die erste Hürde genommen hat, können die eigentlich schädlichen Aktionen starten. Hier haben sich im Laufe der Zeit die Schwerpunkte etwas verschoben. In den Zeiten der Viren und Würmer war es am wichtigsten, dass sich die Schädlinge weiter verbreiten. Im Laufe der Zeit wurde Malware immer modularer. Einzelne Schadfunktion wurden auf separates Programme verteilt. Würmer haben wir schon kennengelernt, schauen wir also auf die andere Malware-Kategorie die sich selbst verbreitet: Viren.
Selbstreplikation per Infektion von Dateien oder Bootsektor
Die wichtigste Aufgabe einse Virus ist, sich zu verbreiten. Computer-Viren brauchen dazu wie ihre echten Gegenstücke einen Träger oder Wirt. Im Falle von Computerviren sind das Dateien oder im Falle von Bootsektorviren die Bereiche die bei der Nutzung von Disketten, Festplatten und anderen Datenträgern automatisch ausgeführt werden. Dabei wird nicht die Autorun-Funktion des Betriebssystems genutzt, sondern die erste Sektion einer Festplatte (Master Boot Record, MBR) oder Diskette (Bootsektor) oder eines Virtuellen Laufwerks (Virtual Boot Record). Dort ist Programmcode hinterlegt, der die Nutzung des Datenträgers ermöglicht.
Der Virus ist die älteste und wohl bekannteste Kategorie von Schadprogrammen. Ursprünglich bezog sich der Begriff Virus auf dessen Funktion als Dateiinfektor. Mittlerweile steht er aber generell für schädliche Software. Anfangs waren von Viren nur bestimmte, ausführbare Systemdateien betroffen. Im Laufe der Zeit wuchs die Liste der anfälligen, ausführbaren Dateitypen immer weiter an. Als dann mit Windows 95 die Office-Produkte mit Skript-Funktionen versehen wurden, konnten auch bis dahin als harmlos geltende Dokumente Träger von Makroviren werden. Mittlerweile gibt es kaum noch einen Dateityp, der keine Gefahren birgt. Die klassischen Viren als Dateiinfektoren und Bootsektorviren sind nicht verschwunden. Auch heute noch gibt es aktive Dateiinfektoren, die befallene Computer in ein Botnetz integrieren (z.B. Virut). Da heute nur noch selten Datenträger zwischen Rechnern ausgetauscht werden, liegt der Anteil von Schadprogrammen die sich z.B. per USB-Stick verbreiten weit hinter Internet-basierten Angriffen. Im Umfeld von gezielten Angriffen auf gut gesicherte Netzwerke spielen sie eine wichtige Rolle.