Schadprogramm

Aus besserwiki.de

Malware (ein Portmanteau für bösartige Software) ist jede Software, die absichtlich entwickelt wurde, um einen Computer, einen Server, einen Client oder ein Computernetzwerk zu stören, private Informationen preiszugeben, unbefugten Zugriff auf Informationen oder Systeme zu erlangen, Benutzern den Zugang zu Informationen zu verwehren oder unwissentlich die Computersicherheit und die Privatsphäre des Benutzers zu beeinträchtigen. Im Gegensatz dazu wird Software, die aufgrund eines Mangels Schaden anrichtet, üblicherweise als Softwarefehler bezeichnet. Malware stellt für Privatpersonen und Unternehmen im Internet ein ernsthaftes Problem dar. Laut dem Internet Security Threat Report (ISTR) 2018 von Symantec ist die Zahl der Malware-Varianten im Jahr 2017 auf 669.947.865 gestiegen, das sind doppelt so viele Malware-Varianten wie im Jahr 2016. Cyberkriminalität, zu der neben Malware-Angriffen auch andere von Computern begangene Straftaten gehören, wird die Weltwirtschaft im Jahr 2021 voraussichtlich 6 Billionen Dollar kosten und jährlich um 15 % zunehmen.

Es gibt viele Arten von Malware, darunter Computerviren, Würmer, trojanische Pferde, Ransomware, Spyware, Adware, Rogue Software, Wiper und Scareware. Die Verteidigungsstrategien gegen Malware unterscheiden sich je nach Art der Malware, aber die meisten lassen sich durch die Installation von Antiviren-Software, Firewalls, die Anwendung regelmäßiger Patches zur Verringerung von Zero-Day-Angriffen, die Sicherung von Netzwerken gegen Eindringlinge, regelmäßige Backups und die Isolierung infizierter Systeme abwehren. Malware wird inzwischen so entwickelt, dass sie den Erkennungsalgorithmen von Antiviren-Software entgeht.

Schadprogramm-Statistik 2011. Den größten Teil machten damals Trojanische Pferde aus.

Als Schadprogramm, Schadsoftware oder zunehmend als Malware [ˈmalwɛːɐ̯] – englisch badware, evilware, junkware oder malware [ˈmælˌwɛə] (Kofferwort aus malicious ‚bösartig‘ und software) – bezeichnet man Computerprogramme, die entwickelt wurden, um, aus Sicht des Opfers, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Der Begriff des Virus ist häufig nicht klar abgegrenzt. So ist die Rede von Virenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist.

Von Malware abzugrenzen ist fehlerhafte Software, obwohl auch diese selbst Schaden anrichten kann oder durch Sicherheitslücken beziehungsweise mangelnde Informationssicherheit zum Angriff auf Computersysteme ausgenutzt werden kann.

Die Schadfunktionen sind gewöhnlich getarnt, oder die Software läuft gänzlich unbemerkt im Hintergrund (Typisierung siehe unten). Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder die technische Kompromittierung der Sicherheitssoftware und anderer Sicherheitseinrichtungen (wie z. B. Firewalls und Antivirenprogramme) eines Computers sein, aber auch das ungefragte Sammeln von Daten zu Marketing-Zwecken. Es ist bei mancher Malware auch üblich, dass eine ordnungsgemäße Deinstallation mit den generell gebräuchlichen Mitteln fehlschlägt, so dass zumindest Software-Fragmente im System verbleiben. Diese können möglicherweise auch nach der Deinstallation weiterhin unerwünschte Funktionen ausführen.

Die bisher bekannte Malware kann man grundsätzlich in drei verschiedene Klassen einteilen: Die Computerviren, die Computerwürmer und die Trojanischen Pferde.

  • Ein Computervirus ist per Definition ein Programmcode, der sich selbstständig oder automatisiert weiterverbreiten kann, indem er Dateien infiziert. Der Begriff „computer virus“ wurde im Jahr 1981 durch den Informatiker Leonard M. Adleman etabliert, der die Bezeichnung erstmals öffentlich verwendete. Vergleiche von Programmcodes mit biologischen Viren gab es aber schon in den Jahren zuvor. Das erste bekannte Computervirus soll den meisten Quellen nach Elk Cloner für den Apple II im Jahr 1982 gewesen sein.
  • Ein Computerwurm ist per Definition ein eigenständiges Computerprogramm oder Skript, das sich selbstständig oder automatisiert weiterverbreitet. Als Erfinder des theoretischen Konzepts der Selbstreplikation gilt John von Neumann im Jahr 1953. Die erste bekannte Schadsoftware überhaupt war der Computerwurm Creeper im Jahr 1971. Die Bezeichnung „computer worm“ geht auf den Endzeit-Roman Der Schockwellenreiter von John Brunner aus dem Jahr 1975 zurück. Ob Brunner den Begriff wirklich selbst erfunden hat, ist nicht bekannt. Er prägte ihn aber zumindest dauerhaft.
  • Ein Trojanisches Pferd ist per Definition ein eigenständiges Programm, das als Haupt- oder Nebenfunktion schädlichen Code enthält, sich aber nicht selbstständig oder automatisiert weiterverbreiten kann. Die Infektion erfolgt daher großteils durch Drive-by-Download oder durch Spam-Kampagnen. Daniel Edwards stellte 1972 das theoretisches Konzept solcher Malware als Bedrohung für die Rechnersicherheit auf und benannte sie erstmals als „trojan horse“. Das Spiel Pervading Animal aus dem Jahr 1975 wird als das erste bekannte Trojanische Pferd bezeichnet.

Geschichte

Die Idee eines sich selbst reproduzierenden Computerprogramms lässt sich bis zu den ersten Theorien über die Funktionsweise komplexer Automaten zurückverfolgen. John von Neumann zeigte, dass sich ein Programm theoretisch selbst reproduzieren kann. Dies stellte ein Plausibilitätsergebnis in der Theorie der Berechenbarkeit dar. Fred Cohen experimentierte mit Computerviren und bestätigte Neumanns Postulat und untersuchte weitere Eigenschaften von Malware wie Aufspürbarkeit und Selbstverschleierung durch rudimentäre Verschlüsselung. Seine Dissertation aus dem Jahr 1987 befasste sich mit dem Thema Computerviren. Die Kombination von kryptographischer Technologie als Teil der Nutzlast des Virus und deren Ausnutzung für Angriffszwecke wurde ab Mitte der 1990er Jahre initiiert und erforscht und umfasst erste Ideen für Ransomware und Ausweichmanöver.

Bevor der Internetzugang weit verbreitet war, verbreiteten sich Viren auf Personal Computern, indem sie ausführbare Programme oder Bootsektoren von Disketten infizierten. Indem er eine Kopie seiner selbst in die Maschinencode-Anweisungen dieser Programme oder Bootsektoren einfügt, sorgt ein Virus dafür, dass er jedes Mal ausgeführt wird, wenn das Programm ausgeführt oder die Diskette gebootet wird. Frühe Computerviren wurden für den Apple II und den Macintosh geschrieben, aber mit der Dominanz des IBM PC und des MS-DOS-Systems wurden sie immer weiter verbreitet. Der erste IBM-PC-Virus in "freier Wildbahn" war ein Bootsektor-Virus mit dem Namen (c)Brain, der 1986 von den Farooq Alvi-Brüdern in Pakistan entwickelt wurde. Malware-Vertreiber verleiten den Benutzer dazu, von einem infizierten Gerät oder Medium zu booten oder zu starten. So konnte ein Virus beispielsweise dafür sorgen, dass ein infizierter Computer jedem angeschlossenen USB-Stick automatisch ausführbaren Code hinzufügte. Jeder, der den Stick dann an einen anderen Computer anschließt, der auf Autorun von USB eingestellt ist, wird seinerseits infiziert und gibt die Infektion auf dieselbe Weise weiter.

Ältere E-Mail-Software öffnete automatisch HTML-E-Mails, die potenziell bösartigen JavaScript-Code enthielten. Benutzer können auch getarnte bösartige E-Mail-Anhänge ausführen. Im 2018 Data Breach Investigations Report von Verizon, der von CSO Online zitiert wird, heißt es, dass E-Mails die wichtigste Methode für die Verbreitung von Malware sind und 92 % der Malware weltweit ausmachen.

Die ersten Würmer, netzwerkbasierte infektiöse Programme, entstanden nicht auf Personal Computern, sondern auf Multitasking-Unix-Systemen. Der erste bekannte Wurm war der Internet Worm von 1988, der SunOS- und VAX BSD-Systeme infizierte. Im Gegensatz zu einem Virus fügte sich dieser Wurm nicht selbst in andere Programme ein. Stattdessen nutzte er Sicherheitslücken (Schwachstellen) in Netzwerkserverprogrammen aus und startete sich selbst als separaten Prozess. Dieses Verhalten wird auch von den heutigen Würmern verwendet.

Mit dem Aufkommen der Microsoft Windows-Plattform in den 1990er Jahren und den flexiblen Makros ihrer Anwendungen wurde es möglich, infektiösen Code in der Makrosprache von Microsoft Word und ähnlichen Programmen zu schreiben. Diese Makroviren infizieren eher Dokumente und Vorlagen als Anwendungen (ausführbare Dateien), nutzen aber die Tatsache, dass Makros in einem Word-Dokument eine Form von ausführbarem Code sind.

Viele frühe infektiöse Programme, darunter der Morris Worm, der erste Internet-Wurm, wurden als Experimente oder Streiche geschrieben. Heute wird Malware sowohl von Black Hat Hackern als auch von Regierungen eingesetzt, um persönliche, finanzielle oder geschäftliche Informationen zu stehlen. Heute kann jedes Gerät, das an einen USB-Anschluss angeschlossen wird - sogar Lampen, Ventilatoren, Lautsprecher, Spielzeug oder Peripheriegeräte wie ein digitales Mikroskop - zur Verbreitung von Malware verwendet werden. Wenn die Qualitätskontrolle unzureichend ist, können die Geräte während der Herstellung oder Lieferung infiziert werden.

Zielsetzung

Malware wird manchmal auf breiter Front gegen Regierungs- oder Unternehmenswebsites eingesetzt, um geschützte Informationen zu sammeln oder den Betrieb allgemein zu stören. Malware kann jedoch auch gegen Einzelpersonen eingesetzt werden, um an Informationen wie persönliche Identifikationsnummern oder -details, Bank- oder Kreditkartennummern und Passwörter zu gelangen.

Seit der Verbreitung von Breitband-Internetzugängen wird bösartige Software immer häufiger aus Profitgründen entwickelt. Seit 2003 wurde die Mehrzahl der weit verbreiteten Viren und Würmer entwickelt, um die Kontrolle über die Computer der Benutzer zu illegalen Zwecken zu übernehmen. Infizierte "Zombie-Computer" können zum Versenden von E-Mail-Spam, zum Hosten von Schmuggelware wie Kinderpornografie oder für verteilte Denial-of-Service-Angriffe als Form der Erpressung eingesetzt werden.

Programme, die darauf ausgelegt sind, das Surfen im Internet zu überwachen, unerwünschte Werbung anzuzeigen oder Einnahmen aus dem Affiliate-Marketing umzuleiten, werden als Spyware bezeichnet. Spyware-Programme verbreiten sich nicht wie Viren, sondern werden in der Regel durch Ausnutzung von Sicherheitslücken installiert. Sie können auch versteckt und zusammen mit anderer, nicht vom Benutzer installierter Software verpackt werden. Das Rootkit von Sony BMG sollte illegales Kopieren verhindern, hat aber auch die Hörgewohnheiten der Benutzer aufgezeichnet und unbeabsichtigt zusätzliche Sicherheitslücken geschaffen.

Ransomware verhindert, dass ein Benutzer auf seine Dateien zugreifen kann, bis ein Lösegeld gezahlt wird. Es gibt zwei Varianten von Ransomware, nämlich Crypto-Ransomware und Locker-Ransomware. Locker-Ransomware sperrt lediglich ein Computersystem, ohne dessen Inhalt zu verschlüsseln, während Crypto-Ransomware ein System sperrt und dessen Inhalt verschlüsselt. Programme wie CryptoLocker beispielsweise verschlüsseln Dateien sicher und entschlüsseln sie nur gegen Zahlung einer beträchtlichen Geldsumme.

Manche Malware wird eingesetzt, um durch Klickbetrug Geld zu verdienen. Dabei wird dem Computernutzer vorgegaukelt, dass er auf einer Website auf einen Werbelink geklickt hat, wodurch er vom Werbetreibenden eine Zahlung erhält. Im Jahr 2012 wurde geschätzt, dass etwa 60 bis 70 % aller aktiven Malware eine Art von Klickbetrug verwendet, und 22 % aller Anzeigenklicks waren betrügerisch.

Neben der kriminellen Geldmacherei kann Malware auch zu Sabotagezwecken eingesetzt werden, häufig aus politischen Motiven. Stuxnet zum Beispiel wurde entwickelt, um ganz bestimmte Industrieanlagen zu stören. Es gab politisch motivierte Angriffe, die sich über große Computernetzwerke ausbreiteten und diese lahm legten, einschließlich der massiven Löschung von Dateien und der Beschädigung von Master-Boot-Records, die als "Computer-Killing" bezeichnet werden. Solche Angriffe wurden auf Sony Pictures Entertainment (25. November 2014, unter Verwendung von Malware mit dem Namen Shamoon oder W32.Disttrack) und Saudi Aramco (August 2012) durchgeführt.

Arten

Diese Kategorien schließen sich nicht gegenseitig aus, manche Malware kann mehrere Techniken verwenden.

Trojanisches Pferd

Ein Trojanisches Pferd ist ein schädliches Programm, das sich als normales, gutartiges Programm oder Dienstprogramm ausgibt, um ein Opfer zur Installation zu verleiten. Ein Trojanisches Pferd enthält in der Regel eine versteckte zerstörerische Funktion, die beim Starten der Anwendung aktiviert wird. Der Begriff leitet sich von der altgriechischen Geschichte des trojanischen Pferdes ab, das benutzt wurde, um heimlich in die Stadt Troja einzudringen.

Trojanische Pferde werden in der Regel durch eine Form des Social Engineering verbreitet, z. B. wenn ein Benutzer dazu verleitet wird, einen als unverdächtig getarnten E-Mail-Anhang (z. B. ein auszufüllendes Routineformular) auszuführen, oder durch einen Drive-by-Download. Obwohl ihre Nutzlast alles Mögliche sein kann, fungieren viele moderne Formen als Hintertür, indem sie einen Kontrolleur kontaktieren (nach Hause telefonieren), der dann unbefugten Zugriff auf den betroffenen Computer hat und möglicherweise zusätzliche Software wie einen Keylogger zum Diebstahl vertraulicher Informationen, Kryptomining-Software oder Adware zur Erzielung von Einnahmen für den Betreiber des Trojaners installiert. Trojanische Pferde und Backdoors sind zwar an sich nicht leicht zu erkennen, doch kann es vorkommen, dass der Computer langsamer läuft, mehr Wärme abgibt oder Lüftergeräusche erzeugt, weil der Prozessor oder das Netzwerk stark beansprucht werden, wie es bei der Installation von Cryptomining-Software der Fall sein kann. Kryptominer können die Ressourcennutzung einschränken und/oder nur während der Leerlaufzeiten laufen, um der Entdeckung zu entgehen.

Im Gegensatz zu Computerviren und Würmern versuchen Trojanische Pferde in der Regel nicht, sich in andere Dateien einzuschleusen oder sich anderweitig zu verbreiten.

Im Frühjahr 2017 wurden Mac-Nutzer von der neuen Version des Remote Access Trojaners (RAT) Proton heimgesucht, der darauf trainiert ist, Passwortdaten aus verschiedenen Quellen zu extrahieren, z. B. aus automatischen Browser-Ausfülldaten, dem Mac-OS-Schlüsselbund und Passwort-Tresoren.

Rootkits

Sobald bösartige Software auf einem System installiert ist, ist es wichtig, dass sie verborgen bleibt, um nicht entdeckt zu werden. Softwarepakete, die als Rootkits bekannt sind, ermöglichen diese Verschleierung, indem sie das Betriebssystem des Hosts so verändern, dass die Malware vor dem Benutzer verborgen bleibt. Rootkits können verhindern, dass ein schädlicher Prozess in der Prozessliste des Systems angezeigt wird oder dass seine Dateien gelesen werden können.

Einige Arten von Schadsoftware enthalten Routinen, um Identifizierungs- und/oder Entfernungsversuche zu umgehen, und nicht nur, um sich selbst zu verstecken. Ein frühes Beispiel für dieses Verhalten findet sich in der Jargon File-Geschichte über zwei Programme, die ein Xerox CP-V Time-Sharing-System befallen haben:

Jeder Ghost-Job erkannte, dass der andere beendet worden war, und startete innerhalb weniger Millisekunden eine neue Kopie des kürzlich gestoppten Programms. Die einzige Möglichkeit, beide Ghosts zu töten, bestand darin, sie gleichzeitig zu beenden (was sehr schwierig war) oder das System absichtlich zum Absturz zu bringen.

Hintertüren

Eine Backdoor ist eine Methode zur Umgehung normaler Authentifizierungsverfahren, in der Regel über eine Verbindung zu einem Netzwerk wie dem Internet. Sobald ein System kompromittiert wurde, können eine oder mehrere Hintertüren installiert werden, um den Zugang in Zukunft für den Benutzer unsichtbar zu ermöglichen.

Es wurde oft die Idee geäußert, dass Computerhersteller Hintertüren auf ihren Systemen vorinstallieren, um den Kunden technische Unterstützung zu bieten, aber dies wurde nie zuverlässig überprüft. Im Jahr 2014 wurde berichtet, dass US-Regierungsbehörden Computer, die von "Zielpersonen" gekauft wurden, in geheime Werkstätten umgeleitet haben, in denen Software oder Hardware installiert wurde, die den Fernzugriff der Behörde ermöglicht. Backdoors können durch Trojanische Pferde, Würmer, Implantate oder andere Methoden installiert werden.

Infektiöse Malware

Die bekanntesten Arten von Malware, Viren und Würmer, sind eher für die Art und Weise ihrer Verbreitung als für ein bestimmtes Verhalten bekannt und werden mit biologischen Viren verglichen.

Hex-Dump des Blaster-Wurms, der eine Nachricht zeigt, die der Programmierer des Wurms für den Microsoft-Mitbegründer Bill Gates hinterlassen hat

Wurm

Ein Wurm ist eine eigenständige Malware-Software, die aktiv sich selbst über ein Netzwerk überträgt, um andere Computer zu infizieren, und sich selbst kopieren kann, ohne Dateien zu infizieren. Diese Definitionen führen zu der Feststellung, dass ein Virus den Benutzer dazu zwingt, eine infizierte Software oder ein infiziertes Betriebssystem auszuführen, damit sich der Virus verbreiten kann, während ein Wurm sich selbst verbreitet.

Virus

Ein Computervirus ist eine Software, die in der Regel in einem anderen, scheinbar harmlosen Programm versteckt ist, Kopien von sich selbst erstellen und in andere Programme oder Dateien einfügen kann und in der Regel eine schädliche Aktion durchführt (z. B. die Zerstörung von Daten). Ein Beispiel hierfür ist eine Infektion durch portable Ausführung, eine Technik, die normalerweise zur Verbreitung von Malware verwendet wird und zusätzliche Daten oder ausführbaren Code in PE-Dateien einfügt. Ein Computervirus ist eine Software, die sich ohne das Wissen und die Zustimmung des Benutzers in eine andere ausführbare Software (einschließlich des Betriebssystems selbst) auf dem Zielsystem einbettet, und wenn sie ausgeführt wird, wird der Virus auf andere ausführbare Dateien übertragen.

Ransomware

Bildschirm sperrende Ransomware

Bildschirmsperren sind eine Art "Cyberpolizei"-Ransomware, die Bildschirme auf Windows- oder Android-Geräten mit der falschen Anschuldigung blockiert, illegale Inhalte zu sammeln, und versucht, die Opfer zur Zahlung einer Gebühr zu verleiten. Jisut und SLocker wirken sich stärker auf Android-Geräte aus als andere Sperrbildschirme, wobei Jisut fast 60 Prozent aller Entdeckungen von Android-Ransomware ausmacht.

Verschlüsselungsbasierte Ransomware

Verschlüsselungsbasierte Ransomware ist, wie der Name schon sagt, eine Art von Ransomware, die alle Dateien auf einem infizierten Computer verschlüsselt. Diese Art von Malware zeigt dann ein Popup-Fenster an, in dem der Benutzer darüber informiert wird, dass seine Dateien verschlüsselt wurden und dass er dafür bezahlen muss (normalerweise in Bitcoin), um sie wiederherzustellen. Einige Beispiele für verschlüsselungsbasierte Ransomware sind CryptoLocker und WannaCry.

Grayware

Grayware (manchmal auch Greyware genannt) ist ein Begriff, der um 2004 aufkam und sich auf alle unerwünschten Anwendungen oder Dateien bezieht, die die Leistung von Computern verschlechtern und Sicherheitsrisiken verursachen können, aber normalerweise nicht als Malware angesehen werden. Greyware sind Anwendungen, die sich lästig oder unerwünscht verhalten, aber weniger schwerwiegend oder störend sind als Malware. Grayware umfasst Spyware, Adware, betrügerische Dialer, Scherzprogramme ("Jokeware"), Fernzugriffstools und andere unerwünschte Programme, die die Leistung von Computern beeinträchtigen oder Unannehmlichkeiten verursachen können. So installierte beispielsweise Sony BMG Compact Discs unbemerkt ein Rootkit auf den Computern der Käufer, um illegale Kopien zu verhindern.

Potenziell unerwünschtes Programm (PUP)

Potenziell unerwünschte Programme (PUPs) oder potenziell unerwünschte Anwendungen (PUAs) sind Anwendungen, die als unerwünscht gelten, obwohl sie häufig vom Benutzer heruntergeladen werden, möglicherweise nachdem er eine Download-Vereinbarung nicht gelesen hat. Zu den PUPs gehören Spyware, Adware und betrügerische Dialer. Viele Sicherheitsprodukte stufen nicht autorisierte Schlüsselgeneratoren als Grayware ein, obwohl sie häufig zusätzlich zu ihrem vordergründigen Zweck echte Malware enthalten. Malwarebytes listet mehrere Kriterien für die Einstufung eines Programms als PUP auf. Einige Arten von Adware (mit gestohlenen Zertifikaten) schalten Anti-Malware und Virenschutz aus; es gibt technische Abhilfemöglichkeiten.

Umgehung

Seit Anfang 2015 nutzt ein beträchtlicher Teil der Malware eine Kombination aus verschiedenen Techniken, um die Erkennung und Analyse zu umgehen. Von den häufigsten bis hin zu den am wenigsten verbreiteten:

  1. Umgehung von Analyse und Erkennung durch Erstellung von Fingerabdrücken der Umgebung bei der Ausführung.
  2. Verwirrung der Erkennungsmethoden automatisierter Tools. So kann Malware die Erkennung durch Technologien wie signaturbasierte Antivirensoftware umgehen, indem sie den von der Malware verwendeten Server ändert.
  3. Zeitbasierte Umgehung. Malware wird zu bestimmten Zeiten oder nach bestimmten Aktionen des Benutzers ausgeführt, so dass sie während bestimmter gefährdeter Zeiträume, z. B. während des Bootvorgangs, ausgeführt wird, während sie den Rest der Zeit inaktiv bleibt.
  4. Verschleierung interner Daten, damit automatische Tools die Malware nicht erkennen.

Eine immer häufiger anzutreffende Technik (2015) ist Adware, die gestohlene Zertifikate verwendet, um Anti-Malware und Virenschutz zu deaktivieren; es gibt technische Abhilfemaßnahmen gegen Adware.

Eine der raffiniertesten und heimlichsten Umgehungsmethoden ist heutzutage die Verwendung von Techniken zum Verbergen von Informationen, nämlich Stegomalware. Eine Übersicht über Stegomalware wurde von Cabaj et al. im Jahr 2018 veröffentlicht.

Eine andere Art der Umgehungstechnik ist dateilose Malware oder Advanced Volatile Threats (AVTs). Dateilose Malware benötigt keine Datei, um zu funktionieren. Sie läuft im Arbeitsspeicher und nutzt vorhandene Systemtools, um bösartige Handlungen auszuführen. Da sich keine Dateien auf dem System befinden, gibt es auch keine ausführbaren Dateien, die von Antiviren- und forensischen Tools analysiert werden könnten, was die Erkennung solcher Malware nahezu unmöglich macht. Die einzige Möglichkeit, dateilose Malware zu erkennen, besteht darin, sie in Echtzeit zu erwischen. In letzter Zeit sind diese Arten von Angriffen häufiger geworden, mit einem Anstieg von 432 % im Jahr 2017 und einem Anteil von 35 % an den Angriffen im Jahr 2018. Solche Angriffe sind nicht einfach durchzuführen, werden aber mit Hilfe von Exploit-Kits immer häufiger.

Risiken

Anfällige Software

Eine Schwachstelle ist eine Schwäche, ein Fehler oder ein Software-Bug in einer Anwendung, einem kompletten Computer, einem Betriebssystem oder einem Computernetzwerk, der von Malware ausgenutzt wird, um Verteidigungsmaßnahmen zu umgehen oder die für die Ausführung erforderlichen Berechtigungen zu erlangen. TestDisk 6.4 oder früher enthielt beispielsweise eine Sicherheitslücke, die es Angreifern ermöglichte, Code in Windows einzuschleusen. Malware kann Sicherheitsmängel (Sicherheitslücken oder Schwachstellen) im Betriebssystem, in Anwendungen (wie Browsern, z. B. älteren Versionen von Microsoft Internet Explorer, die von Windows XP unterstützt werden) oder in anfälligen Versionen von Browser-Plugins wie Adobe Flash Player, Adobe Acrobat oder Reader oder Java SE ausnutzen. Eine gängige Methode ist beispielsweise die Ausnutzung einer Pufferüberlaufschwachstelle, bei der Software, die Daten in einem bestimmten Speicherbereich speichern soll, nicht verhindert, dass mehr Daten geliefert werden, als der Puffer aufnehmen kann. Malware kann Daten bereitstellen, die den Puffer überlaufen lassen, mit bösartigem ausführbarem Code oder Daten am Ende; wenn auf diese Nutzlast zugegriffen wird, tut sie, was der Angreifer und nicht die legitime Software bestimmt.

Malware kann kürzlich entdeckte Sicherheitslücken ausnutzen, bevor die Entwickler Zeit hatten, einen geeigneten Patch zu veröffentlichen. Selbst wenn neue Patches zur Behebung der Schwachstelle veröffentlicht wurden, werden sie nicht unbedingt sofort installiert, so dass Malware auch Systeme ohne Patches ausnutzen kann. Manchmal werden selbst bei der Anwendung von Patches oder der Installation neuer Versionen die alten Versionen nicht automatisch deinstalliert. Sicherheitshinweise von Plug-in-Anbietern kündigen sicherheitsrelevante Aktualisierungen an. Allgemeine Schwachstellen werden mit CVE-IDs versehen und in der US National Vulnerability Database aufgelistet. Secunia PSI ist ein Beispiel für eine kostenlose Software für den Privatgebrauch, die einen PC auf gefährdete, veraltete Software überprüft und versucht, diese zu aktualisieren. Andere Ansätze umfassen die Verwendung von Firewalls und Intrusion-Prevention-Systemen zur Überwachung ungewöhnlicher Verkehrsmuster im lokalen Computernetzwerk.

Exzessive Privilegien

Benutzern und Programmen können mehr Berechtigungen zugewiesen werden, als sie benötigen, und Malware kann dies ausnutzen. Von 940 untersuchten Android-Apps forderte beispielsweise ein Drittel mehr Berechtigungen als erforderlich. Apps, die auf die Android-Plattform abzielen, können eine wichtige Quelle für Malware-Infektionen sein. Eine Lösung besteht darin, Software von Drittanbietern zu verwenden, um Apps zu erkennen, denen übermäßige Berechtigungen zugewiesen wurden.

Einige Systeme erlauben es allen Benutzern, ihre internen Strukturen zu ändern, und solche Benutzer würden heute als übermäßig privilegierte Benutzer betrachtet werden. Dies war das Standardverfahren für frühe Mikrocomputer- und Heimcomputersysteme, bei denen es keine Unterscheidung zwischen einem Administrator oder root und einem normalen Benutzer des Systems gab. In einigen Systemen sind Benutzer, die keine Administratoren sind, von vornherein überprivilegiert, d. h. sie dürfen die internen Strukturen des Systems verändern. In manchen Umgebungen sind Benutzer übermäßig privilegiert, weil ihnen unangemessener Weise der Status eines Administrators oder eines gleichwertigen Status zuerkannt wurde. Dies kann daran liegen, dass Benutzer dazu neigen, mehr Privilegien zu verlangen, als sie benötigen, so dass ihnen oft unnötige Privilegien zugewiesen werden.

Einige Systeme erlauben es dem von einem Benutzer ausgeführten Code, auf alle Rechte dieses Benutzers zuzugreifen, was als überprivilegierter Code bezeichnet wird. Dies war auch die Standardprozedur für frühe Mikrocomputer und Heimcomputersysteme. Malware, die als überprivilegierter Code ausgeführt wird, kann diese Berechtigung nutzen, um das System zu unterwandern. Fast alle derzeit gängigen Betriebssysteme und auch viele Skriptanwendungen gestatten Code zu viele Privilegien, in der Regel in dem Sinne, dass das System, wenn ein Benutzer Code ausführt, diesem Code alle Rechte dieses Benutzers gewährt.

Schwache Passwörter

Ein Angriff mit Zugangsdaten erfolgt, wenn ein Benutzerkonto mit administrativen Rechten geknackt wird und dieses Konto verwendet wird, um Malware mit entsprechenden Rechten auszustatten. In der Regel ist der Angriff erfolgreich, weil die schwächste Form der Kontosicherheit verwendet wird, d. h. ein kurzes Passwort, das mit einem Wörterbuch oder einem Brute-Force-Angriff geknackt werden kann. Die Verwendung sicherer Passwörter und die Aktivierung der Zwei-Faktor-Authentifizierung können dieses Risiko verringern. Wenn letztere aktiviert ist, kann ein Angreifer, selbst wenn er das Kennwort knacken kann, das Konto nicht nutzen, ohne auch das Token zu besitzen, das der rechtmäßige Benutzer des Kontos besitzt.

Verwendung desselben Betriebssystems

Homogenität kann eine Schwachstelle sein. Wenn z. B. alle Computer in einem Netzwerk mit demselben Betriebssystem arbeiten, kann ein Wurm, wenn er eines ausnutzt, alle ausnutzen: Insbesondere Microsoft Windows oder Mac OS X haben einen so großen Marktanteil, dass eine ausgenutzte Schwachstelle, die sich auf eines der beiden Betriebssysteme konzentriert, eine große Anzahl von Systemen angreifen könnte. Schätzungen zufolge wurden etwa 83 % der Malware-Infektionen zwischen Januar und März 2020 über Systeme mit Windows 10 verbreitet. Dieses Risiko wird durch die Segmentierung der Netzwerke in verschiedene Teilnetze und die Einrichtung von Firewalls zur Blockierung des Datenverkehrs zwischen diesen Teilnetzen gemindert.

Entschärfung

Antivirus-/Antimalware-Software

Anti-Malware-Programme (manchmal auch Antivirus genannt) blockieren und entfernen einige oder alle Arten von Malware. So bieten beispielsweise Microsoft Security Essentials (für Windows XP, Vista und Windows 7) und Windows Defender (für Windows 8, 10 und 11) Echtzeitschutz. Das Windows-Tool zum Entfernen bösartiger Software entfernt bösartige Software aus dem System. Darüber hinaus gibt es mehrere leistungsfähige Antivirenprogramme, die kostenlos aus dem Internet heruntergeladen werden können (in der Regel nur für die nicht-kommerzielle Nutzung). In Tests erwiesen sich einige kostenlose Programme als konkurrenzfähig mit kommerziellen Programmen.

In der Regel kann Antiviren-Software Malware auf folgende Weise bekämpfen:

  1. Schutz in Echtzeit: Sie können einen Echtzeitschutz gegen die Installation von Malware-Software auf einem Computer bieten. Diese Art des Malwareschutzes funktioniert auf die gleiche Weise wie der Antivirenschutz, indem die Anti-Malware-Software alle eingehenden Netzwerkdaten auf Malware überprüft und alle gefundenen Bedrohungen blockiert.
  2. Beseitigung: Anti-Malware-Softwareprogramme können ausschließlich zur Erkennung und Entfernung von Malware-Software verwendet werden, die bereits auf einem Computer installiert wurde. Diese Art von Anti-Malware-Software scannt den Inhalt der Windows-Registrierung, der Betriebssystemdateien und der auf einem Computer installierten Programme und stellt eine Liste aller gefundenen Bedrohungen bereit, so dass der Benutzer entscheiden kann, welche Dateien er löschen oder behalten möchte.
  3. Sandboxing: Bietet Sandboxing für Anwendungen, die als gefährlich eingestuft werden (z. B. Webbrowser, von denen aus die meisten Sicherheitslücken wahrscheinlich installiert werden).

Schutz in Echtzeit

Eine spezielle Komponente der Anti-Malware-Software, die gemeinhin als On-Access- oder Echtzeit-Scanner bezeichnet wird, greift tief in den Kern des Betriebssystems ein und funktioniert ähnlich wie bestimmte Malware selbst, allerdings mit der informierten Erlaubnis des Benutzers zum Schutz des Systems. Jedes Mal, wenn das Betriebssystem auf eine Datei zugreift, überprüft der On-Access-Scanner, ob die Datei infiziert ist oder nicht. Wenn eine infizierte Datei gefunden wird, wird die Ausführung in der Regel gestoppt und die Datei in Quarantäne gestellt, um weiteren Schaden zu verhindern, um irreversible Systemschäden zu vermeiden. Die meisten Antivirenprogramme ermöglichen es den Benutzern, dieses Verhalten zu umgehen. Dies kann erhebliche Auswirkungen auf die Leistung des Betriebssystems haben, wobei das Ausmaß der Auswirkungen davon abhängt, wie viele Seiten im virtuellen Speicher erstellt werden.

Sandboxing

Da viele Malware-Komponenten durch Browser-Exploits oder Benutzerfehler installiert werden, kann die Verwendung von Sicherheitssoftware (einige davon sind Anti-Malware-Programme, viele jedoch nicht) zur "Sandbox" von Browsern (d. h. zur Isolierung des Browsers vom Computer und somit zur Begrenzung jeglicher durch Malware verursachter Änderungen) ebenfalls wirksam zur Schadensbegrenzung beitragen.

Website-Sicherheitsscans

Website-Sicherheitsscans überprüfen die Website, erkennen Malware, weisen auf veraltete Software hin und melden bekannte Sicherheitsprobleme, um das Risiko eines Angriffs auf die Website zu verringern.

Netzwerktrennung

Die Strukturierung eines Netzes in mehrere kleinere Netze und die Beschränkung des Datenverkehrs zwischen diesen Netzen auf den bekanntermaßen legitimen Verkehr kann die Fähigkeit infektiöser Malware, sich im gesamten Netz zu replizieren, beeinträchtigen. Software Defined Networking bietet Techniken zur Umsetzung solcher Kontrollen.

Isolierung durch "Luftlöcher" oder "paralleles Netzwerk"

Als letzter Ausweg können Computer vor Malware geschützt und das Risiko, dass infizierte Computer vertrauenswürdige Informationen verbreiten, stark reduziert werden, indem eine "Luftlücke" (d. h. eine vollständige Trennung von allen anderen Netzen) eingerichtet und der Ein- und Austritt von Software und Daten aus der Außenwelt verstärkt kontrolliert wird. Dennoch kann Schadsoftware in manchen Situationen die Luftlücke überwinden, nicht zuletzt aufgrund der Notwendigkeit, Software in das abgeschottete Netz einzuschleusen, und kann die Verfügbarkeit oder Integrität der darin befindlichen Anlagen beschädigen. Stuxnet ist ein Beispiel für Malware, die über ein USB-Laufwerk in die Zielumgebung eingeschleust wird und dort unterstützte Prozesse schädigt, ohne dass Daten exfiltriert werden müssen.

AirHopper, BitWhisper, GSMem und Fansmitter sind vier von Forschern vorgestellte Techniken, die mit Hilfe von elektromagnetischen, thermischen und akustischen Emissionen Daten aus abgekapselten Computern abgreifen können.

Klassifizierung

Logikbomben

Eine logische Bombe ist ein schädlicher Programmcode, welcher primär durch Bedingungen; sogenannte Auslöser (trigger), schädliche Befehle (malicious commands) ausführt, teilweise komplexe Aufgaben über bspw. Sprungbefehlen auch mehrere Befehlsketten ausführt. Auch Viren können auf einem infizierten Computer logische Bomben platzieren, die in der Regel so programmiert sind, dass sie zu einem festgelegten Zeitpunkt gleichzeitig hochgehen. Diese Logikbomben werden manchmal auch als Zeitbomben bezeichnet.

Hintertüren (engl. backdoors/ trapdoors)

Eine Hintertür (häufig als Backdoor) dient dem geheimen Zugriff auf ein installiertes System, auf Softwareebene, meist mehrfach in Betriebssystemen; Systemsoftware, Treibersoftware, Softwarepaketen, Treiberdateien, Upgrades und Updates und zunehmend Einzelsoftware. Mit höherer Programmierdichte (Code-Dichte), Software-Komplexität, steigt unweigerlich die Fehlerrate und damit das Risiko von ungewollten Hintertürchen.

Hostile Applets

Hostille Applets (aus dem Englischen; feindliche Kleinanwendungen) werden meist innerhalb anderer Computerprogramme eingesetzt und sind häufig Unteranwendungen (wie Add-Ons). Applets sind ähnlich, aber umfangreicher als Makros. Hostile Applets nutzen vorwiegend Fehlimplementationen, z. B. in Sandboxen und virtuellen Maschinen, aus. Eingesetzt werden sie vorwiegend um sensible, geheime Daten auszuspähen, Schadsoftware einzuschleusen, Daten zu manipulieren.

Hybride Schadprogramme

Moderne und professionelle Schadsoftware basiert auf verschiedenen Schadkonzepten, Mischungen aus Logikbomben und anderen Schadprogrammtypen sind mit am häufigsten anzutreffen, ebenso die Verschleierungstaktiken; Tarnung ist kreativer und vielfältiger geworden (resp. erwähnt sei die Tarnung mittels Homographie, als Systemdatei, durch gefälschte oder irrtümlich erlangte Sicherheitssignaturen).

Keine Malware

  • Testviren wie die Eicar-Testdatei, bzw. der darin enthaltene Code, sind kein Virus. Die Eicar-Datei ist unter MS-DOS ein ausführbares Programm und kann sich oder den Testcode nicht weiterverbreiten. Wenn man die Testdatei überhaupt als Malware ansehen will, dann ist sie de facto ein Trojaner.
  • Bloatware ist eine Bezeichnung für Software, die mit Funktionen überladen ist oder die Anwendungen sehr unterschiedlicher Arbeitsfelder ohne gemeinsamen Nutzen bündelt.
  • Crapware bezeichnet die vorinstallierte Software auf einem neu erworbenen Gerät. Diese wird oft als unnütz und lästig empfunden.
  • Nagware ist ein Name für reguläre und nützliche Freeware-Anwendungen, welche auf lästige Art sehr häufig mit Pop-Up-Fenstern oder Ähnlichem zur Registrierung auffordert oder für den Kauf der Vollversion wirbt.
  • Hoaxes; engl. für Scherze, sind streng genommen keine Schadprogramme, sondern ein Mittel des Social Engineering, zu meist im Rahmen von Phishing.

Verbreitung

Im Jahr 2008 wurden von Sicherheits-Unternehmen wie F-Secure „eine Million neuer Schädlinge“ erwartet. Täglich erreichen demnach etwa 25.000 neue Schadprogramme – sogenannte Unique Samples, also Schädlinge mit einzigartigem „Fingerabdruck“ nach MD5 – speziell hierfür eingerichtete Server, z. B. Honeypots. Dagegen konnte AV-Test bereits Mitte April 2008 zehn Millionen neue Schadprogramme im Jahr 2008 zählen. Es sei eine starke Veränderung bei der Verbreitung von Schadsoftware zu erkennen: Trojanische Pferde in E-Mail-Dateianhängen werden immer seltener, während die Angriffe über das Web etwa mittels Drive-by-Download zunehmen. Außerdem käme der Einsatz von Rootkit-Techniken zum Verstecken der Schädlinge immer häufiger vor. Laut dem kalifornischen Malware-Spezialisten Kindsight Security waren 2012 in Deutschland durchschnittlich 13 % der privaten Rechner durch Malware infiziert. Nach einer Sicherheitsstudie der Zeitschrift <kes> und Microsoft von 2014 ist die „Infektion durch Schadsoftware“ auf den ersten Platz der Gefährdungen für die Unternehmens-IT vorgerückt. Sie hat damit „Irrtum und Nachlässigkeit der Mitarbeiter“ auf den zweiten Platz verdrängt. 74 Prozent der Studienteilnehmer hätten angegeben, dass sie in den letzten zwei Jahren von Schadsoftware-Vorfällen betroffen waren. An der Spitze der Infektionswege stehe in den befragten Unternehmen die E-Mail. Danach würden Webinhalte folgen, die die Schadsoftware über aktive Inhalte oder „Drive-by-Downloads“ verteilen.

Motivation

Eine Studie, die sich mit den Motivationsgründen der Entwickler von Schadsoftware auseinandersetzt, ist im Jahr 2006 zu den fünf primären Ergebnissen gekommen:

  • Habgier: Angriffe werden durchgeführt, um einen persönlichen, materiellen Gewinn daraus zu erzielen.
  • Neugier: Angriffe werden durchgeführt, um die persönliche Neugier zu stillen.
  • Spionage: Angriffe werden durchgeführt, um gezielt in den Besitz bestimmter Informationen zu gelangen.
  • Vergeltung: Angriffe werden durchgeführt, um gezielt und zur Befriedigung persönlicher Emotionen Schäden zu erzeugen.
  • Konspiration: Angriffe werden durchgeführt, um eventuelle Verfolger auf falsche Fährten zu locken.

Als weitere Komponente ist mittlerweile der sogenannte Cyberkrieg dazugekommen, der über schlichtes Spionieren weit hinausgeht. Ein bekanntes Beispiel für Sabotage durch Geheimdienste war der Netzwerkwurm Stuxnet, der im Jahr 2010 bekannt wurde. Man verwendete diese Govware zum Manipulieren iranischer Atomanlagen.