Typische Formen von Schadsoftware

Schadsoftware gibt es bereits seit Beginn der privaten und privat-wirtschaftlichen Nutzung von Netzwerken und verfolgt immer nur ein Ziel: Den Zugriff auf die Datenverarbeitung anderer Nutzer.

Schadsoftware kann sich nicht nur über E-Mails, sondern auch über Netzfreigaben, unsichere oder nicht gesetzte Passwörter sowie über Schwachstellen im Betriebssystem verbreiten und stellt beim Betrieb von IT-Infrastrukturen auch heute noch eines der größten Sicherheitsprobleme dar.

Im aktuellen Blogbeitrag stellen wir Euch die bekanntesten Formen von Schadsoftware vor.

Die Schadsoftware-Gefahr lauert überall

Schadsoftware, auch Malware genannt, sind bösartige Programme mit dem Ziel, in ein System einzudringen und eine vorher programmierte Schadfunktion auszuführen. Der Begriff Malware fasst dabei die verschiedenen Arten von Programmen zusammen, wobei die Computerviren, Computerwürmer und Trojaner zu den bekanntesten Malwaretypen gehören. Jedoch richten auch Scareware, Ransomware und Scamming jährlich einen erheblichen wirtschaftlichen Schaden an.

Das Problem: Da die Gefahr grundsätzlich überall lauern kann, seinen PC mit bösartiger Malware zu infizieren, ist es für Nutzer schwierig, solche Schadsoftware zu erkennen.

Computerviren – Der Senior unter den Schadsoftware

Der Computervirus gehört zur ältesten und wohl auch bekanntesten Form von Schadsoftware. Im biologischen Kontext betrachtet, ist ein Virus ein Mikroorganismus, der keinen eigenen Stoffwechsel besitzt und deshalb auf eine Wirtszelle angewiesen ist, um zu überleben. Dieses Grundprinzip lässt sich ganz simpel auf den Computervirus übertragen, denn auch er ist auf ein Wirtsystem angewiesen. Das heißt, ein Computervirus nistet sich in andere Programme ein und könnte ohne diese “Wirte“ nicht ausgeführt werden. Ein Computervirus wirkt sich also immer nur in einem laufenden System ein und ist, genauso wie ein Virus, reproduzierbar.

Grundsätzlich ist es schwer, den Aufbau eines Computervirus zu beschreiben, da es viele unterschiedliche Typen von Computerviren gibt. Sie können jedoch folgende Bestandteile enthalten:

Entschlüsselungsroutine (Entschlüsselung und Ausführung der Daten bei verschlüsselten Computerviren)
Vermehrungsteil (Reproduktion des Virus)
Erkennungsteil (Prüfung, ob Programm bereits infiziert ist)
Schadensteil (für Wirtsystem schädlicher Programmteil)
Bedingungsteil (Nennung von Bedingungen, unter denen Schadensteil ausgeführt werden soll)
Tarnungsteil (Schutz vor Erkennung durch Antivirenprogramme)

Aufgrund des vielfältigen Aufbaus und der verschiedenen Arten von Computerviren ist natürlich auch die Wirkung sehr unterschiedlich. Sie reicht von harmlos, beispielsweise wenn die Darstellung der Benutzeroberfläche verändert wird, bis hin zur kompletten Daten- und Hardwarezerstörung des befallenen Rechnersystems.

Zudem stellen Viren in der Regel eine Bedrohung für die Integrität und die Vertraulichkeit von Daten dar.

Computerwurm – Achtung, Absturz des Systems

Im Vergleich zu einem Computervirus, der ein Wirtsystem benötigt, ist ein Computerwurm ein autonomes Programm, besitzt jedoch ebenfalls die Fähigkeit, sich zu reproduzieren. Signifikant ist, dass sich ein Computerwurm bis in die Tiefen des befallenen Systems gräbt. Dies sorgt dafür, dass sie bei einem Systemneustart ebenfalls mitgestartet werden.

Die Reproduktion eines Computerwurms kann auf verschiedenen Wegen erfolgen. So kann er sich beispielsweise als Kopie an eine E-Mail-Adresse senden, die er auf dem Wirtsystem vorgefunden hat und auf die Naivität des Empfängers hoffen, der die Dateianhänge (hoffentlich) öffnet. Da dies in der Regel schon der erfolgreichste Weg ist, bedarf es kaum anderer Tarnmechanismen, wie sie Computerviren nutzen. Würmer können zudem auch über textbasierte Chaträume verbreitet oder indem verteilte Ressourcen, wie zum Beispiel Netzwerke, angegriffen werden.

Genau wie Computerviren können Würmer unterschiedlich aufgebaut sein, bestehen jedoch größtenteils aus Teilen der Weiterverbreitung sowie der sogenannten Nutzlast (playload), welche die eigentliche Wirkung des Wurms beinhaltet. Ein Wurm kann aus noch anderen Programmteilen bestehen, welche Wurm-Segmente genannt werden. Wenn sich der Wurm reproduziert, erfolgt dies in der Regel unter der Kommunikation mit anderen Wurm-Segmenten.

Ein Computerwurm verfolgt das Ziel, das Zielsystem zum Absturz zu bringen. Dies kann, je nach Art und Nutzlast, wenig bis verheerenden Schaden anrichten. Meist reicht schon die erfolgreiche Verbreitung, um massiven Schaden anzurichten, indem durch die Reproduktion des Wurm massive Netzwerk- und Rechnerressourcen verbraucht werden, Postfächer überlaufen und Mailserver zusammenbrechen können.

Genau wie Computerviren sind Computerwürmer eine Bedrohung für die Integrität und Vertraulichkeit und sind zudem eine Bedrohung für die Verfügbarkeit (Denial of Service Angriffe).

Trojanisches Pferd – Es ist nicht das, wonach es aussieht

Mit Sicherheit kennen Sie die Sage von dem Kampf um Troja, bei dem die Griechen den Trojanern nach einem zehnjährigen Kampf ein hölzernes Pferd als Geschenk zum Zeichen ihres Rückzugs schickten. Siegessicher zogen die Trojaner das Pferd in ihre Stadt und feierten ihren (vermeintlichen) Sieg. In der Nacht jedoch nahm die Situation eine überraschende Wende, denn im Inneren des Holzpferdes versteckten sich griechische Soldaten, welche die Siegesgewissheit der Trojaner ausnutzten und die Troja niederbrannten.

Überträgt man diese Sage in die IT-Sprache, erklärt sich das Trojanische Pferd als Malware fast schon von selbst: Ein Programm, das vorgibt, einen bestimmten Zweck zu erfüllen, jedoch im Hintergrund andere Dinge ausführt, die dem Benutzer verborgen bleiben. Oder kurz: Die angegebene Soll-Funktion stimmt nicht mit der implementierten Ist-Funktion überein. Zwar wird die Soll-Funktion ebenfalls ausgeführt, jedoch eben auch Funktionen, die von Nutzer meist nicht gewünscht sind.

Ziel eines Trojanisches Pferdes ist es also, den befallenen Rechner zu kontrollieren und gespeicherte Daten auszuspähen. Umgesetzt werden kann dies beispielsweise durch eine implementierte Spionagesoftware, die die Tasttaureingaben abfangen kann. Trojanische Pferde können jedoch auch Textverarbeitungsprogramme oder Editoren sein, welche die Inhalte editierter Datenbanken unbemerkt kopieren oder sogar manipulierte Datenbanken, durch die sensible Daten an den Angreifer gelangen.

Unter den Schadprogrammen in Deutschland ist der Anteil von Trojanischen Pferden übrigens wesentlich höher als der von Viren und Würmern.

Backdoor – Lässt sich gern ein Hintertürchen offen

Die sogenannte Backdoor-Software schafft eine Schnittstelle, um die übliche Zugriffssicherung für einen Systemzugang zu umgehen. Über diese „Hintertür“ ist der Zugriff auf ein Zielsystem möglich, das entweder manipuliert, zerstört oder als Schlupfloch für die Implementierung weiterer Schadsoftware genutzt werden soll. Beispielsweise kann auf einem System eine Sicherheitslücke bestehen, weshalb ein Wurm durch die Backdoor platziert wird, der sich erst selbst eine solche Schwachstelle generiert.

Grundsätzlich müssen Backdoors nicht immer negativ sein. In einigen Fällen sind sie sogar erwünscht. Beispielsweise dann, wenn ein Smartphone-Besitzer nicht mehr auf sein Gerät zugreifen kann, weil er PIN und Super-Pin etliche Male falsch eingegeben hat. In diesem Fall kommt ihm der Kundendienst zur Hilfe, der mithilfe einer komplizierten Abfolge von Zahlen und Zeichen sein Handy wieder zum Laufen bringt. Diese Backdoor ist somit ein verborgener, jedoch nützlicher Zugang, durch den eine bestimmte Abfolge erfolgen kann.

Negativ wird das Szenario erst dann, wenn ein Angreifer auf dieses Backdoor zugreift und dadurch eine Schadsoftware einschleust. Ist das Backdoor von Entwicklern bewusst eingebaut, zum Beispiel als Fernwartungszugang, dann ist das Risiko meist kalkulierbar. Allerdings ist es aufgrund der hohen Komplexität moderner Betriebssysteme schwer, alle Eingänge (wie bei großen Bürogebäuden) zu überwachen.

In dem Fall, dass er Angreifer durch die Backdoor gelangt ist, hat er eist kompletten Zugriff auf das Zielsystem des Opfers. Dadurch können, mithilfe eines Trojanischen Pferdes, mühelos Dateien abgefangen, Webcam und Mikrofon belauscht und Passwörter identifiziert werden. Aus diesem Grund zählen Backdoors zu den größte Bedrohungen der IT-Sicherheit.

Spyware – Vorsicht, digitale Spionage

Bei einer Spyware handelt es sich um eine Software, die das Nutzerverhalten des betroffenen Rechners ausspioniert. Zusammen mit anderen wertvollen Daten, wie beispielsweise Passwörtern und Benutzernamen, werden die Informationen gesammelt und an den Angreifer versendet. Bei den ausspionierten Daten handelt es sich zum Beispiel um den Mailverkehr oder um die URLs besuchter Webseiten.

Spyware gibt es in unterschiedlichen Abstufungen. So gibt es vergleichsmäßig harmlose Varianten, die “nur“ das Surfverhalten protokollieren, um gezielt Werbung zu schalten. Jedoch gibt es auch aggressive Varianten, die alles sammeln, um das Zielsystem komplett auszuspähen.

Scareware – Das Geschäft mit der Angst

Scareware setzt sich aus den Begriffen „Scare“ (dt. Angst) und „ware“ von Software zusammen. Sie ist also eine Schadsoftware die darauf abzielt, Nutzern Angst zu machen. Dabei spiel sie dem Nutzer ein vermeintlich gefährliches Verhalten vor, um ihn dazu zu bringen, aktiv eine Schadsoftware auszuführen. Die Scareware gaukelt dem Nutzer beispielsweise vor, dass sein Computer von Viren, Computerwürmen oder Trojanischen Pferden befallen ist und weist den Nutzer an, sich ein teures Programm zur Beseitigung der angeblichen Schadsoftware zu kaufen.

Das Problem bei Scareware ist, dass sie nicht leicht zu erkennen ist, da die Täter meist Namen und Marken seriöser Antiviren-Hersteller nachahmen, sodass sich der Nutzer in Sicherheit wiegt, da er ein vermeintlich sicheres Programm einer bekannten Firma installiert. Hat der Nutzer das Programm einmal freiwillig heruntergeladen, werden Dialogfenster geladen, die wie ein Virenscanner aussehen, jedoch keine Viren entfernen. Der Nutzer hat also Geld für etwas bezahlt, was niemals war.

In dem meisten Fällen kann die Scareware nicht oder nur noch schwer entfernt werden. Abhilfe kann nur eine Deinstallation von Windows schaffen, um die Scareware loszuwerden. Meistens fangen sich Nutzer die Scareware über das Internet ein, wobei während des Surfens plötzlich ein Pop-up-Fenster aufploppt, welches das Aussehen eines Virenprogramm-Dialogfensters hat. Wie oben bereits erwähnt, werden so angebliche Bedrohungen angezeigt, die der Nutzer so schnell wie möglich entfernen sollte.

Besonders misstrauisch sollten Sie sein, wenn Warnmeldungen oder Fenster plötzlich auf dem Monitor auftauchen, die vorher noch nie da waren und mit besonderer Dringlichkeit auf angebliche Schädlinge hinweisen und zum Handeln auffordern.

Bots und Bot-Netzwerke – Gezielte Fernsteuerung von Rechnern

Ein Bot-Netz ist ein Verbund von (bis zu mehreren tausend) infizierten Rechnern, sogenannten Bot-Rechnern. Diese kommunizieren miteinander und werden meist durch einen zentralen Server kontrolliert und ferngesteuert.

Folglich ist ein Bot, unter Gesichtspunkten der IT-Sicherheit, ein Programm, das von einem Angreifer gezielt ferngesteuert und damit auf einen Befehl von außen wartet, um einen vordefinierten Prozess durchzuführen bzw. zu starten.

Bei Nutzern muss dies nicht unbedingt einen Schaden verursachen. Da auch ganz einfache Prozesse ausgeführt werden, merkt der Nutzer die Anwendung meist sogar gar nicht. Bots werden jedoch herkömmlicherweise über Schadsoftware verbreitet, wie etwa Würmer, Trojanische Pferde oder Viren.

Das Hauptangriffsziel von Bots sind Denial-of-Service-Angriffe auf die Anbieter von Internetdiensten. Der Angreifer hat, mittels einem ausreichend großen Netz aus Bot-Rechnern, die Chance, die attackierten Serveranbieter über das Versenden von großen Datenmengen zu überlasten. Auch können Bot-Programme Angriffe auf befallene Bot-Rechner selbst ausführen.

Die Zielsysteme, also die Bot-Rechner, werden dabei von den Angreifern so unauffällig wie möglich übernommen. Anschließend wird ein Client auf dem Zielsystem installiert, der auf weitere Befehle von außen wartet.

Ransomware – Lösegeld oder verlorene Daten

Diese Schadsoftware ist sehr verbreitet zur Erpressung von Lösegeld. Der Begriff Ransomware ergibt sich aus den kombinierten Begriffen Malware und ransom (engl., Lösegeld). Die Schadsoftware dringt dabei auf fremde Rechner ein und verschlüsselt die Daten auf der lokalen Festplatte des fremden Rechners. Damit sind sie für den Nutzer nicht mehr erreichbar.

Die Daten des Opfers werden mit einer komplizierten Methode verschlüsselt und können nur mit einem Passwort entschlüsselt werden. Dafür fordert der Angreifer in der Regel einen hohen Geldbetrag, meist in Form einer Internetwährung wie Bitcoins oder durch die Begleichung über Online-Zahlungssysteme wie PayPal.

Nach erfolgreichem Angriff durch die Ransomware öffnet sich beim Opfer ein Fenster, das in Textform erklärt, dass der Computer befallen und die Daten verschlüsselt wurden. Im Text stehen auch klare Handlungsanweisungen, mit welchen Schritten die Daten wieder entschlüsselt werden können.

Wird ein Computer mit Ransomware befallen, sollte man auf die Forderungen der Erpresser nicht eingehen. Stattdessen sollte man den PC sofort ausschalten und das Netzwerkkabel ziehen. Dann ist die Chance hoch, dass zumindest der Großteil der Daten gerettet werden kann.

Phishing – Der versuchte große Fang (nach vertraulichen Daten)

Phishing ist ein Internetbetrug, der darauf abzielt, Zugangsdaten wie Passwörter, Konto- und Kreditkartennummern sowie andere vertrauliche Daten von Nutzern zu stehlen.

In der Regel werden sie in Phishing-Nachrichten in Form von gefälschten Benachrichtigungen von Internetanbietern, Banken und anderen Organisationen verbreitet, in denen der Nutzer aufgefordert wird, aus angeblich dringenden Gründen, wie zum Beispiel ein Datenverlust oder Systemausfälle, seine Account-Daten zu aktualisieren. Auch können solche Nachrichten Drohungen beinhalten, wobei der Nutzer aufgefordert wird, seine Daten bis zu einem bestimmten Zeitpunkt zu prüfen oder zu aktualisieren. Andernfalls wird sein Konto gesperrt.

Wer dieser Aufforderung nachkommt, wird meist auf eine Webseite geleitet, die der einer legitimen Firma sehr ähnlich ist und aufgrund ihrer gut gemachten Eingabemasken seriös wirkt und/oder dem Nutzer sogar bekannt vorkommt. Es gibt nur kleine Merkmale, an denen man einen Betrug erkennen kann, darunter zum Beispiel:

Zusätzliche Worte in der URL (www.login-beispielbank.com statt www.beispielbank.com)
Verwendung von Punkten statt Schrägstrichen (www.beispielbank.com.personal.login oder www.examplebank.com-personal.login statt www. beispielbank.com/personal/login).

Scamming – Das Betrugsgeschäft mit dem Vertrauen

Das Wort „Scamming“ bedeutet „Betrügen“ und definiert Betrugsmaschen im Internet, bei denen Nutzern Geld entwendet werden soll. Über soziale Netzwerke und verschiedenste Portale fällt den Angreifern, nicht zuletzt aufgrund der hohen Anonymität im Internet, leicht, potenzielle Opfer zu finden.

Das sogenannte Romance-Scamming ist eine besonders beliebte und verbreitete Methode. Dabei geht der Betrüger, auf Dating-Portalen oder auch auf anderen sozialen Netzwerken, eine Online-Beziehung mit dem Opfer ein. Ist das Vertrauen des Opfers gewonnen, fragt der Betrüger gezielt nach Geld, das er angeblich für Flugtickets, eine dringende OP oder sogar für das leidende Kind benötigt. Gutgläubig wird das Geld dann meist vom Opfer überwiesen, das nach Zahlungseingang beim Betrüger nie wieder etwas sieht und hört von der Online-Romanze.

Scamming ist natürlich auch über andere Methoden möglich. Beispielweise über Online-Stellenbörsen, in denen die Betrüger ihren Opfer Traumjobs garantieren, dafür jedoch eine hohe Bearbeitungsgebühr fordern. Ebenfalls als Scamming-Angreifer bekannt ist die Nigeria-Connection, bei der angebliche Geschäftsleute ihren Opfern große Geldsummern versprechen, wenn sie dabei helfen, hohe Geldsummen ins Ausland zu schaffen.

Ebenfalls zum Scamming gehören gefälschte Rechnungen, Fake-Nachrichten zu angeblich gewonnen Gutscheinen und schnellen Gewinnen sowie Falschmeldungen von Banken (z.B. Opfer hat angeblich sein Konto überzogen).

Dialer – Horrende Telefonrechnung garantiert

Dialer-Angriffe sind Angriffe, die darauf abzielen, das Zielsystem zum Ausführen von Anrufen auf kostenpflichtige Rufnummern zu nutzen. Dafür werden Telefonverbindungen von Programmen (Dialer) gekappt und Verbindungen zu sehr kostspieligen Sonderrufnummern aufgebaut.

Nicht umsonst gehörten Dialer noch vor wenigen Jahren zu den gefährlichsten Malware-Arten, da sie nicht nur schwerwiegende Probleme, sondern auch horrend hohe Telefonrechnungen verursachen. Da Dialer nur auf PCs wirksam sind, die sich über herkömmliche Modems mit dem Internet verbinden, sind sie heute meist nicht mehr sehr lukrativ für Angreifer, da mittlerweile viel über Breitbandzugänge wie DSL auf das Internet zugegriffen wird.

Installiert werden Dialer über Sicherheitslücken, indem beispielsweise ein angeblich kostenfreier Download spezieller Zugangssoftware angegeben wird, damit der Nutzer bestimmte Inhalte sehen kann. Ist die Installation erfolgt, verbindet sich der Computer jedoch nicht mehr mit dem bisherigen Provider, sondern über 0900- oder 0137x-Nummern mit hohem Minutenpreis pro Einwahl – und dies summiert sich auf der Telefonrechnung.

Drittanbieter-Abrechnung – Unfreiwillige Käufe über das Handy

Bei einer Drittanbieter-Abrechnung wird durch eine Schadsoftware eine Buchung, Bestellung oder die Nutzung von zusätzlichen Diensten des Mobilfunkanbieters ausgelöst. Durch die unfreiwillige Zubuchung der Zusatzleistungen auf den Nutzervertrag, kommt es dabei zu einem exponentiellen Anstieg der Rechnung.

Die Fallen zur Drittanbieter-Abrechnung lauer vor allem bei Werbebannern, die versehentlich angetippt werden, obwohl ein Vertrag eigentlich erst nach dem Klick auf „jetzt kostenpflichtig bestellen“ oder „jetzt kaufen“ wirksam wird.

Geläufig sind auch Fälle, bei denen Nutzer von einer gängigen Internetseite plötzlich auf eine völlig unbekannte Webseite umgeleitet wurden. Im Hintergrund laufen dabei Identifikationsprozesse der Mobilfunknummer ab, wobei die Zahlungsinformation direkt an den jeweiligen Mobilfunkanbieter gesendet wird. Somit landet der Nutzer ungewollt in eine Abo-Falle.

Das Problem: Dieser Kostenpunkt ist am Ende des Monats in der normalen Handyabrechnung meist nicht leicht zu erkennen, da die eigentlichen Betreiber (Drittanbieter) nicht namentlich genannt werden. Einzig zu finden ist der Name einer Abrechnungsfirma, die die Abrechnung für den unseriösen Abo-Betreiber vornimmt. Diese Abo-Falle funktioniert allerdings nur, wenn das Handy über Mobilfunk mit dem Internet verbunden ist.

Verhindert werden können Drittanbieter-Fallen mithilfe von Drittanbietersperren, womit Identifizierung der Mobilfunknummer zur Abrechnung kostenpflichtiger Dienste blockiert wird. Eine Drittanbietersperre kann unkompliziert per E-Mail oder Brief beim zuständigen Mobilfunkanbieter eingereicht werden.

Kryptomining

Beim Kryptomining handelt es sich um eine Schadsoftware, die die Systemressourcen des Zielsystems zum Erstellen von Blockchains nutzen will, um eine Kryptowährung zu generieren.

Für das Erzeugen neuer Kryptowährungseinheiten muss geschürft werden. Dafür müssen Rechner komplexe Rechneraufgaben lösen. Besonders für kleinere Digitalwährungen wie Ether, Monero oder Ripple zapfen die Schürfer die Rechenleistung von Webseitenbesuchern an. Dies bekommen Nutzer in der Regel jedoch nicht mit, außer wenn der Laptop-Lüfter anspringt oder sich der Smartphone-Akku entleert, obwohl keine Anwendungen auf dem Gerät laufen, die viel Rechenleistung benötigen.

Kryptomining wird von immer mehr Webseiten betrieben, vor allem von Seiten, die Schwierigkeiten haben, Werbekunden zu finden. Darunter zu Beispiel Portale mit zweifelhaftem Ruf wie Porno- oder Filesharingseiten. In der Vergangenheit sollen jedoch auch vermeintlich seriöse Webseiten, wie zum Beispiel der US-Sender CBS, auf Kryptomining gesetzt haben. CBS soll dabei auf seinem Streaming-Portal Showtime.com bis zu 60 Prozent der CPU-Leistung von Besuchern genutzt haben. Für das Kryptomining eignet sich Streaming-Seiten besonders gut, da Besucher in der Regel recht lange auf der Webseiten verweilen.

Fazit: Die Liste der typischen Schadsoftware ist lang. Und wie wir wissen, kommt ein Schaden selten allein. Die meisten Systemangriffe sind deshalb meist eine Mischung aus mehreren Schadprogrammen. Hierbei werden unterschiedliche Schwachstellen gezielt genutzt, um verhängnisvolle Malware durch harmlose Schadprogramme auf das System des Nutzers zu bekommen.

Gern kombiniert werden Computerwürmer und Viren, um den größtmöglichen Schaden anzurichten. In diesem Fall ist es meist so, dass sich ein Virus zur Verbreitung in ein Wirtsprogramm einschleust und bei seiner Aktivierung anfängt, als autonomer Prozess zu arbeiten – und dann nimmt die Gefährdung der IT-Security seinen Lauf, wenn nicht rechtzeitig reagiert wird.

About the author

Sandra Wölki

W3U.ONE ist ein seit 1991 gewachsener Agentur- und Netzwerkverbund für Kommunikation, Design, Online-Marketing, Programmierung, branchenübergreifende Softwarelösungen für Web und Industrie sowie Unternehmens-, Startup- und Fördermittelberatung. Unter der Maxime “Einer für alle, alle für Ihr Projekt“ trifft bei W3U.ONE Fachkompetenz auf Maßarbeit und bildet ein strategisches Gesamtkonzept für erfolgreiche Unternehmen und Marken in ganz Europa. Nähere Informationen unter: https://www.w3u.one/