Leitfaden zur erfolgreichen Virenabwehr

Kapitel 2: Bedrohungen durch Malware

Veröffentlicht: 16. Aug 2004
Auf dieser Seite
EinführungEinführung
Entstehung und Weiterentwicklung von ComputervirenEntstehung und Weiterentwicklung von Computerviren
Was ist Malware?Was ist Malware?
Eigenschaften von MalwareEigenschaften von Malware
Was ist keine Malware?Was ist keine Malware?
AntivirussoftwareAntivirussoftware
Typischer Zeitplan einer "freigelassenen" MalwareTypischer Zeitplan einer "freigelassenen" Malware
ZusammenfassungZusammenfassung

Einführung

Dieses Kapitel des Leitfadens zur erfolgreichen Virenabwehr erläutert die Entwicklung von Computerviren, von den ersten relativ einfachen Viren bis hin zu der heutigen großen Vielfalt von böswilliger Software bzw. Malware. Dieses Kapitel definiert eine Auswahl von bekannten Malwaretypen und -techniken und bietet Informationen zur Malwarepropagierung und zu deren Risiken für Organisationen jeder Größenordnung.

Da dieses Thema ständigen Entwicklungen und Änderungen unterliegt, versucht dieser Leitfaden nicht, alle Malwareelemente und möglichen Variationen zu behandeln. Die hier aufgeführten Informationen stellen jedoch einen wichtigen ersten Schritt dar, die Beschaffenheit der verschiedenen Elemente zu verstehen, aus denen sich Malware zusammensetzt. Der Leitfaden erläutert und definiert auch andere Softwaretypen, bei denen es sich nicht um Malware handelt, z. B. Spyware (Programme, die ohne Einwilligung des Benutzers bestimmte Aktivitäten auf einem Computer ausführen), Spam (unaufgefordert eingehende E-Mail) und Adware (in Software integrierte Werbung).

Entstehung und Weiterentwicklung von Computerviren

Die allerersten Computerviren traten Anfang der 80er Jahre auf. Diese Versuche waren zum größten Teil experimentelle und relativ simple, selbstreplizierende Dateien, die bei ihrer Ausführung einfache Spötteleien oder Witze anzeigten.

Hinweis: Eine exakte Geschichte der Entwicklung von Viren kann nicht wiedergegeben werden. Da Malware illegal ist, liegt es im Interesse der Täter, die Quelle von böswilligen Code geheim zu halten. Diese Erläuterungen stützen sich auf die von Virenforschern und den Antivirusspezialisten aus der IT-Branche bestätigter Geschichte von Malware.

1986 wurden die ersten ernstzunehmenden Viren gemeldet, die Microsoft® MS-DOS®-PCs angriffen. Der Virus "Brain" gilt im Allgemeinen als der erste dieser Computerviren. Zu den weiteren Viren im Jahr 1986 zählen "Virdem" (der erste Dateivirus) und "PC-Write" (das erste Trojanische Pferd). Ein Trojanisches Pferd ist ein nützlich oder harmlos erscheinendes Programm, das einen zur Ausnutzung oder Beschädigung des jeweiligen Systems konzipierten verborgenen Code enthält. Im Fall von "PC-Write" war das Trojanische Pferd als eine gleichnamige kostenlose Textverarbeitungsanwendung getarnt.

Als immer mehr Computerbenutzer begannen, sich mit der Virusterminologie und Virustechnologie zu befassen, nahmen die Anzahl von Viren, die Anzahl betroffener Plattformen sowie die Komplexität und Vielfältigkeit von Viren beträchtlich zu. Viren konzentrierten sich eine Zeit lang auf Startsektoren und begannen dann, ausführbare Dateien zu infizieren. 1988 trat der erste Internet-Wurm auf (ein Malwaretyp mit selbstpropagierendem böswilligen Code, der sich eigenständig automatisch über Netzwerkverbindungen von einem Computer auf andere verteilen kann). Dieser Wurm mit dem Namen "Morris" führte zu einer deutlichen Verlangsamung der Internetkommunikation. Als Reaktion auf diesen Wurm und die zunehmende Anzahl von Ausbrüchen wurde das CERT Coordination Center unter http://www.cert.org/ gegründet, um die Stabilität des Internets durch Koordination der Reaktionen auf Ausbrüche und Vorfälle zu gewährleisten.

1990 ging Virus Exchange BBS als Austauschforum für Virenautoren online und bot diesen die Möglichkeit, zusammenzuarbeiten und ihr Wissen weiterzugeben. Zudem erschien das erste Buch über das Schreiben von Viren, und der erste polymorphe Virus (allgemein bezeichnet als Chamäleon oder Casper) wurde entwickelt. Ein polymorpher Virus ist ein Malwaretyp, der eine unbeschränkte Anzahl von Verschlüsselungsroutinen verwendet, um seine Erkennung zu verhindern. Polymorphe Viren können sich selbst bei jeder Replizierung verändern. Aus diesem Grund wurde es für die Antivirusprogramme, die für die Erkennung von Viren konzipiert wurden, schwierig bis unmöglich, diese veränderten Viren zu identifizieren. Kurz danach erschien "Tequila", der erste große polymorphe Virusangriff. Im Jahr 1992 tauchten dann das erste polymorphe Virusmodul und Toolkits zum Erstellen von Viren auf.

Seitdem sind Viren komplexer geworden: Viren begannen, auf E-Mail-Adressbücher zuzugreifen und sich selbst an die dort eingetragenen Kontakte zu versenden. Makroviren hängten sich selbständig an verschiedene Büroanwendungsdateien und griffen diese an. Außerdem erschienen speziell zur Ausnutzung von Sicherheitslücken in Betriebssystemen und Anwendungen geschriebene Viren. E-Mail, P2P-Dateifreigabenetzwerke (Peer-to-Peer), Websites, freigegebene Laufwerke und Sicherheitslücken in Produkten werden für die Virusreplikation und Angriffe ebenfalls ausgenutzt. Hintertüren (durch Malware eingeführte geheime oder verborgene Netzwerkeinstiegspunkte) werden auf infizierten Systemen erstellt, um Virusautoren oder Hackern die Rückkehr und Ausführung beliebiger Software zu ermöglichen. Im Kontext dieses Leitfadens bezeichnet der Begriff Hacker einen Programmierer oder Computerbenutzer, der versucht, sich auf illegale Weise Zugriff auf ein Computersystem oder Netzwerk zu verschaffen. Malware wird im nächsten Abschnitt dieses Kapitels ausführlich behandelt.

Einige Viren enthalten eingebettete Module zum eigenständigen E-Mail-Versand. So kann ein infiziertes System den Virus direkt per E-Mail propagieren, indem alle Einstellungen des eigentlichen E-Mail-Clients oder -Servers des Benutzers umgangen werden. Mittlerweile planen und entwerfen Virusautoren ihre Angriffe sorgfältig, und sie entwickeln mithilfe von Social Engineering authentisch wirkende E-Mail-Nachrichten. Dieser Ansatz versucht, das Vertrauen des Benutzers zu erwecken, so dass er die angehängte Virusdatei öffnet. Die Wahrscheinlichkeit einer großen Infektion wird dadurch dramatisch erhöht.

Während dieses Entwicklungsprozesses der Malware hat sich auch die Antivirussoftware stetig weiterentwickelt. Der Großteil dieser aktuellen Software stützt sich zum Erkennen von potenziell böswilligem Code jedoch auf Virussignaturen oder die Identifizierung der Eigenschaften von böswilliger Software. Zwischen dem ersten Erscheinen eines Virus und der Bereitstellung der zugehörigen Signaturdateien durch die Anbieter von Antiviruslösungen besteht für Angriffe noch immer die Möglichkeit einer Ausbreitung. Folglich weisen viele der heutigen Viren innerhalb der ersten Tage eine dramatisch hohe Infektionsgeschwindigkeit auf, die dann mit der Verteilung der entsprechenden Signaturdateien stark abnimmt.

Was ist Malware?

In diesem Leitfaden wird der Begriff Malware (eine Abkürzung von "malicious software", d. h. böswillige Software) als Sammelbegriff für Viren, Würmer und Trojanische Pferde verwendet, die beabsichtigt böswillige Operationen auf einem Computersystem ausführen.

Was genau ist also ein Computervirus oder Wurm? Wie unterscheiden sich diese von Trojanischen Pferden? Und wirken Antivirusanwendungen nur gegen Viren oder auch gegen Würmer und Trojanische Pferde?

All diese Fragen wirft die verwirrende und häufig falsch dargestellte Welt des böswilligen Codes auf. Die große Anzahl und die Vielfältigkeit des vorhandenen böswilligen Codes macht es schwierig, eine genaue Definition jeder Malwarekategorie zu liefern.

Für grundsätzliche Diskussionen im Zusammenhang mit Viren gelten die folgenden prinzipiellen Definitionen von Malwarekategorien:

Trojanisches Pferd. Dies ist ein für den Benutzer harmlos erscheinendes Programm, das jedoch einen Code enthält, der zur Ausnutzung oder Beschädigung des jeweiligen Systems konzipiert wurde. Trojanische Pferde werden Benutzern meistens über E-Mail-Nachrichten zugestellt, in denen der Zweck und die Funktion des Programms falsch dargestellt werden. Dieser Malwaretyp wird auch als trojanischer Code bezeichnet. Ein Trojanisches Pferd übermittelt bei seiner Ausführung eine böswillige Nutzlast oder Task.

Wurm. Ein Wurm verwendet einen sich selbst propagierenden böswilligen Code, der sich eigenständig, automatisch über Netzwerkverbindungen von einem Computer auf andere verteilen kann. Ein Wurm ist in der Lage schädliche Aktionen auszuführen, z. B. Netzwerk- oder lokale Systemressourcen zu verbrauchen und dadurch eine Dienstverweigerung zu verursachen (DoS-Angriff). Solche Würmer können sich ohne benutzerseitige Eingriffe ausführen und ausbreiten, während andere Wurmtypen die direkte Ausführung des Wurmcodes durch den Benutzer erfordern. Zusätzlich zur Replikation können Würmer auch eine Nutzlast zustellen.

Virus. Ein Virus verwendet einen mit der ausdrücklichen Absicht der Replikation geschriebenen Code. Viren infizieren Computer, indem sie sich an ein Hostprogramm heften und beschädigen Hardware, Software oder Daten. Bei der Ausführung des Hosts wird auch der Viruscode ausgeführt, wodurch neue Hosts infiziert werden und in manchen Fällen zusätzliche Nutzlast gesendet wird.

In diesem Leitfaden ist die Bezeichung Nutzlast ein Sammelbegriff für die Aktionen, die ein Malwareangriff nach der Infektion auf dem Computer ausführt. Anhand der obigen Definitionen lassen sich die Unterschiede zwischen den verschiedenen Malwarekategorien in einem einfachen Flussdiagramm darstellen. Die folgende Abbildung zeigt die Elemente, mit denen Sie feststellen können, ob ein Programm oder Skript in eine dieser Kategorien fällt:

Abbildung 2.1 Flussdiagramm zum Bestimmen des Malwaretyps

Abbildung 2.1 Flussdiagramm zum Bestimmen des Malwaretyps

Diese Abbildung macht eine für diesen Leitfaden bezweckte Unterscheidung zwischen den allgemeinen Kategorien von böswilligen Codes möglich. Bedenken Sie jedoch, dass ein Code, der in mehrere dieser Kategorien fällt, durch einen einzigen Angriff eingeführt werden kann. Diese Angriffstypen (gemischte Bedrohungen, die aus mehreren Malwaretypen bestehen und mehrere Angriffsmöglichkeiten nutzen) können sich mit hoher Geschwindigkeit ausbreiten. Eine Angriffsmöglichkeit ist eine Route, über die Malware einen Angriff ausführen kann. Aus diesen Gründen kann die Verteidigung gegen gemischte Bedrohungen besonders schwierig sein.

In den folgenden Abschnitten werden die einzelnen Malwarekategorien und einige der zugehörigen Schlüsselelemente detaillierter erläutert.

Trojanische Pferde

Ein Trojanisches Pferd gilt nicht als Computervirus oder Wurm, da es sich nicht selbst propagiert. Ein Virus oder Wurm kann jedoch verwendet werden, um ein Trojanisches Pferd als Teil der Angriffsnutzlast auf ein Zielsystem zu kopieren. Dieser Vorgang wird als Ablegen bezeichnet. Ein Trojanisches Pferd beabsichtigt normalerweise, die Arbeit des Benutzers oder den normalen Betrieb des Systems zu stören. Das Trojanische Pferd kann z. B. eine Hintertür im System erstellen, so dass ein Hacker Daten stehlen oder Konfigurationseinstellungen ändern kann.

Die folgenden zwei Begriffe werden im Zusammenhang mit Trojanischen Pferden oder trojanischen Aktivitäten ebenfalls häufig verwendet:

Remotezugriffstrojaner. Einige Trojanische Pferde ermöglichen dem Hacker oder Datendieb die Remotesteuerung eines Systems. Solche Programme werden als Remotezugriffstrojaner (RATs = Remote Access Trojans) oder Hintertüren bezeichnet. Beispiele für Remotezugriffstrojaner sind "Back Orifice", "Cafeene" und "SubSeven".

Rootkits. Hierbei handelt es sich um Sammlungen von Softwareprogrammen, die ein Hacker verwenden kann, um sich einen nicht autorisierten Remotezugriff auf einen Computer zu verschaffen und weitere Angriffe zu starten. Diese Programme können unterschiedliche Techniken verwenden, z. B. das Überwachen von Tastenanschlägen, das Ändern der Systemprotokolldateien oder vorhandenen Systemanwendungen, das Erstellen einer Hintertür im System oder das Starten von Angriffen gegen andere Computer im Netzwerk. Rootkits bestehen im Allgemeinen aus einem Satz von speziell für Angriffe auf ein bestimmtes Betriebssystem konzipierten Tools. Die ersten Rootkits wurden Anfang der 90er Jahre identifiziert, wobei die Hauptziele die Betriebssysteme Sun und Linux waren. Zurzeit sind Rootkits vorhanden, die mehrere unterschiedliche Betriebssysteme zum Ziel ihrer Angriffe haben, u.a. auch für die Plattform Microsoft® Windows®.

Hinweis: Remotezugriffstrojaner und einige der Tools in Rootkits können auch zu legitimen Remotezugriffs- und Überwachungszwecken verwendet werden. Die Sicherheits- und Datenschutzprobleme, die diese Tools verursachen können, erhöhen jedoch das Gesamtrisiko für die jeweiligen Umgebungen.

Würmer

Wenn sich der böswillige Code repliziert, ist er kein Trojanisches Pferd. Zur genaueren Definition der Malware muss als Nächstes daher die folgende Frage gestellt werden: "Kann sich der Code ohne einen Träger replizieren?" Die Frage beinhaltet, ob die Replikation ohne Infektion einer ausführbaren Datei möglich ist. Lautet die Antwort auf diese Frage "Ja", handelt es sich bei dem Code um eine Form von Wurm.

Die meisten Würmer versuchen, sich selbst auf einen Hostcomputer zu kopieren, und verwenden dann die Kommunikationskanäle des Computers zur Replikation. Der Wurm "Sasser" nutzt z. B. eine Dienstsicherheitslücke, um zunächst ein System zu infizieren, um sich dann über die Netzwerkverbindung des infizierten Systems zu replizieren. Wenn Sie die aktuellsten Sicherheitsupdates installiert haben (zum Stoppen der Infektion) oder die Firewalls in Ihrer Umgebung zum Blockieren der vom Wurm verwendeten Netzwerkports konfiguriert haben (zum Stoppen der Replikation), schlägt der Angriff fehl.

Viren

Wenn der böswillige Code zum Replizieren eine Kopie von sich selbst an eine Datei, ein Dokument oder den Startsektor eines Laufwerks anhängt, gilt er als Virus. Diese Kopie kann eine direkte Kopie des ursprünglichen Virus oder eine geänderte Version des Originalvirus sein. Weitere Informationen finden Sie im Abschnitt "Verteidigungsmechanismen" in diesem Kapitel. Wie zuvor bereits erwähnt, enthält ein Virus häufig eine Nutzlast, die er auf einem lokalen Computer ablegen kann, z. B. ein Trojanisches Pferd, das dann böswillige Aktionen wie das Löschen von Benutzerdaten ausführt. Ein Virus, der sich nur repliziert und keine Nutzlast enthält, stellt jedoch auch ein Malwareproblem dar, da der Virus selbst bei der Replikation Daten beschädigen, Systemressourcen verbrauchen und Netzwerkbandbreite belegen kann.

Eigenschaften von Malware

Die verschiedenen Eigenschaften der einzelnen Malwarekategorien ähneln sich mitunter sehr. Sowohl ein Virus als auch ein Wurm kann z. B. das Netzwerk als Transportmechanismus verwenden. Der Virus sucht jedoch nach zu infizierenden Dateien, während der Wurm versucht, sich selbst zu kopieren. Im folgenden Abschnitt werden die typischen Eigenschaften von Malware beschrieben.

Zielumgebungen

Wenn Malware ein Hostsystem anzugreifen versucht, benötigt sie u. U. mehrere spezifische Komponenten, damit der Angriff gelingt. Die folgenden Komponenten sind z. B. häufig zum Angreifen des Hosts erforderlich:

Geräte. Einige Malwaretypen richten sich speziell gegen einen Gerätetyp, z. B. einen PC, einen Apple Macintosh-Computer oder sogar einen PDA (Personal Digital Assistant). PDA-Malware ist zurzeit jedoch noch selten.

Betriebssysteme. Manche Malware funktioniert nur auf bestimmten Betriebssystemen. Der Virus "CIH" oder "Chernobyl" der späten 90er Jahre konnte z. B. nur Computer angreifen, auf denen Microsoft Windows® 95 oder Windows® 98 ausgeführt wurde.

Anwendungen. Einige Malwaretypen benötigen zum Zustellen ihrer Nutzlast oder zur Replikation das Vorhandensein einer bestimmte Anwendung auf dem Zielcomputer. Der Virus "LFM.926" aus dem Jahr 2002 funktionierte z. B. nur, wenn der lokale Computer Shockwave Flash-Dateien (.swf) unterstützte.

Trägerobjekte

Wenn es sich bei der Malware um einen Virus handelt, versucht sie ein Trägerobjekt (auch bezeichnet als Host) anzugreifen, um es zu infizieren. Die Anzahl und der Typ der betroffenen Trägerobjekte variiert zwischen den unterschiedlichen Malwaretypen erheblich. Die folgende Liste zeigt die am häufigsten angegriffenen Träger:

Ausführbare Dateien. Dies ist das Ziel des "klassischen" Virustyps, der sich zur Replikation selbst an ein Hostprogramm heftet. Neben den typischen ausführbaren Dateien mit der Erweiterung EXE können zu diesem Zweck auch Dateien mit den folgenden Erweiterungen verwendet werden: .com, .sys, .dll, .ovl, .ocx und .prg.

Skripts. Manche Angriffe verwenden Skripts in Skriptsprachen wie Microsoft Visual Basic® Script, JavaScript, AppleScript oder Perl Script als Trägerzieldateien. Die Dateinamenerweiterungen für diesen Trägertyp sind: .vbs, .js, .wsh und .prl.

Makros. Bei diesen Träger handelt es sich um Dateien, die eine Makroskriptsprache einer bestimmten Anwendung unterstützen, z. B. einer Textverarbeitungs-, Tabellenkalkulations- oder Datenbankanwendung. Viren können unter Verwendung der Makrosprachen in Microsoft Word und Lotus Ami Pro z. B. eine Reihe von Effekten produzieren. Diese reichen von störenden Eingriffen (Vertauschen von Wörtern im Dokument oder Ändern von Farben) bis hin zu böswilligen Angriffen (Formatieren der Festplatte des Computers).

Startsektor. Spezifische Bereiche von Computerdatenträgern (Festplatten und startfähige Wechselmedien) wie der MBR (Master Boot Record) oder der DOS-Startdatensatz können ebenfalls als Träger betrachtet werden, da sie böswilligen Code ausführen können. Sobald ein infizierter Datenträger zum Starten anderer Computersysteme verwendet wird, repliziert sich der Virus.

Hinweis: Wenn der Virus zur Infektion sowohl Dateien als auch Startsektoren angreift, kann er als mehrteiliger Virus bezeichnet werden.

Transportmechanismen

Ein Angriff kann nur eine oder aber viele unterschiedliche Methoden verwenden, um sich zwischen Computersystemen zu replizieren. Dieser Abschnitt enthält Informationen zu einigen der am häufigsten von Malware verwendeten Transportmechanismen.

Wechselmedien. Der ursprüngliche und wahrscheinlich produktivste Transportmechanismus von Computerviren und anderer Malware ist (zumindest seit Kurzem) die Dateiübertragung. Dieser Mechanismus begann mit Disketten, verwendete dann Netzwerke und nutzt heute neue Medien wie USB-Geräte (Universal Serial Bus) und Firewire. Die Infektionsgeschwindigkeit ist weniger hoch als die von netzwerkgestützter Malware, die Bedrohung besteht jedoch weiterhin und ist aufgrund der Notwendigkeit des Datenaustausches zwischen Systemen schwer zu eliminieren.

Netzwerkfreigaben. Mit der Möglichkeit der direkten Netzwerkverbindung zwischen Computern bot sich Malwareautoren ein weiterer Transportmechanismus, der das Potenzial hatte, die Infektionsmöglichkeiten von Wechselmedien zu überbieten. Durch ungenügend implementierte Sicherheitsmaßnahmen im Rahmen von Netzwerkfreigaben entsteht eine Umgebung, in der sich Malware auf zahlreiche mit dem Netzwerk verbundene Computer replizieren kann. Dieser Ansatz hat die manuelle Methode der Verwendung von Wechselmedien weitgehend abgelöst.

Netzwerkscans. Malwareautoren verwenden diesen Mechanismus, um Netzwerke nach Computern mit Sicherheitslücken zu durchsuchen oder IP-Adressen nach einem Zufallsschema anzugreifen. Der Mechanismus kann z. B. ein "Sicherheitslücken-Testpaket" unter Verwendung eines bestimmten Netzwerkports an einen Bereich von IP-Adressen senden, um einen anfälligen Computer für einen Angriff ausfindig zu machen.

Peer-to-Peer-Netzwerke (P2P). Zum Ausführen von P2P-Dateiübertragungen muss ein Benutzer zunächst eine Clientkomponente der P2P-Anwendung installieren, die einen von der Organisationsfirewall zugelassenen Netzwerkport verwendet, z. B. Port 80. Die Anwendungen verwenden diesen Port, um durch die Firewall zu gelangen und Dateien direkt zwischen Computern zu übertragen. Diese Anwendungen sind im Internet verfügbar und bieten einen Transportmechanismus, über den Malwareautoren eine infizierte Datei direkt auf der Festplatte eines Clients platzieren können.

E-Mail. E-Mail hat sich zu einem beliebten Transportmechanismus entwickelt und wird heute von vielen Malwareangriffen genutzt. Der Grund für die gesteigerte Nutzung dieses effektiven Transportmittels ist die Einfachheit, mit der Angreifer Hunderte oder Tausende von Personen erreichen können, ohne ihren Schreibtisch und Computer auch nur zu verlassen. Benutzer konnten mithilfe von Social Engineering-Techniken relativ leicht hereingelegt und zum Öffnen von E-Mail-Anlagen verleitet werden. Daher verwendeten viele der effektivsten Malwareausbrüche die E-Mail als Transportmechanismus. Es gibt zwei wesentliche Malwaretypen, die die E-Mail als Transportmechanismus nutzen:

Mailer. Dieser Malwaretyp versendet sich selbst an eine beschränkte Anzahl von E-Mail-Adressen. Dazu verwendet er entweder die auf dem Host installierte E-Mail-Software (z. B. Microsoft Outlook® Express) oder ein eigenes integriertes SMTP-Modul (Simple Mail Transfer Protocol).

Massenmailer. Dieser Malwaretyp durchsucht den infizierten Computer nach E-Mail-Adressen und sendet sich dann selbst via Massenmail an diese Adressen. Dazu verwendet er wie der Mailer entweder die auf dem Host installierte E-Mail-Software oder sein eigenes integriertes SMTP-Modul.

Remoteausnutzung.Malware kann versuchen, eine bestimmte Sicherheitslücke in einem Dienst oder einer Anwendung zur Replikation auszunutzen. Dieses Verhalten wird häufig bei Würmern beobachtet. Der Wurm "Slammer" nutzte z. B. eine Sicherheitslücke in Microsoft SQL Server™ 2000. Der Wurm generierte einen Pufferüberlauf und ermöglichte so das Überschreiben eines Teiles des Systemspeichers durch Code, der in demselben Sicherheitskontext ausgeführt werden konnte wie der SQL Server-Dienst. Ein Pufferüberlauf ist ein Zustand, der hervorgerufen wird, indem einem Puffer mehr Informationen hinzugefügt werden als dieser aufnehmen kann. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um die Kontrolle über ein System zu übernehmen. Microsoft hatte diese Sicherheitslücke schon Monate vor dem Erscheinen von "Slammer" erkannt und behoben. Da aber nur wenige Systeme mit den entsprechenden Patches aktualisiert worden waren, konnte sich der Wurm ausbreiten.

Nutzlasten

Nachdem Malware den Hostcomputer über den Transportmechanismus erreicht hat, führt sie im Allgemeinen eine als Nutzlast bezeichnete Aktion aus, die verschiedene Formen annehmen kann. Einige der weiter verbreiteten Nutzlasttypen werden in diesem Abschnitt behandelt:

Hintertür. Dieser Nutzlasttyp ermöglicht den nicht autorisierten Zugriff auf einen Computer. Eine Hintertür kann dem Malwareautor einen vollständigen Zugriff bieten oder sich auf einen Zugriffstyp beschränken, z. B. das Aktivieren des FTP-Zugriffs (File Transfer Protocol) über Port 21 des Computers. Wenn Telnet durch einen Angriff aktiviert wird, kann ein Hacker den infizierten Computer als Sammelplatz für Telnet-Angriffe gegen andere Computer nutzen. Wie zuvor bereits erwähnt, werden Hintertüren auch als Remotezugriffstrojaner bezeichnet.

Beschädigung oder Löschung von Daten. Einer der zerstörerischsten Nutzlasttypen ist ein böswilliger Code, der Daten beschädigt oder löscht und somit die Informationen auf dem Computer des Benutzers unbrauchbar macht. Der Malwareautor hat in diesem Fall zwei Optionen: Die erste Option ist der Entwurf einer schnell ausgeführten Nutzlast. Dieser Malwareentwurf ist zwar für den infizierten Computer verheerend, er ermöglicht aber auch eine schnellere Entdeckung und reduziert dadurch die Wahrscheinlichkeit einer unerkannten Replikation. Die zweite Option besteht darin, die Nutzlast (in Form eines Trojanischen Pferdes) für einen gewissen Zeitraum auf dem lokalen System zu belassen (Beispiele hierzu finden Sie unter "Auslösemechanismen" in diesem Kapitel), so dass sich die Malware ausbreiten kann, bevor die Nutzlast zugestellt und so der Benutzer gewarnt wird.

Diebstahl von Informationen. Besonders Besorgnis erregend ist die auf den Diebstahl von Informationen abzielende Malwarenutzlast. Wenn es einer Nutzlast gelingt, die Sicherheit des Hostcomputers zu gefährden, kann sie einen Mechanismus bereitstellen, um Informationen an die Angreifer zurückzusenden. Dies ist auf unterschiedliche Weise möglich. Eine Übertragung kann z. B. automatisiert werden, so dass die Malware lokale Dateien oder Informationen wie die vom Benutzer betätigten Tasten erfasst (in der Hoffnung, einen Benutzernamen und ein Kennwort aufzudecken). Ein weiterer Mechanismus richtet dem lokalen Host eine Umgebung ein, die es dem Angreifer ermöglicht, den Host remote zu steuern oder sich direkten Zugriff auf die Dateien des Computers zu verschaffen.

Dienstverweigerung (DoS). Einer der einfachsten Nutzlasttypen ist der Dienstverweigerungsangriff (DoS-Angriff). Ein DoS-Angriff ist ein computerisierter "Sturmangriff", durch den ein Netzwerkdienst überlastet oder unterbrochen werden soll, z. B. ein Webserver oder Dateiserver. Vereinfacht ausgedrückt, versuchen DoS-Angriffe, einen bestimmten Dienst vorübergehend unbrauchbar zu machen.

Verteilte Dienstverweigerung (DDoS). Diese Angriffstypen nutzen normalerweise infizierte Clients, die sich ihrer Rolle bei einem Angriff meist nicht bewusst sind. Ein DDoS-Angriff ist eine Form des Dienstverweigerungsangriffs, bei der ein Angreifer einen auf verschiedenen Computern installierten böswilligen Code verwendet, der sich darauf konzentriert, nur ein Ziel anzugreifen. Mit dieser Methode kann ein Angreifer eine größere Wirkung auf das Ziel erreichen als dies mit nur einem angreifenden Computer möglich ist. Die Ausführungsdetails variieren von Angriff zu Angriff. In der Regel beinhalten sie jedoch das Senden großer Datenmengen an einen bestimmten Host oder eine Website, so dass dieser bzw. diese nicht mehr auf legitimen Verkehr reagieren kann. Dadurch wird die verfügbare Bandbreite der angegriffenen Site überflutet, und die Site wird offline geschaltet.

Die Verteidigung gegen diesen Angriffstyp kann extrem schwierig sein, da die für die Angriffe verantwortlichen Hosts unwissentlich selbst Opfer sind. DDoS-Angriffe werden normalerweise von Bots (Programme, die sich wiederholende Tasks ausführen) durchgeführt, z. B. einem IRC-Eggdrop-Bot (IRC = Internet Relay Chat), mit dem ein Hacker die angegriffenen Computer über einen IRC-Kanal steuern kann. Sobald der Hacker diese Computer unter seine Kontrolle gebracht hat, werden sie zu Zombies. Zombies können ohne das Wissen der Computerbesitzer auf Befehl des Hackers ein Ziel angreifen.

Sowohl DoS- als auch DDoS-Ansätze können mehrere unterschiedliche Angriffstechniken beinhalten, z. B.:

Herunterfahren von Systemen. Wenn es der Malware gelingt, das Hostsystem zum Absturz zu bringen oder herunterzufahren, kann sie mehrere Dienste unterbrechen. Für den Angriff auf das Hostsystem muss die Malware eine Sicherheitslücke in einer Anwendung oder im Betriebssystem ausfindig machen, durch die das System heruntergefahren werden kann.

Bandbreitenüberflutung. Die meisten der über das Internet angebotenen Dienste sind über eine Netzwerkverbindung mit begrenzter Bandbreite mit den jeweiligen Clients verbunden. Wenn ein Malwareautor diese Bandbreite durch eine entsprechende Nutzlast mit falschem Netzwerkverkehr überfluten kann, lässt sich eine Dienstverweigerung einfach hervorrufen, indem die Clients am Herstellen einer direkten Verbindung mit dem Dienst gehindert werden.

Netzwerk-DoS. Dieser Nutzlasttyp versucht, die für den lokalen Host verfügbaren Ressourcen zu überlasten. Ressourcen wie die CPU- und Arbeitsspeicherkapazität werden durch SYN-Flood-Angriffe überlastet. Bei diesen Angriffen sendet ein Angreifer mithilfe eines Programms eine Flut von TCP-SYN-Anforderungen, um die Warteschlange für ausstehende Verbindungen zu füllen und somit legitimen Netzwerkverkehr zum und vom Host zu verweigern. E-Mail-Bomben-Angriffe überfüllen zum Erzeugen eines DoS-Angriffs ebenfalls Speicherressourcen. Dabei wird eine extrem große Menge von E-Mail-Daten an eine E-Mail-Adresse gesendet, um das E-Mail-Programm zu unterbrechen oder zu verhindern, dass der Empfänger weitere legitime Nachrichten erhält.

Dienstunterbrechung. Dieser Nutzlasttyp kann ebenfalls eine Dienstverweigerung verursachen. Von dieser DoS-Angriffstechnik wird z. B. dann gesprochen, wenn durch einen Angriff auf einen DNS-Server (Domain Name System) der DNS-Dienst deaktiviert wird, während alle anderen Dienste auf dem System davon nicht betroffen sind.

Auslösemechanismen

Auslösemechanismen sind Malwareeigenschaften, die zum Initiieren der Replikation oder Nutzlastzustellung verwendet werden. Typische Auslösemechanismen sind:

Manuelle Ausführung. Dieser Auslösemechanismus besteht lediglich in der vom Opfer unbewusst durchgeführten Ausführung der Malware.

Social Engineering. Malware verwendet häufig eine Form von Social Engineering, um ein Opfer auszutricksen und zur manuellen Ausführung des böswilligen Codes zu verleiten. Der Ansatz kann wie bei Massenmailwürmern relativ einfach sein. In diesem Fall beschränkt sich die Social Engineering-Komponente auf die Auswahl eines Betrefftextes, der mit hoher Wahrscheinlichkeit dazu führt, dass das potenzielle Opfer die E-Mail-Nachricht öffnet. Malwareautoren können auch E-Mail-Spoofing verwenden, um dem Opfer vorzuspiegeln, dass eine E-Mail von einer vertrauenswürdigen Quelle stammt. Spoofing ist das Annehmen der Identität einer Website, um eine Datenübertragung echt erscheinen zu lassen. Der erstmals im Jahr 2003 aufgetretene ursprüngliche Wurm "Dumaru" änderte z. B. das Feld Absender von E-Mails, um vorzugeben, dass die E-Mail von "security@microsoft.com" stammt. (Weitere Informationen hierzu finden Sie unter "Kettenbriefe" im nächsten Abschnitt dieses Kapitels).

Halbautomatische Ausführung. Dieser Auslösemechanismus wird zunächst vom Opfer unwissentlich gestartet und dann automatisch ausgeführt.

Automatische Ausführung. Dieser Auslösemechanismus erfordert keinerlei manuelle Ausführung. Die Malware führt ihren Angriff aus, ohne dass sie die Hilfe eines potenziellen Opfers zum Ausführen des Codes benötigt.

Zeitbombe. Hier wird die Aktion nach der Infektion mithilfe eines Auslösemechanismus entweder verzögert, zu einem bestimmten Zeitpunkt oder innerhalb eines bestimmten Zeitraums ausgeführt. Der Wurm "MyDoom.B" z. B. hat seine Nutzlastroutinen gegen die Microsoft-Website erst am 3. Februar 2004 und gegen die SCO Group-Website erst am 1. Februar 2004 gestartet. Am 1. März 2004 hat er dann die gesamte Replikation eingestellt, obwohl die Hintertürkomponente der Zeitbombe auch nach diesem Zeitpunkt immer noch aktiv ist.

Bedingung. Dieser Auslösemechanismus verwendet eine vordefinierte Bedingung als Auslöser für die Zustellung der Nutzlast, z. B. eine umbenannte Datei, eine Tastenfolge oder den Start einer Anwendung. Mit diesem Auslösertyp arbeitende Malware wird auch als logische Bombe bezeichnet.

Verteidigungsmechanismen

Viele Malwaretypen verwenden einen Verteidigungsmechanismus, um die Wahrscheinlichkeit der Erkennung und Entfernung zu reduzieren. Die folgende Liste zeigt Beispiele für einige der bisher verwendeten Techniken:

Armor. Dieser Verteidigungsmechanismus verwendet eine Technik, die die Analyse des böswilligen Codes verhindern soll. Zu diesen Techniken gehört, die Ausführung eines Debuggers zu erkennen und seine korrekte Ausführung zu verhindern. Ebenso zählt dazu das Hinzufügen großer Mengen von bedeutungslosem Code mit dem Ziel, das Erkennen des böswilligen Codes und seines Zwecks zu erschweren.

Stealth. Bei dieser Technik versucht Malware, sich selbst zu verbergen und zu tarnen, indem sie Informationsanforderungen abfängt und falsche Daten zurückgibt. Ein Virus kann z. B. ein Bild eines nicht infizierten Startsektors speichern und dieses Bild anzeigen, wenn der Benutzer versucht, den infizierten Startsektor anzuzeigen. Der älteste bekannte Computervirus mit dem Namen “Brain” verwendete diese Technik im Jahr 1986.

Verschlüsselung. Malware mit diesem Verteidigungsmechanismus verschlüsselt sich selbst oder die Nutzlast (und manchmal sogar andere Systemdaten), um eine Erkennung oder einen Datenabruf zu verhindern. Verschlüsselte Malware enthält eine statische Entschlüsselungsroutine, einen zur Chriffrierung verwendeten Schlüssel und den verschlüsselten böswilligen Code. Bei ihrer Ausführung entschlüsselt die Malware den böswilligen Code. Die Malware erstellt dann eine Kopie ihres Codes und generiert einen neuen Schlüssel. Mit diesem und ihrer Verschlüsselungsroutine verschlüsselt sie dann die neue Kopie. Anders als polymorphe Viren verwendet Verschlüsselungsmalware immer dieselben Entschlüsselungsroutinen. Obwohl sich der Schlüsselwert (und somit die Signatur des verschlüsselten böswilligen Codes) gewöhnlich von Infektion zu Infektion ändert, kann Antivirussoftware daher nach der statischen Verschlüsselungsroutine suchen, um Malware mit diesem Verteidigungsmechanismus zu erkennen.

Oligomorph. Malware mit dieser Eigenschaft verwendet zu ihrer Verteidigung eine Verschlüsselung. Sie kann die Verschlüsselungsroutine aber nicht beliebig oft ändern, sondern ist normalerweise auf eine kleine, festgelegte Anzahl von Änderungen beschränkt. Ein Virus, der zwei unterschiedliche Entschlüsselungsroutinen generieren kann, wird normalerweise als oligomorph eingestuft.

Polymorph. Malware dieses Typs verwendet eine Verschlüsselung als Verteidigungsmechanismus, um sich selbst zu ändern und dadurch eine Erkennung zu verhindern. Die Malware verschlüsselt sich normalerweise mittels einer Verschlüsselungsroutine und erzeugt dann für jede Mutation einen unterschiedlichen Entschlüsselungsschlüssel. Folglich verwendet polymorphe Malware eine unbeschränkte Anzahl von Verschlüsselungsroutinen, um ihre Entdeckung zu verhindern. Bei der Replikation der Malware ändert sich ein Teil des Verschlüsselungscodes. Abhängig vom jeweiligen Malwarecode findet auch für die Nutzlast oder für andere ausgeführte Aktionen eine Verschlüsselung statt. Normalerweise wird ein Mutationsmodul eingesetzt, d. h. eine in sich geschlossene Komponente der Malware, die zufällige Verschlüsselungsroutinen generiert. Dieses Modul und die Malware werden dann verschlüsselt, und der neue Entschlüsselungsschlüssel wird gemeinsam mit diesen beiden Komponenten übertragen.

Was ist keine Malware?

Zahlreiche Bedrohungen gelten nicht als Malware, da sie keine mit böswilliger Absicht geschriebenen Computerprogramme sind. Diese Bedrohungen können dennoch Sicherheitsprobleme mit sich bringen und finanzielle Auswirkungen auf eine Organisation haben. Kenntnisse in den Bedrohungen dieser Software für die IT-Infrastruktur und die Produktivität der IT-Benutzer sind daher in jedem Fall hilfreich.

Jokesoftware

Jokeanwendungen sollen den Benutzer zum Lachen bringen und stellen schlimmstenfalls eine Zeitverschwendung dar. Diese Anwendungen gibt es, seitdem die Menschheit Computer benutzt. Da sie nicht mit böswilliger Absicht entwickelt werden und eindeutig als Jokes eingestuft werden können, gelten sie im Kontext dieses Leitfadens nicht als Malware. Für Jokeanwendungen gibt es zahlreiche Beispiele, die von interessanten Bildschirmeffekten bis hin zu amüsanten Animationen oder Spielen alles mögliche produzieren.

Kettenbriefe

Im Allgemeinen ist es einfacher, einen Benutzer durch Tricks dazu zu bringen, etwas für jemand zu tun, anstatt Software zu schreiben, die dieselbe Aktion ohne das Wissen des Benutzers ausführt. Daher tauchen in der IT-Welt immer wieder Kettenbriefe auf.

Wie andere Formen von Malware verwendet ein Kettenbrief Social Engineering, um Computerbenutzer zur Ausführung einer Aktion zu verleiten. Im Fall eines Kettenbriefs muss jedoch kein Code ausgeführt werden. Der Autor versucht lediglich, das Opfer auszutricksen. Kettenbriefe haben im Laufe der Jahre viele Formen angenommen. Ein weit verbreitetes Beispiel ist eine E-Mail-Nachricht, die die Entdeckung eines neuen Virentyps vorspiegelt und Sie auffordert, Ihre Freunde durch Weiterleiten der Nachricht zu warnen. Diese Kettenbriefe verschwenden die Zeit der Empfänger, verbrauchen Ressourcen auf dem E-Mail-Server und belegen Netzwerkbandbreite.

Scams

Nahezu alle Formen der technischen Kommunikation wurden nacheinander von Kriminellen verwendet, um Computerbenutzer zu bestimmten Aktionen zu verleiten und sich selbst zu bereichern. Das Internet, Websites und E-Mail sind keine Ausnahmen. Ein Beispiel hierfür ist eine E-Mail-Nachricht, die den Empfänger davon zu überzeugen versucht, persönliche Informationen offen zu legen (z. B. die Bankverbindung), die dann für illegale Zwecke verwendet werden können. Ein bestimmter Scamtyp wurde als Phishing bekannt und wird auch als Brand Spoofing oder Carding bezeichnet.

Beim Phishing geben sich die Absender z. B. als bekannte Firmen wie eBay aus, um Zugriff auf die Kontoinformationen des Benutzers zu erhalten. Phishing-Scams verwenden häufig eine Website, die das Aussehen der offiziellen Website der Firma kopiert. Der Benutzer wird mittels einer E-Mail zu der falschen Site geleitet und zur Eingabe seiner Benutzerkontoinformationen aufgefordert. Diese Informationen werden dann gespeichert und zu illegalen Zwecken verwendet. Diese Fälle sind sehr ernst zu nehmen und sollten den örtlichen Polizeidienststellen gemeldet werden.

Spam

Spam sind unaufgefordert eingehende E-Mail-Nachrichten, die für Dienste oder Produkte werben. Obwohl dieses Phänomen allgemein als Plage empfunden wird, ist Spam keine Malware. Die dramatische Zunahme der Anzahl von Spamnachrichten ist jedoch ein Problem für die Infrastruktur des Internets und beeinträchtigt die Produktivität von Mitarbeitern, die diese Nachrichten jeden Tag durchsehen und löschen müssen.

Die Quelle des Begriffs Spam ist umstritten, doch unabhängig von seinem Ursprung besteht kein Zweifel daran, dass Spam zu einem der hartnäckigsten Ärgernisse in der internetgestützten Kommunikation geworden ist. Viele halten Spam für ein so bedeutendes Problem, dass es die E-Mail-Kommunikation in der ganzen Welt gefährden kann. Abgesehen von der damit einher gehenden Belastung für E-Mail-Server und Antispamsoftware ist Spam jedoch nicht in der Lage, die Funktionalität und den Betrieb der IT-Systeme einer Organisation zu gefährden.

Viele Spamautoren (so genannte Spammer) installieren mithilfe von Malware einen kleinen SMTP-E-Mail-Serverdienst auf einem Hostcomputer, der dann zum Weiterleiten von Spamnachrichten an andere E-Mail-Empfänger verwendet wird.

Spyware

Dieser Softwaretyp wird auch als Spybot oder Trackingsoftware bezeichnet. Spyware verwendet andere Formen von irreführender Software und Programme, die ohne die entsprechende Genehmigung des Benutzers bestimmte Aktivitäten auf einem Computer ausführen. Zu diesen Aktivitäten können das Erfassen von persönlichen Informationen und das Ändern von Konfigurationseinstellungen für den Internetbrowser zählen. Spyware ist nicht nur ein Ärgernis, sie verursacht auch verschiedene Probleme, die von einer Beeinträchtigung der Gesamtleistung des Computers bis hin zu einer Verletzung Ihrer persönlichen Datensicherheit reichen können.

Websites, die Spyware verteilen, wenden unterschiedliche Tricks an, damit Benutzer die Software downloaden und auf ihren Computern installieren. Zu diesen Tricks zählen das Erstellen einer irreführenden Benutzeroberfläche und das versteckte Bündeln von Spyware mit anderer, vom Benutzer heruntergeladener Software.

Adware

Adware wird häufig mit einer Hostanwendung kombiniert, die kostenlos bereitgestellt wird, solange der Benutzer die Adware akzeptiert. Da Adwareanwendungen gewöhnlich installiert werden, nachdem der Benutzer einer Lizenzvereinbarung mit einem Hinweis auf den Zweck der Anwendung zugestimmt hat, handelt es sich nicht um eine Straftat. Popupwerbung kann jedoch zu einem Ärgernis werden und in einigen Fällen die Systemleistung beeinträchtigen. Zudem können die von einigen dieser Anwendungen erfassten Informationen Datenschutzprobleme für Benutzer darstellen, die sich der Bedingungen der Lizenzvereinbarung nicht vollständig bewusst waren.

Hinweis: Obwohl die Begriffe Spyware und Adware häufig synonym verwendet werden, ist nur die nicht autorisierte Adware tatsächlich mit Spyware vergleichbar. Informiert die Adware den Benutzer über ihren Zweck und bietet sie ihm Auswahl- und Steuerungsmöglichkeiten, ist sie nicht irreführend und somit nicht als Spyware einzustufen. Eine Spywareanwendung, die die Ausführung einer bestimmten Funktion vortäuscht, während sie tatsächlich eine andere Aktion ausführt, agiert wie ein Trojanisches Pferd.

Internetcookies

Internetcookies sind Textdateien, welche von besuchten Websites auf dem Computer des Benutzers platziert werden. Cookies enthalten und bieten den jeweiligen Websites identifizierende Informationen zum Benutzer sowie beliebige weitere Informationen, die die Sites über den Besuch des Benutzers erfassen möchten.

Cookies sind legitime von vielen Websites zum Verfolgen von Besucherinformationen verwendete Tools. Ein gängiges Tool ist hier folgendes: Ein Benutzer, der in einem Onlineshop einen Artikel zum Kauf auswählt und diesen in den Warenkorb legt, kann - sollte er zwischenzeitlich eine andere Website aufsuchen und dann zur Seite des Onlineshops zurückkehren - seinen Artikel immer noch zum Kauf im Warenkorb finden. Dieses ist durch die Speicherung durch einen Cookie auf dem Computer des Benutzers möglich.

Es ist eine Grundvoraussetzung, dass Entwickler von Websites nur die in den von ihnen erstellten Cookies gespeicherten Informationen abrufen können. Dieser Ansatz soll verhindern, dass andere Personen als die Entwickler der Sites auf die Cookies auf den Computern von Benutzern zugreifen, und gewährleistet so die Datensicherheit des Benutzers.

Unglücklicherweise verwenden einige Websiteentwickler Cookies, um ohne das Wissen des Benutzers Informationen zu erfassen. Einige Entwickler betrügen die Benutzer oder erwähnen ihre Verwendungsrichtlinien nicht. Sie können z. B. die Internetsurfgewohnheiten auf vielen unterschiedlichen Websites verfolgen, ohne den Benutzer darüber zu informieren. Mithilfe dieser Informationen ist es möglich, dass die Siteentwickler dann ihre für den Benutzer auf einer Website angezeigte Werbung gezielt anpassen. Dies gilt als Verletzung der Privatsphäre. Da die Identifizierung dieser Form der gezielten Werbung und anderer Formen des "Cookiemissbrauchs" schwierig ist, ist es auch schwer zu entscheiden, ob, wann und wie diese Werbung im System blockiert werden soll. Darüber hinaus variiert das akzeptierte Maß an offen gelegten Informationen von Benutzer zu Benutzer. Daher ist es schwierig, ein "Anticookieprogramm" zu erstellen, das den Anforderungen aller Computerbenutzer in Ihrer Netzwerkumgebung gerecht wird.

Antivirussoftware

Antivirussoftware ist speziell zur Verteidigung eines Systems gegen die Bedrohungen durch Malware konzipiert. Microsoft empfiehlt die Verwendung von Antivirussoftware ausdrücklich, da sie Ihre Computersysteme nicht nur gegen Viren, sondern auch gegen Malware verteidigt.

Antivirussoftware verwendet unterschiedliche Techniken zum Erkennen von Malware. In diesem Abschnitt wird die Funktionsweise einiger dieser Techniken erläutert:

Signaturscans. Die meisten Antivirusprogramme verwenden derzeit diese Technik, bei der das Ziel (Hostcomputer, Laufwerk oder Dateien) nach einem auf Malware hinweisenden Muster durchsucht wird. Diese Muster werden im Allgemeinen in so genannten Signaturdateien gespeichert. Solche Dateien werden von den Softwareherstellern regelmäßig aktualisiert, um sicherzustellen, dass die Virenscanner so viele bekannte Malwareangriffe wie möglich erkennen. Das Hauptproblem dieses Verfahrens besteht darin, dass die Antivirussoftware bereits aktualisiert sein muss, um die Malware erkennen und ihr entgegenzuwirken zu können.

Heuristische Scans. Diese Technik versucht, sowohl neue als auch bekannte Formen von Malware zu erkennen, indem sie nach allgemeinen Malwareeigenschaften sucht. Der wichtigste Vorteil dieser Technik ist, dass sie sich zum Bekämpfen von Malware nicht auf Signaturdateien stützt. Heuristische Scans bergen jedoch mehrere spezifische Probleme in sich, z. B.:

Falsche positive Warnungen. Da sich diese Technik auf allgemeine Eigenschaften stützt, kann es passieren, dass zulässige Software bei Übereinstimmung einer Eigenschaft fälschlicherweise als Malware gemeldet wird.

Langsamerer Scanvorgang. Die Suche nach Eigenschaften ist für die Software schwieriger als die Suche nach einem bekannten Malwaremuster. Aus diesem Grund können heuristische Scans länger dauern als Signaturscans.

Neue Eigenschaften können übersehen werden. Wenn ein neuer Malwareangriff eine zuvor noch nicht identifizierte Eigenschaft aufweist, findet der heuristische Scanner diese Eigenschaft wahrscheinlich erst nach seiner Aktualisierung.

Verhaltensblockierung. Diese Technik konzentriert sich nicht auf den Code selbst, sondern auf das Verhalten eines Malwareangriffs. Wenn eine Anwendung z. B. versucht, einen Netzwerkport zu öffnen, kann ein Antivirusprogramm zur Verhaltensblockierung dies als typische Malwareaktivität erkennen und das Verhalten als möglichen Malwareangriff kennzeichnen.

Viele Anbieter verwenden in ihren Antiviruslösungen heute eine Mischung aus diesen Techniken, um den Gesamtschutz für die Computersysteme ihrer Kunden zu verbessern.

Antivirussoftware ist von vielen Partnern von Microsoft erhältlich. Eine vollständige und aktuelle Liste finden Sie auf der Seite "Microsoft Antivirus Partners" (in Englisch) auf der Microsoft-Website unter http://www.microsoft.com/security/partners/antivirus.asp.

Typischer Zeitplan einer "freigelassenen" Malware

Zur Definition der Lebensdauer von neuen, in öffentlichen Netzwerken stattfindenden oder durch freigelassene Malware ausgelösten Malwareangriffen wurde ein Schema entwickelt. Dieses ermöglicht ein besseres Verständnis des Risikos, welches neue Malwareangriffe nach ihrem Erscheinen darstellen.

Ein neuer Zeitplan beginnt bei der erstmaligen Entwicklung von Malware und endet, wenn alle Spuren der Malware aus überwachten Netzwerken entfernt wurden. Die Zeitplanphasen sind folgendermaßen definiert:

1.

Idee. Die Entwicklung von Malware beginnt häufig mit einer Idee für eine neue Angriffs- oder Ausnutzungsmethode, die mit anderen Hackern ausgetauscht wird. Diese Methoden werden dann diskutiert und untersucht, bis ein Ansatz gefunden wird, aus dem sich ein Angriff entwickeln lässt.

2.

Entwicklung. Das Erstellen von Malware erfordert gewöhnlich sowohl Kenntnisse in der Computerassemblersprache als auch der genauen Funktionsweise des anzugreifenden Systems. Toolkits und Internet-Chatrooms ermöglichen heutzutage jedoch nahezu jedem Benutzer mit bösen Absichten das Erstellen von Malware.

3.

Replikation. Nachdem neue Malware entwickelt und freigelassen wurde, muss sie sich normalerweise eine Zeit lang auf potenzielle Hostgeräte replizieren, bevor sie ihre primäre Funktion ausführen bzw. ihre Nutzlast zustellen kann.

Hinweis: Obwohl es Zehntausende von bekannten Malwareprogrammen gibt, ist derzeit nur ein kleiner Teil davon freigelassen. Die meisten Malwareprogramme werden niemals in zerstörerischer Weise auf die Öffentlichkeit losgelassen, da sie lediglich aus persönlichem Interesse von Programmieren an den vorhandenen Möglichkeiten konzipiert wurden. Aus diesem Grund werden sie häufig als Zooviren bezeichnet.

4.

Zustellung der Nutzlast. Nachdem Malware einen Host erfolgreich infiziert hat, kann sie eine Nutzlast zustellen. Wenn der Code einen Bedingungsauslöser für seine Nutzlast enthält, werden in diese Phase die Bedingungen für den Zustellungsmechanismus hergestellt. Einige Malwarenutzlasten werden z. B. ausgelöst, wenn ein Benutzer eine bestimmte Aktion ausführt oder die Uhr auf dem Hostcomputer ein bestimmtes Datum erreicht. Wenn die Malware einen direkten Aktionsauslöser enthält, beginnt sie einfach nach Abschluss der Infektion mit der Zustellung der Nutzlast. Im Fall von Datenprotokollierungsnutzlasten beginnt das Malwareprogramm z. B. mit der Erfassung der gewünschten Daten.

5.

Identifizierung. An diesem Punkt im Zeitplan wird die Malware von den Antivirusspezialisten der IT-Branche identifiziert. Meistens findet dieser Schritt vor Phase 4 oder sogar vor Phase 3 statt, dies ist allerdings nicht immer der Fall.

6.

Erkennung. Nachdem die Bedrohung identifiziert wurde, müssen Entwickler von Antivirussoftware den Code analysieren, um eine zuverlässige Erkennungsmethode zu bestimmen. Anschließend werden die Antivirus-Signaturdateien mit dieser Methode aktualisiert, um vorhandenen Antivirusanwendungen die Erkennung der neuen Malware zu ermöglichen. Die Dauer dieses Prozesses ist entscheidend für die Eindämmung eines Ausbruchs.

7.

Entfernung. Nachdem das Update der Öffentlichkeit zur Verfügung gestellt wurde, liegt es in der Verantwortung der Benutzer von Antivirusanwendungen, das Update rechtzeitig zu installieren, um ihre Computer gegen den Angriff zu schützen (oder die bereits infizierten Systeme zu bereinigen).

Hinweis: Werden lokale Signaturdateien nicht rechtzeitig aktualisiert, entsteht ein Szenario mit hohem Risikopotenzial: Die Benutzer glauben, durch ihr Antivirusprodukt geschützt zu sein, obwohl dies nicht der Fall ist.

Je mehr Benutzer ihre Antivirussoftware aktualisieren, desto geringer wird die Bedrohung durch die Malware. Durch diesen Prozess wird dennoch nur selten jede freigelassene Malware entfernt, da immer einige mit dem Internet verbundene Computer vorhanden sind, die wenig oder gar keinen Virenschutz besitzen. Die Bedrohung durch den Angriff als Ganzes wird jedoch deutlich verringert.

Obwohl sich dieser Zeitplan für jeden neu entwickelten Malwareangriff wiederholt, ist er nicht für alle Angriffe typisch. Bei vielen Angriffen handelt es sich einfach um geänderte Versionen eines Teiles von Originalmalwarecode. In diesen Fällen sind der grundlegende Code und Ansatz identisch, und es sind nur kleine Änderungen notwendig, um die Erkennung und somit die Entfernung des Angriffs zu verhindern. Normalerweise bringt ein erfolgreicher Malwareangriff im Laufe der darauf folgenden Wochen oder Monaten eine Reihe von überarbeiteten Versionen hervor. Diese Situation führt zu einer Art "Rüstungswettlauf", bei dem Malwareautoren die Erkennung des Angriffs zu verhindern versuchen – sei es, um sich finanzielle Vorteile zu verschaffen, einem bestimmten Ruf gerecht zu werden oder einfach nur aus Neugier. Entsprechend der neuen Bedrohung werden dann entweder die Virenabwehrmaßnahmen erneut aktualisiert bzw. geändert oder Patches bereitgestellt.

Zusammenfassung

Malware ist ein komplexer und sich ständig weiterentwickelnder Bereich der Computertechnologie. Von allen in der IT-Branche auftretenden Problemen sind nur wenige so weit verbreitet und kostspielig wie Malwareangriffe. Die Kosten für die Verteidigung und die Wiederherstellung nach Angriffen sind erheblich. Kenntnisse in der Funktionsweise, der Entwicklung und den Angriffsmöglichkeiten von Malware können Ihnen helfen, diesem Problem proaktiv zu begegnen. Und dies wiederum kann Ihnen bei der Entwicklung eines effizienteren und effektiveren Reaktionsprozesses für Angriffe gegen Ihr Netzwerk helfen.

Durch die Vielzahl der zum Erstellen und Verteilen von Malware sowie zum Ausnutzen von Computersystemen verwendeten Techniken ist es schwer vorstellbar, wie ein System ausreichend gegen solche Angriffe gesichert werden kann. Wenn die Risiken und Sicherheitslücken jedoch bekannt sind, kann die Wahrscheinlichkeit eines erfolgreichen Angriffs aber durch eine entsprechende Verwaltung des Systems weitgehend ausgeschlossen werden.

Der nächste Schritt ist die Analyse der Risiken an verschiedenen Punkten in der IT-Infrastruktur, um eine geeignete Verteidigungslösung zu entwerfen. Dieser Schritt wird im folgenden Kapitel behandelt. Mit dem Entwurf eines effektiven Wiederherstellungsplans befasst sich das letzte Kapitel dieses Leitfadens.


**
**