MalewareVirenTrojaner 1 MalewareVirenTrojaner Viren, Trojaner, Würmer – Malware Begriffe erklärt Wenn man heute über Schadprogramme oder Malware spricht, so ist damit eine grosse Familie von Computerprogrammen gemeint, die entwickelt wurden, um vom Benutzer ungewollte oder schädliche Aktionen durchzuführen. Umgangssprachlich wird ein solches Schadprogramm oftmals als Virus, bzw. Computervirus bezeichnet – historisch bedingt, da Viren die ersten in freier Wildbahn aufgetretenen Schadprogramme mit weiter Verbreitung waren. Als weitere Arten von Schadprogrammen auftraten, hatte sich in der Öffentlichkeit der Begriff Virus bzw. Antivirus bereits etabliert, so dass auch die Hersteller von Antivirensoftware bei dieser Bezeichnung blieben, obwohl längst viele verschiedene Arten von Schadsoftware im Umlauf waren. Wir versuchen hier einen Überblick über die Begrifflichkeiten zu geben. Unter Viren versteht man Programme, die sich selbst replizieren (kopieren) können um sich von Computer zu Computer zu verbreiten und von den betroffenen Systemen Daten zu stehlen oder zu löschen. Fast alle Viren verstecken sich in einem ausführbaren Programm, was bedeutet, dass der Virus solange inaktiv ist, wie das Programm an dem er angehängt ist nicht ausgeführt wird. Wird das infizierte Programm ausgeführt, so wird auch der Viruscode ausgeführt. Normalerweise hängt sich ein Virus nur an das Wirtsprogramm an, so dass dessen Funktion erhalten bleibt, es kommt allerdings vor dass ein Virus ein Host- oder Wirtsprogramm einfach mit einer Kopie von sich selbst überschreibt und dessen Funktion damit zerstört. Um andere Rechner zu infizieren, sind Viren darauf angewiesen, dass die Datei oder das Programm an das sich ein Virus angehangen hat auf einen anderen Rechner übertragen wird, zum Beispiel per Diskette, eMail-Anhang, Netzwerk oder File-Sharing. Würmer sind von der Arbeitsweise her ähnlich einem Virus, benötigen aber nach Infektion eines Rechners keine Wirtsdatei mehr, MalewareVirenTrojaner 2 Würmer – Quelle: Team 17 um lauffähig zu sein. Würmer verbreiten sich sehr leicht und ihre aggressive Vorgehensweise macht sie nicht nur für einzelne PCs zu einer Bedrohung, sondern für ganze Netzwerke. Einer der zerstörerischsten Würmer, die das Internet bisher sah, war unter dem Namen Slammer bekannt und feierte vor kurzem seinen 10. Geburtstag. Slammer war mit 376 Bytes sehr klein und verbreitete sich äusserst aggressiv über UDP Port 1434 (siehe http://www.fsecure.com/weblog/archives/00002491.html). Dieser Wurm attackierte nur Microsoft SQL Server, machte sich aber auch auf Homecomputern durch massiven Netzwerkverkehr bemerkbar, was zur Folge hat, dass auf einem betroffenem PC Internetaufrufe kaum noch möglich sind. Trojaner Ein Trojanisches Pferd (Trojaner) verbreitet sich nicht selbst, sondern tarnt sich als nützliches Programm oder Dokument, Pferd – Herkunft : Troja welches durch einen Benutzer aufgerufen wird und dann seine schädlichen Routinen zum Einsatz bringt. So kann es z.B. an einem Bildschirmschoner “angehängt” sein und während dieser ausgeführt wird, unbemerkt eine Reihe von Attacken auf dem Zielsystem durchführen. So z.B. die Installation einer Backdoor oder von Spyware. So lassen sich mit Hilfe eines Trojaners, welcher eine Hintertür (siehe Backdoor) im System installiert, tausende von Rechnern gleichzeitig kontrollieren. Besonders komfortabel für den Angreifer ist es, wenn ein sogenannter Remote Access Trojaner ein User-Interface besitzt, welches der Angreifer dazu benutzen kann, um dem übernommenen PC Kommandos zu geben. Hiermit können dann ganze Netzwerke an infizierten Rechnern zentral gesteuert und missbraucht werden. Viele Angriffe verwenden die kombinierte Vorgehensweise von Viren, Trojanern und Würmern um Gegenmaßnahmen zu erschweren und sich effektiv vor einer Entdeckung zu schützen. Wie der Name schon vermuten lässt, dient eine Backdoor dazu, einem Angreifer eine versteckte Hintertür zu einem System einzurichten. Meist mittels Trojaner oder Virus auf den betreffenden Rechner gebracht, ermöglicht sie dem Angreifer einen Zugang zum Rechner, unter Umgehung der Sicherheitseinrichtungen des Betriebssystems. So wurde bei einem im März 2011 bekannt MalewareVirenTrojaner 3 gewordenen Hackerangriff auf Server von RSA eine Backdoor benutzt, um in deren Systeme einzudringen. Die Backdoor wurde über eine eMail, welche als Dateianhang ein Excel-File mit einer eingebetteten Flash-Datei hatte, installiert. Rief der Empfänger der Mail mit dem Titel “2011 Recruitment Plan” den Anhang auf, so wurde durch die von Excel automatisch ausgeführte FlashDatei das System kompromittiert und eine Hintertür eingerichtet, mit welcher der Angreifer die komplette Kontrolle über den betreffenden PC erhielt. Spyware Software, die sich darauf spezialisiert hat, Informationen von befallenen Rechner zu stehlen, bezeichnet man als Spyware. Hierzu zählen sogenannte Keylogger, welche Benutzereingaben aufzeichnen und an Dritte weiterleiten, oder auch Programme die regelmässig im Hintergrund Bildschirmphotos anfertigen und weiterleiten. Adware blendet, oftmals ungefragt, Werbung ein und stört damit die Benutzung des Internets durch willkürliches Einblenden von Werbeseiten. Werbe -Popup mit Scareware Scareware dient dazu, den Benutzer mit Meldungen von angeblichen Systemunsicherheiten und Gefahren zu verunsichern und ihn zum Kauf eines der angebotenen Produkte zu verleiten, welche das Problem vorgeblich beseitigen sollen. Ransomware hingegen sperrt den Zugriff auf die Benutzeroberfläche des Systems und fordert den Benutzer zur Zahlung eines Lösegeldes auf, um wieder Zugriff auf das System zu erlangen. GVU-Trojaner Sperrbildschirm MalewareVirenTrojaner 4 Oft werden auch Bild- und Textdateien verschlüsselt und so vor dem Zugriff des Benutzers gesperrt. Bekannteste Vertreter dieser Art sind hierzulande die BKA- und GVU-Trojaner, welche den PC sperren und ein Bild anzeigen, welches durch die verwendeten Logos das Opfer einschüchtern und zur Zahlung animieren soll. Selbst wenn das Opfer zahlt, erfolgt im Regelfall weder eine Entschlüsselung der Daten noch eine Freischaltung des Rechners. Nicht immer sind die Zeichen, dass ein Rechner mit Schadprogrammen infiziert ist, so offensichtlich wie bei Ransomware. Oft arbeiten Schadprogramme unbemerkt im Hintergrund, verschicken Spam Mails, greifen andere Netzwerke an oder spionieren den ahnungslosen Benutzer aus. Malware kann einen Rechner infizieren, ohne dass man es bemerkt oder aktiv daran beteiligt sein müsste. Es reicht schon aus, wenn eine Webseite oder ein Werbebanner Schadcode enthalten, der Sicherheitslücken in Java oder Flash ausnutzen kann, um ein schädliches Programm auf dem aufrufenden PC zu installieren. Mögliche Anzeichen, dass der PC von Malware infiziert ist: Wenn beim Surfen oft Popups für (meist unbekannte) Antivirenprodukte auftreten. Die Startseite des Browsers hat sich verändert oder eine neue Toolbar ist wie aus dem Nichts erschienen. Programme werden gestartet, ohne dass der Benutzer sie aufgerufen hätte. Der PC fühlt sich langsamer an als gewöhnlich. Internetverbindungen, egal zu welchen Seiten, sind erheblich langsamer als normal. Dateien und Ordner verschwinden. Es treten ungewöhnlich viele Systemfehlermeldungen von Windows auf. Die Firewall zeigt unbekannte Programme, welche sich ins Internet verbinden wollen. Schützen Sie Ihren PC mit einem aktuellen Antivirenprodukt. Halten Sie ihren Browser und die verwendete Software aktuell. Mit Hilfe unseres Browserchecks können Sie Ihren Browser und die verwendeten Plugins auf bekannte Sicherheitslücken untersuchen. MalewareVirenTrojaner 5 Viren Würmer und Trojaner Schädlinge am PC sind ärgerlich und richten beachtliche Schäden an. Wenn der PC plötzlich langsam läuft oder nicht mehr das macht was er soll, steckt oft ein Virus, Wurm oder anderen SabotageProgramm dahinter. Dabei wirken sich die Schädlinge unterschiedlich auf der Festplatte aus. Unterschieden werden sie oft anhand ihrer „Verbreitungsmethode“. Doch was sind die Unterschiede zwischen Trojanern, Viren und Würmern überhaupt? Inhalt: 1. 2. 3. 4. 5. 6. 7. Allgemeine Beschreibung von Viren, Trojanern und Würmern Arten von Viren Funktionsweise von Viren Funktionsweise von Würmern Funktionsweise von Trojanern Tipps zum Schutz vor Viren, Würmern und Trojanern Was tun mit einem infizierten System? 1. Allgemeine Beschreibung von Viren, Trojanern und Würmern Der Computervirus: Computerviren setzen eine Nutzeraktion voraus. Sie können sich also nicht selbst verbreiten. Nach dem Start durch den Nutzer legen sie sich in ausführbaren Programmen und infizierbaren Dokumenten ab. Mit Hilfe des Computernutzers wird die vireninfizierte Datei verbreitet. Der Wurm: Würmer sind ebenfalls Viren. Sie unterscheiden sich aber im Verbreitungsprinzip. Sie können sich automatisch von einem auf den anderen Rechner im Netzwerk oder über das Internet kopieren. Um das zu erreichen übernehmen sie das System und schicken Schadcode an beispielsweise alle E-Mailadressen im Adressbuch. Dadurch breitet sich der Wurm nach dem Schnellballprinzip schnell aus. Das zusammen mit dem Zerstörungspotenzial macht Würmer gefährlich. Bekannte Würmer sind „Melissa“ und „I Love You“. Sie können auch Schadensroutine beinhalten. Der Trojaner: Trojaner sind Viren, die hinter einem nützlichen Programm stecken. Die Schadensroutine wird beim Start des Programms aktiviert. In vielen Fällen geht es den TrojanerEntwicklern darum persönliche Daten zu stehlen. Häufigstes und lukrativstes Ziel ist das Online- MalewareVirenTrojaner 6 Banking. Trojaner protokollieren Eingaben und schicken sie zurück an den Entwickler, der sie für illegale Aktivitäten missbraucht. Trojaner können auch eine Backdoor (Hintertür im System) einrichten. Sobald sich der Nutzer im Internet befindet, wird der Hacker informiert und kann auf den Rechner nach Belieben zugreifen. 2. Arten von Viren In 4 Klassen lassen sich Viren einteilen: Programmviren: Diese Art der Viren nistet sich in Programmen oder Dateien ein. Aktiv werden Programmviren erst, wenn die Datei ausgeführt oder geöffnet wird. Solche ausführbaren Dateien erkennt man an ihrer Dateiendung (z.B. .exe, .dll, .com, …). Skriptviren: Scriptviren sind ein schrittweise ausgeführtes Programm., welche am häufigsten auf Webservern vorkommen. Um Scriptviren auszuführen bedarf es eines Interpreters. Geschrieben sind sie oft in der Sprache „Javascript“. Alle Browser können diese lesen und wiedergeben. Einmal ausgeführt ist das System infiziert. Bootviren: Ein Bootvirus befällt den Bootsektor (Startbereich) von Festplatten oder anderen Medien (Disketten, CDs, Sticks, Sepeicherkarten, …). Aktiviert werden Bootviren, wenn der Rechner gestartet wird. Makroviren: Makroviren brauchen Dateien, die Makros ausführen können. Am weitesten verbreitet sind Makroviren in Excel- und Word-Dateien. Schadhafte Makros führen Befehle beim Start der Datei automatisch aus. Virenarten 3. Funktionsweise von Viren MalewareVirenTrojaner 7 Viren benötigen „Wirte“. Das sind meist Programme. Werden sie vom Nutzer gestartet, nistet sich der Virus im Arbeitsspeicher ein und schaut in der Festplatte nach noch nicht infizierten Programmen. Sind diese ausfindig gemacht, werden auch sie infiziert und gekennzeichnet. AntiViren-Software sucht nach genau diesen Kennzeichnungen. Daher müssen Anti-Viren-Programm aktuell gehalten werden. Es werden nämlich die Virendefinitionsdateien aktualisiert, die genau diese Kennzeichnungen enthalten. Programme, wie Avira Anti-Virus, durchsuchen den PC mit dessen Programmen nach Virenkennzeichnungen. Viren können sich tarnen Antiviren-Hersteller entwickeln ihre Viren so, dass sie von Antivirus-Software nicht erkannt werden. Sie haben verschiedene Methoden entwickelt, um unerkannt zu bleiben. Sogenannte „poly- und metamorphe Viren“ können sich etwa selbst verändern. Trotzdem bleibt ihre Funktion erhalten. Vergleichbar ist dies mit dem Grippevirus beim Menschen, der in verschiedenen Mutationen jedes Jahr neu auftaucht. „Stealthviren“ können die Veränderung von befallen Dateien verschleiern, indem sie dem Virenschutzprogramm die ursprüngliche Größe bei einer Dateiüberprüfung melden. Virenschutzprogramme erkennen dann die Größenveränderung durch den Virus nicht. „Retroviren“ können installierte Schutz-Software deaktivieren. Dadurch werden sie nicht nur nicht erkannt, sondern öffnen auch anderer Schadsoftware die Tür zum PC-System. 4. Funktionsweise von Würmern Würmer verwenden das Netzwerk bzw. Internet dazu sich selbst auf andere Computer zu kopieren. Das ist der Hauptunterschied zu herkömmlichen Viren. Sie haben eine schnelle Verbreitung. Oft findet diese per E-Mail statt. Der Wurm schaut dabei das Adressbuch durch und versendet sich selbst an Kontakte des Opfers. Einigen Würmern reicht bereits eine bestehende Internetverbindung aus, um Zugriff zum System zu erhalten. Dabei nutzen Würmer Sicherheitslücken in Programmen (sogar in Antiviren-Software) und Betriebssystem aus. Wichtig: Wer ohne Firewall und Antiviren-Programm in’s Internet geht, hat in den meisten Fällen bereits nach wenigen Minuten einen oder mehrere Würmer eingefangen. Daher immer zuerst die Schutzmaßnahmen ergreifen! 5. Funktionsweise von Trojanern Trojaner verdanken ihren Namen aus der Zeit in der um Troja gekämpft wurde. In einem großen trojanischen Pferd, welches als Geschenk angepriesen wurde, schleusten die Griechen ihre Soldaten nach Troja ein. Auf diese Weise konnten sie den Krieg für sich entscheiden. Beim Trojaner wird ein als nützlich ausgewiesenes Programm genutzt, um darin ein Schadprogramm zu verstecken.Wer das Programm installiert, aktiviert den Schädling (oft ein Spionageprogramm). Der Schädling läuft anschließend unabhängig vom Trojaner auf dem PC. Es bringt daher selten etwas den Trojaner zu löschen. Zum Vergleich: Sie würden das Geschenk der Griechen zerstören- die Soldaten bleiben aber noch erhalten. Es gibt Trojaner, die den Schädling bereits an Bord haben und welche, die ihn über das Internet nachladen („Download-Trojaner“). Trojaner können sich auch als Animation, Video, Bild oder Fehlermeldung tarnen. 6. Tipps zum Schutz vor Viren, Würmern und Trojanern Wer mit Bedacht surft, kann bereits einiges tun, um sich vor Viren zu schützen. Im Laufe der Zeit kann ich euch aber sagen, fängt sich fast jeder mit einem Windows-PC einen Virus ein. Ich möchte dennoch einige Tipps zum Schutz vor Viren, Würmern und Trojanern geben: Keine Word-Dokumente (.doc, .xls, …) von unbekannten Quellen öffnen bzw. verschicken. MalewareVirenTrojaner 8 Anhänge in E-Mails nur öffnen, wenn dies mit dem Absender abgesprochen ist. PC mit Windows nie ohne Firewall dazuwischen mit dem Internet verbinden. Auf dem Windows-PC sollte immer ein Antivirus-Programm installiert sein. Unter „AntivirusProgramme für Windows in der Übersicht“ habe ich dazu einen Artikel geschrieben. Dies sollte täglich aktualisiert werden (viele machen dies automatisch). Zusätzlich sollte jede oder zweite Woche ein Komplett-Scan durchgeführt werden. Aktuelle Updates sollten auch bei Microsoft Windows regelmäßig eingespielt werden. Andere Software (insbesondere Browser, Flash, Java, …) regelmäßig aktualisieren. Programme nur aus vertrauenswürdigen Quellen (z.B. Zdnet, Chip, …) herunterladen. Der Internet Explorer ist nicht für seine Sicherheit bekannt. Stattdessen auf eine Alternative wie Firefox, Opera, Safari oder Chrome setzen. 7. Was tun mit einem infizierten System? Avita Anti Virus melden: Viren gefunden Schädling entfernen und fertig? Man könnte versuchen mit einem Antiviren-Programm oder im abgesicherten Modus den Schädling zu entfernen. Allerdings könnte sich dieser bereits weitere Wege im System geöffnet haben. Einmal infizierte Systeme sind anfällig für verschiedene Hacker-Angriffe. Wegschmeißen! Spaß beiseite. Der Computer ist nicht ganz verloren. Zunächst sollte das System vom Netzwerk/Internet entfernt werden. Dann sollte geklärt werden auf welchem Wege der Schädling das System befallen konnte. Lag es an einer fehlerhaften Firewall? War ein Programm dafür verantwortlich oder hat man auf dubiosen Internetseiten gesurft? Als sicherste Methode gilt immmer das Neuaufsetzen des PCs. Das heißt, dass Windows neu installiert wird. Anschließend werden alle Programme neu installiert und das System konfiguriert. Das ist natürlich mit einem erheblichen Aufwand verbunden. Es ist aber die einzige Möglichkeit sicher zu gehen ein sauberes System zu haben.