MalewareVirenTrojaner

MalewareVirenTrojaner 1
MalewareVirenTrojaner
Viren, Trojaner, Würmer – Malware Begriffe erklärt
Wenn man heute über Schadprogramme oder Malware spricht, so ist damit eine grosse Familie von
Computerprogrammen gemeint, die entwickelt wurden, um vom Benutzer ungewollte oder
schädliche Aktionen durchzuführen. Umgangssprachlich wird ein solches Schadprogramm oftmals als
Virus, bzw. Computervirus bezeichnet – historisch bedingt, da Viren die ersten in freier
Wildbahn aufgetretenen Schadprogramme mit weiter Verbreitung waren. Als weitere Arten von
Schadprogrammen auftraten, hatte sich in der Öffentlichkeit der Begriff Virus bzw. Antivirus bereits
etabliert, so dass auch die Hersteller von Antivirensoftware bei dieser Bezeichnung blieben, obwohl
längst viele verschiedene Arten von Schadsoftware im Umlauf waren.
Wir versuchen hier einen Überblick über die Begrifflichkeiten zu geben.
Unter Viren versteht man Programme, die sich selbst replizieren (kopieren) können um sich von
Computer zu Computer zu verbreiten und von den betroffenen Systemen Daten zu stehlen oder zu
löschen. Fast alle Viren verstecken sich in einem ausführbaren Programm, was bedeutet, dass der
Virus solange inaktiv ist, wie das Programm an dem er angehängt ist nicht ausgeführt wird. Wird das
infizierte Programm ausgeführt, so wird auch der Viruscode ausgeführt. Normalerweise hängt sich
ein Virus nur an das Wirtsprogramm an, so dass dessen Funktion erhalten bleibt, es kommt allerdings
vor dass ein Virus ein Host- oder Wirtsprogramm einfach mit einer Kopie von sich selbst überschreibt
und dessen Funktion damit zerstört. Um andere Rechner zu infizieren, sind Viren darauf angewiesen,
dass die Datei oder das Programm an das sich ein Virus angehangen hat auf einen anderen Rechner
übertragen wird, zum Beispiel per Diskette, eMail-Anhang, Netzwerk oder File-Sharing. Würmer sind
von der Arbeitsweise her ähnlich einem Virus, benötigen aber nach Infektion eines Rechners keine
Wirtsdatei mehr,
MalewareVirenTrojaner 2
Würmer – Quelle: Team 17
um lauffähig zu sein. Würmer verbreiten sich sehr leicht und ihre aggressive Vorgehensweise macht
sie nicht nur für einzelne PCs zu einer Bedrohung, sondern für ganze Netzwerke. Einer der
zerstörerischsten Würmer, die das Internet bisher sah, war unter dem Namen Slammer bekannt
und feierte vor kurzem seinen 10. Geburtstag. Slammer war mit 376 Bytes sehr klein und verbreitete
sich äusserst aggressiv über UDP Port 1434 (siehe http://www.fsecure.com/weblog/archives/00002491.html). Dieser Wurm attackierte nur Microsoft SQL Server,
machte sich aber auch auf Homecomputern durch massiven Netzwerkverkehr bemerkbar, was zur
Folge hat, dass auf einem betroffenem PC Internetaufrufe kaum noch möglich sind.
Trojaner
Ein Trojanisches Pferd (Trojaner) verbreitet sich nicht selbst, sondern tarnt sich als nützliches
Programm oder Dokument,
Pferd – Herkunft : Troja
welches durch einen Benutzer aufgerufen wird und dann seine schädlichen Routinen zum Einsatz
bringt. So kann es z.B. an einem Bildschirmschoner “angehängt” sein und während dieser ausgeführt
wird, unbemerkt eine Reihe von Attacken auf dem Zielsystem durchführen. So z.B. die Installation
einer Backdoor oder von Spyware.
So lassen sich mit Hilfe eines Trojaners, welcher eine Hintertür (siehe Backdoor) im System installiert,
tausende von Rechnern gleichzeitig kontrollieren. Besonders komfortabel für den Angreifer ist es,
wenn ein sogenannter Remote Access Trojaner ein User-Interface besitzt, welches der Angreifer dazu
benutzen kann, um dem übernommenen PC Kommandos zu geben. Hiermit können dann ganze
Netzwerke an infizierten Rechnern zentral gesteuert und missbraucht werden.
Viele Angriffe verwenden die kombinierte Vorgehensweise von Viren, Trojanern und Würmern um
Gegenmaßnahmen zu erschweren und sich effektiv vor einer Entdeckung zu schützen.
Wie der Name schon vermuten lässt, dient eine Backdoor dazu, einem Angreifer eine versteckte
Hintertür zu einem System einzurichten. Meist mittels Trojaner oder Virus auf den betreffenden
Rechner gebracht, ermöglicht sie dem Angreifer einen Zugang zum Rechner, unter Umgehung der
Sicherheitseinrichtungen des Betriebssystems. So wurde bei einem im März 2011 bekannt
MalewareVirenTrojaner 3
gewordenen Hackerangriff auf Server von RSA eine Backdoor benutzt, um in deren Systeme
einzudringen. Die Backdoor wurde über eine eMail, welche als Dateianhang ein Excel-File mit einer
eingebetteten Flash-Datei hatte, installiert. Rief der Empfänger der Mail mit dem Titel “2011
Recruitment Plan” den Anhang auf, so wurde durch die von Excel automatisch ausgeführte FlashDatei das System kompromittiert und eine Hintertür eingerichtet, mit welcher der Angreifer die
komplette Kontrolle über den betreffenden PC erhielt.
Spyware
Software, die sich darauf spezialisiert hat, Informationen von befallenen Rechner zu stehlen,
bezeichnet man als Spyware. Hierzu zählen sogenannte Keylogger, welche Benutzereingaben
aufzeichnen und an Dritte weiterleiten, oder auch Programme die regelmässig im Hintergrund
Bildschirmphotos anfertigen und weiterleiten.
Adware
blendet, oftmals ungefragt, Werbung ein und stört damit die Benutzung des Internets durch
willkürliches Einblenden von Werbeseiten.
Werbe -Popup mit Scareware
Scareware
dient dazu, den Benutzer mit Meldungen von angeblichen Systemunsicherheiten und Gefahren zu
verunsichern und ihn zum Kauf eines der angebotenen Produkte zu verleiten, welche das Problem
vorgeblich beseitigen sollen.
Ransomware
hingegen sperrt den Zugriff auf die Benutzeroberfläche des Systems und fordert den Benutzer zur
Zahlung eines Lösegeldes auf, um wieder Zugriff auf das System zu erlangen.
GVU-Trojaner Sperrbildschirm
MalewareVirenTrojaner 4
Oft werden auch Bild- und Textdateien verschlüsselt und so vor dem Zugriff des Benutzers gesperrt.
Bekannteste Vertreter dieser Art sind hierzulande die BKA- und GVU-Trojaner, welche den PC
sperren und ein Bild anzeigen, welches durch die verwendeten Logos das Opfer einschüchtern und
zur Zahlung animieren soll. Selbst wenn das Opfer zahlt, erfolgt im Regelfall weder eine
Entschlüsselung der Daten noch eine Freischaltung des Rechners.
Nicht immer sind die Zeichen, dass ein Rechner mit Schadprogrammen infiziert ist, so offensichtlich
wie bei Ransomware. Oft arbeiten Schadprogramme unbemerkt im Hintergrund, verschicken Spam
Mails, greifen andere Netzwerke an oder spionieren den ahnungslosen Benutzer aus.
Malware kann einen Rechner infizieren, ohne dass man es bemerkt oder aktiv daran beteiligt sein
müsste. Es reicht schon aus, wenn eine Webseite oder ein Werbebanner Schadcode enthalten, der
Sicherheitslücken in Java oder Flash ausnutzen kann, um ein schädliches Programm auf dem
aufrufenden PC zu installieren.
Mögliche Anzeichen, dass der PC von Malware infiziert ist:








Wenn beim Surfen oft Popups für (meist unbekannte) Antivirenprodukte auftreten.
Die Startseite des Browsers hat sich verändert oder eine neue Toolbar ist wie aus dem Nichts
erschienen.
Programme werden gestartet, ohne dass der Benutzer sie aufgerufen hätte.
Der PC fühlt sich langsamer an als gewöhnlich. Internetverbindungen, egal zu welchen
Seiten, sind erheblich langsamer als normal.
Dateien und Ordner verschwinden.
Es treten ungewöhnlich viele Systemfehlermeldungen von Windows auf.
Die Firewall zeigt unbekannte Programme, welche sich ins Internet verbinden wollen.
Schützen Sie Ihren PC mit einem aktuellen Antivirenprodukt. Halten Sie ihren Browser und
die verwendete Software aktuell. Mit Hilfe unseres Browserchecks können Sie Ihren Browser
und die verwendeten Plugins auf bekannte Sicherheitslücken untersuchen.
MalewareVirenTrojaner 5
Viren Würmer und Trojaner
Schädlinge am PC sind ärgerlich und richten beachtliche Schäden an. Wenn der PC plötzlich langsam
läuft oder nicht mehr das macht was er soll, steckt oft ein Virus, Wurm oder anderen SabotageProgramm dahinter. Dabei wirken sich die Schädlinge unterschiedlich auf der Festplatte aus.
Unterschieden werden sie oft anhand ihrer „Verbreitungsmethode“. Doch was sind die Unterschiede
zwischen Trojanern, Viren und Würmern überhaupt?
Inhalt:
1.
2.
3.
4.
5.
6.
7.
Allgemeine Beschreibung von Viren, Trojanern und Würmern
Arten von Viren
Funktionsweise von Viren
Funktionsweise von Würmern
Funktionsweise von Trojanern
Tipps zum Schutz vor Viren, Würmern und Trojanern
Was tun mit einem infizierten System?
1. Allgemeine Beschreibung von Viren, Trojanern und
Würmern
Der Computervirus: Computerviren setzen eine Nutzeraktion voraus. Sie können sich also nicht
selbst verbreiten. Nach dem Start durch den Nutzer legen sie sich in ausführbaren Programmen und
infizierbaren Dokumenten ab. Mit Hilfe des Computernutzers wird die vireninfizierte Datei verbreitet.
Der Wurm: Würmer sind ebenfalls Viren. Sie unterscheiden sich aber im Verbreitungsprinzip. Sie
können sich automatisch von einem auf den anderen Rechner im Netzwerk oder über das Internet
kopieren. Um das zu erreichen übernehmen sie das System und schicken Schadcode an
beispielsweise alle E-Mailadressen im Adressbuch. Dadurch breitet sich der Wurm nach dem
Schnellballprinzip schnell aus. Das zusammen mit dem Zerstörungspotenzial macht Würmer
gefährlich. Bekannte Würmer sind „Melissa“ und „I Love You“. Sie können auch Schadensroutine
beinhalten.
Der Trojaner: Trojaner sind Viren, die hinter einem nützlichen Programm stecken. Die
Schadensroutine wird beim Start des Programms aktiviert. In vielen Fällen geht es den TrojanerEntwicklern darum persönliche Daten zu stehlen. Häufigstes und lukrativstes Ziel ist das Online-
MalewareVirenTrojaner 6
Banking. Trojaner protokollieren Eingaben und schicken sie zurück an den Entwickler, der sie für
illegale Aktivitäten missbraucht. Trojaner können auch eine Backdoor (Hintertür im System)
einrichten. Sobald sich der Nutzer im Internet befindet, wird der Hacker informiert und kann auf den
Rechner nach Belieben zugreifen.
2. Arten von Viren
In 4 Klassen lassen sich Viren einteilen:
Programmviren:
Diese Art der Viren nistet sich in Programmen oder Dateien ein. Aktiv werden Programmviren erst,
wenn die Datei ausgeführt oder geöffnet wird. Solche ausführbaren Dateien erkennt man an ihrer
Dateiendung (z.B. .exe, .dll, .com, …).
Skriptviren:
Scriptviren sind ein schrittweise ausgeführtes Programm., welche am häufigsten auf Webservern
vorkommen. Um Scriptviren auszuführen bedarf es eines Interpreters. Geschrieben sind sie oft in der
Sprache „Javascript“. Alle Browser können diese lesen und wiedergeben. Einmal ausgeführt ist das
System infiziert.
Bootviren:
Ein Bootvirus befällt den Bootsektor (Startbereich) von Festplatten oder anderen Medien (Disketten,
CDs, Sticks, Sepeicherkarten, …). Aktiviert werden Bootviren, wenn der Rechner gestartet wird.
Makroviren:
Makroviren brauchen Dateien, die Makros ausführen können. Am weitesten verbreitet sind
Makroviren in Excel- und Word-Dateien. Schadhafte Makros führen Befehle beim Start der Datei
automatisch aus.
Virenarten
3. Funktionsweise von Viren
MalewareVirenTrojaner 7
Viren benötigen „Wirte“. Das sind meist Programme. Werden sie vom Nutzer gestartet, nistet sich
der Virus im Arbeitsspeicher ein und schaut in der Festplatte nach noch nicht infizierten
Programmen. Sind diese ausfindig gemacht, werden auch sie infiziert und gekennzeichnet. AntiViren-Software sucht nach genau diesen Kennzeichnungen. Daher müssen Anti-Viren-Programm
aktuell gehalten werden. Es werden nämlich die Virendefinitionsdateien aktualisiert, die genau diese
Kennzeichnungen enthalten. Programme, wie Avira Anti-Virus, durchsuchen den PC mit dessen
Programmen nach Virenkennzeichnungen. Viren können sich tarnen Antiviren-Hersteller entwickeln
ihre Viren so, dass sie von Antivirus-Software nicht erkannt werden. Sie haben verschiedene
Methoden entwickelt, um unerkannt zu bleiben. Sogenannte „poly- und metamorphe Viren“ können
sich etwa selbst verändern. Trotzdem bleibt ihre Funktion erhalten. Vergleichbar ist dies mit dem
Grippevirus beim Menschen, der in verschiedenen Mutationen jedes Jahr neu
auftaucht. „Stealthviren“ können die Veränderung von befallen Dateien verschleiern, indem sie dem
Virenschutzprogramm die ursprüngliche Größe bei einer Dateiüberprüfung melden.
Virenschutzprogramme erkennen dann die Größenveränderung durch den Virus
nicht. „Retroviren“ können installierte Schutz-Software deaktivieren. Dadurch werden sie nicht nur
nicht erkannt, sondern öffnen auch anderer Schadsoftware die Tür zum PC-System.
4. Funktionsweise von Würmern
Würmer verwenden das Netzwerk bzw. Internet dazu sich selbst auf andere Computer zu kopieren.
Das ist der Hauptunterschied zu herkömmlichen Viren. Sie haben eine schnelle Verbreitung. Oft
findet diese per E-Mail statt. Der Wurm schaut dabei das Adressbuch durch und versendet sich selbst
an Kontakte des Opfers. Einigen Würmern reicht bereits eine bestehende Internetverbindung aus,
um Zugriff zum System zu erhalten. Dabei nutzen Würmer Sicherheitslücken in Programmen (sogar in
Antiviren-Software) und Betriebssystem aus.
Wichtig: Wer ohne Firewall und Antiviren-Programm in’s Internet geht, hat in den meisten Fällen
bereits nach wenigen Minuten einen oder mehrere Würmer eingefangen. Daher immer zuerst die
Schutzmaßnahmen ergreifen!
5. Funktionsweise von Trojanern
Trojaner verdanken ihren Namen aus der Zeit in der um Troja gekämpft wurde. In einem
großen trojanischen Pferd, welches als Geschenk angepriesen wurde, schleusten die Griechen ihre
Soldaten nach Troja ein. Auf diese Weise konnten sie den Krieg für sich entscheiden. Beim Trojaner
wird ein als nützlich ausgewiesenes Programm genutzt, um darin ein Schadprogramm zu
verstecken.Wer das Programm installiert, aktiviert den Schädling (oft ein Spionageprogramm). Der
Schädling läuft anschließend unabhängig vom Trojaner auf dem PC. Es bringt daher selten etwas den
Trojaner zu löschen. Zum Vergleich: Sie würden das Geschenk der Griechen zerstören- die Soldaten
bleiben aber noch erhalten. Es gibt Trojaner, die den Schädling bereits an Bord haben und welche,
die ihn über das Internet nachladen („Download-Trojaner“). Trojaner können sich auch als
Animation, Video, Bild oder Fehlermeldung tarnen.
6. Tipps zum Schutz vor Viren, Würmern und Trojanern
Wer mit Bedacht surft, kann bereits einiges tun, um sich vor Viren zu schützen. Im Laufe der Zeit
kann ich euch aber sagen, fängt sich fast jeder mit einem Windows-PC einen Virus ein. Ich möchte
dennoch einige Tipps zum Schutz vor Viren, Würmern und Trojanern geben:

Keine Word-Dokumente (.doc, .xls, …) von unbekannten Quellen öffnen bzw. verschicken.
MalewareVirenTrojaner 8







Anhänge in E-Mails nur öffnen, wenn dies mit dem Absender abgesprochen ist.
PC mit Windows nie ohne Firewall dazuwischen mit dem Internet verbinden.
Auf dem Windows-PC sollte immer ein Antivirus-Programm installiert sein. Unter „AntivirusProgramme für Windows in der Übersicht“ habe ich dazu einen Artikel geschrieben. Dies
sollte täglich aktualisiert werden (viele machen dies automatisch). Zusätzlich sollte jede oder
zweite Woche ein Komplett-Scan durchgeführt werden.
Aktuelle Updates sollten auch bei Microsoft Windows regelmäßig eingespielt werden.
Andere Software (insbesondere Browser, Flash, Java, …) regelmäßig aktualisieren.
Programme nur aus vertrauenswürdigen Quellen (z.B. Zdnet, Chip, …) herunterladen.
Der Internet Explorer ist nicht für seine Sicherheit bekannt. Stattdessen auf eine Alternative
wie Firefox, Opera, Safari oder Chrome setzen.
7. Was tun mit einem infizierten System?
Avita Anti Virus melden: Viren gefunden
Schädling entfernen und fertig? Man könnte versuchen mit einem Antiviren-Programm oder im
abgesicherten Modus den Schädling zu entfernen. Allerdings könnte sich dieser bereits weitere Wege
im System geöffnet haben. Einmal infizierte Systeme sind anfällig für verschiedene Hacker-Angriffe.
Wegschmeißen! Spaß beiseite. Der Computer ist nicht ganz verloren. Zunächst sollte das System vom
Netzwerk/Internet entfernt werden. Dann sollte geklärt werden auf welchem Wege der Schädling
das System befallen konnte. Lag es an einer fehlerhaften Firewall? War ein Programm dafür
verantwortlich oder hat man auf dubiosen Internetseiten gesurft? Als sicherste Methode gilt
immmer das Neuaufsetzen des PCs. Das heißt, dass Windows neu installiert wird. Anschließend
werden alle Programme neu installiert und das System konfiguriert. Das ist natürlich mit einem
erheblichen Aufwand verbunden. Es ist aber die einzige Möglichkeit sicher zu gehen ein sauberes
System zu haben.