Malware erkennen

Das kleine ABC der Schadsoftware

15.03.2021
Von 
Roger Grimes ist freier Redakteur unserer US-Schwesterpublikation CSO Online.
Mit Malware kennen Sie sich aus? Stellen Sie Ihr Schadsoftware-Knowhow auf die Probe.
Um Cyberbedrohungen abzuwehren, müssen Sie wissen, mit was sie es zu tun haben.
Um Cyberbedrohungen abzuwehren, müssen Sie wissen, mit was sie es zu tun haben.
Foto: Preechar Bowonkitwanchai - shutterstock.com

Geht es um IT Security, sind die Grenzen der Terminologie des Öfteren fließend. Ein unguter Umstand, denn um die Ausbreitung von Schadsoftware zu verhindern, beziehungsweise diese zu entfernen, ist es unabdingbar, die einzelnen Malware-Typen korrekt voneinander abgrenzen zu können. Wir geben Ihnen einen Überblick über die neun gängigsten Malware-Typen und ihre Eigenarten.

Viren

Als Computervirus bezeichnen viele Nicht-IT-Medien und auch der Ottonormal-User so gut wie jede Malware. Glücklicherweise entspricht das nicht der Wahrheit. Ein echter Virus modifiziert legitime Host Files (oder ihre Pointer) so, dass bei Ausführung einer Datei auch der Virus ausgeführt wird.

Echte Computerviren sind heutzutage eher eine Seltenheit, sie machen nur rund 10 Prozent aller Schadsoftware-Fälle aus. Eine gute Nachricht, denn ein Virus stellt die einzige Malware-Gattung dar, die andere Dateien infiziert. Das gestaltet es besonders kompliziert, sie zu entfernen. So kompliziert, dass auch heutzutage die besten Antivirus-Tools damit zu kämpfen haben - in vielen Fällen wird der Virus einfach in Quarantäne versetzt oder die infizierte Datei gelöscht.

Würmer

Würmer sind die Silverbacks der Schadsoftware und existieren bereits seit den guten, alten Mainframe-Tagen. Die Verbreitung der E-Mail hat Würmer in den 1990er Jahren populär gemacht. Das folgende Jahrzehnt war geprägt von maliziösen E-Mail-Anhängen, die sich (nicht nur) in die Unternehmenspostfächer schlichen. Einen unwissenden User später war im Regelfall die komplette Firma infiziert.

Das wesentliche Merkmal von Würmern ist ihre Fähigkeit, sich selbst zu vervielfältigen. Denken Sie nur an den berüchtigten Iloveyou-Wurm: Einmal losgetreten, infizierte er so gut wie jeden E-Mail-Benutzer der Welt, legte Telefonie-Systeme, ganze TV-Sender und Verlagshäuser lahm. Weitere prominente Beispiele waren SQL Slammer und MS Blast.

Besonders schädlich wirken effektive Würmer, weil sie sich ohne Zutun der Endbenutzer verbreiten können. Im Gegensatz zu Viren etwa, die eine Handlung der User erfordern, bevor sie weitere Dateien infizieren können.

Trojaner

Trojaner haben Würmer in der Gunst krimineller Hacker überholt - sie tarnen sich als legitime Programme, beinhalten aber maliziöse Bestandteile. Auch Trojaner existieren schon viele Jahre und sind auch heute noch weit verbreitet.

Auch ein Trojaner muss von seinem Opfer ausgeführt werden, um sein schädliches Werk beginnen zu können. Für gewöhnlich findet diese Art der Schadsoftware per E-Mail oder über infizierte Webseiten den Weg auf die Zielrechner. Die populärste Art von Trojaner tarnt sich als Antivirussoftware, behauptet der Rechner sei infiziert und leitet den User anschließend zu einem vermeintlichen "Cleaner-Programm".

Unter Cyberkriminellen besonders beliebt sind Remote-Access-Trojaner (RAT), die es den Angreifern ermöglichen, befallene Rechner fernzusteuern. Das Ziel besteht dabei im Regelfall darin, sich lateral durch das Netzwerk zu bewegen und dort möglichst viele weitere Maschinen zu infizieren. Besonders raffiniert sind RATs deswegen, weil sie so konzipiert sind, dass sie eine Erkennung durch gängige Schutzmaßnahmen wie Firewalls vermeiden.

Hybrid-Formen

Heutige Schadsoftware ist immer öfter eine Kombination aus Trojaner und Wurm - unter Umständen auch mit Virus-Elementen: Für den Endbenutzer sieht die Schadsoftware wie ein Trojaner aus, einmal ausgeführt greift sie aber wie ein Wurm andere Nutzer über das Netzwerk an.

Solche Rootkits und Stealth-Programme versuchen das Betriebssystem so zu modifizieren, dass sie die komplette Kontrolle übernehmen und sich erfolgreich vor Antimalware Tools verstecken können. Um diese hybride Malware wieder loszuwerden, müssen Sie die kontrollierende Komponente aus dem Speicher entfernen.

Auch Bots sind im Grunde Kombinationen aus Trojanern und Würmern, die versuchen, kompromittierte Rechner zum Teil eines maliziösen Netzwerks zu machen - einem Botnet. Diese Botnetze können aus wenigen tausend oder auch hunderttausenden Rechnern bestehen und stehen - von Kriminellen für Kriminelle - auch auf Mietbasis zur Verfügung.

Ransomware

Malware, die Dateien verschlüsselt und anschließend ein Lösegeld in Kryptowährung verlangt - sogenannte Ransomware - ist besonders in den letzten Jahren populär geworden und hat bereits diverse Behörden, Institutionen, Unternehmen und sogar ganze Städte lahmgelegt.

Die meisten Ransomware-Programme sind Trojaner, die per Social Engineering verbreitet werden. Einmal ausgeführt, werden die Dateien und Ordner auf dem betroffenen Rechner innerhalb von Minuten verschlüsselt. Einige Erpressungstrojaner beobachten ihre Opfer zunächst auch über einige Stunden, bevor die Verschlüsselungsroutine in Gang gesetzt wird. Das Ziel dieses Vorgehens besteht einerseits darin, besser abschätzen zu können, wie viel Lösegeld das Opfer zahlen kann, andererseits können so unter Umständen auch vorhandene Backup-Dateien ermittelt und anschließend gelöscht oder verschlüsselt werden.

Der beste Ratschlag, um sich vor einer Ransomware-Attacke zu schützen: Fertigen Sie ein Offline-Backup aller kritischen Dateien an.

Fileless Malware

Streng genommen handelt es sich bei Fileless Malware nicht um eine eigene Kategorie von Schadsoftware: "Fileless" beschreibt lediglich die Art und Weise des Exploits. Herkömmliche Malware nutzt das Dateisystem des Rechners, um sich auszubreiten und neue Systeme zu befallen. Fileless Malware nutzt dazu hingegen den Arbeitsspeicher oder andere Elemente des Betriebssystems, die keine Dateien sind - beispielsweise Registry Keys oder APIs - und ist deshalb deutlich schwieriger zu detektieren.

Das Gros der Angriffe mit Fileless Malware beginnt mit einem Exploit legitimer Software oder Betriebssystem-Utilities wie Microsoft PowerShell.

Adware

Wenn Sie Glück hatten, sind Sie bisher lediglich mit Adware konfrontiert worden. Diese Art der Malware versucht, betroffene Nutzer mit ungewollten Werbeanzeigen zu bespielen, die unter Umständen auch maliziös sein können. Gängige Adware-Programme sorgen beispielweise dafür, dass die Standard-Suchmaschine Ihres Browsers geändert wird.

Malvertising

Im Gegensatz zu Adware beschreibt Malvertising die Nutzung von legitimen Werbeanzeigen, um heimlich Malware auszuliefern. Cyberkriminelle kaufen dazu Werbeanzeigen auf unverdächtigen Websites - klickt ein User darauf, wird er auf eine infizierte Seite weitergeleitet oder gelangt direkt zur Schadsoftware-Installation. Besonders heimtückisch sind dabei Drive-by Downloads, die ohne Zutun der Nutzer automatisch starten. Malvertising kann diverse Schadsoftware ausliefern, die auf finanziellen Profit ausgelegt ist - unter anderem auch Ransomware, Cryptominer oder Banking-Trojaner.

Einige kriminelle Hacker konnten auch ganze Anzeigen-Netzwerke infizieren, die Werbeanzeigen an viele verschiedene Webseiten ausliefern. So wurden auch populäre Seiten wie die der New York Times oder Spotify zu Malware-Schleudern.

Spyware

Spyware wird nicht nur von kriminellen Hackern, sondern auch von Privatpersonen eingesetzt - beispielsweise, um die Online-Aktivitäten der Kinder zu überwachen. Cyberkriminelle versuchen hingegen, mit Spyware (wie beispielsweise Keylogger) an Passwörter oder geistiges Eigentum zu gelangen. Ähnlich wie Adware ist Spyware nicht sonderlich schwer zu entfernen - problematisch bleibt aber, wie die Malware auf den Rechner kommt.

Das geschieht in der Regel durch Social Engineering oder ungepatchte Software - ganz ähnlich, wie das bei anderer Schadsoftware der Fall ist. Sollte Ihr Rechner mit Adware oder Spyware infiziert sein, ist die Wahrscheinlichkeit hoch, dass andere, weitaus raffiniertere Malware ebenfalls ihren Weg auf Ihr System finden wird, wenn die Schwachstellen nicht behoben werden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.