Anhang A. Arten von Computerbedrohungen

 Zum Anfang  Zurück  Weiter

Mit dem Begriff Bedrohung wird in dieser Klassifikation jegliche Software bezeichnet, die direkt oder indirekt dem Rechner oder Netzwerk Schaden anrichtet, zum Verlust wichtiger (vertraulicher) Informationen führt oder Unbefugten ermöglicht, die Kontrolle über den Rechner zu übernehmen. In diesem Sinne fallen darunter alle schädlichen und anderen unerwünschten Programme. Im weitesten Sinne bezeichnet der Begriff „Bedrohung“ jede potentielle Gefahr für den Rechner oder das Netzwerk. Dazu zählen beispielsweise Sicherheitslücken, die Cyberkriminelle gern für Hackerangriffe nutzen.

Alle Typen der nachfolgend beschriebenen Programme sind potentiell in der Lage, die Integrität und Vertraulichkeit von Benutzerdaten zu beeinträchtigen. Programme, die sich nicht im System verstecken (z. B. einige Spam-Programme oder Sniffer) zählen traditionell nicht zu Computerbedrohungen, obwohl sie unter Umständen Schaden anrichten können.

Computerviren

Bedrohungen dieser Art zeichnen sich dadurch aus, dass sie sich selbst in noch nicht infizierte Dateien anderer Programme kopieren können. Das Einfügen eines schädlichen Codes in einen Quellcode wird als Infizierung bezeichnet. Die infizierte Datei verhält sich dann wie ein Virus. Der eingebettete Code entspricht nicht immer dem Code des ursprünglichen Virus. Die meisten Viren werden speziell zur Beschädigung oder Zerstörung von Daten geschrieben.

Virenabwehr-Spezialisten von Doctor Web unterscheiden Viren nach befallenen Dateitypen:

Dateiviren infizieren Dateien des Betriebssystems (i. d. R. ausführbare Dateien und dynamische Bibliotheken). Viren dieser Art werden freigesetzt, wenn eine befallene Datei ausgeführt oder geöffnet wird.

Makroviren infizieren Dokumente, die mit Microsoft® Office Anwendungen oder anderen makrofähigen Programmen bearbeitet werden. Als Makros werden eingebettete Programme bezeichnet, die in einer Makrosprache, z. B. Visual Basic, geschrieben sind und unter bestimmten Bedingungen gestartet werden können. So können Makros in Microsoft® Word beim Öffnen/Schließen/Speichern einer Datei gestartet werden.

Skriptviren werden in Skriptsprachen geschrieben und infizieren vorzugsweise andere Skriptdateien (z. B. Betriebssystemdateien). Sie können auch Dateien anderer Typen infizieren, welche die Ausführung von Skripten unterstützen, indem sie hierzu anfällige Skripte einiger Webanwendungen ausnutzen.

Bootviren infizieren Bootsektoren von Datenträgern und Festplattenpartitionen sowie den Master Boot Record (MBR) von Festplatten. Sie benötigen ganz wenig Speicherplatz und sind immer bereit, ihre schädlichen Funktionen auszuführen, wenn der Rechner gestartet oder heruntergefahren wird.

Viele Viren verfügen über eigene Tarnungsmechanismen. Diese Mechanismen werden ständig von Virenautoren raffiniert. Parallel entwickeln sich aber auch Techniken zu ihrer Erkennung und Beseitigung. Je nach Abwehrmechanismen lassen sich Viren in folgende Kategorien unterscheiden:

Verschlüsselte Viren verschlüsseln ihren Code bei jeder neuen Infektion, um ihre Prozesse vor der Antivirensoftware zu verstecken. Jede Kopie solches Virus enthält nur ein kurzes gemeinsames Fragment, das als Signatur in die Virendatenbank aufgenommen werden kann.

Polymorphe Viren sind variabel verschlüsselt. Solche Viren ändern ihren Code von Generation zu Generation, oft in Kombination mit Verschlüsselung, sodass sie mit herkömmlichen signaturbasierten Methoden nicht erkannt werden können.

Stealth-Viren versuchen, sich selbst zu verbergen und zu tarnen, indem sie Informationsanforderungen abfangen und falsche Daten zurückgeben. So können sie sich beispielsweise vor einer Prüfung durch ein Antivirenprogramm selbst aus der Datei entfernen und diese Datei nach der Überprüfung erneut infizieren.

Viren können auch nach Sprachen, in denen sie geschrieben sind (am häufigsten werden dafür Assemblersprache, höhere Programmiersprachen und Skriptsprachen verwendet), und nach befallenen Betriebssystemen klassifiziert werden.

Würmer

In letzter Zeit kommen Würmer immer häufiger als Viren und andere Schadprogramme vor. Bei Würmern handelt es sich um Schadsoftware, ähnlich einem Virus, die sich selbst reproduziert. Würmer sind aber nicht in der Lage, andere Objekte zu infizieren. Sie dringen aus dem Netzwerk in den Rechner ein (meistens per E-Mail-Anhänge oder über das Internet) und verschicken ihre Kopien an andere Rechner. Computerwürmer können sich entweder manuell (mithilfe einer Benutzeraktion) verbreiten oder automatisch. Im letzten Fall benötigen sie keine auslösende Benutzeraktion, um aktiv zu werden.

Würmer bestehen nicht unbedingt aus einer Datei. Viele Würmer haben einen sogenannten Infizierungsteil (Shellcode), der in den Arbeitsspeicher geladen wird und dann den Wurmkörper in Form einer ausführbaren Datei über das Netzwerk nachlädt. Solange der Wurmkörper nicht ins System eingedrungen ist, kann der Wurm durch Neustart entfernt werden. Wenn der Wurmkörper bereits ins System eingeschleust ist, kann der Wurm nur mithilfe von Antivirensoftware entfernt werden.

Aufgrund intensiver Verbreitung können die Würmer Netzwerkeabstürze verursachen, sogar wenn sie das System indirekt beschädigen.

Spezialisten von Doctor Web klassifizieren Würmer nach deren Verbreitungsstrategie:

Netzwerk-Würmer verbreiten sich mithilfe diverser Netzwerk- und Dateitransferprotokolle.

E-Mail-Würmer verbreiten sich mithilfe von E-Mail-Protokollen (POP3, SMTP etc.).

Chat-Würmer verbreiten sich über gängige Instant Messenger wie ICQ, IM, IRC usw.

Trojanische Pferde

Trojanische Pferde oder Trojaner sind nicht selbst-reproduzierende Schadprogramme, die scheinbar eine nützliche Funktion haben, aber im Programm versteckten Code beinhalten, der dem System und dem Benutzer schadet (beschädigt oder löscht Daten, leitet vertrauliche Informationen an Angreifer weiter) oder Unbefugten den Zugriff auf den Rechner verschafft.

Analog zu Viren verfügen auch trojanische Pferde über Tarn- und Schadfunktionen und können sogar als Virusträger verwendet werden. Trojanische Pferde verbreiten sich zumeist als einzelne ausführbare Dateien (sie werden auf Sharehostern hochgeladen, auf Datenträgern gespeichert oder über Netzwerkverbindungen oder E-Mail-Anhänge übertragen), die dann vom Benutzer oder von einem Systemprozess gestartet werden.

Trojanische Pferde lassen sich sehr schwer klassifizieren, da sie häufig von Viren oder Würmern verbreitet werden. Außerdem werden schädliche Aktionen, die andere Bedrohungen ausführen können, traditionell trojanischen Pferden zugeschrieben. Nachfolgend sind einige Arten trojanischer Pferde aufgelistet, welche die Virenabwehr-Spezialisten von Doctor Web in selbständige Klassen unterteilen:

Backdoor-Trojaner sind trojanische Pferde, die unter Umgehung der normalen Zugriffssicherung einen unbefugten Zugang zum Rechner ermöglichen. Diese Schadprogramme infizieren keine Dateien, sondern registrieren sich in der Registry, indem sie Registry-Schlüssel modifizieren.

Rootkits sind Sammlungen von Softwarewerkzeugen, die dazu dienen, Präsenz und Aktivitäten des Angreifers oder unerwünschter Software auf dem befallenen System zu verschleiern. Zudem können Rootkits Prozesse anderer Programme, Registry-Schlüssel, Ordner und Dateien verstecken. Rootkits verbreiten sich als autonome Programme oder als Bestandteile eines anderen Schadprogramms. Rootkits können je nach Schadensroutine in zwei Gruppen eingeteilt werden: User Mode Rootkits (UMR) laufen im User-Modus, und Kernel Mode Rootkits (KMR) laufen im Kernel-Modus. Dadurch erhält der Angreifer vollständige Kontrolle über den befallenen Rechner. Aus diesem Grund ist diese Art von Rootkits schwerer zu entdecken und zu entfernen.

Keylogger (Tasten-Recorder) werden dazu verwendet, um Tastatureingaben und Screenshots aufzuzeichnen. Dadurch spionieren Cyberkriminelle geheime persönliche Daten aus, etwa Passwörter, Kreditkartennummern, Anmeldenamen oder PINs/TANs für das Online-Banking.

Clicker-Trojaner ändern Webbrowser-Einstellungen, sodass der Benutzer beim Klick auf einen Link ungewollt auf bestimmte (eventuell schädliche) Webseiten umgeleitet wird. Diese Technik wird meistens dazu verwendet, um die Anzahl der Klicks auf ein Werbemedium gezielt zu erhöhen oder DDoS-Angriffe auszuführen.

Proxy-Trojaner ermöglichen es Cyberkriminellen, einen anonymen Zugang zum Internet über den Rechner des Opfers zu verschaffen.

Trojaner können auch andere schädliche Aktionen ausführen, z. B. die Startseite im Webbrowser ändern oder bestimmte Daten löschen. Jedoch können solche Aktionen auch von anderen Bedrohungen ausgeführt werden (z. B. von Viren und Würmern).

Hacktools

Hacktools helfen dem Angreifer, sich den Zugriff auf einen Rechner und ein Netzwerk zu verschaffen. Am häufigsten werden dazu Portscanner verwendet, die nach Schwachstellen im Sicherheitssystem des Rechners suchen. Diese Tools können auch von Systemadministratoren benutzt werden, um die Sicherheit der bedienten Netzwerke zu überprüfen. Manchmal wird zu Hacktools die Software gezählt, die auf Social Engineering basiert (hierunter versteht man das gezielte Ausnutzen und Provozieren von Benutzerfehlern, um vertrauliche Informationen wie beispielsweise Passwörter zu entwenden).

Adware

Am häufigsten wird mit diesem Begriff ein Programmcode bezeichnet, der in eine kostenlose Software eingebettet wird, um dem Benutzer ungewollt Werbung zu präsentieren. Ein solcher Code kann manchmal von anderen Schadprogrammen verbreitet werden, beispielsweise um dem Surfer Online-Werbung oder Anzeigen im Webbrowser anzuzeigen. Oft verwenden Programme dieser Art die von Spyware gesammelten Daten.

Scherzprogramme

Schadprogramme, die analog zur Adware dem System keinen direkten Schaden zufügen können. Diese Programme zeigen häufig sinnbefreite Fehlermeldungen oder falsche Virenalarme an und warnen vor fiktiven Gefahren. Obwohl das Scherzprogramm keinen schädlichen Code enthält, kann es den Benutzer erschrecken oder ärgern.

Dialer

Dialer sind spezielle Computerprogramme, die einen Telefonnummerbereich scannen und dann versuchen, eine Verbindung zu kostenpflichtigen Nummern herzustellen. Provider dieser bösartigen Dialer profitieren von den zusätzlichen Gebühren. Dialer überschreiben die Standardeinstellungen für den Zugriff auf das Internet über die Telefonverbindung ohne Wissen und Einverständnis des Benutzers und veranlassen somit die Einwahl über teure Service-Telefonnummern.

Riskware

Einige Computerprogramme, die ursprünglich als nützliche Programme konzipiert wurden, können unter Umständen die Sicherheit des Rechners beeinträchtigen. Das sind nicht nur Programme, die Daten zufällig beschädigen oder löschen können, sondern auch diejenigen Programme, die von Hackern oder einigen Programmen zur Systembeschädigung missbraucht werden können. Dazu zählen diverse Messaging-Clients, Verwaltungstools, FTP-Server und andere Software.

Verdächtige Objekte

Als verdächtige Objekte werden alle potenziellen Bedrohungen bezeichnet, die heuristisch erkannt werden. Solche Objekte können Merkmale einer Art von Bedrohungen (darunter auch noch unbekannten Bedrohungen) aufweisen oder auch harmlos sein, falls es um einen falschen Alarm geht. Dateien, die verdächtige Objekte enthalten, sollten umgehend in die Quarantäne verschoben werden und dann zur Analyse an das Virenlabor von Doctor Web gesendet werden.