Universität Stuttgart

Malware: Bots, Ransomware und Co

Bots, Viren, Würmer, Trojaner und andere schädliche Programme werden unter dem Begriff Malware (manchmal auch Schadsoftware) zusammengefasst.
Malware verbreitet sich häufig über E-Mails und Webseiten und kann auf infizierten Geräten und in infizierten Netzen erheblichen Schaden anrichten.

Malwaretypen

Auch wenn die Trennung zwischen verschiedenen Arten von Malware zunehmend verschwimmt, wollen wir hier einen kurzen Überblick über einige gängige Malwaretypen geben.

Bots

Ein Bot ist eine Malware, die von einer Command-and-Control-Software ferngesteuert. Weitere Informationen finden Sie auf unserer Seite zu Botnetzen.

PUP und Adware

Die Abkürzung PUP steht für "Potentially unwanted Programs", also potentiell unerwünschte Programme. Ein typisches Beispiel für PuP ist Adware, mit deren Hilfe Werbung auf dem betroffenen System angezeigt wird.

Ransomware

Ransomware ist Malware, die den Zugang zu einem System oder den Daten auf einem System blockiert (zum Beispiel durch einen Lockscreen oder Verschlüsselung der Daten) und verspricht, diesen Zugang erst nach Zahlung eines Lösegelds wieder freizugeben.

Ob die Zahlung des Lösegelds tatsächlich den versprochenen Effekt hat, kann im Vorfeld schlecht abgeschätzt werden. Von daher raten Ermittlungsbehörden in der Regel davon ab, einer Lösegeldforderung nachzukommen.

Ein guter Schutz gegen den Verlust von Daten durch Ransomware ist die Existenz eines funktionierenden Backups.

Allerdings wird Ransomware seit einiger Zeit auch häufig im sogenannten Double Extortion Verfahren genutzt. Hier werden Daten vor der Verschlüsselung noch exfiltriert und für den Fall, dass keine Lösegeldzahlung erfolgt, zusätzlich mit der Veröffentlichung dieser Daten gedroht.

Scareware

Scareware ist Malware, die die Nutzerin oder den Nutzer mittels angezeigten Warnmeldungen zu einer Handlung wie dem Kauf von Software oder dem Herunterladen weiterer Malware zu animieren versucht.

Spyware

Spyware ist Malware, mit deren Hilfe die Nutzerin oder der Nutzer des infizierten System ausspioniert wird.

Trojaner

Ein Trojaner oder Trojanisches Pferd ist eine Malware, die als nützliche Anwendung getarnt ist, im Hintergrund aber weitere unerwünschte Funktionen hat.

Eine häufig vorkommende Art von Trojanern sind sogenannten Remote Access Trojans (RATs), also Trojaner mit deren Hilfe ein Fernzugriff auf das infizierte System möglich ist.

Viren

Ein (Computer-)Virus ist Malware, die sich in anderer Software einnistet und auf diesen Weg auch weiterverbreitet.

Allerdings wird der Begriff Virus auch häufig unpräzise als Überbegriff für beliebige Arten von Malware verwendet.

Würmer

Ein (Computer-)Wurm ist Malware, die sich selbstständig ausbreitet. Im Gegensatz zu einem Virus nistet sich ein Wurm nicht in anderer Software ein.

Verbreitungswege von Malware

Häufige Verbreitungswege von Malware sind

Hilfe, mein Rechner ist infiziert!

Erst mal: Ruhe bewahren!

Wer unsicher ist, holt sich in diesem Fall am besten kompetente Unterstützung, zum Beispiel durch den IT-Administrator des eigenen Instituts.

Wir empfehlen folgendes Vorgehen:

  1. Wichtige Passwörter (z.B. vom E-Mail-Account) von einem nicht infizierten Gerät aus ändern
  2. Infektion entfernen
  3. Anschließend alle weiteren auf dem System genutzten Passwörter ändern
  4. Wenn es sich um einen Dienstgeräte handelt: Kurze Mitteilung an mail@cert.uni-stuttgart.de, damit wir Bescheid wissen, falls wir entsprechende Warnungen zu dem betroffenen System erhalten.

Wie erkenne ich, ob mein Rechner mit Malware infiziert ist?

Da es sehr viele verschiedene Formen von Malware gibt, ist eine allgemeingültige Antwort auf diese Frage schwierig.

Teilweise wird Malware von Virenscannern erkannt; in manchen Fällen zeigt der Rechner auffälliges Verhalten wie besonders hohe CPU- oder Netzwerkauslastung. Ransomware fällt häufig erst auf, wenn das System bereits verschlüsselt ist.

Manche Arten von Malware lassen sich anhand von erzeugten Netzwerkverbindungen zu Command-and-Control-Servern bzw. Honeypots erkennen (vgl. Botnetze). Diese können im Rahmen des Flowmonitoring bzw. durch Hinweise von externen Organisationen entdeckt werden. Hinweise dieser Art gibt das RUS-CERT umgehend and die zuständigen Ansprechpersonen weiter. Leider können auf diese Art jedoch nicht alle Infektionen erkannt werden, und ein System, welches nicht durch Netzwerkverkehr auffällt, kann trotzdem infiziert sein.

Wie entferne ich eine Malwareinfektion?

Der sicherste Weg, Malware von einem System zu entfernen, ist das vollständige Neuaufsetzen des Systems (optimalerweise inklusive Bootpartitionen oder Master Boot Record). Dabei ist zu beachten, dass die Malware nicht nachträglich zum Beispiel über vom infizierten System gesicherte Daten oder ein Roaming-Profil wieder auf das bereinigte System gebracht wird.

Alternativ kann man auch versuchen, Malware mithilfe eines Virenscanner von einem etablierten Hersteller oder einem Rettungssystem zu entfernen. Bei diesem Vorgehen gibt es jedoch ein gewisses Risiko, dass die Malware nicht vollständig gefunden und entfernt wird und die Infektion weiterhin besteht.

Auf keinen Fall sollten wenig vertrauenswürdige „Cleaner“- oder „Cleanup“-Werkzeuge aus dem Internet genutzt werden. Diese installieren häufig zusätzliche Malware, ohne das eigentliche Problem zu beheben.

Endpoint Protection an der Uni Stuttgart

Aktueller Hinweis: Der Support für die bisher eingesetze Antivirensoftware Sophos Endpoint endet zum 20. Juli 2023. Allen Nutzer:innen der alten Software an der Universität wird empfohlen, auf die neue Lösung umzusteigen.
Weitere Informationen finden Sie in unserer Meldung zur Umstellung.

Für Beschäftigte der Universität Stuttgart steht mit G DATA Antivirus Business eine Endpoint Protection Lösung (Antivirensoftware) zur Verfügung. Nähere Informationen hierzu finden Sie auf der entsprechenden Seite des TIK