Sie sind hier: Home » Themen » Viren, Würmer, trojanische Pferde

Viren, Würmer, trojanische Pferde

Viren, Würmer, Trojanische Pferde, Bots und andere Schädlinge werden meist unter dem Begriff Virus subsummiert oder neudeutsch als Malware bezeichnet und stellen heutzutage eines der größten Sicherheitsprobleme beim Betrieb von IT-Infrastrukturen dar. Sie verbreiten sich über E-Mail-Nachrichten, Netzfreigaben, unsichere oder nicht gesetzte Passwörter und Schwachstellen in Betriebssystemen und können erheblichen Schaden anrichten.
Diese Seite gibt einen Überblick über die gängisten Malwaretypen und stellt Links zu weiterführender Information sowie die Aktuellen Meldungen der Stabsstelle DV-Sicherheit zu Malware bereit.

Inhalt

Aktuelle Meldungen zu Malware

Allgemeine Hinweise

  • Öffnen Sie keinerlei Attachments, die Sie per E-Mail erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie ‘Virus Checked’ oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Misstrauen des Benutzers.
    Dies gilt insbesondere für Nachrichten mit Attachments, die unerwartet eintreffen und nicht einer plausiblen Kommunikationsbeziehung, z.B. im Rahmen eines Projektes, bei dem Dokumente ausgetauscht werden, zuzuordnen sind. Allerdings ist auch hier Sorgfalt geboten, einige Würmer produzieren Nachrichten, die den Anschein erwecken sollen, zu einer solchen Beziehung zu gehören.
  • Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail.
    Auch die Stabsstelle DV-Sicherheit (RUS-CERT) tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, dass es sich um eine gefälschte Nachricht handelt.
  • Aktualisieren Sie Ihren Virenscanner so oft wie möglich, nehmen Sie automatisierte Update-Dienste in Anpruch, wenn möglich.

(vorgebliche) Rechnungen per E-Mail

Ein Problem stellt die Tatsache dar, dass einige Dienstleister ihre Rechnungen oder andere Information per E-Mail verschicken. Dieser Umstand wird häufig dazu ausgenutzt, eine solche Nachricht zu fälschen und im Anhang Malware, etwa ein Trojanisches Pferd, zu verstecken. Meist wird dann noch in der Nachricht selbst ein unverschämt hoher Betrag gefordert und auf dubiose Probleme oder die Inanspruchnahme von nichtbestellten Diensten hingewiesen, so dass das Opfer versucht ist, ohne weiteres Nachdenken die vermeintlichen Details aus dem Anhang zu erfahren. Dessen Öffnen besiegelt dann meist die erfolgreiche Infektion des beherbergenden Rechnersystems.

Auch hier gilt es,

  • niemals verdächtige Anhänge zu öffnen, insbesondere dann, wenn es sich um ausführbare Dateien handelt.
  • den Text der Nachricht genau zu prüfen. Beispielsweise sollte es den Leser misstrauisch machen, wenn viele Fehler im Text sind oder Formulierungen verwendet werden, die darauf hindeuten, dass der Text mittels eines automatischen Übersetzungsprogrammes erzeugt worden ist.
    Etwa:
    Anbei erhalten Sie den detaillierten Nutzungsnachweis im
beigefugter ZIP Datei
  • bei verdächtigen Nachrichten die Headers genau zu analysieren (siehe auch den nächsten Abschnitt), um ggf. nachvollziehen zu können, ob eine Nachricht aus einer nicht vertrauenswürdigen Quelle stammt. Leider muss man hier feststellen, dass man durch die Analyse der Headers allein nicht feststellen kann, ob eine Nachricht aus vertrauenswürdiger Quelle stammt, denn sie sind leicht fälschbar.

Malware

Das relativ neue Wort Malware ist eine Zusammenziehung der Wörter malicous und software (engl. für “bösartige Programmatur”) und bezeichnet Werkzeuge und Programme, die zum Angriff auf die Integrität und Verfügbarkeit sowie für den Missbrauch von Rechnersystemen verwendet werden können. Dazu zählen neben den sogenannten Root Kits vor allem <a href=“#virus”Viren, Würmer und Trojanische Pferde. Neuere Spielarten sind Bots (s.a. Botnetze) sowie Spy- und Adware. In der Vergangenheit waren daneben auch Dialer ein Thema, die vor allem bei Privatpersonen z.T. erhebliche finanzielle Schäden verursacht haben.
Die wichtigsten Gattungen und ihre Bezeichnungen werden im Folgenden erklärt.

Virus

Als (Computer-)<a href=“http://de.wikipedia.org/wiki/Virus_%28Computer%29”Virus bezeichnet man ein Programm, das sich andere Programme einnistet. Wenn das befallene Programm gestartet wird, wird auch das Virus mitgestartet und führt seinen Auftrag aus. Dieser besteht i.a. aus zwei Teilen: der eigenen Reproduktion und der (Schad-)Wirkung.

Ähnlich wie ein echter Virus der seine DNS in den Erbcode lebender Zellen schleust reproduziert sich das Computervirus durch das Einkopieren des eigenen Codes in weitere Programme, die vom befallenen Rechnersystem aus erreichbar sind. Ausgefeilte Mechanismen, tarnen den einkopierten Code dabei und sollen seine Entdeckung erschweren. Genauso wie bei einem echten Virus wird der Code des Computervirus mitausgefuehrt, wenn das Wirtsprogramm läuft.

Dies bedeutet, dass ein Virus immer nur dann aktiv ist, wenn sein Wirtsprogramm läuft, d.h. er kann neben seiner Schadwirkung zu entfalten sich auch nur dann weiterverbreiten. Viele der frühen Viren haben sich nur durch die Weitergabe infizierter Dateien verbreitet.

Die Wirkung eines Virus kann von relativ harmlosen Effekten, die etwa die Darstellung der Benutzungsoberfläche verändern, bis hin zur Daten- und Hardwarezerstörung des befallenen Rechnersystems reichen.

Der Begriff “Virus” wird heute vielfach als Überbegriff und häufig fälschlich auch für die im Folgenden beschriebenen Würmer und Trojanischen Pferde gebraucht.

Viren zählten zu den ersten Schädlingen, die sich auf den noch nicht vernetzten Rechnersystemen der frühen 1980er-Jahre verbreitet haben. Mit dem Aufkommen des Internet, wurden die recht aufwendig zu implementierenden Viren immer mehr durch Würmer (s.u.) verdrängt, die sich effektiv selbstständig über Netzwerke verbreiten. Sie stellen jedoch insbesondere durch ihre meist sehr gute Tarnung eine ernstzunehmende Bedrohung dar.

Wurm

Als (Computer-)Wurm wird Malware bezeichnet, die als eigenständiges Programm auf dem befallenen Rechnersystem läuft und dort sein Unwesen treibt. Im Gegensatz zu einem Virus (s.o.) nistet er sich nicht in ein Wirtsprogramm ein sondern läuft als eigenständiger Prozess. Auch Würmer bestehen i.A. aus den Teilen zur Weiterverbreitung und der sogenannten Nutzlast (payload), die die eigentliche Wirkung des Wurmes entfaltet.

Im Gegensatz zu Viren sind Würmer auf einem befallenen System autonom und verbreiten sich aktiv über verschiedene Techniken. Neben dem Versenden von Kopien seiner selbst an auf dem Wirtssystem vorgefundene oder generierte E-Mail-Adressen werden meist verteilte Ressourcen, wie Netzlaufwerke o.Ä. verseucht. Daneben gibt es Varianten, die sich per IRC, Instant Messaging, wie z.B. ICQ oder Peer-to-Peer-Netzwerke (“P2P”:) verbreiten.

Insbesondere bei der E-Mail-basierten Verbreitung setzen Würmer oft ganz auf die Naivität der Empfänger, die meist ohne groß nachzudenken, ausführbare Anhänge öffnen, wenn der Betreff nur interessant genug ist. Dies funktioniert meist so gut, dass Würmer gar nicht auf die sehr ausgefeilten Tarnunmechanismen von Viren angewiesen sind, um sich rasch und erfolgreich zu verbreiten. Manche Würmer tarnen sich vor Anti-Virus-Systemen, in dem sie als komprimierte Datei im Anhang einer E-Mail-Nachricht ankommen, so dass bei der Eingangsprüfung keine Malware erkannt wird. Der Benutzer öffnet dann einen solchermaßen als “sauber” gekennzeichneten Anhang noch viel bereitwilliger, als er es möglicherweise ohne eine Malwareprüfung getan hätte.

Einmal gestartet, graben sich Würmer oft tief in das befallene System ein und stellen sicher, dass sie auch beim Neustart des Rechnersystems wieder gestartet werden.

Auch Würmer können mit ihrer Nutzlast wenig bis verheerenden Schaden anrichten, allerdings verursacht allein die erfolgreiche Verbreitung eines Wurmes oft immense Schäden, da massiv Netzwerk- und Rechnerressourcen verbraucht werden, Postfächer überlaufen und Mailserver und Netzkoppelelemente zusammenbrechen können. Ein prominentes Beispiel war der Loveletter, der die Mailsysteme zahlreicher Firmen und Organisationen überschwemmt hat.

Der erste echte Computer-Wurm wurde 1988 von Robert T. Morris geschrieben. Er verbreitete sich über die Ausnutzung diverser UNIX-Dienste und, obwohl keine schädliche Nutzlast mitführend, legte allein durch seine rasante Verbreitung ca. 10% der damals an das Internet angeschlossenen Rechnersysteme lahm.

Es gibt Mischformen zwischen Viren und Würmern, bei denen ein Wurm sich zur Verbreitung in ein Wirtsprogramm einschleust und bei dessen Aktivierung als eigenständiger Prozess ablöst und ggf. auch auf dem befallenen System installiert. Da das wesentliche Merkmal hier jedoch die Eigenständigkeit des “Lebens” ist, werden diese Formen i.A. den Würmern zugeschlagen.

Trojanisches Pferd

Ein Trojanisches Pferd ist Malware, die sich als ordnungsgemäßes, für einen bestimmten Zweck geeignetes Programm tarnt, zur Laufzeit im Hintergrund jedoch, verborgen vor dem Benutzer, andere Dinge tut. Diese sind i.A. nicht durch den Benutzer erwünscht. Per Definition muss ein Trojanisches Pferd neben der schädlichen auch die zur Tarnung verwendete nützliche Funktionalität besitzen. Solchermaßen getarnt schleust es heimlich beliebige andere Malware, beispielsweise Spionagesoftware, die z.B. Tastatureingaben mitprotokolliert und/oder Passwörter und andere Zugangsdaten abfängt, ein. Auch sind Schadprogramme denkbar, die eine Hintertür (auch Backdoor) öffnet, über die andere Malware oder ein menschlicher Angreifer auf das Opfersystem zugreifen können.

Das Schadprogramm wird dabei als eigenständiger Prozess gestartet und läuft auch weiter, wenn das Tarnprogramm beendet wurde.

Der Name leitet sich aus einer Kriegslist der vereinigten Griechen im Trojanischen Krieg ab, mittels der sie die nach zehn Jahren Belagerung nicht eroberte Festung Troja schlußendlich einnehmen können. Dabei bauen sie auf Rat des Odysseus ein großes hölzernes Pferd, in dem sich eine Handvoll Krieger versteckt. Nachdem die griechische Flotte den Abzug des Heeres vortäuscht und das Pferd allein vor den Toren Trojas steht, holen die Trojaner es, den (Warn-)Rufen der Kassandra zum Trotz, siegestrunken in die Stadt. In der Nacht steigen die Griechen aus dem Pferd und öffnen die Tore Trojas, woraufhin die Stadt vom versteckt wartenden griechischen Heer eingenommen wird.

In vielen Publikationen werden Trojanische Pferde falsch als Trojaner bezeichnet. Die Trojaner sind aber eigentlich die Opfer des Trojanischen Pferdes und daher müssten eigentlich die Benutzer eines durch ein Trojanisches Perd angegriffenen Systems als Trojaner bezeichnet werden.

Bots und Botnetze

Bots (von engl. robot) bilden eine spezielle Klasse von Malware, die dazu dient, befallene Rechnersysteme in einen ferngesteuerten Roboter zu verwandeln, der über einen speziellen Kanal (command and
control) seine Befehle empfängt. In der Regel wird dazu ein IRC verwendet, in den sich das infizierte System nach Start des Bot-Programms einbucht
und meist über das gesetzte channel topic seine aktuelle Anweisung erhält. Jedes infizierte System bucht sich ebenfalls in diesen Kanal ein, so dass ein sogenanntes Botnetz aus vielen infizierten Rechnern entsteht, das sehr effizient wie ein System befehligt werden kann. Da die Verbindung zum command and control-Kanal in der Regel offen gehalten wird, kann der Botnetzbetreiber durch das Wechseln des channel topics jederzeit allen angeschlossenen Bots neue Befehle erteilen.

Es sind auch andere command and control-Medien zur Steuerung von Bots bekannt, etwa Peer-to-Peer-Netze, jedoch stellen IRC-gesteuerte Netze nach wie vor die große Masse der Botnetze dar.

Solchermaßen zusammengeschaltete Botnetze werden in vielfältiger Weise missbraucht. Die Betreiber können sie beispielsweise als Versendeplattform an Spammer vermieten und multiplizieren damit die Leistungsfähigkeit eines Spammings enorm. Die Netze können aber auch für Distributed Denial of Service-Angriffe (DDos) vermietet werden, mit denen der Mieter z.B. die Internetpräsenz eines missliebigen Konkurrenten zeitweise lahmlegen kann. Schließlich kann der Botnetzbetreiber selbst Betreiber von Servern mit der Drohung, einen DDoS-Angriff auf seine, für sein Geschäft essentielle Internetpräsenz, durchzuführen, um Geld erpressen.

Botnetze können riesige Ausmaße von mehreren hunderttausend Rechnersystemen annehmen, die gemeinsam gewaltige Schlagkraft entwickeln und z.B. in einem DDoS-Angriff ganze Netze lahm legen können.

Lesen Sie hierzu auch den Artikel zur Bot-Entfernung.

Herkunft von Virenmails

Die Herkunft von Virenmails ist oft nicht trivial feststellbar. Beschwerden und Hinweise an vermeintliche Versender sind daher häufig der falsche Weg, da ohne sorgfältige Analyse der Mail-Header solcherlei Beschwerden oder gutgemeinte Hinweise die falschen Leute erreicht und dort unnötig zusätzliche Arbeit verursachen, was den Schaden multipliziert, der von Viren und Würmern ohnehin verursacht wird. Lesen Sie hierzu:

Malwarebekämpfung an der Universität Stuttgart

Die Universität Stuttgart besitzt eine Campuslizenz der Antivirensoftware von Sophos.
Nähere Informationen hierzu:

Werkzeuge zur Malwareentfernung

Verschiedene Hersteller von Antivirusprogrammen stellen Werkzeuge zur Verfügung, mit denen Rechnersysteme auf Malware untersucht und von gefundenen Artefakten befreit werden können.

Bitte beachten Sie, dass eine Entfernung nur dann erfolgversprechend ist, wenn vorher die Systemwiederherstellung abgeschaltet wird. Andernfalls kann es passieren, dass bei einer Wiederherstellung auch die Malware wiederhergestellt wird.

Testversionen von kostenpflichtiger Antiviren-Software

Kostenlose Antiviren-Software

Nachfolgende Antiviren-Software ist für den privaten (individuellen, nicht-kommerziellen) Einsatz kostenfrei.

Information über Malware

Anti-Virensoftware-Tests

  • Virustotal stellt ein Portal zum Test von Malware durch die gängigsten Anti-Virus-Produkte bereit.