Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Viren, Würmer, Trojaner – Licht ins Dunkel der Namensverwirrung

Malware, Cyberangriffe und wie man sich davor schützen kann – diese Thematik beschäftigt sowohl Einzelpersonen als auch IT-Verantwortliche. Wir möchten daher in loser Abfolge eine Reihe an grundlegenden Informationen zu diesem Thema bereitstellen. Im ersten Beitrag geben wir eine Definition und Klassifikation von Malware im Allgemeinen. Diese erhebt keinesfalls den Anspruch auf Vollständigkeit, deckt jedoch einige der wichtigsten Arten an Malware ab.

Es gibt sie bereits seit Jahrmillionen – Viren. Verglichen mit diesem Zeitraum sind sie der Menschheit erst seit einem Wimpernschlag bekannt, denn wissenschaftliche Nachweise von Viren glückten nicht vor Ende des 19. Jahrhunderts. Viren sind für eine Vielzahl an Erkrankungen verantwortlich, und in der Natur wogt ein ewiger Kampf zwischen der Evolution von Viren und der Abwehr selbiger.

Nahezu identisch verhält es sich im Bereich der Informationstechnologie. Auch dort gibt es eine Vielzahl an bösartiger Schadsoftware, und die Anbieter von Abwehrsoftware müssen ständig neue Abwehrmethoden entwickeln, um ein Eindringen und damit negative Auswirkungen auf die IT-Systeme oder sensible Daten zu verhindern.

Bei der begrifflichen Benennung dieser Schadcodes findet in der Regel der Begriff „Virus“ Verwendung. Dies ist aus der historischen Betrachtungsweise heraus vollkommen nachvollziehbar, als ursprünglich nur Viren und Würmer als Bedrohung auftauchten, angesichts des Variantenreichtums heutzutage jedoch unzureichend ist.

Wir möchten daher ein wenig Licht ins Dunkel bringen und einen Überblick darüber geben, welche Terminologien eigentlich korrekt und welche Schadcodes heute am gebräuchlichsten sind.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Der Klassiker: Virus

 

Der Begriff „Virus“ wird häufig falsch eingesetzt, denn er steht oftmals sinnbildlich für den allgemeineren Term „Malware“. Dies ist jedoch nicht korrekt, denn Malware umfasst die Gesamtheit aller Schadsoftware.

Das Wort „Virus” bezeichnet nur den spezifischen Verbreitungsweg einer bestimmten Malwareart. Diese infiziert einen definierten Dateitypen und schleust dort ihren Teil des Schadcodes ein. Die so infizierte Datei trägt anschließend den Virus weiter, indem sie weitere Dateien gleichen Typs erkennt und diese wiederum auch infiziert.

Ein Sprung von Rechner zu Rechner erfolgt bei Viren jedoch nicht aktiv, sondern über externe Speichermedien, E-Mails oder innerhalb von Netzwerken.

Der Selbständige: Wurm

Der Typus des „Wurms“ steht wie der Virus für eine bestimmte Art der Verbreitung. Der Schadcode verbreitet sich dabei im Gegensatz zum Computervirus unter Ausnutzung vorhandener Sicherheitslücken aktiv und selbständig weiter. Ein aktuelles Beispiel ist ein Wurm, der sich vor allem im Bereich Internet of Things (IoT), also bei internetfähigen Geräten, über offene Android Debugging-Ports ausbreitet.

Im Gegensatz zu einer Erpressersoftware, die als eindeutiges Ziel hat, Rechnerdaten zu verschlüsseln und ein Lösegeld zu fordern, hat ein Computerwurm keine klare definierte Zielaufgabe. Er kann beispielsweise Veränderungen am System selbst vornehmen und kompromittieren, für eine sehr starke Auslastung der Internet-Infrastruktur sorgen oder auch DDoS-Attacken auslösen.

Undercover: Trojaner / Trojanische Pferde

Ein Großteil der Malware, die heutzutage im Umlauf ist, lässt sich als „Trojanisches Pferd“ bezeichnen. Der Begriff ist recht generisch und besagt aus, dass sich die Malware als gutartig tarnt. Das heißt, der User sieht nur die positive Anwendung, erkennt das negative Anwendungsresultat nicht und kann daher auch keinen Einfluss auf die Auswirkungen nehmen.

Der Name „Trojanisches Pferd“ geht auf die legendäre Überlistungsstrategie der griechischen Mythologie zurück, bei der die griechischen Angreifer die Bewohner Trojas mithilfe eines Holzpferdes überlisteten. Aus diesem Grund ist auch die im Sprachgebrauch geläufige Terminologie „Trojaner“ falsch, da beim historischen Vorbild Trojaner die Bewohner der Stadt waren und somit angegriffen wurden. Das Pferd wiederum war der Angreifer.

Vielzahl neuer Bedrohungstypen

Neben diesen am häufigsten auftauchenden Begrifflichkeiten von Schadsoftware gibt es noch eine hohe Zahl an Malware, die sich in einige der folgenden Kategorien aufteilen lässt.

  • RAT bzw. Remote Access Trojans: Diese Art von Malware ermöglicht es Angreifern, Rechner zu übernehmen und fernzusteuern. Sie können so Kommandos auf den Systeme des Opfers ausführen und das RAT auf andere Computer zu verteilen mit dem Ziel, ein Botnetz aufzubauen.
  • Backdoor: Eine Backdoor-Malware setzt auf eine ähnliche Zielvorstellung wie ein RAT, nutzt jedoch eine andere Herangehensweise. Die Angreifer nutzen bei einem Backdoor sogenannte Hintertüren aus, die teilweise bewusst in Programme oder Betriebssysteme platziert wurden. Sie können jedoch auch heimlich installiert worden sein. Die Besonderheit von Backdoors ist die Tatsache, dass sich hierüber die üblichen Abwehrmechanismen umgehen lassen und daher für Cyberkriminelle sehr attraktiv sind, zum Beispiel sind sie sehr beliebt zum Anlegen von Botnetzen.
  • Botnetze und ZombiesBotnetze sind große Ansammlungen an infizierten Rechnern, die sich der Angreifer aufbaut. Zombies werden die betroffenen Rechner genannt, also die einzelnen Teile der Botnetzes. Der Angreifer kann Kommandos an alle Rechner gleichzeitig senden, um so Aktivitäten auszulösen, etwa, um DDoS-Attacken durchzuführen oder um Bitcoins mit Hilfe der Zombierechner zu schürfen. Das Perfide dabei ist, dass die Besitzer der Rechner die „Mitgliedschaft“ in einem Botnetz frühestens dann bemerken, wenn dieser bereits die fremdgesteuerten Aktivitäten ausführt.
  • Spyware: Hierbei handelt es sich um Malware, die Informationen auf dem Rechner des Opfers sammelt. Dies können sogenannte Credential Stealers sein, die die Zugangsdaten von Benutzer-Accounts wie dem eigenen E-Mail-Postfach, Amazon oder Google entwendet. Keylogger wiederum schneiden mit, was Benutzer sprechen oder schreiben und fertigen oftmals auch Screenshots an. Bitcoinstealer suchen nach Bitoin Wallets und rauben diese aus.
  • Downloader/Dropper: Downloader oder Dropper sind kleine Programme, die nur einen Zweck erfüllen – weitere Malware aus dem Internet nachladen. Das Opfer kann dabei zunächst nicht erkennen, welche Inhalte heruntergeladen werden, da lediglich eine URL sichtbar ist. Der große Vorteil des Angreifers an dieser Methode wiederum ist, dass er ständig neue Malware zum Download bereitstellen kann und somit aktuelle und nur schwer erkennbare Schadsoftware verteilen kann.
  • Rootkit: Bei Rootkits handelt es sich um die gefährlichste Art an Malware, wobei es sich eigentlich gar nicht unbedingt um Schadsoftware handelt. Vielmehr lässt sich mit einem Rootkit Schadcode vor der Entdeckung verstecken. Bei dieser Form eines Angriffs dringt der Angreifer tief in das Computersystem vor, gelangt an Root-Privilegien und erhält dadurch allgemeine Zugriffsrechte. Die Cyberkriminellen ändern anschließend das System so um, dass der Nutzer nicht mehr erkennt, wenn Prozesse und Aktivitäten gestartet werden. Angriffe basierend auf den Rootkit-Verschleierungen sind dadurch nur sehr schwer auffindbar.

Selbstverständlich gibt es noch weitere Kategorien und Definitionen von Malware, die hier jedoch nicht aufgeführt sind. Es soll jedoch ergänzt werden, dass die derzeit kursierende Malware zum überwiegenden Teil eine Mischung aus verschiedenen Typen ist. So gibt es etwa Trojanische Pferde, die auch ein Backdoor beinhalten.

Oftmals lassen sich die unterschiedlichen Angriffstypen dynamisch nach dem Baukastenprinzip zusammenbauen. Die heutzutage gefundene Malware lässt sich daher nicht mehr eindeutig einer der oben genannten Kategorien zuordnen.

Weiterführende Informationen:

  1. Direkt zu Teil 2: Das Who is Who der Cyberkriminellen
  2. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Jetzt mehr erfahren.
  3. Informationen zu Managed Security Services in Unternehmen: Direkt zur Security Automation Studie 2017.
  4. Informationen zu IT-Sicherheitsthemen finden Sie ab sofort in der Hornetsecurity Wissensdatenbank.