Anhang A. Arten von Computerbedrohungen

Mit dem Begriff Bedrohung wird in dieser Klassifikation jegliche Software bezeichnet, die direkt oder indirekt dem Rechner oder Netzwerk Schaden anrichtet, zum Verlust wichtiger (vertraulicher) Informationen führt oder Unbefugten ermöglicht, die Kontrolle über den Rechner zu übernehmen. In diesem Sinne fallen darunter alle schädlichen und anderen unerwünschten Programme. Im weitesten Sinne bezeichnet der Begriff „Bedrohung“ jede potentielle Gefahr für den Rechner oder das Netzwerk. Dazu zählen beispielsweise Sicherheitslücken, die Cyberkriminelle gern für Hackerangriffe nutzen.

Alle Typen der nachfolgend beschriebenen Programme sind potentiell in der Lage, die Integrität und Vertraulichkeit von Benutzerdaten zu beeinträchtigen. Programme, die sich nicht im System verstecken (z. B. einige Spam-Programme oder Sniffer) zählen traditionell nicht zu Computerbedrohungen, obwohl sie unter Umständen Schaden anrichten können.

Computerviren

Bedrohungen dieser Art zeichnen sich dadurch aus, dass sie sich selbst in noch nicht infizierte Dateien anderer Programme kopieren können. Das Einfügen eines schädlichen Codes in einen Quellcode wird als Infizierung bezeichnet. Die infizierte Datei verhält sich dann wie ein Virus. Der eingebettete Code entspricht nicht immer dem Code des ursprünglichen Virus. Die meisten Viren werden speziell zur Beschädigung oder Zerstörung von Daten geschrieben.

Virenabwehr-Spezialisten von Doctor Web unterscheiden Viren nach befallenen Dateitypen:

Dateiviren infizieren Dateien des Betriebssystems (i. d. R. ausführbare Dateien und dynamische Bibliotheken). Viren dieser Art werden freigesetzt, wenn eine befallene Datei ausgeführt oder geöffnet wird.

Makroviren infizieren Dokumente, die mit Microsoft® Office-Anwendungen oder anderen makrofähigen Programmen bearbeitet werden. Als Makros werden eingebettete Programme bezeichnet, die in einer Makrosprache, z. B. Visual Basic, geschrieben sind und unter bestimmten Bedingungen gestartet werden können. So können Makros in Microsoft® Word beim Öffnen/Schließen/Speichern einer Datei gestartet werden.

Skriptviren werden in Skriptsprachen geschrieben und infizieren in der Regel andere Skriptdateien (z. B. Betriebssystemdateien). Sie können auch Dateien anderer Typen infizieren, die die Ausführung von Skripten unterstützen, indem sie anfällige Skripte von Webanwendungen ausnutzen.

Bootviren infizieren Bootsektoren von Datenträgern und Festplattenpartitionen sowie den Master Boot Record (MBR) von Festplatten. Sie benötigen ganz wenig Speicherplatz und sind immer bereit, ihre schädlichen Funktionen auszuführen, wenn der Rechner gestartet oder heruntergefahren wird.

Viele Viren verfügen über eigene Tarnungsmechanismen. Diese Mechanismen werden ständig von Virenautoren raffiniert. Parallel entwickeln sich aber auch Techniken zu ihrer Erkennung und Beseitigung. Je nach Abwehrmechanismen lassen sich Viren in folgende Kategorien unterscheiden:

Verschlüsselte Viren verschlüsseln ihren Code bei jeder neuen Infektion, um ihre Prozesse vor der Antivirensoftware zu verstecken. Jede Kopie solches Virus enthält nur ein kurzes gemeinsames Fragment, das als Signatur in die Virendatenbank aufgenommen werden kann.

Polymorphe Viren sind variabel verschlüsselt. Solche Viren ändern ihren Code von Generation zu Generation, oft in Kombination mit Verschlüsselung, sodass sie mit herkömmlichen signaturbasierten Methoden nicht erkannt werden können.

Stealth-Viren versuchen, sich selbst zu verbergen und zu tarnen, indem sie Informationsanforderungen abfangen und falsche Daten zurückgeben. So können sie sich beispielsweise vor einer Prüfung durch ein Antivirenprogramm selbst aus der Datei entfernen und diese Datei nach der Überprüfung erneut infizieren.

Viren können auch nach Sprachen, in denen sie geschrieben sind (am häufigsten werden die Assemblersprache, höhere Programmiersprachen und Skriptsprachen dazu verwendet), und nach Betriebssystemen, für die sie geschrieben werden, klassifiziert werden.

Würmer

In letzter Zeit kommen Würmer immer häufiger als Viren und andere Schadprogramme vor. Bei Würmern handelt es sich um Schadprogramme, die analog zu Viren sich selbst reproduzieren können. Würmer sind aber nicht in der Lage, andere Objekte zu infizieren. Sie dringen aus dem Netzwerk in den Rechner ein (meistens in E-Mail-Anhängen oder über das Internet) und senden ihre Kopien an weitere Rechner. Computerwürmer können sowohl manuell (mithilfe einer Benutzeraktion) als auch automatisch verbreitet werden. Im letzteren Fall benötigen sie keine auslösende Benutzeraktion, um aktiv zu werden.

Der Wurm besteht nicht unbedingt aus einer Datei (dem Wurmkörper). Viele Würmer haben einen sogenannten Infizierungsteil (Shellcode), der in den Arbeitsspeicher geladen wird und dann den Wurmkörper in Form einer ausführbaren Datei über das Netzwerk nachlädt. Solange der Wurmkörper nicht ins System eingedrungen ist, kann der Wurm durch Neustart entfernt werden. Wenn der Wurmkörper bereits ins System eingeschleust ist, kann der Wurm nur mithilfe von Antivirensoftware entfernt werden.

Aufgrund intensiver Verbreitung können die Würmer Netzwerkeabstürze verursachen, sogar wenn sie das System indirekt beschädigen.

Die Virenanalysten von Doctor Web klassifizieren Würmer nach Verbreitungsstrategie:

Netzwerk-Würmer verbreiten sich über diverse Netzwerk- und Dateitransferprotokolle.

E-Mail-Würmer verbreiten sich über E-Mail-Protokolle (POP3, SMTP usw.).

Chat-Würmer verbreiten sich über gängige Instant Messenger wie ICQ, IM, IRC usw.

Trojanische Pferde

Trojanische Pferde oder Trojaner sind nicht selbst-reproduzierende Schadprogramme, die scheinbar eine nützliche Funktion haben, aber im Programm versteckten Code beinhalten, der dem System und dem Benutzer schadet (beschädigt oder löscht Daten, leitet vertrauliche Informationen an Angreifer weiter) oder Unbefugten einen Zugriff auf den Rechner verschafft.

Analog zu Viren verfügen trojanische Pferde über Tarn- und Schadfunktionen, sie können auch als Virusträger verwendet werden. Trojanische Pferde verbreiten sich zumeist als einzelne ausführbare Dateien (sie werden auf Sharehostern hochgeladen, auf Datenträgern gespeichert oder in E-Mail-Anhängen übertragen), die dann vom Benutzer oder von einem Systemprozess gestartet werden.

Trojanische Pferde lassen sich sehr schwer klassifizieren, da sie häufig von Viren oder Würmern verbreitet werden. Außerdem werden schädliche Aktivitäten, die auch andere Bedrohungen ausführen können, traditionell trojanischen Pferden zugeschrieben. Nachfolgend sind einige Arten trojanischer Pferde aufgeführt, welche die Virenanalysten von Doctor Web in selbständige Klassen unterteilen:

Backdoor-Trojaner sind trojanische Pferde, die unter Umgehung der normalen Zugriffssicherung einen unbefugten Zugang zum Rechner ermöglichen. Diese Schadprogramme infizieren keine Dateien, sondern registrieren sich in der Registry, indem sie dazu Registry-Schlüssel modifizieren.

Rootkits sind Sammlungen von Softwarewerkzeugen, die dazu dienen, Präsenz und Aktivitäten des Angreifers oder unerwünschter Software auf dem befallenen System zu verschleiern. Zudem können Rootkits Prozesse anderer Programme, Registry-Schlüssel, Ordner und Dateien verstecken. Rootkits verbreiten sich als autonome Programme oder als Bestandteile anderer Schadprogramme. Rootkits können je nach Schadensroutine in zwei Gruppen eingeteilt werden: User Mode Rootkits (UMR) laufen im User-Modus, und Kernel Mode Rootkits (KMR) laufen im Kernel-Modus. Dadurch erhält der Angreifer vollständige Kontrolle über den befallenen Rechner. Aus diesem Grund ist diese Art von Rootkits schwerer zu entdecken und zu entfernen.

Keylogger (Tasten-Recorder) werden dazu verwendet, um Tastenanschläge und Screenshots aufzuzeichnen. Dadurch spionieren Cyberkriminelle geheime persönliche Daten wie Passwörter, Kreditkartennummern, Anmeldedaten oder PINs/TANs für das Online-Banking aus.

Clicker-Trojaner ändern Webbrowser-Einstellungen, sodass der Benutzer beim Klick auf einen Link ungewollt auf bestimmte (eventuell schädliche) Webseiten umgeleitet wird. Diese Technik wird meistens dazu verwendet, um die Anzahl der Klicks auf ein Werbemedium gezielt zu erhöhen oder DDoS-Angriffe auszuführen.

Proxy-Trojaner ermöglichen es Cyberkriminellen, sich einen anonymen Zugang zum Internet über den Rechner des Opfers zu verschaffen.

Trojaner können andere schädliche Aktionen ausführen, z. B. die Startseite im Webbrowser ändern oder bestimmte Daten löschen. Jedoch können solche Aktionen auch von anderen Bedrohungen ausgeführt werden (z. B. von Viren und Würmern).

Hacking-Tools

Hacking-Tools helfen Cyberkriminellen, sich den Zugriff auf einen Rechner und ein Netzwerk zu verschaffen. Am häufigsten werden dazu Portscanner verwendet, die nach Schwachstellen im Sicherheitssystem des Rechners suchen. Diese Tools können auch von Systemadministratoren benutzt werden, um die Sicherheit der bedienten Netzwerke zu überprüfen. Manchmal wird zu Hacking-Tools die Software gezählt, die auf Social Engineering basiert (hierunter versteht man das gezielte Ausnutzen und Provozieren von Benutzerfehlern, um vertrauliche Informationen wie beispielsweise Passwörter zu entwenden).

Adware

Am häufigsten wird mit diesem Begriff ein Programmcode bezeichnet, der in eine kostenlose Software eingebettet wird, um dem Benutzer ungewollt Werbung zu präsentieren. Ein solcher Code kann manchmal von anderen Schadprogrammen verbreitet werden, beispielsweise um dem Surfer Online-Werbung oder Anzeigen im Webbrowser anzuzeigen. Oft verwenden Programme dieser Art die von Spyware gesammelten Daten.

Scherzprogramme

Schadprogramme, die analog zur Adware dem System keinen direkten Schaden zufügen können. Diese Programme zeigen häufig sinnbefreite Fehlermeldungen oder falsche Virenalarme an und warnen vor fiktiven Gefahren. Obwohl Scherzprogramme keinen schädlichen Code enthalten, können sie den Benutzer erschrecken oder ärgern.

Dialer

Dialer sind spezielle Computerprogramme, die einen Telefonnummerbereich scannen und dann versuchen, eine Verbindung zu kostenpflichtigen Nummern herzustellen. Provider solcher Dialer profitieren von den zusätzlichen Gebühren. Dialer überschreiben die Standardeinstellungen für den Zugriff auf das Internet über die Telefonverbindung ohne Wissen und Einverständnis des Benutzers und veranlassen somit die Einwahl über teure Service-Telefonnummern.

Riskware

Einige Computerprogramme, die ursprünglich als nützliche Programme konzipiert wurden, können unter Umständen die Sicherheit des Rechners beeinträchtigen. Das sind nicht nur Programme, die Daten zufällig beschädigen oder löschen können, sondern auch diejenigen Programme, die von Hackern oder einigen Programmen zur Systembeschädigung missbraucht werden können. Dazu zählen diverse Messaging-Clients, Verwaltungstools, FTP-Server und andere Software.

Verdächtige Objekte

Als verdächtige Objekte werden alle potenziellen Bedrohungen bezeichnet, die heuristisch erkannt werden. Solche Objekte können Merkmale einer Bedrohungsart (darunter auch noch unbekannte Bedrohungen) aufweisen oder auch harmlos sein, falls es um einen falschen Alarm geht. Dateien, die verdächtige Objekte enthalten, sollten in die Quarantäne verschoben werden und dann an das Virenlabor von Doctor Web gesendet werden.