|
Arten von Computerbedrohungen |
|
Mit dem Begriff Bedrohung wird in dieser Klassifikation jegliche Software bezeichnet, die direkt oder indirekt dem Rechner oder dem Netzwerk Schaden anrichtet, zum Verlust wichtiger (vertraulicher) Informationen führt oder es Unbefugten ermöglicht, die Kontrolle über den Rechner zu übernehmen. In diesem Sinne fallen alle schädlichen und anderen unerwünschten Programme darunter. Im weitesten Sinne bezeichnet der Begriff „Bedrohung“ jede potenzielle Gefahr für den Rechner oder das Netzwerk. Dazu zählen z. B. Sicherheitslücken, die Cyberkriminelle für Hackerangriffe ausnutzen. Alle Typen der nachfolgend beschriebenen Programme sind potenziell in der Lage, die Integrität und Vertraulichkeit von Benutzerdaten zu beeinträchtigen. Programme, die sich nicht im System verstecken (z. B. einige Spam-Programme oder Sniffer) zählen traditionell nicht zu Computerbedrohungen, obwohl sie unter Umständen Schaden anrichten können. Computerviren Bedrohungen dieser Art zeichnen sich dadurch aus, dass sie sich selbst in noch nicht infizierte Dateien anderer Programme kopieren können. Das Einfügen eines schädlichen Codes in einen Quellcode wird als Infizierung bezeichnet. Eine infizierte Datei verhält sich dann wie ein Virus. Der eingebettete Code entspricht nicht immer dem Code des ursprünglichen Virus. Die meisten Viren werden speziell zur Beschädigung oder Zerstörung von Daten geschrieben. Virenanalytiker von Doctor Web unterscheiden Viren nach Dateitypen, die von diesen Viren infiziert werden: •Dateiviren infizieren Dateien des Betriebssystems (üblicherweise ausführbare Dateien und dynamische Bibliotheken). Viren dieser Art werden freigesetzt, wenn eine befallene Datei ausgeführt oder geöffnet wird. •Makroviren infizieren Dokumente, die mit Microsoft Office-Anwendungen oder anderen makrofähigen Programmen bearbeitet werden. Als Makros werden eingebettete Programme bezeichnet, die in einer Makrosprache, z. B. Visual Basic, geschrieben sind und unter bestimmten Bedingungen gestartet werden können. So können Makros in Microsoft Word beim Öffnen/Schließen/Speichern einer Datei gestartet werden. •Skriptviren werden in Skriptsprachen geschrieben und infizieren meist andere Skriptdateien (z. B. Betriebssystemdateien). Sie können auch Dateien anderer Typen, die die Ausführung von Skripten unterstützen, infizieren, indem sie anfällige Skripte einiger Webanwendungen ausnutzen. •Bootviren infizieren Startsektoren von Datenträgern und Festplattenpartitionen sowie den Master Boot Record (MBR) von Festplatten. Sie benötigen sehr wenig Speicherplatz und sind immer bereit, ihre schädlichen Funktionen auszuführen, wenn der Rechner gestartet oder heruntergefahren wird. Viele Viren verfügen über eigene Tarnungsmechanismen. Diese Mechanismen werden ständig von Virenschreibern raffiniert. Parallel werden aber auch Techniken zur Erkennung und Beseitigung von Viren entwickelt. Je nach Tarnungsmechanismen lassen sich Viren in folgende Kategorien unterteilen: •Verschlüsselte Viren verschlüsseln ihren Code bei jeder neuen Infektion, um ihre Prozesse vor der Antivirensoftware zu verstecken. Jede Kopie solches Virus enthält nur ein kurzes gemeinsames Fragment, das als Signatur in die Virendatenbank aufgenommen werden kann. •Polymorphe Viren sind variabel verschlüsselt. Solche Viren ändern ihren Code von Generation zu Generation, oft in Kombination mit Verschlüsselung, sodass sie nicht mit herkömmlichen signaturbasierten Methoden erkannt werden können. •Stealth-Viren (unsichtbare Viren) ergreifen besondere Maßnahmen, um ihre Anwesenheit und ihre Aktivitäten in infizierten Objekten zu tarnen. Solche Viren „merken“ sich die Eigenschaften des betroffenen Objekts vor der Infektion und übertragen die alten Daten, wenn das Betriebssystem die Eigenschaften der betroffenen Datei abfragt oder ein Virenschutzprogramm nach geänderten Dateien sucht. Außerdem werden Viren nach Sprachen, in denen sie geschrieben werden (am häufigsten wird die Assemblersprache verwendet, aber manchmal werden Viren in höheren Programmiersprachen und Skriptsprachen geschrieben), und nach befallenen Betriebssystemen klassifiziert. Würmer Heutzutage sind Würmer deutlich mehr verbreitet als Viren und andere Schadprogramme. Bei Würmern handelt es sich um Schadprogramme, die sich selbst (analog zu Viren) reproduzieren können. Würmer sind aber nicht in der Lage, andere Objekte zu infizieren. Sie dringen aus dem Netzwerk in den Rechner (meistens mit E-Mail-Anhängen oder über das Internet) ein und versenden ihre Kopien an andere Rechner. Computerwürmer können manuell (mithilfe einer Benutzeraktion) oder automatisch verbreitet werden. Im letzteren Fall benötigen sie keine auslösende Benutzeraktion, um aktiv zu werden. Der Wurm besteht nicht unbedingt aus einer Datei (dem Wurmkörper). Viele Würmer haben einen sogenannten Infizierungsteil (Shellcode), der in den Arbeitsspeicher geladen wird und dann den Wurmkörper in Form einer ausführbaren Datei über das Netzwerk nachlädt. Solange der Wurmkörper nicht ins System eingedrungen ist, kann der Wurm durch Neustart entfernt werden. Wenn der Wurmkörper bereits ins System eingeschleust ist, kann der Wurm nur mithilfe von Antivirensoftware entfernt werden. Aufgrund intensiver Verbreitung können die Würmer Netzwerkabstürze verursachen, selbst wenn sie das System nicht direkt beschädigen. Die Virenanalysten von Doctor Web klassifizieren Würmer nach Verbreitungsstrategie: •Netzwerk-Würmer verbreiten sich über diverse Netzwerk- und Dateitransferprotokolle. •E-Mail-Würmer verbreiten sich über E-Mail-Protokolle (POP3, SMTP usw.). •Chat-Würmer verbreiten sich über gängige Instant Messenger wie ICQ, IM, IRC usw. Trojanische Pferde Trojanische Pferde (Trojaner) sind nicht selbst-reproduzierende Schadprogramme, die scheinbar eine nützliche Funktion haben oder sich als legitime Programme tarnen, aber im Programm versteckten Code beinhalten, der dem System und dem Benutzer schadet (Beschädigung oder Löschung von Daten, Weiterleitung vertraulicher Informationen an die Angreifer etc.) oder Unbefugten Zugriff auf den Rechner verschafft. Analog zu Viren verfügen trojanische Pferde über Tarn- und Schadfunktionen und können als Virusträger verwendet werden. Trojanische Pferde verbreiten sich üblicherweise als einzelne ausführbare Dateien (sie werden auf Sharehostern hochgeladen, auf Datenträgern gespeichert oder in E-Mail-Anhängen übertragen), die dann vom Benutzer oder von einem Systemprozess gestartet werden. Trojanische Pferde lassen sich sehr schwer klassifizieren, da sie häufig von Viren oder Würmern verbreitet werden. Außerdem werden schädliche Aktivitäten, die auch andere Bedrohungen ausführen können, traditionell trojanischen Pferden zugeschrieben. Nachfolgend sind einige Arten trojanischer Pferde aufgeführt, welche die Virenanalysten von Doctor Web in selbständige Klassen unterteilen: •Backdoor-Trojaner sind trojanische Pferde, die unter Umgehung der normalen Zugriffssicherung einen unbefugten Zugang zum Rechner ermöglichen. Diese Schadprogramme infizieren keine Dateien, sondern registrieren sich in der Registry, indem sie Registry-Schlüssel modifizieren. •Rootkits sind Sammlungen von Softwarewerkzeugen, die dazu dienen, die Präsenz und Aktivitäten des Angreifers oder unerwünschter Software auf dem befallenen System zu verschleiern. Außerdem können Rootkits die Prozesse anderer Programme, Registry-Schlüssel, Ordner und Dateien verstecken. Rootkits verbreiten sich als autonome Programme oder als Bestandteile anderer Schadprogramme. Rootkits können je nach Schadensroutine in zwei Gruppen unterteilt werden: User Mode Rootkits (UMR) laufen im User-Modus und Kernel Mode Rootkits (KMR) laufen im Kernel-Modus. Dadurch erhält der Angreifer vollständige Kontrolle über den betroffenen Rechner. Aus diesem Grund lässt sich diese Art von Rootkits schwierig entdecken und entfernen. •Tasten-Recorder (Keylogger) werden verwendet, um Tastenanschläge und Screenshots aufzuzeichnen. Dadurch spionieren Cyberkriminelle geheime persönliche Daten wie Passwörter, Kreditkartennummern, Anmeldedaten etc. aus. •Clicker-Trojaner leiten Benutzer auf bestimmte Webseiten um, die schädlich sein können. Diese Technik wird meistens verwendet, um die Anzahl der Klicks auf ein Werbemedium zu erhöhen oder DDoS-Angriffe auszuführen. •Proxy-Trojaner ermöglichen es Cyberkriminellen, sich einen anonymen Zugang zum Internet über den Rechner des Opfers zu verschaffen. Trojaner können andere schädliche Aktionen ausführen, z. B. die Startseite im Webbrowser ändern oder bestimmte Daten löschen. Jedoch können solche Aktionen auch von anderen Bedrohungen ausgeführt werden (z. B. von Viren und Würmern). Hacking-Tools Hacking-Tools helfen Cyberkriminellen, sich den Zugriff auf einen Rechner oder ein Netzwerk zu verschaffen. Am häufigsten werden dazu Portscanner verwendet, die nach Schwachstellen im Sicherheitssystem des Rechners suchen. Diese Tools können auch von Systemadministratoren genutzt werden, um die Sicherheit der bedienten Netzwerke zu prüfen. Manchmal wird die Software, die auf Social Engineering basiert, zu Hacking-Tools gezählt. Adware Am häufigsten wird mit diesem Begriff ein Programmcode bezeichnet, der in kostenlose Software eingebettet wird, damit dem Benutzer Werbung angezeigt wird. Ein solcher Code kann manchmal von anderen Schadprogrammen verbreitet werden. Oft verwenden Programme dieser Art die von Spyware gesammelten Daten. Scherzprogramme Scherzprogramme können dem System keinen direkten Schaden zufügen. Diese Programme zeigen oft falsche Fehlermeldungen oder Virenalarme an und warnen vor angeblichen Gefahren. Obwohl Scherzprogramme keinen schädlichen Code enthalten, können sie den Benutzer erschrecken oder ärgern. Dialer Dialer sind spezielle Computerprogramme, die einen Telefonnummernbereich scannen und versuchen, eine Verbindung zu kostenpflichtigen Nummern herzustellen. Provider solcher Dialer profitieren von den zusätzlichen Gebühren. Dialer überschreiben die Standardeinstellungen für den Zugriff auf das Internet über die Telefonverbindung ohne Wissen und Einverständnis des Benutzers und veranlassen somit die Einwahl über teure Service-Telefonnummern. Riskware Einige Computerprogramme, die ursprünglich als nützliche Programme konzipiert wurden, können unter Umständen die Sicherheit des Rechners beeinträchtigen. Das sind nicht nur Programme, die Daten zufällig beschädigen oder löschen können, sondern auch Programme, die von Hackern oder einigen Programmen zur Systembeschädigung genutzt werden können. Dazu zählen z. B. diverse Messaging-Clients, Verwaltungstools, FTP-Server etc. Verdächtige Objekte Als verdächtig werden alle potenziellen Bedrohungen bezeichnet, die heuristisch erkannt werden. Solche Objekte können Merkmale einer Bedrohungsart aufweisen (es kann sich auch um eine noch nicht bekannte Bedrohung handeln). Solche Objekte können sich auch als harmlos erweisen, falls es sich um einen Fehlalarm handelt. Dateien, die verdächtige Objekte enthalten, sollten in Quarantäne verschoben und an das Virenlabor von Doctor Web zur weiteren Analyse gesendet werden. |