Gefahren im Internet: Viren Würmer & Trojaner



Die Gefahren des Internet werden unter Malware zusammengefasst. Unter Malware versteht man im allgemeinen Software, bzw. Code, der geschrieben wurde, um Schaden anzurichten. Malware untergliedert sich in Viren, Würmer, Trojaner, Exploits, Hoaxes und andere Schadensroutinen.
Die einzelnen Arten der Malware sind hier beschrieben:



Viren

Ein Virus ist ein Stück Software bzw. Code, der andere Programme "infizieren" kann. Dazu werden Prorgammdateien so modifiziert, dass diese eine möglicherweise mutierte Kopie von dem Programm enthalten. Infiziert bedeutet, dass sich der Virus in die Befehlskette des ursprünglichen Programms einschleust, so dass der Versuch, ein legitimes Programm auszuführen, gleichzeitig oder stattdessen zur Ausführung des Virus führt.

Schädigung durch einen Virus:
Es kann zur Zerstörung oder Beschädigung von Dateien kommen, sodass wichtige Dokumente oder Programme verloren gehen bzw. unbrauchbar werden. Es kann auch zur Beschädigung des Systembereiches kommen, was dazu führt, dass das Wirtssystem nicht booten kann. Der Computer wird damit für den User zunächst einmal unbrauchbar. Weniger schwerwiegende Schäden, die meist nur eine Begleiterscheinung eines Virus sind, sind zum Beispiel verringerte Speicherkapazität, Festplattenkapazität oder Prozessorzyklen. Versuche, die Existenz des Virus zu verstecken kann außerdem zu bewussten oder zufälligen Beschädigungen führen, wenn die Umgebung manipuliert oder neu konfiguriert wird. Beispiele hierfür sind:

  • Verschwinden von Word-Menüoptionen, die mit dem Vorhandensein von Makros zu tun haben
  • Verschlüsselung oder Verschiebung von Systembereichen beispielsweise vom Master Boot Record
  • Manipulation der Windows-Registry
  • Zerstörung oder Korruption eines legitimen Makros während der Installation eines Makrovirus



Viren lassen sich noch weiter in folgende Arten untergliedern:


  • System- oder Bootviren
    Diese Viren konzentrieren sich auf den Bootsektor von Datenträgern und ersetzen den vorhandenen Programmcode durch den eigenen. Das hat meistens zur Folge, dass das System nicht fehlerfrei oder nicht mehr bootet.

  • Dateiviren
    Dateiviren befallen ausführbare Dateien, wie z.B. .EXE, .COM, .DLL, oder .SRC. Sie fügen ihren eigenen Code in den Programmcode dieser Dateien ein. Beim Start einer infizierten Datei wird zuerst der Virus gestartet und beginnt sich zu vervielfältigen und weitere Dateien zu infizieren oder zu zerstören.

  • Makroviren
    Makroviren werden in Makrosprachen wie VBS oder VBA geschrieben. Diese Viren betten sich in die erstellten Dokumente ein und verbreiten sich üblicherweise per E-Mail. Viren dieser Art sind weitgehend plattformunabhängig, sofern das ausführende Programm für mehrere Plattformen verfügbar ist.

  • Polymorphe Viren
    Diese Viren haben die erschreckende Eigenschaft, dass sie sich bei jeder neuen Infektion verändern oder selbst verschlüsseln. Sie sind somit für Antivirus Programme nur sehr schwer aufzuspüren, da das Muster, nach dem ein Virus identifiziert wird, mit einem derartigen Virus nicht lange übereinstimmt.

  • Stealth-Viren
    Stealth-Viren schützen sich ebenfalls vor ihrer Entdeckung. Allerdings modifizieren sie nicht ihren eigenen Quellcode, sondern entfernen diesen sogar vollständig nach durchlaufen der Schadensroutine. Auch beim Suchlauf einer Antivirus Software wird der Code aus der infizierten Datei entfernt. Nach erfolgloser Suche wird die Datei erneut infiziert.

  • Multipartite Viren
    Diese Form von Viren kombiniert die zuvor beschriebenen Techniken. Das macht die Viren sehr flexibel und somit auch gefährlich.



Würmer

Würmer haben in erster Linie die Absicht, sich so weit wie möglich zu verbreiten. Die eigentliche Schadensroutine hält sich hierbei meist in Grenzen. Ein Programmierer, der einen Wurm entwickelt, will in erster Linie seine Fähigkeiten unter Beweis stellen. Ein gutes Beispiel dafür ist der sogenannte Wurmkrieg zwischen MyDoom und Netsky. Dabei gibt es immer wieder neue Variationen der Würmer, die jedoch die selbe Sicherheitslücke nutzen, um ein System zu befallen und sich weiter zu verbreiten. Jede neue Version enthält Textbotschaften, aus denen hervorgeht, dass die Wurm-Programmierer anscheinend einen Machtkampf unter einander ausüben und sich sogar gegenseitig beleidigen. Darüber hinaus war der Sinn von Netsky anscheinend, von MyDoom befallene Systeme zu reinigen.

Die Verbreitung von Würmern erfolgt meist über E-Mail. Dabei wird das System infiziert, sobald der E-Mail Anhang geöffnet wird. Ist eine Software, wie z.B. Outlook installiert, um E-Mail zu empfangen und zu senden, so wird die E-Mail nicht selten direkt an alle im Adressbuch eingetragenen Personen versendet. Der Wurm benötigt also kein weiteres Zutun des Users, um sich weiter zu verbreiten. In einem Firmennetzwerk, ist so schnell jeder Rechner infiziert.

Würmer sind heute weiter verbreitet als je zuvor, da nie so viele Computer miteinander vernetzt waren. Außerdem wird das Programmieren von Würmern immer leichter, da ein einfaches Visual Basic Skript bzw. Makro, wie es von unseren Anwendern häufig verwendet wird, ausreicht, um einen Wurm zu programmieren.

Auch wenn Würmer sich in erster Linie auf ihre eigene Verbreitung spezialisieren, so sollte ihre Gefahr dennoch nicht unterschätzt werden. Oft ist ein Wurm mit einem sogenannten Trojaner gekoppelt, wodurch das System ferngesteuert werden kann. Selbst wenn der Wurm keinen Schaden anrichtet, so zeigt er doch die Verwundbarkeit des Computers, bzw. der Netzwerks.



Trojanische Pferde (Trojaner)

Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojanisches Pferd oder kurz Trojaner werden. Trojaner werden oft als Programme bezeichnet, die vorgeben, etwas Nützliches oder Wünschenswertes zu tun (dies vielleicht auch wirklich machen), die jedoch gleichzeitig eine bestimmte Aktion ausführen, die vom Opfer nicht erwartet oder gewünscht wurden. Zu diesen Aktionen gehören beispielsweise das Ausspähen von Passworten oder die totale Zerstörung des Wirtssystems.

Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die ein Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen.

Die große Gefahr, die von Trojanern ausgeht, besteht in der unbegrenzten Möglichkeit, ein System zu kontrollieren. Oft können sogar Programmieranfänger, sogenannte "Skriptkids", Trojaner verwenden, um fremde Systeme zu kontrollieren. Es muss also nicht immer ein Hacker sein, im Prinzip kann sich jeder einen als "Baukasten" bezeichneten Programmcode aus dem Internet laden und für seine Bedürfnisse modifizieren. Dabei ist der Quellcode so vorbereitet, dass auf die einzustellenden Werte in Kommentaren hingewiesen wird. Viele umstrittene Webseiten bieten Trojaner an, unter dem Vorwand, dass Administratoren so ihre Systeme auf Sicherheit überprüfen können.

Trojanische Pferde können nicht nur dazu verwendet werden, Daten auszuspähen. Wer glaubt er habe keine wichtigen Daten auf seinem Rechner und müsse sich deshalb keine Sorgen machen, irrt sich. Wenn das eigene System z.B. verwendet wird, um von dort aus kriminelle Aktivitäten durchzuführen, macht man sich eventuell selbst strafbar. Es wäre denkbar, dass illegale Dateien auf Ihren Computer geladen werden und von dort aus zum Download angeboten werden. Bei einer strafrechtlichen Verfolgung wird Ihr Computer als Ursprung dieser Daten ermittelt.

Trojaner setzen sich aus drei Bestandteilen zusammen:
  1. Server
  2. Client
  3. Konfigurationsmodul

Der Server ist der Teil des Trojaners, der den PC des Users infiziert. Er bietet dem Client die Möglichkeit zur Fersteuerung des Systems. Die Client Software wird vom "Hacker" verwendet, um auf den Server zuzugriefen. Über das Konfigurationsmodul kann der Trojaner an die eigenen Bedürfnisse des Hackers angepasst werden. Daran erkennt man, dass Trjanische Pferde im Prinzip nur Fernwartungs-Tools sind, die in ihrer hier beschriebenen Form zweckentfremdet wurden.



Exploits

Exploits sind Sicherheitslöcher im Betriebssystem in Kombination mit bestimmter Anwendersoftware. Diese Sicherheitslöcher sind häufig Programmierfehler, welche das Ausführen von beliebigen Code erlauben. Exploits richten sich in erster Linie gegen Server, jedoch kann die gleiche Schadensroutine auch auf normalen Desktop PCs ausgeführt werden.

Exploits können z.B. im Quellcode auf Webseiten enthalten sein oder im ID3-Tag von MP3 Dateien. Das ID3-Tag dient eigentlich zur Speicherung von Meta-Informationen wie Titel und Interpret. Wenn dieser Teil der MP3-Datei so modifiziert ist, dass es bei bestimmten Audio-Playern zum Buffer-Overflow kommt, kann in diesem Zusammenhang beliebiger Code ausgeführt werden, der dann Informationen über das Inernet verschickt, oder Dateien zerstört.



Hoaxes

Hoaxes sind keine Viren, sondern Virenwarnungen vor angeblich sehr gefährlichen Viren. Dabei handelt es sich allerdings nicht um Warnungen vor tatsächlichen Viren, sondern um Ketten-Mails, die einfach nur Panik verbreiten sollen. Meistens wird noch dazu aufgefordert, die E-Mail an alle Bekannten weiter zu versenden.

Generell sollte auf derartige E-Mail nicht reagiert werden. Virenwarnung und entsprechend zu treffende Maßnahmen werden nur vom Administrator weitergegeben.

Hoaxes erkennen:

Echte Viren würden niemals mit Vorwarnung in Umlauf gebracht. Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder "Virenwarnung". Als Quelle der vermeintlichen Virenwarnung wird gerne eine namhafte Firma genannt, der man eine solche Warnung abnimmt. Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch nie dagewesen formuliert.