Erweiterte Malware – Begriffserklärung Teil 2
In dieser mehrteiligen Artikelserie möchte ich Ihnen die verschiedenen Malware-Arten vorstellen und erklären. Alle Artikel finden Sie unter --> „Interne Links“ am Ende des jeweiligen Berichts.
Themen dieses Berichts (was Sie erwartet):
Allgemein --> Typen der erweiterten Malware
Dailer --> Stichpunkte
Adware
Spyware --> Spyware Datenziele / Spyware Fakten
Webwanzen
Spam --> Spam-Arten / Werbe E-Mails / Geldwäsche E-Mails / Mails mit gefährlichem Anhang / Mails mit gefährlichen Scripten / Phishing Mails / Social Engineering Mails / Blended Threat Mails
Wichtig
Interne Links
Externe Links
Allgemein:
In diesem Teil möchte ich auf erweiterte Malware eingehen. In meinem ersten Teil haben Sie bereits klassische Malware kennen gelernt --> http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html
Da die Entwicklungen gerade in diesem Bereich ein enormes Tempo an den Tag legen, und ständig neue Bedrohungen auftauchen, sind die engen Kategorien nicht unbedingt hilfreich. Auch werden verschiedene Techniken immer mehr vermischt.
Im Folgenden finden Sie deshalb eine Erklärung zu den verschiedensten Begriffen.
Ich habe den Artikel „Erweiterte Malware“ aus Gründen der Übersichtlichkeit und des Umfangs in den Teil 2 und Teil 3 unterteilt.
Typen der erweiterten Malware:
Zur erweiterten Malware kann man folgende Typen zählen:
Dailer (Teil 2)
Adware (Teil 2)
Spyware (Teil 2)
Webwanzen (Teil 2)
Spam (Teil 2)
Backdoors (Teil 3)
RAT (Teil 3)
Keylogger (Teil 3)
Dropper (Teil 3)
Logische Bomben (Teil 3)
DDos-Tools (Teil 3)
File-Server-Trojaner (Teil 3)
Hoaxes (Teil 3)
Kettenbriefe (Teil 3)
Cookies (Teil 3)
Dailer:
Ursprünglich waren Dailer – regulär Einwahlprogramme – dazu gedacht legitime Mehrwertdienste einfach abzurechnen. Hierzu waren keine Angaben zu Kreditkartennummern oder Kontonummern nötig. Die Abrechnung erfolgte über die Telefonrechnung.
Vor dem 15.08.2003 waren diese Mehrwertdienste an der Vorwahl „0190“ erkennbar. Der Preis lies sich über die erste Ziffer nach der „0190“ ableiten.
So betrug das Entgelt für die 0190-9 z.B. 1,86 Euro/Minute.
Besonders kritisch waren 0193 Nummern, da hier die Preise vom Anbieter festgelegt werden konnten.
Aufgrund der massiven rechtswidrigen Nutzung wurde von der „Regulierungsbehörde für Post und Telekommunikation“ (RegTP) ein neues Gesetz erlassen, welches ab dem 15.08.2003 in Kraft trat.
Ich habe zu diesem Thema mehrere weiterführende Links am Ende des Berichts zusammengetragen – sehen Sie dazu auch --> „Externe Links“. Die Links zeigen alle auf die „Bundesnetzagentur“. Hier erhalten Sie spezielle Informationen, die den Rahmen dieses Berichts sprengen würden.
Dailer sind nur für die Interneteinwahl über analogen- / ISDN-Anschluss gefährlich. DSL ist hiervon nicht betroffen.
Die Dailer haben sich im Laufe der Entwicklung zu sehr gefährlichen und gut getarnten Programmen entwickelt.
Stichpunkte:
Ich habe Ihnen deshalb ein paar Punkte stichwortartig zusammengetragen:
Schlechte Kontrolle der Funktionen von Dailern
Sehr hohe Preise
Kosten sind schwer kontrollierbar
Verbergen des Downloads / der Installation
Verbreitung über Webseiten oder Spam E-Mails
Anpreisung „kostenlose Zugangssoftware“ – wobei die Software an sich kostenlos ist, aber nicht die Verbindung
Verbreitung über Scripte (z.B. ActiveX) – teilweise unbemerkt für den User
Deaktivierung des Standardeinwahlprogramms – normale Einwahl geschieht in Folge immer über den teuren Dailer
Dailer deinstallieren sich teilweise nach erfolgreicher Einwahl, um Beweise zu verwischen
Adware:
Sehr viele Programmiere – in der Regel Hobbyprogrammierer – stellen ihre Programme kostenlos zur Verfügung.
Um für Ihre Arbeit und auch die Ressourcen zum Verteilen der Programme eine gewisse Entlohnung zu bekommen, nehmen sie Angebote von Werbefirmen an. Aber auch Softwarefirmen bieten diese Art von Software – insbesondere mit eingeschränkten Funktionen – an. Gegen Bezahlung ist dann eine werbefreie und funktionsreichere Version erhältlich.
Diese Art der werbefinanzierten Software nennt man Adware (Advertising Supported Software).
Das Problem hierbei ist, das der Programmierer die Kontrolle über Teile der Software verliert. Es sind meist vorgefertigte Programmteile, die in das Programm eingefügt werden müssen. Ob sich nun die Werbefirmen rein auf die Anzeige von Werbebannern begrenzen ist in der Regel nicht mehr nachvollziehbar.
Werden auch Aktionen des Benutzers weitergeleitet, spricht man von Spyware.
Spyware:
Spyware ist eine Erweiterung von Adware. Die Begriffe gehen mittlerweile in der Praxis ineinander über, da selten mit Gewissheit gesagt werden kann, welche Funktionen diese Werbezusätze beinhalten.
Spyware sammelt teilweise recht umfangreiche Daten des Benutzers.
Spyware Datenziele:
Prinzipiell können alle lokal gespeicherten Daten und alle Benutzeraktionen dazugehören, wie z.B.:
Benutzerprofile
Datum
Uhrzeit
Surfdauer
Surfverhalten
Besuchte Webadressen
E-Mail Adressen / Inhalte
Alle Art von Dokumenten
Tastaturanschläge
Passwörter (Eingabe in Internetbrowser)
Passwortlisten
Anmeldung bei Online-Diensten (E-Mail, Onlinebanking, Registrierungen)
Adressdaten
Kreditkartennummern
Installierte Software
Registry-Einträge (z.B. von Lizenzschlüsseln usw.)
Usw.
Spyware Fakten:
Spyware hat sich mittlerweile zu einem sehr grossen Problem verbreitet. Dazu ein paar Fakten:
Spyware bleibt oftmals aktiv, auch wenn das urspüngliche Programm gelöscht wird
Sehr schnelle Updatefolge
Umfangreiche Funktionen des Selbstschutzes und der Tarnung
Spezielle, personenbezogene Spywareentwicklungen (z.B. für ein Unternehmen)
Schwere Erkennungsrate durch Spezialisierung, schnelle Updates und Tarnung
Starke Gefährdung für Firmennetzwerke
Hersteller von Schutzlösungen werden oftmals verklagt, die Signatur zu löschen
Verschlüsselte Datenübertragung über Standardports (Umgehung der Firewall).
Webwanzen:
Webwanzen (Webkäfer) sind kleine „Werbebanner“ auf Internetseiten mit der Grösse 1x1 Pixel.
Sie werden oftmals von Angreifer gezielt im HTML-Code der Seite untergebracht. In Folge werden benutzerspezifische Daten vom User zum Angreifer gesendet, aber auch (gefährlicher) Code vom Angreifer auf den Rechner des Users.
Folgende Gefahren sind möglich:
Ermittlung von Benutzerdaten
Ermittlung demografischer Informationen
Speicherung von Cookies (Tracking Cookies) zum beobachten des Surfverhaltens
Übertragung von (gefährlichen) Scripten
Übertragung / Installation von Malware
Spam:
Spam oder Spam-Mails dürfte jedem ein Begriff sein – und einige haben vielleicht ihren täglichen Kampf damit.
Spam-Mails sind Massennachrichten. Sie sind aber potentiell sehr gefährlich, da sie alle möglichen Angriffsarten ausführen können.
Spam-Mails machen mittlerweile einen grossen Prozentsatz des weltweiten E-Mail-Verkehrs aus. Sie sorgen für unnötigen Traffic, verbrauchen Ressourcen und schädigen die Produktivität.
Eine tagesaktuelle Statistik zu allen Spam-Messungen finden Sie auf meiner Homepage unter dem „Quicklink CipherTrust“ bzw. Informationen zu den Quicklinks finden Sie hier --> http://www.security-dome.eu/html/linksammlung.html
Spam-Arten:
Es gibt folgende Arten von Spam:
Werbe E-Mails
Geldwäsche E-Mails
Mails mit gefährlichem Anhang
Mails mit gefährlichen Scripten
Phishing Mails
Social Engineering Mails
Blended Threat Mails
Es ist natürlich jede Mischform der oben genannten Arten möglich!
Werbe E-Mails:
Die meisten E-Mails dürften immer noch dem Zweck der Werbung dienen. Beworben werden unter anderem Arzneimittel oder Kreditgeschäfte.
Geldwäsche E-Mails:
Besonders gefährlich sind Spam-Mails, die das Ziel haben Geld über Ihr Konto zu waschen!
Hier wird mit den abenteuerlichsten Geschichten um die Preisgabe Ihrer Kontoverbindung gebeten – immer mit der Aussicht schnell sehr viel Geld zu verdienen.
Ich kann Sie nur vor solchen Aktionen warnen!! Dabei handelt es sich um einfache und kriminelle Handlungen zur Geldwäsche!!
Diese Transaktionen werden nicht lange unentdeckt bleiben und Sie werden sehr schnell Besuch von den Ermittlungsbehörden bekommen!!!
Mails mit gefährlichem Anhang:
Mails können im Anhang alle Arten von Malware mitführen! Dazu werden verschiedene Arten der Tarnung genutzt. Aber auch Social Engineering Angriffe sind ein beliebtes Mittel diese Anhänge zu öffnen. Prinzipiell sollte man mit allen Anhängen sehr vorsichtig sein und diese vor dem Öffnen mit verschiedenen Sicherheitsprogrammen prüfen.
Die verschiedenen Möglichkeiten:
Doppelte Dateinamen (z.B. *.jpg.vbs – wobei nur die Endung „.jpg“ angezeigt wird)
Ausgeblendete bekannte Dateinamen (Standardeinstellung von Windows)
Doppelbedeutung (z.B. *.com als ausführbare Batchdatei / *.com als Root-Domain – Internetadresse)
Scrap Dateien (z.B. *.shs – sind Sammelbehälter, die jede Art von Datei / Anwendung enthalten können
Getarnte Dateinamen (z.B. Bildschirmschoner mit der Endung *.scr sind ganz normale Programme, wie *.exe-Dateien
Mails mit gefährlichen Scripten:
Mails können wie Internetseiten gefährliche Scripte enthalten. Ist z.B. die HTML-Funktion im Mail-Programm aktiviert, werden diese Scripte ausgeführt. Dies kann sogar genutzt werden, um Anhänge schon im „Vorschaumodus“ von Outlook / Outlook Express zu aktivieren.
Phishing Mails:
Phising Mails werden im 4. Teil behandelt
Social Engineering Mails:
Diese Mails nutzen Social Engineering Angriffe, um den Empfänger zum Ausführen von Anhängen oder betätigen der Links zu provozieren. Social Engineering Angriffe werden im 4. Teil behandelt.
Blended Threat Mails:
Blendet Threats werden im 5. Teil behandelt.
Wichtig:
Weitere Informationen insbesondere zum Thema Spam finden Sie in mehreren Berichten mit dem Zusatz „UM“ im Bereich --> http://www.security-dome.eu/html/sicherheit.html
In meinem Bericht „U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme“ finden Sie sehr umfangreiche Möglichkeiten diese klassischen Malwarearten zu erkennen und zu bekämpfen. Diesen Bericht finden Sie unter --> „Interne Links“.
Interne Links:
Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html
Erweiterte Malware – Teil 2: dieser Bericht
Erweiterte Malware – Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html
Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html
Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html
Weiterführende Berichte zum Thema Spam, erkennbar an der Abkürzung „UM“ im Titel: http://www.security-dome.eu/html/sicherheit.html
U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme: http://www.security-dome.eu/__U3-Universelle_Auditing-und_Preventionlosung__.html
Externe Links:
Bundesnetzagentur / Homepage: http://www.bundesnetzagentur.de/enid/2.html
Bundesnetzagentur / Verbraucher Informationen: http://www.bundesnetzagentur.de/enid/6187c263f14d49e139a8f0e5b8e6520f,0/Verbraucher/Dialer_-_Spam_-_Rufnummernmissbrauch_xy.html
Bundesnetzagentur / Übersicht Nummernraum: http://www.bundesnetzagentur.de/enid/6187c263f14d49e139a8f0e5b8e6520f,0/Regulierung_Telekommunikation/Nummernverwaltung_14y.html
Bundesnetzagentur / Nummernsuchmaschine: http://www.bundesnetzagentur.de/enid/6187c263f14d49e139a8f0e5b8e6520f,0/Verbraucherfragen_Dialer-Rufnummernmissbrauch/Suchmaschine___ss9_er/_9__er_Rufnummern_1fp.html
Bundesnetzagentur / Dailer-Datenbank: http://app.bundesnetzagentur.de/Dialer2005/(3euwbt45u5oiqh453qe4aa55)/Default.aspx
Bundesnetzagentur / Preisangaben: http://www.bundesnetzagentur.de/enid/6187c263f14d49e139a8f0e5b8e6520f,0/Verbraucherfragen_Dialer-Rufnummernmissbrauch/Preisobergrenzen__Legitimationsverfahren__automatische_1c2.html
Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/
Autor: Frank Richter
Copyright: Frank Richter – securITy-dome.eu
Erstellungsdatum: 04.08.06
Letzte Aktualisierung: 24.07.07