Malware – Begriffserklärung Teil 1

In dieser mehrteiligen Artikelserie möchte ich Ihnen die verschiedenen Malware-Arten vorstellen und erklären. Alle Artikel finden Sie unter --> „Interne Links“ am Ende des jeweiligen Berichts.

Themen dieses Berichts (was Sie erwartet):

• Allgemein

• Malware

• Klassische Malware

• Erweiterte Malware

• Neue Angriffsformen

• Hybride

• Viren --> Bootsektorviren / Dateiviren / Mehrteilige Viren / Macroviren / Scriptviren / Stealthviren / Polymorphe Viren / Retroviren

• Würmer --> Internetwürmer / LAN-Würmer / E-Mail-Würmer

• Trojanische Pferde --> Funktionen

• Zusammenfassung

• Interne Links

Allgemein:

Die Situation der Gefahr durch Malware hat sich sehr stark verändert. Synchron dazu müssen auch die Hersteller von Schutzlösungen ihre Strategie anpassen.

Aus diesem Grund wird täglich von neuen Bedrohungen gesprochen.

• Doch was ist Malware?

• Wo liegen die Unterschiede zwischen den verschiedenen Arten von Malware?

• Wie lauten die Definitionen der unterschiedlichen Arten?

Diese Fragen möchte ich in diesem Grundlagenbericht aufgreifen und erklären.

Der Grundlagenbericht wird hierbei (vorerst) in 5 Teilen zeitnah veröffentlicht, um für eine bessere Übersicht zu sorgen.

Weitere Teile sind geplant. Diese setzen sich dann mit aktuellen Entwicklungen, Strategien und Lösungen auseinander.

Malware:

Malware ist die Abkürzung von „Malicious Software“. Der Begriff beschreibt jede „böswillige Software“, deren Hauptaufgabe die Schädigung oder illegale Nutzung von Ressourcen ist. Darunter fallen Programme oder auch Programmcode.

Klassische Malware:

Im 1. Teil meines Berichts erfahren Sie Einzelheiten zur klassischen Malware.

Zur klassischen Malware zählen:

• Viren

• Würmer

• Trojanische Pferde

Erweiterte Malware:

Im folgenden 2. und 3. Teil gehe ich auf erweiterte Malware ein.

Zu der erweiterten Malware zählen:

• Dailer (Teil 2)

• Adware (Teil 2)

• Spyware (Teil 2)

• Webwanzen (Teil 2)

• Spam (Teil 2)

• Backdoors (Teil 3)

• RAT (Teil 3)

• Keylogger (Teil 3)

• Dropper (Teil 3)

• Logische Bomben (Teil 3)

• DdoS-Tools (Teil 3)

• File-Server-Trojaner (Teil 3)

• Hoaxes (Teil 3)

• Kettenbriefe (Teil 3)

• Cookies (Teil 3)

Neue Angriffsformen:

Des Weiteren sind in der jüngeren Vergangenheit Bedrohungen entstanden, auf die ich im 4. und 5. Teil der Berichtsserie eingehen möchte. Darunter fallen:

• Phishing (Teil 4)

• Pharming (Teil 4)

• Vishing (Teil 4)

• Social Engineering (Teil 4)

• Identitätendiebstahl (Teil 4)

• Ransomware (Teil 5)

• Zero-Day Attacken (Teil 5)

• Zero-Day Batteries (Teil 5)

• Under-the-Radar Viren (Teil 5)

• Archiv-Malware (Teil 5)

• Rootkits (Teil 5)

• Blended Threats (Teil 5)

• Exploits (Teil 5)

• Botnets (Teil 5)

• Crimeware (Teil 5)

• Bounce Attacken (Teil 5)

Hybride:

Kaum eine Malware taucht mittlerweile in ihrer Urform oder klassischen Form auf. Oftmals werden die Funktionen von verschiedenen Malware-Formen bzw. Angriffsformen gemischt. Es ist dabei jede Art der Vermischung möglich.

Viren:

Ein Virus ist ein Programm, dessen Hauptaufgabe die Reproduktion (Verbreitung) durch Infizierung ist! Ein Virus muss also nicht zwingend destruktiv sein.

Die genaue Definition lautet:

Ein Virus ist ein Programm, das sich repliziert, indem es andere Programme infiziert, sodass diese eine Kopie des Virus enthalten.

Die Viren unterteilen sich in folgende Arten:

• Bootsektorviren

• Dateiviren

• Mehrteilige Viren

• Makroviren

• Skriptviren

• Stealthviren

• Polymorphe Viren

• Retroviren

Bootsektorviren:

Bootsektorviren schreiben sich in den Bootsektor von bootfähigen Datenträgern ein. Der Bootsektor ist die erste Spur im ersten Sektor eines Datenträgers. Der Bootsektor wird als erstes beim Systemstart gelesen und zeigt dem System an welcher Stelle es fortfahren soll (z.B. zum Laden des Betriebssystems).

Ein Bootsektorvirus hat hierbei den Vorteil noch vor dem Betriebssystem geladen zu werden – und damit natürlich auch vor dem Starten von Schutzsoftware.

Bootsektorviren treten heute sehr selten auf und waren vor allem zu DOS-Zeiten sehr verbreitet.

Dateiviren:

Dateiviren infizieren alle Arten von ausführbaren Programmdateien:

• *.exe

• *.com

• *.dll

• Overlay-Dateien

• VxD

• Treiber

• Screensaver

• Font-Dateien

Sie verändern hierbei die Sprunganweisungen der Wirtsdatei. Sie können am Anfang, am Ende oder auch in der Mitte der Wirtsdatei eingebunden werden. Meistens sitzen sie aber am Ende der Wirtsdatei.

Mehrteilige Viren:

Mehrteilige Viren setzen sich aus verschiedenen Arten der Virenklassen zusammen. Die Kombinationen sind hierbei beliebig.

Makroviren:

Makroviren sind eine spezielle Art von Dateiviren, die keine ausführbaren Binärdateien, sondern Datendateien infizieren.

Dies betrifft alle Makroprogrammierumgebungen, insbesondere Word, Excel, StarOffice usw. Die Makrosprache ist eine recht einfache Programmiersprache, die sogar den direkten Zugriff auf das Betriebssystem erlaubt.

Skriptviren:

Skriptviren befallen alle Arten von Skripten wie z.B.:

• Java-Applets

• JavaSkripts

• Visual Basic Script (VBS)

Die Skriptviren können sich auch im HTML-Code einer Internetseite befinden. Skriptviren können alle möglichen Aktionen ausführen!

Stealthviren:

Stealthviren – oder auch Tarnkappenviren – versuchen sich vor einer möglichen Entdeckung zu schützen. So versuchen sie z.B. Anti-Virenprogamme zu erkennen. Versucht ein Anti-Virenprogramm auf den Virencode zuzugreifen, entfernt der Stealthvirus seinen Code aus der Datei und fügt den Code später wieder ein. Aber auch Abfragen zur Grösse einer Datei können gefälscht werden.

Stealthviren müssen dazu aber speicherresident sein. D.h. sie müssen ständig im Arbeitsspeicher aktiv sein.

Polymorphe Viren:

Polymorphe Viren besitzen die Fähigkeit, sich selber zu verändern, um von signaturbasierten Anti-Virenprogrammen nicht erkannt zu werden.

Die Malwarprogrammierer nutzen hierbei die Möglichkeit durch eine unterschiedliche Kombination von Programmierbefehlen zwar eine unterschiedliche Signatur zu erzeugen, die Funktion des Virus bleibt aber gleich. Eine ebenfalls bekannte Massnahme ist die Verschlüsselung der eigentlichen Schadensroutine (Payload).

Retroviren:

Retroviren nutzen ebenfalls diverse Tricks um nicht erkannt zu werden. So nutzen manche Retroviren die Möglichkeit, die von Anti-Virenprogrammen untersuchten Dateien zu modifizieren.

Würmer:

Das primäre Ziel von Würmern ist ebenso wie bei Viren die Reproduktion (Verbreitung). Allerdings unterscheiden sich Viren und Würmer in der Art der Verbreitung.

Würmer sind nicht auf ein Wirtsprogramm angewiesen!

Sie verbreiten sich über Funktionen oder Schwachstellen von Betriebssystem / Diensten oder über E-Mail-Systeme.

Man unterscheidet zwischen drei Arten von Würmern:

• Internetwürmer

• LAN-Würmer

• E-Mail-Würmer

Internetwürmer:

Internetwürmer nutzen verschiedene Netzwerkprotokolle, um ihre Daten auf einen Rechner zu übertragen.

Bekannt hierfür sind unter anderem Protokolle wie z.B.:

• FTP (z.B. Internetwurm „Homer“)

• HTTP (z.B. „Code Red“)

• Telnet

• Usw.

Manche Würmer kopieren sich hierbei in das Dateisystem, andere nur in den Arbeitsspeicher um das Wurmprogramm zu starten.

LAN-Würmer:

LAN-Würmer nutzen im Allgemeinen Dateifreigaben eines lokalen Netzwerks um sich zu verbreiten.

Um auf dem Zielsystem auch gestartet zu werden, nutzen sie verschiedene Möglichkeiten:

• Ablegen von infizierten Programmdateien, die beim manuellen Start ausgeführt werden

• Infizierung von „Autostart-Ordnern“, um beim nächsten Systemstart automatisch gestartet zu werden (entsprechende Rechte vorrausgesetzt)

• Ausnutzung von Schwachstellen in Diensten, um diese zu manipulieren

E-Mail-Würmer:

E-Mail-Würmer werden zwar ebenfalls über das Internet verbreitet, sie nutzen dabei aber nicht die Schwachstellen oder Möglichkeiten von Netzwerkprotokollen. Sie verbergen sich einfach als Anhang in einer E-Mail. Dieser Anhang kann z.B. bei schlechten Sicherheitseinstellungen im so genannten „Vorschaumodus“ automatisch ausgeführt werden.

Ansonsten werden „Social Engineering“ Angriffe ausgenutzt, um bei dem Empfänger der E-Mail die Aktivierung der Wurmroutine durch anklicken des Anhangs zu provozieren.

Möglichkeiten bestehen z.B. durch:

• Fälschen der Absenderadresse

• Wecken der Neugier

• Erzeugung von Angst

• Verbergen von Dateinamenserweiterungen

Trojanische Pferde:

Trojanische Pferde haben ihren Namen aus der bekannten Geschichte aus der griechischen Mythologie um die Stadt Troja. Zugleich bezeichnet diese Geschichte sehr treffend die Funktionen und Besonderheiten von trojanischen Pferden (Trojanern).

Trojaner haben deshalb immer eine für den Benutzer interessante oder nützliche Funktion. Sehr oft geben sie dies allerdings nur vor.

Trojaner haben immer eine versteckte Schadensroutine.

Sie geben also immer etwas Nützliches vor, tun immer etwas Unerwartetes (bemerken sie die Parallelen zu der Sage um Troja?).

Das primäre Ziel von Trojanern ist die versteckte Ausführung von bestimmten Funktionen im Auftrag eines Angreifers!

Trojaner sind weniger auf Reproduktion (Verbreitung) aus.

Trojaner kopieren sich nicht in eine Trägerdatei. Sie nutzen also keine Wirtsdatei.

Die für den Anwender nützliche Funktion kann durchaus parallel zu dem Trojaner installiert und ausgeführt werden. Oftmals bricht aber auch die Installation mit bekannten Fehlermeldungen ab. Der Trojaner wird aber trotzdem installiert.

Da Trojaner sich sehr gut verstecken können und nicht auf eine massenweise Verbreitung bedacht sind, ist es schwierig Trojaner zu erkennen. Oftmals sind sie über einen langen Zeitraum auf dem Rechner aktiv, bevor sie von Anti-Virenscannern erkannt werden. Bis zu diesem Zeitpunkt haben sie aber oftmals weitere Schadensroutinen aus dem Internet nachgeladen.

Trojaner arbeiten sehr oft als Client-/Server Applikation, d.h. sie sind von einem entfernten Angreifer fernsteuerbar.

Funktionen:

Trojaner können folgende Funktionen aufweisen:

• Ausspähen und Übermittlung von Benutzerdaten (Online-Dienste, Passwörter, Kreditkartennummern, Bankzugänge usw.)

• Aufzeichnung und Übermittlung von Tastaturanschlägen

• Durchsuchen des Rechners und Übermittlung von Passwortdateien und Dokumenten

Zusammenfassung:

Sie haben nun in diesem Bericht die klassischen Malwarearten kennen gelernt.

In meinem Bericht „U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme“ finden Sie sehr umfangreiche Möglichkeiten diese klassischen Malwarearten zu erkennen und zu bekämpfen. Diesen Bericht finden Sie unter --> „Interne Links“.

Interne Links:

Klassische Malware – Teil 1: dieser Bericht

Erweiterte Malware - Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware - Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_4.html

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html

U3 als universelle Werkzeugkiste und Auditsystem für Rechnersysteme: http://www.security-dome.eu/__U3-Universelle_Auditing-und_Preventionlosung__.html

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 01.08.06

Letzte Aktualisierung: 24.07.07

<-- Zurück zu den News