Trojaner, Würmer und Viren – Allgemeine Informationen
Über die korrekte Klassifizierung, Differenzierung und Beseitigung digitaler Schädlinge in der IT-Landschaft
Alle Jahre wieder hört / liest / sieht man in allen gängigen Medien die neuesten Schreckensmeldungen im Bereich der Computersicherheit. Gehackte E-Mail-Konten, gestohlene Passwörter von Onlinebanking-Kunden oder DDos-Attacken auf Server bekannter Firmen und behördlicher Einrichtungen. Leider werden die verschiedenen Begriffe häufig wahllos durcheinander geworfen – was immer wieder auch zu Verwirrung führt. Je nach Art des digitalen Schädlings lässt sich schon vorab erkennen, wo Fehler gemacht wurden. Dieser Beitrag soll eindeutig klären, welche Funktion Viren, Würmer und Trojaner innehaben und wie ihre Verbreitung vor sich geht.
1.Trojaner, Würmer und Viren
1.1 Primärer Unterschied zwischen Würmern und Viren
Es gibt einen gewaltigen Unterschied zwischen Viren und Würmern: Während sich Computerviren nur dann verbreiten können, wenn der Computernutzer eine Aktion durchführt, verbreiten sich Würmer selbstständig. Sie benötigen keine Benutzeraktion sondern nutzen Sicherheitslücken im Computernetzwerk für sich aus. Eine Gemeinsamkeit haben diese beiden Schädlingsarten aber dann doch:
- Die primäre Funktion beider Schädlinge ist die maximale Verbreitung in möglichst kurzer Zeit
1.2 Versteckspiel auf digitaler Ebene – der Trojaner bzw. das trojanische Pferd
Trojaner ist das landläufige Kürzel für die vollständige Bezeichnung des trojanischen Pferdes, mit dessen Hilfe König Agamemnon die in einem offenen Kampf nicht zu bezwingende Stadt Troja doch noch erobern und dem Erdboden gleich machen konnte. Dahinter verbirgt sich, technisch betrachtet, ein Schadprogramm, welches sich in bzw. hinter einem nützlichen Programm verbirgt. In der Regel werden Trojaner über ein nützliches Hauptprogramm verbreitet und bedürfen einer gezielten Benutzeraktion, um ihre Tätigkeit aufnehmen zu können.
2.Über die Funktionsweise eines Computervirus
Computerviren können, je nach Programmierung, extrem komplexe Aufgaben durchführen. Hier wird aber weiterhin eine möglichst einfache Terminologie verwendet, um das Verständnis auch für Nicht-IT-affine Menschen zu bewahren. Wird ein Computervirus gestartet, legt es sich zuerst in Dokumenten und ausführbaren Dateien ab, die kompromittiert werden können. Als nächstes machen sich Computerviren daran, noch nicht infizierte Systeme zu finden (im lokalen Netzwerk und auch über das Internet) um sich auch dort festzusetzen. In der Regel bleiben die Viren auf den infizierten Rechnern so lange inaktiv, bis sie aus dem Internet ein bestimmtes, vorab definiertes Signal erhalten. Ab diesem Zeitpunkt starten sie ihre eigentliche Funktion und führen die gewünschte Schadroutine aus.
2.1 Der genaue Ablauf der Infektion und Ausbreitung eines Computervirus
- Das Programm / Virus wird durch Benutzereingabe (meist via Doppelklick auf eine infizierte Datei) gestartet.
- Die erste wichtige Aufgabe des Virus ist seine eigene Verbreitung. Dazu wird zunächst das Adressbuch des Wirtscomputers durchsucht und, sofern vorhanden, eine E-Mail an die Kontakte des Adressbuches geschickt.
- Das Virus muss auch nach einem Neustart des Computersystems weiterarbeiten können, weshalb er sich für gewöhnlich in Dokumenten und Programmen versteckt, die bereits auf dem Computer vorhanden sind.
- Ein Computervirus wartet auf ein Startsignal aus dem Internet. Bis dieses Signal kommt, will das Virus unentdeckt bleiben und versucht sich deshalb zu tarnen. Dazu werden bereits bekannte Schutzmechanismen ausgehebelt und veraltete Antivirensoftware umgangen.
- Dieser Prozess wiederholt sich so lange, bis die eigentliche Funktion ausgelöst wird – spätestens dann wird das Virus entdeckt werden und die Beseitigung desselben wird auf professioneller Ebene eingeleitet.
2.2 Diese Arten von Computerviren sind bekannt und verbreitet
Auch wenn im Allgemeinen immer nur von „Computerviren“ gesprochen wird, gibt es doch einige Unterschiede innerhalb des Virenbereichs. Um die Funktionen besser verstehen zu können werden nachfolgend die wichtigsten Viren aufgelistet und kurz beschrieben:
2.2.1 Bootsektorviren
Die ersten Computerviren waren die sogenannten Bootsektorviren. Diese schreiben sich in den Bootsektor einer Festplatte und sorgen in der Regel dafür, dass das Betriebssystem nicht mehr gestartet werden kann.
2.2.2 Makroviren
Makroviren sind sehr verbreitet, weil sie sich, einmal losgelassen, sehr leicht verteilen lassen. Makroviren nutzen Makros (kleine Programmbefehle), welche in ausgewählten Programmen platziert sind. Diese werden automatisch gestartet und können ihre schädliche Arbeit verrichten. Die bekanntesten Beispiele für Makroviren sind:
- OF97/CrownB:Es werden sowohl Powerpoint- als auch Excel- und Worddokumente befallen. Hier wird der Makroschutz ausgehebelt, woraufhin alle Dokumente infiziert werden können.
- WM/Wazzu:Dieses Makrovirus befällt ausschließlich Worddokumente und verschiebt bei diesen regulär 1-3 Wörter im Dateinamen. Zusätzlich fügt dieses Makrovirus den befallenen Dateien noch das Wort „Wazzu“ an.
2.2.3 Programmviren
Programmviren werden auch häufig mit dem Begriff „Dateiviren“ bezeichnet, da sie sich immer an fremde Programme bzw. ausführbare Dateien ankoppeln. Das wohl bekannteste Programmvirus wird „Jerusalem“ genannt. Dieses Virus sorgt dafür, dass am 13. jeden Monats alle Programme gelöscht werden, die an diesem Tag geöffnet werden. Die Schäden sind für gewöhnlich nicht sonderlich hoch, allerdings ist der Arbeits- und Zeitfaktor für die regelmäßig wiederkehrenden Neuinstallationen ziemlich hoch.
2.2.4 VBS (Visual-Basic-Script Viren)
VBS ist eine in Fachkreisen als sehr leistungsfähig eingestufte Programmiersprache. Da sie in Windows bereits integriert ist bietet sie sich für Schadsoftware-Programmierer geradezu an. Die Fähigkeiten der VBS-Viren sind ungleich umfangreicher als bei Virenstämmen außerhalb von Visual Basic. VBS-Viren können alles nur Denkbare mit dem Windows-Computer anstellen:
- Dateien umbenennen
- Dateien löschen
- E-Mails verschicken
- Windows permanent neustarten
- Dateien kopieren und verschicken
3. Über die Funktionsweise eines Internetwurms
Ein Computerwurm unterscheidet sich von einem Computer gravierend. Während das Virus ohne einen Computernutzer nichts unternehmen kann, ist der Wurm vollständig autark und agiert, einmal initiiert, vollkommen selbstständig. Dabei durchsucht der Wurm jedes Netzwerk, in das er gelangt, nach ungeschützten Computersystemen. Dort legt er sich in den meisten Fällen in den Programmspeicher und sorgt für eine Systemauslastung, sodass bei genügend infizierten Systemen komplette Teilbereiche eines Netzwerks oder sogar Internets unter der Datenlast kurzfristig zusammenbrechen.
- Computerwürmer bringen in der Regel KEINE Schadroutinen mit sich! Sie werden eingesetzt, um vertrauliche Informationen auszulesen und zu verschicken oder um alternativ gezielt Netzwerke zu überlasten.
4. Über die Funktionsweise des trojanischen Pferds
Wenn von einem trojanischen Pferd die Rede ist, wird meist ein Schadprogramm gemeint, das sich hinter einem nützlichen Programm versteckt, um leichter auf Computersysteme zu gelangen.
Hierzu eine kleine Randnotiz:
„Häufig wird dabei von einem „Trojaner“ gesprochen. Das ist in der Sache falsch. Trojaner waren die Opfer des trojanischen Pferdes, welches die Griechen mit List und Tücke für die Trojaner erbaut hatten, um eine kleine Einheit Soldaten in die Stadt Troja schmuggeln zu können.“
Die Möglichkeiten, Schadsoftware mittels trojanischer Pferde in Computersysteme zu bringen, sind zahlreich. Folgende Übertragungswege sind mittlerweile üblich und immer kritisch zu betrachten:
- Nützliche, kostenfreie Programme
- Videos
- Bilder
- Systemmeldungen (im Internet)
- Animationen
Egal welcher dieser Wege von den Programmierern als Übertragung des trojanischen Pferdes gewählt wird – mit dem Programmstart bzw. Öffnen der jeweiligen Datei beginnt der Schädling sofort, seine programmierten Aufgaben wahrzunehmen. Dabei werden dieser Art von IT-Schädling in der Hauptsache diese Aufgaben zugeteilt:
- Vireninfektion auslösen
- Wurminfektion starten
- Systemöffnung für weitere Schädlinge aus dem Netz
- Als Keylogger Passwörter auslesen und versenden
- Spamnachrichten versenden
Die trojanischen Pferde werden nach Ausführung der eigentlichen Aktion entweder in das betroffene System festgeschrieben, um auch nach einem Systemneustart weiter zu arbeiten oder sie beenden sich, womit die gefährliche Phase bereits beendet ist. Wenn ein Schädling dieser Art auf einem Computersystem erkannt wurde, muss sofort gehandelt werden. Die Maßnahmen, welche zu treffen sind, sind umfangreich und bedürfen in der Regel die Hilfe eines Fachmanns.
4.1 Der sogenannte Backdoor-„Trojaner“
Eine Besonderheit im Bereich „Trojanisches Pferd“ stellt der sogenannte Backdoor-Trojaner dar. Er wird nicht dazu benutzt, Schadroutinen auf dem Zielsystem zu platzieren. Seine Funktion besteht darin, eine Zugriffsmöglichkeit für Außenstehende zu schaffen. Ist ein Backdoor-Trojaner installiert, hat der Versender die Möglichkeit, genauso wie der eigentliche Besitzer über das System zu verfügen. (Einer der sehr wichtigen Gründe, weshalb man nicht standardmäßig mit dem Benutzerkonto „Administrator“ arbeiten sollte – damit macht man es Angreifern besonders leicht!)
5. Schadsoftware – Ursprung und Übertragungswege
Am Anfang jedweder Systeminfizierung steht die Verbreitung der Schadsoftware. Es hilft zu wissen, wo und wie man an die unliebsamen Gäste kommt bzw. wo man, in der Regel nicht wissentlich, über sie stolpert. Wenn man die Gefahren kennt, kann man sie zum einen besser erkennen und zum anderen auch direkt umgehen, bevor es zu spät ist. Die Strategien, wie Schadsoftware unter die Leute gebracht werden soll, sind teilweise sehr unterschiedlich. Die häufigsten Verteilungsmechanismen sind nachfolgend vermerkt und beschrieben.
5.1 E-Mail und soziale Kanäle (Facebook, Google +, Nachrichtensoftware wie Whats-App etc.)
Über diverse lockende Texte soll bei E-Mails meist ein Anhang geöffnet werden. Es werden Bilder angeboten bzw. beschrieben und mit vermeintlich persönlichen Ansprachen versehen. „Hey, ist das deine Ex, die hier nackt zu sehen ist??“ „Brad Pitt splitternackt am Strand fotografiert – jetzt Bilder ansehen!“ So oder so ähnlich können die Ansprachen aussehen, die zum Klick auf den Anhang verführen sollen. Auch Hinweise auf illegale Handlungen oder vermeintliche Rechnungen / Mahnungen mit Verweis auf Dokumente im Anhang werden gerne genutzt, um Schadsoftware per E-Mail an unbedarfte Computernutzer zu übertragen. Die Vorgehensweise bei Nachrichtendiensten wie Whats App, ICQ, MS-Messenger etc. verlaufen auf die gleiche Art und Weise.
5.2 Scareware (Angst erzeugende Module)
Während des Surfens durch das Internet stolpert man früher oder später über Seiten, die mit Scareware versehen sind. Bei diesen Webauftritten wird dem Seitenbesucher vorgegaukelt, dass das Computersystem mit schlimmen Viren/Würmern/Trojanern infiziert sei. Dadurch soll der Benutzer erschreckt bzw. in Panik versetzt werden, um ihn zu einer Aktion zu verleiten. Zeitgleich wird in der Regel eine vermeintliche Antivirensoftware als Download angeboten, um die Schädlinge dingfest zu machen. Die tatsächliche Infektion des Systems erfolgt erst nach der Installation der vermeintlich hilfreichen Software.
5.3 Drive-by-downloads / Drive-by-exploits
Die gemeinste Art der Computerinfektion sind sogenannte Drive-by-Infektionen. Dabei werden entweder automatisch startende Downloads verwendet oder Sicherheitslücken im Browser (z.B. Adobe Reader, Java oder Flashplayer) genutzt, um das System zu kompromittieren. Perfide daran ist, dass man als Benutzer solchen Seiten nicht immer ausweichen kann. Es können auch solche Seiten als Verteilerstation fungieren, die eigentlich als „sicher“ gelten. Oft wissen die entsprechenden Seitenbetreiber selbst nicht, dass ihre Internetseite als „Seuchenschleuder“ missbraucht wird.
Dabei ist es heute keineswegs mehr so, dass man sich solche Schädlinge nur bei einem Besuch von zwielichtigen Internetangeboten wie Porno- oder Warez-Seiten holt – jede Seite kann potenziell ein Verteiler solcher Schadsoftware sein. Welcher Art die Schadsoftware über eine Drive-by-Infektion ist, kann man vorab nicht sagen. Denkbar sind Viren, Würmer und trojanische Pferde, welche dann weitere Schadsoftware nachladen, Informationen an fremde Systeme ausliefern oder für spätere groß angelegte Cyberattacken in ein Angreifernetzwerk eingebunden werden.
6. So schützt man sich vor Würmern, Trojanern und Viren
Vor allen Maßnahmen, die man auf technischer Seite ergreifen kann und sollte, steht der Mensch als Anwender in der Pflicht zu aufmerksamem Handeln – er ist nach wie vor die größte Sicherheitslücke in der IT-Infrastruktur. Ohne tiefgehende Fachkenntnis ist es schwer, sich vollumfänglich zu schützen – und einen 100 prozentigen Schutz gibt es nicht. Man kann aber einige Dinge tun, um es den Programmierern der Schädlinge möglichst schwer zu machen. Wenn man ein gut gesichertes System nutzt ist der Aufwand, den Programmierer für die Infizierung betreiben müssen, in der Regel zu hoch – das eigene System wird unattraktiv.
6.1 Downloadquellen kritisch betrachten
Bevor man einen Download startet sollte man unbedingt die Quelle der Datei kritisch betrachten. Ist sie stark von anderen Nutzern frequentiert? Wird gezielt über den Schutz der Datei informiert? Wurde sie sogar mit verschiedenen Tools untersucht? Wenn diese Fragen mit JA beantwortet werden können, ist man schon auf einem guten Weg in Richtung Systemsicherheit.
6.2 E-Mail-Anhänge vor dem Öffnen überprüfen
Genauso gefährlich wie Downloads aus dubiosen Quellen sind Anhänge bei E-Mails. Das gilt nicht nur für E-Mails unbekannter Absender, sondern auch von Personen, die man in seinem Adressbuch hat. Häufig verteilt sich Schadsoftware automatisch über Adressbücher und E-Mails – deshalb sollten Dateianhänge auch von bekannten Personen erst nach Rücksprache geöffnet werden. Wurde der Anhang bewusst und gewollt verschickt, sollte alles in Ordnung sein.
Ist der Absender unbekannt ist immer Vorsicht geboten. Sollte der Anhang sehr interessant sein, muss dieser zumindest mit einer tagesaktuellen Antivirensoftware untersucht werden, bevor er geöffnet wird. Besonders gefährlich sind in diesem Zusammenhang vor allem Anhänge in Form von Word-Dokumenten, EXE- und PDF-Dateien.
6.3 Betriebssystem und verwendete Software auf dem aktuellsten Stand halten
Ein sehr wichtiger Beitrag zur Systemsicherheit kann mit einfachen Mitteln geleistet werden. Man sollte darauf achten, dass sowohl das Betriebssystem als auch die verwendeten Programme stets auf dem aktuellsten Stand gehalten werden. Mit Updates werden bekanntgewordene Sicherheitslücken geschlossen und der Sicherheitsstandard ein wenig erhöht. Insbesondere muss darauf geachtet werden, dass Browser-Plugins wie Adobe Reader, Adobe Flash Player und Java aktuell gehalten werden – diese drei bilden die Hauptangriffszone für alle Drive-by-Infektionsversuche.
6.4 Professionelle Anti-Viren-Software verwenden
Obwohl es kostenfreie Anti-Viren-Software im Internet gibt, muss aus fachlicher Sicht von diesen Angeboten abgeraten werden. Im praktischen Betrieb halten die kostenlosen Versionen der einschlägigen Antiviren-Softwares nicht, was sie versprechen. Professionelle Software bietet auf der einen Seite sehr guten Schutz vor Infektionen aller Art BEVOR etwas passieren kann und auf der anderen Seite, sollte doch einmal etwas schief gehen, sehr komfortable und zuverlässige Möglichkeiten, die Schädlinge wieder loszuwerden. Aus professioneller Sicht besonders empfehlenswert sind hier die Angebote von Bitdefender, Kaspersky Labs und Node32.