Eine Kenntnis der gängigsten Malware-Arten kann sehr hilfreich sein, um im Falle einer Infektion die Art des Befalls zu benennen und einzugrenzen. So können sich Experten schneller um eine zielgerichtete Beseitigung kümmern. Außerdem fördert eine gewisse Begriffssicherheit auch die Sensibilisierung für das Thema Malware. So können potenzielle Gefahrenquellen bereits früh erkannt werden, sodass es im besten Fall gar nicht erst zu einer Malware-Infektion kommt.
Diese mehrteilige Artikelserie soll Ihnen einen Überblick über die verschiedenen Arten von Malware geben, wie sie typischerweise auf Zielsysteme gelangt und mit welchen Methoden man einen Befall vorbeugen kann.
Arten von Malware
Malware setzt sich aus den Wörtern Malicious (Englisch für schädlich) und Software zusammen. Solche bösartigen Programme existieren bereits seit den 1980er Jahren und verbreiteten sich durch die zunehmende Nutzung des Internets immer stärker. Sie wird häufig von Cyberkriminellen verwendet, um Account- und Zahlungsinformationen zu stehlen oder um ihre Opfer zu erpressen.
Das Ausführen von Malware kann extreme Schäden an einzelnen Systemen oder einem ganzen (Unternehmens-) Netzwerk anrichten. Um Anwender dennoch zur Ausführung dieser gefährlichen Software zu bewegen, werden von den Herstellern von Schadsoftware verschiedene Verschleierungstechniken genutzt, damit die Malware nicht als solche erkennbar ist.
Malware lässt sich entweder anhand ihrer Verbreitungsform oder ihrer Funktionalität kategorisieren. Bezüglich der Verbreitungsform kann man Malware in drei Kategorien aufteilen: Virus, Wurm und Trojanisches Pferd.
- Virus
Der Virus ist wohl die bekannteste Art der Schadsoftware. Ähnlich wie bei seinem biologischen Vorbild kann sich ein Computervirus selbst vervielfältigen. Er wird über eine Wirtsdatei (häufig ein ausführbares Programm) auf ein System gebracht. Mit der Ausführung der infizierten Datei wird der schädliche Code in weitere Dateien auf dem Zielsystem kopiert. Wird eine der neu infizierten Dateien ausgeführt, wiederholt sich der Prozess. Das Löschen der ursprünglichen Wirtsdatei reicht also zu Bereinigung des Systems nicht mehr aus, da im schlimmsten Fall alle Dateien befallen sind. Viren können so auch unabsichtlich auf andere Systeme gelangen. Dies geschieht, wenn der Anwender eine der infizierten Dateien (z. B. ein PDF-Dokument) beispielsweise per E-Mail versendet und diese vom Empfänger geöffnet wird. Allerdings sind Computerviren heute fast vollständig durch Würmer verdrängt worden. - Wurm
Ein Wurm ist im Gegensatz zu einem Virus nicht darauf angewiesen, von einem Anwender manuell ausgeführt zu werden. Würmer nutzen Sicherheitslücken oder Fehlkonfigurationen in Systemen, um in diese unbemerkt einzudringen. Wurde ein Wurm derart auf ein System geschleust, wird er entweder in andere Programmdateien eingefügt oder mit einem unauffälligen Namen in den Systemdateien versteckt. Von dort aus kann der Schadcode auch auf andere Systeme verteilt werden. Das geschieht häufig über E-Mail oder andere Kommunikationskanäle. - Trojanisches Pferd
Anders als ein Wurm oder ein Virus ist ein Trojanisches Pferd (auch Trojaner genannt) nicht darauf ausgelegt, sich selbstständig zu vervielfältigen. Ein Trojaner ist in ein nützliches Programm eingebettet und damit getarnt. Wird das scheinbar harmlose Programm vom Anwender ausgeführt, läuft im Hintergrund schädlicher Code. Trojaner werden gezielt an Anwender versendet oder im Internet zur Verfügung gestellt (z. B. über gefälschte Download-Seiten). Mit der Ausführung wird der schädliche Teil der Software häufig als eigenständiges Programm auf dem Zielsystem installiert, sodass der ursprüngliche Trojaner nicht zwingend mehrfach ausgeführt werden muss, um den Schadcode auf dem System zu behalten.
Kategorisiert man Malware bezüglich ihrer Funktionalität, spricht man u. a. von Spyware, Ransomware, oder Droppern. Jeder dieser Malware-Typen kann grundsätzlich in Form eines Virus, Wurms oder Trojaners verbreitet werden.
Neben den genannten Typen gibt es noch viele weitere, hier sollen lediglich die gängigsten vorgestellt werden:
- Spyware
Wie der Name bereits vermuten lässt (Spy: Englisch für spionieren) soll Spyware unbemerkt Daten eines Computernutzers ausspähen und diese an den Hersteller der Software senden. Dies kann dabei über vielfältige Wege geschehen. Ob Tastatureingaben mitschneiden (Keylogger), Bildschirmaufnahmen anfertigen oder persönliche Dateien (Geschäftsdokumente, Passwörter, Kreditkartendaten) abgreifen – Spyware bietet Cyberkriminellen vielfältige Möglichkeiten, an die Daten ihrer Opfer zu gelangen. Spyware kann auch Computer-Einstellungen verändern und zusätzliche Schadsoftware installieren. Aufgrund der großen Menge an potenziell gefährlichen Funktionen kann eine Infektion mit Spyware enorme Schäden persönlicher oder finanzieller Natur verursachen. - Ransomware
Malware dieses Typs wird für einen einzigen Zweck in den Umlauf gebracht: Eine Infektion soll den Geschädigten zu einer Zahlung einer meist sehr hohen Lösegeldsumme bewegen. Dies geschieht über zwei Wege: Klassische Ransomware verschlüsselt mit ihrer Ausführung das Zielsystem, sodass der Anwender keinen Zugriff mehr auf die sich auf dem System befindenden Dateien hat. Für die Entschlüsselung verlangen die Hersteller der jeweiligen Ransomware dann ein Lösegeld. Ziele der Hersteller von Ransomware sind häufig Unternehmen, da dort eine höhere Zahlungsbereitschaft aufgrund des hohen Schadenpotenzials vermutet wird.
Viele Unternehmen haben das Problem der Ransomware bereits erkannt und fertigen regelmäßig Backups an, um mögliche Schäden durch Verschlüsselung zu minimieren. Deshalb ist moderne Ransomware häufig so programmiert, dass Backups direkt gelöscht werden, wenn auf diese zugegriffen werden kann. Zusätzlich leitet Ransomware häufig sensible Unternehmensdaten an die Hersteller aus. Die Kriminellen drohen dann mit einer Veröffentlichung, sofern das entsprechende Lösegeld nicht gezahlt wird. - Dropper
Ein Dropper ist ein Hilfsprogramm, welches weiteren Schadcode auf dem Zielsystem (z. B. Spy- oder Ransomware) installiert und ausführt. Wird ein Dropper auf dem Zielsystem gestartet, lädt er Malware von einem Server herunter und bringt diese zur Ausführung. Dropper werden sehr häufig als Einfallstor von Cyberkriminellen verwendet, da ein Dropper deutlich schwerer von Schutzsoftware wie einem Anti-Virus-Programm erkannt werden kann und somit die Wahrscheinlichkeit erhöht wird, dass er tatsächlich auf dem Zielsystem ausgeführt wird. Oft nutzen Dropper Verschleierungsmethoden, um den Schadcode, den sie herunterladen, an Schutzmaßnahmen auf dem System vorbeizuschleusen.
Haben Sie Fragen oder Beratungsbedarf? Unsere Experten aus dem Bereich Cybersecurity stehen Ihnen zur Verfügung.