Schadprogramm-Statistik 2011. Den größten Teil machten damalsTrojanische Pferde aus.
AlsSchadprogramm,Schadsoftware oder zunehmend alsMalware [ˈmalwɛːɐ̯] – englisch ,evilware,junkware odermalware [ˈmælˌwɛə] (Kofferwort ausmalicious ‚bösartig‘ undsoftware) – bezeichnet manComputerprogramme, die entwickelt wurden, um, aus Sicht des Opfers, unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Der Begriff des Virus ist häufig nicht klar abgegrenzt. So ist die Rede vonVirenschutz, womit viel allgemeiner der Schutz vor Schadsoftware jeglicher Art gemeint ist.
Die Schadfunktionen sind gewöhnlich getarnt, oder die Software läuft gänzlich unbemerkt im Hintergrund (Typisierung siehe unten). Schadfunktionen können zum Beispiel die Manipulation oder das Löschen vonDateien oder dietechnische Kompromittierung derSicherheitssoftware und anderer Sicherheitseinrichtungen (wie z. B.Firewalls undAntivirenprogramme) einesComputers sein, aber auch das ungefragte Sammeln von Daten zu Marketing-Zwecken.[1] Es ist bei mancher Malware auch üblich, dass eine ordnungsgemäßeDeinstallation mit den generell gebräuchlichen Mitteln fehlschlägt, so dass zumindest Software-Fragmente im System verbleiben. Diese können möglicherweise auch nach der Deinstallation weiterhin unerwünschte Funktionen ausführen.
Die bisher bekannte Malware kann man grundsätzlich in drei verschiedene Klassen einteilen: DieComputerviren, dieComputerwürmer und dieTrojanischen Pferde.[2]
EinComputervirus ist per Definition einProgrammcode, der sich selbstständig oder automatisiert weiterverbreiten kann, indem er Dateien infiziert. Der Begriff „computer virus“ wurde im Jahr 1981 durch den InformatikerLeonard M. Adleman etabliert, der die Bezeichnung erstmals öffentlich verwendete.[3] Vergleiche von Programmcodes mitbiologischen Viren gab es aber schon in den Jahren zuvor. Das erste bekannte Computervirus soll den meisten Quellen nachElk Cloner für denApple II im Jahr 1982 gewesen sein.
EinComputerwurm ist per Definition ein eigenständigesComputerprogramm oderSkript, das sich selbstständig oder automatisiert weiterverbreitet. Als Erfinder des theoretischen Konzepts derSelbstreplikation giltJohn von Neumann im Jahr 1953.[4] Die erste bekannte Schadsoftware überhaupt war der ComputerwurmCreeper im Jahr 1971.[5] Die Bezeichnung „computer worm“ geht auf denEndzeit-RomanDer Schockwellenreiter vonJohn Brunner aus dem Jahr 1975 zurück. Ob Brunner den Begriff wirklich selbst erfunden hat, ist nicht bekannt. Er prägte ihn aber zumindest dauerhaft.[6]
EinTrojanisches Pferd ist per Definition ein eigenständiges Programm, das als Haupt- oder Nebenfunktionschädlichen Code enthält, sich aber nicht selbstständig oder automatisiert weiterverbreiten kann. Die Infektion erfolgt daher großteils durchDrive-by-Download oder durchSpam-Kampagnen. Daniel Edwards stellte 1972 das theoretische Konzept solcher Malware als Bedrohung für dieRechnersicherheit auf und benannte sie erstmals als „trojan horse“.[7] Das SpielPervading Animal aus dem Jahr 1975 wird als das erste bekannte Trojanische Pferd bezeichnet.[8]
Hybridviren infizierenExe- oderCom-Dateien und ebenfalls Bootsektoren bzw. MBR.
Wird in einer anderen Datei einLink auf den eigentlichen Viruscode gesetzt, gilt auch diese Datei als infiziert, bzw. zählt als Wirtsdatei, da der Link als Bestandteil des Viruscodes angesehen wird.
Speicherresidente Viren infizieren zusätzlich denRAM, was für diese Einteilung aber ohne Belang ist, da der RAM keine Wirtsdatei darstellt.
Die zahlreichen weiteren Bezeichnungen für Viren beziehen sich meist auf ihr Infektions-Verhalten, die Wirtssysteme, denPayload, eingebaute Trigger oder angewendete Techniken.
Würmer unterteilt man nach der Art ihrer Verbreitung in folgende Klassen:
Netzwerkwürmer nutzen Sicherheitslücken und schwache Passwörter in Betriebssystemen und Anwendungen, um sich über das Netzwerk (z. B.P2P) direkt auf andere Computer zu kopieren. Als Mittel zum Zweck wurden in den ersten zehn Jahren des 21. Jahrhunderts häufig die damals beliebten Tauschbörsen undBitTorrents ausgenutzt. AuchInstant-Messenger werden von Würmern zur Verbreitung zweckentfremdet.
E-Mailwürmer verschicken sich automatisiert oder teilautomatisiert per E-Mail und nutzen dabei oft Exploits inOutlook oder anderen E-Mail-Programmen.
Würmer für Wechseldatenträger oderfür USB-Kleingeräte verbreiten sich über USB-Sticks und Wechselfestplatten und nutzen dabei häufig Sicherheitslücken in der Autostart-Funktion.
IRC-Würmer nutzen die Steuerungsskripte desInternet Relay Chats aus, um sich zu verbreiten.
Bluetooth-Würmer nutzen Exploits derBluetooth-Technik von Mobiltelefonen und Tablet-Computern.
Würmer werden in den Massenmedien oft fälschlich als Viren bezeichnet. Als klares Unterscheidungsmerkmal gilt, dass ein Computerwurm keine Wirtsdatei benötigt.
Je nach der Art ihrer schädlichen Auswirkungen gibt es eine Vielzahl weiterer, mehr oder weniger etablierter Bezeichnungen für Malware. Oft handelt es sich bei diesen Programmen um Trojanische Pferde, da sie sich nicht selbstständig oder automatisiert weiterverbreiten können. Eine häufig verwendete Kurzform ist Trojaner, dieser Begriff wird aufgrund seiner Wortherkunft aber häufig als falsch angesehen. Allerdings ist der Begriff in der deutschen Sprache sowohl im Fachbereich als in der Allgemeinheit fest etabliert und stellt somit eine korrekte Bezeichnung dar. Ein Trojanisches Pferd lädt man meist aufgrund von Täuschung aus dem Internet, fängt es sich als Drive-by-Download ein, oder bekommt es versehentlich oder absichtlich zugespielt.[9]
Die folgenden Typen von Malware treten meist in Form von Trojanischen Pferden auf:
Adware forscht den Computer und das Nutzerverhalten aus, um gezielt Werbung zu platzieren. Adware wird häufig zusammen mit gewünschten Installationen oder Webabrufen, ohne Nachfrage und ohne Nutzen für den Anwender, gestartet. Die gesammelten Informationen dienen häufig nicht nur der personalisiertenWerbung, sie stellen auch einen finanziellen Wert beim Verkauf an dieMarktforschung dar.
Hintertür (Backdoor) ist eine verbreitete Schadfunktion, die üblicherweise durch Viren, Würmer oder Trojanische Pferde eingebracht und installiert wird. Sie ermöglichtDritten einen unbefugten Zugang („Hintertür“) zum Computer, jedoch versteckt und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft genutzt, um den kompromittierten Computer alsSpamverteiler oder fürDenial-of-Service-Angriffe (DoS) zu missbrauchen.
Spyware spioniert den Computer, die Daten und das Nutzerverhalten aus und sendet die Daten an Dritte weiter. Diese Form von Malware wird häufig zusammen mit anderer, nützlicher Software installiert, ohne den Anwender zu fragen, und bleibt auch häufig nach deren Deinstallation weiter tätig.
Keylogger sind eine Unterklasse der Spyware. Sie sind Programme die dazu verwendet werden, die Eingaben des Benutzers an derTastatur einesComputers zu protokollieren und einem Dritten bereitzustellen. Dabei werden unter anderem eingegebeneBenutzernamen undPasswörter erfasst, diese geben dem Dritten wiederum die Möglichkeit, auf die Systeme zuzugreifen, für die diese Zugangsdaten bestimmt sind.
Scareware ist darauf angelegt, den Benutzer zu verunsichern und ihn dazu zu verleiten, schädliche Software zu installieren oder für ein unnützes Produkt zu bezahlen. Beispielsweise werden gefälschte Warnmeldungen über angeblichen Virenbefall des Computers angezeigt, den eine käuflich zu erwerbende Software zu entfernen vorgibt.
Ransomware blockiert den Zugriff auf das Betriebssystem bzw. verschlüsselt potenziell wichtige Dateien und fordert den Benutzer zur Zahlung vonLösegeld auf – meist über das digitale BezahlsystemMonero.[10]
Rogueware (auch Rogue-Software, Rogue-Sicherheitssoftware oderenglisch„rogue security software“) gaukelt dem Anwender vor, vermeintliche andere Schadprogramme zu entfernen. Manche Versionen werden kostenpflichtig angeboten, andere Versionen installieren weitere Schadprogramme während des Täuschungsvorgangs.[11][12]
Coin mining (auchCryptocurrency mining) bezeichnet eine Technik, bei der ein Angreifer die Hardware- und Energieressourcen von Opfern unbemerkt und ohne deren Zustimmung zum rechenintensivenMining verwendet werden, z. B. über manipulierte Webseiten oder durch Schadsoftware.[13][14]
Riskware ist Software, die für legale Zwecke beworben wird, aber dabei erhebliche Sicherheitsprobleme aufwerfen kann. Beispielsweise der Missbrauch von Fernwartungsprogrammen als Backdoor-Trojaner.
Archivbomben sind stark komprimierte Dateien, wie beispielsweise einfarbige Bitmapdatei in Gigabyte-Größe. Nach dem Packen haben diese eine Größe von wenigen 100 Kilobyte. Das bringt möglicherweise den Systemspeicher beim Entpacken an seine Grenzen. Virenscanner hatten früher Probleme mit der Prüfung von Archivbomben, weil sie sich dabei oft in Endlosschleifen verfingen.
Dropper sind Trojaner, die einen Virus aussetzen. Meistens handelt es sich dabei um einen Bootsektorvirus. Sie dienen zu Erstfreisetzung oder zur gezielten Infektion.
Grayware
Dieser Abschnitt ist nicht hinreichend mitBelegen (beispielsweiseEinzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst undgute Belege einfügst.
Grayware wird teils als eigene Kategorie benutzt, um Software wie Spyware und Adware oder andere Varianten, die Systemfunktionen nicht direkt beeinträchtigen, von eindeutig schädlichen Formen, der Malware, abzugrenzen.[15] Der Begriff ist nicht zu verwechseln mitGrauware oder dem Reimport von Waren am offiziellen Importeur vorbei.
Bei Greyware handelt es sich bis auf wenige Ausnahmen umTrojanische Pferde. Strittig ist aber in vielen Einzelfällen ob es sich nun um überhaupt um Grey- oder doch um Malware handelt. Das subjektive Empfinden spielt hier eine entscheidende Rolle und gerade diese Unklarheit ist ein Definitionsmerkmal von Greyware. Oft als solche angesehen werden unter anderem:
Dialer, Einwahlprogramme auf Telefon-Mehrwertrufnummern, werden oft unter Malware genannt, obwohl sie im engeren Sinne nicht dazu zählen, sondern nur missbräuchlich für Betrugszwecke genutzt werden. Illegale Dialer-Programme führen die Einwahl heimlich, d. h. im Hintergrund und vom Benutzer unbemerkt, durch und fügen dem Opfer finanziellen Schaden zu, der etwa über die Telefonrechnung abgerechnet wird. Strafrechtlich handelt es sich hier umOnlinebetrug. Der ursprüngliche Sinn von Dialern war aber der legale Hintergrund eine Möglichkeit des einfachen und unkomplizierten Bezahlens im Internet zu ermöglichen.
Govware bezeichnet meist Spyware-Trojaner oder in selteneren Fällen auch Spionagesoftware mit Wurmeigenschaften. Der Unterschied zur Malware besteht lediglich in der offiziellen Verwendung durch Geheimdienste, Zoll und andere berechtigte Institutionen.
Einelogische Bombe ist ein schädlicher Programmcode, welcher primär durch Bedingungen; sogenannte Auslöser (trigger), schädliche Befehle (malicious commands) ausführt, teilweise komplexe Aufgaben über bspw.Sprungbefehlen auch mehrere Befehlsketten ausführt. Auch Viren können auf einem infizierten Computer logische Bomben platzieren, die in der Regel so programmiert sind, dass sie zu einem festgelegten Zeitpunkt gleichzeitig hochgehen. Diese Logikbomben werden manchmal auch als Zeitbomben bezeichnet.[16]
EineHintertür (häufig als Backdoor) dient dem geheimen Zugriff auf ein installiertes System, auf Softwareebene, meist mehrfach in Betriebssystemen; Systemsoftware, Treibersoftware, Softwarepaketen, Treiberdateien, Upgrades und Updates und zunehmend Einzelsoftware. Mit höherer Programmierdichte (Code-Dichte), Software-Komplexität, steigt unweigerlich die Fehlerrate und damit das Risiko von ungewollten Hintertürchen.
Hostile Applets (aus dem Englischen; feindliche Kleinanwendungen) werden meist innerhalb anderer Computerprogramme eingesetzt und sind häufig Unteranwendungen (wie Add-Ons). Applets sind ähnlich, aber umfangreicher alsMakros. Hostile Applets nutzen vorwiegend Fehlimplementationen, z. B. inSandboxen undvirtuellen Maschinen, aus. Eingesetzt werden sie vorwiegend um sensible, geheime Daten auszuspähen, Schadsoftware einzuschleusen oder Daten zu manipulieren.
Anwendungen für Betriebssysteme von Microsoft können seitWindows 10 Add-Ons, Makros und Skripte von Drittanbietern zurLaufzeit über dasAntimalware Scan Interface (AMSI) auf potentiell schädliches Verhalten prüfen lassen.[17]
Moderne und professionelle Schadsoftware basiert auf verschiedenen Schadkonzepten, Mischungen aus Logikbomben und anderen Schadprogrammtypen. Diese sind mit am häufigsten anzutreffen, ebenso die Verschleierungstaktiken; Tarnung ist kreativer und vielfältiger geworden (resp. erwähnt sei die Tarnung mittels Homographie, als Systemdatei, durch gefälschte oder irrtümlich erlangte Sicherheitssignaturen).
Testviren wie die Eicar-Testdatei, bzw. der darin enthaltene Code, sind kein Virus. Die Eicar-Datei ist unterMS-DOS ein ausführbares Programm und kann sich oder den Testcode nicht weiterverbreiten. Wenn man die Testdatei überhaupt als Malware ansehen will, dann ist sie de facto ein Trojaner.
Bloatware ist eine Bezeichnung für Software, die mit Funktionen überladen ist oder die Anwendungen sehr unterschiedlicher Arbeitsfelder ohne gemeinsamen Nutzen bündelt.
Crapware bezeichnet die vorinstallierte Software auf einem neu erworbenen Gerät. Diese wird oft als unnütz und lästig empfunden.
Nagware ist ein Name für reguläre und nützliche Freeware-Anwendungen, welche auf lästige Art sehr häufig mit Pop-Up-Fenstern oder Ähnlichem zur Registrierung auffordert oder für den Kauf der Vollversion wirbt.
Hoaxes; engl. für Scherze, sind streng genommen keine Schadprogramme, sondern ein Mittel desSocial Engineering, zumeist im Rahmen vonPhishing.
Im Jahr 2008 wurden von Sicherheitsunternehmen wie F-Secure „eine Million neuer Schädlinge“ erwartet. Täglich erreichen demnach etwa 25.000 neue Schadprogramme – sogenannteUnique Samples, also Schädlinge mit einzigartigem „Fingerabdruck“ nachMD5 – speziell hierfür eingerichtete Server, z. B.Honeypots. Dagegen konnte AV-Test bereits Mitte April 2008 zehn Millionen neue Schadprogramme im Jahr 2008 zählen. Es sei eine starke Veränderung bei der Verbreitung von Schadsoftware zu erkennen: Trojanische Pferde inE-Mail-Dateianhängen werden immer seltener, während die Angriffe über das Web etwa mittelsDrive-by-Download zunehmen. Außerdem käme der Einsatz vonRootkit-Techniken zum Verstecken der Schädlinge immer häufiger vor.[18][19] Laut dem kalifornischen Malware-Spezialisten Kindsight Security waren 2012 in Deutschland durchschnittlich 13 % der privaten Rechner durch Malware infiziert. Nach einer Sicherheitsstudie der Zeitschrift<kes> undMicrosoft von 2014[20] ist die „Infektion durch Schadsoftware“ auf den ersten Platz der Gefährdungen für die Unternehmens-IT vorgerückt. Sie hat damit „Irrtum und Nachlässigkeit der Mitarbeiter“ auf den zweiten Platz verdrängt. 74 Prozent der Studienteilnehmer hätten angegeben, dass sie in den letzten zwei Jahren von Schadsoftware-Vorfällen betroffen waren. An der Spitze der Infektionswege stehe in den befragten Unternehmen die E-Mail. Danach würden Webinhalte folgen, die die Schadsoftware überaktive Inhalte oder „Drive-by-Downloads“ verteilen.[21]
Eine Studie, die sich mit den Motivationsgründen der Entwickler von Schadsoftware auseinandersetzt, ist im Jahr 2006 zu den fünf primären Ergebnissen gekommen:[22]
Habgier: Angriffe werden durchgeführt, um einen persönlichen, materiellen Gewinn daraus zu erzielen.
Neugier: Angriffe werden durchgeführt, um die persönliche Neugier zu stillen.
Spionage: Angriffe werden durchgeführt, um gezielt in den Besitz bestimmter Informationen zu gelangen.
Vergeltung: Angriffe werden durchgeführt, um gezielt und zur Befriedigung persönlicher Emotionen Schäden zu erzeugen.
Konspiration: Angriffe werden durchgeführt, um eventuelle Verfolger auf falsche Fährten zu locken.
Als weitere Komponente ist mittlerweile der sogenannteCyberkrieg dazugekommen, der über schlichtes Spionieren weit hinausgeht. Ein bekanntes Beispiel fürSabotage durchGeheimdienste war der NetzwerkwurmStuxnet, der im Jahr 2010 bekannt wurde. Man verwendete dieseGovware zum Manipuliereniranischer Atomanlagen.[23]
Eugene Kaspersky:Malware: Von Viren, Würmern, Hackern und Trojanern und wie man sich vor ihnen schützt. Hanser-Verlag, München 2008,ISBN 978-3-446-41500-3.
↑Peter Mertens, Freimut Bodendorf, Wolfgang König, Matthias Schumann, Thomas Hess:Grundzüge der Wirtschaftsinformatik. Springer-Verlag, 2016,ISBN 978-3-662-53362-8,S.30.
↑Malware. In: professionelles-schreiben.de. Abgerufen am 17. Mai 2022.
↑Andrew S. Tanenbaum:Moderne Betriebssysteme. 3. Auflage. Pearson Deutschland GmbH, 2009,ISBN 978-3-8273-7342-7, Logische Bomben,S.759 (eingeschränkte Vorschau in der Google-Buchsuche).
↑Frank Patalong: Virenjäger Kaspersky: „Apple-Nutzer tragen Hawaii-Hemden“. In: Spiegel Online. 10. April 2008, abgerufen am 10. April 2008: „[…] die Zeit der E-Mail-Viren ist vorbei […]. Heute braucht niemand mehr eine E-Mail, um einen Virus in Umlauf zu bringen. Kriminelle verteilen ihre Viren über gekaperte Web-Seiten: Dabei reicht schon der Besuch, um den Rechner zu infizieren. Sie verbergen ihre Programme in Multimediadateien und bringen diese übersoziale Netzwerke (→Soziale Software) in Umlauf. Sie hinterlassen Links in Gästebüchern oder bei Wikipedia, und wenn man darauf klickt, fängt man sich etwas.“
