Moderne Malware

Details

Geschrieben von IRON

Zugriffe: 536

Ein Blick hinter die Kulissen

Viele Leute wähnen sich noch immer vor Malware und "Hackern" sicher, weil auf ihrem PC ja keine so wichtigen Daten lägen und sich Hacker nicht mit popligen Privatrechnern abgäben. Das ist gleich in mehrfacher Hinsicht ein Trugschluss.
Malware hat neben dem Ausspähen verschiedenster Daten, die allein schon wegen der schieren Menge gewinnbringend sind, auch das Ziel, möglichst viele - und zwar ausdrücklich - Privatrechner zu fernsteuerbaren Bot-Netzen zusammenzuschließen, mit denen sich massenhaft Spam verbreiten, Datenverkehr verschleiern, weitere Malware verbreiten und illegale Dateien hosten lassen. All dies bringt den Auftraggebern viel Geld ein. Ob dann mal ein paar hundert oder tausend Rechner zwischendurch wieder gesäubert werden, spielt bei einer monatlichen Infektionszahl im 5stelligen Bereich keine Rolle. Allein die derzeit bekanntesten Botnetze mit ZeuS und SpyEye bringen es auf ca. 200 jederzeit erreichbare Opfer, ganz zu schweigen von denen, die nur sporadisch online sind.

Wer sich von seinem geliebten Virenscanner nicht trennen mag und nun eine Viruswarnung erhält, steht vor einem Problem:
Was soll er tun? Die beanstandete Datei in Quarantäne schicken, den verdächtigen Prozess (so vorhanden) beenden, die Datei umbenennen oder gar einen Reparaturversuch anstoßen?
Hier gilt es, genau hinzusehen. Meldet der Virenwächter (Guard) einen Schädling z.B. während des Downloads oder aber in einer gespeicherten, aber derzeit weder vom Benutzer manuell noch vom System geöffneten Datei, ist die Hoffnung berechtigt, dass der Rechner noch nicht in Gefahr ist (sofern die lokale Datei definitiv noch nie angeklickt/geöffnet/ausgeführt wurde). In diesem und nur diesem Fall mag das Löschen der Datei ausreichen.
Besteht auch nur der geringste Verdacht, dass die beanstandete Datei bereits in der Vergangenheit geöffnet wurde, so muss man davon ausgehen, dass der Schädling bereits aktiv war und das System erfolgreich manipuliert hat oder noch aktiv ist. Damit ist der Rechner kompromittiert und selbst ein noch aktiver Virenscanner kann bereits manipuliert sein. Oft wird er von der Malware einfach deaktiviert.
Hier hilft nur eins: private Dokumente sichern (vorzugsweise von einer ungefährdeten Linux-Live-CD aus) und Rechner komplett neu aufsetzen sowie anschließend alle Sicherheitsupdates des Betriebssystems installieren. Anschließend die gesicherten Backups der Dokumente auf Malware prüfen, bevor sie zurückgespielt werden.

Moderne Malware
Malware kommt von Malicious Software (schädliche Programme). Die Zeiten, in denen ein Schädling aus einer einzigen ausführbaren Datei bestand, die sich dadurch verbreitete, dass sie ihren Code in andere Dateien schrieb und nebenbei durch Musikgedudele, veränderte Bildschirmanzeigen und andere eher nervige Aktionen auffiel, sind längst vorbei.
Moderne Malware arbeitet extrem unauffällig und raffiniert im Hintergrund und zielt nicht primär auf Datenzerstörung sondern auf Spionage und Missbrauch. Ein Mailwurm bzw. Wurmvirus dieser Tage hat viele Fähigkeiten: Als erstes erkennt er Schutzprogramme, beendet deren Hintergrundwächter oder manipuliert sie so, dass er nicht gemeldet wird. Er legt an verschiedenen Orten Kopien unter verschiedenen Namen ab. Diese Namen täuschen dann harmlose Dateien oder unentbehrliche Systemdateien vor, an die sich allein dieses Namens wegen der Benutzer nicht herantraut, selbst wenn er auf sie aufmerksam wird.
Moderne Malware manipuliert die Registrierdatenbank von Windows (Registry) so, dass Kopien ihrer selbst zuverlässig auf die eine oder andere Art und Weise beim Rechnerstart automatisch mitstarten.
Moderne Malware "kennt" die Standardordner und Dateien, in denen Passwörter und vertrauliche Informationen über den Anwender abgelegt sind, liest diese aus, entschlüsselt sie ggf. und speichert sie in einem eigenen Logfile zwecks späterer Verwendung und Verbreitung via Internet.
Moderne Malware sammelt Mailadressen, die es im Mailprogramm, in Seiten des Browsercaches und dem Verlauf (History) und anderen Dokumenten findet. Mit diesen gültigen Adressen erzeugt sie zusätzliche Adressen auf gut Glück, die aus den Bestandteilen der existierenden zusammengewürfelt werden. Auch hiervon wird eine Liste angelegt.
Moderne Malware besitzt ein eigenes Mailprogramm oder nutzt das des Benutzers und verschickt sich selbst, die vorgenannten Listen und private Dateien unbemerkt an andere Rechner oder als Spam-Bot automatische Werbemails.
Moderne Malware öffnet eine Hintertür ins System, über die ein Fremder mit dem passenden Gegenstück dieser Software (dem Client) - die Malware ist in diesem Fall der Server - den Rechner live via Internet praktisch beliebig fernsteuern kann. Und das war nur eine Auswahl der heutigen Möglichkeiten. Genug Gründe also, um vorsichtig zu sein.
Ehe ichs vergesse: Selbstverständlich ist moderne Malware auch in der Lage, den eigenen Code zwecks Tarnung ständig umzuschreiben und zu verschlüsseln, so dass Virensignaturen zunehmend nutzloser werden. Die Hauptverbreitungsmethode ist natürlich ein Appell an die "niederen" Instinkte des Anwenders, Neugierde, Leichtgläubigkeit und Angst. "Sex Sells" gilt auch hier uneingeschränkt aber auch verlockende "Gratis"-Programme, Spiele, Videos, vermeintlich nützliche oder wichtige Informationen in Dateianhängen von Mails oder als Add-Ons/PlugIns für Browser und andere Internetprogramme funktionieren prima als Klickanreiz.

Prinzipiell gilt: Wer einen Schädling aktiv auf dem Rechner hat, hat ihn sich in 9 von 10 Fällen (freilich unbewusst) selbst installiert. Fall 10 ist eine ungepatchte Sicherheitslücke im Betriebssystem. Also bitte keine Klagen.

Ein "Entfernen" des Schädlings im Sinne eines chirurgischen Eingriffs unter Beibehaltung des restlichen Systems ist weder ratsam noch zuverlässig machbar. Malware manipuliert das System so umfangreich, dass nur ein komplettes Neuaufsetzen wieder einen vertrauenswürdigen Zustand herstellen kann und dies tut man tunlichst von einem sicheren System aus - der oben erwähnten Live-CD.