Beiträge

Unser Überblick über die Arten von Schadsoftware für IT-Systeme

Arten von Schadsoftware im Überblick – Viren, Würmer und Trojaner

Schadsoftware gehört zu den größten Risiken für IT-Systeme. Hierbei existiert eine sehr große Bandbreite. Für eine sichere Erkennung und wirksame Abwehr ist das Wissen über die verschiedenen Arten von Schadsoftware grundlegend. Zwar kennt man im Allgemeinen die Begriffe “Virus”, “Trojaner” oder “Wurm”, aber was genau steckt dahinter und worin unterscheiden sich zum Beispiel “Adware” und “Scareware”? Wir haben eine kleine Kategorisierung vorgenommen, um Ihnen den Einstieg in diese Thematik zu erleichtern.

Computervirus – Die älteste und bekannteste Schadsoftware

Ein Virus verbreitet sich von Rechner zu Rechner, indem er Dateien mit seinem Code infiziert. Im Vergleich zu einem Wurm benötigt ein Virus immer die Hilfe des Anwenders, damit er aktiv wird. Folgende Arten von Computerviren sind verbreitet:

  • Dateiviren: Sie befallen ausführbare Dateien, die beispielsweise mit den Dateinamenserweiterungen “.exe” oder “.com” gekennzeichnet sind. Betroffen sind davon fast alle Bestandteile, von Windows bis hin zu installierten Programmen. Diese Art von Viren schreibt ihren Schadcode in die betroffene Datei. Nachdem der Nutzer die Datei startet, wird der Virus automatisch mit ausgeführt.
  • Bootviren: Sie infizieren Datenträger und verbreiten sich vor allem über USB-Sticks. Ihr Ziel ist der Bootsektor der Festplatte. Bei jedem Systemstart wird der Virus aktiviert und befällt weitere Sektoren oder andere Speichermedien. Heute ist diese Virenart allerdings nicht mehr sehr weit verbreitet, da moderne Rechner Manipulationen des Bootsektors relativ zuverlässig erkennen.
  • Makroviren: Sie verstecken sich in Word- oder Excel-Dokumenten. Beim Laden eines manipulierten Dokuments beginnt das Virus automatisch mit seiner Codeausführung. Diese reicht bis hin zum Löschen von Dateien.

Neben den klassischen Viren gibt es heutzutage jedoch eine ganze Bandbreite an weiteren Angreifern auf Privat- und Unternehmensrechner, IT-Systeme und auch Mobilgeräte, über die man Bescheid wissen sollte.

Der Schädlingskatalog, von A wie Adware bis T wie Trojaner

 

  • Adware

    Als Adware bezeichnet man kostenlose Angebote, die dem Nutzer auf seinem Endgerät Werbung anzeigen. Diese Programme verstecken ihre Absicht in der Regel nicht und bitten den Anwender vor der Installation um Zustimmung. Da es aber Anwendungen gibt, die zugleich Adware und Spyware darstellen, stehen alle Vertreter der Kategorie Adware unter dem prinzipiellen Verdacht, Spyware zu sein.

  • Computerwurm

    Die klassische Eigenschaft eines Computerwurmes ist die schnelle Verbreitung und der bevorzugte Weg der E-Mail-Anhang. Im günstigsten Fall besteht ihr Ziel in ihrer endlosen Vermehrung und der Belegung von Speicherressourcen. Das beeinträchtigt “nur” die Performance eines infizierten Rechners. Würmer haben jedoch bereits ganze Netzwerke stillgelegt. Zudem kommen viele Würmer nicht mehr allein: Ihr Code wird mit den Eigenschaften von Viren kombiniert oder sie haben sogar Trojaner mit an Bord.

  • Hoax

    Hoax bedeutet übersetzt “schlechter Witz” und wird allgemein für eine Falschmeldung benutzt. Derartige Meldungen werden oft mit der Bitte ergänzt, die Nachricht an Freunde oder Bekannte weiterzuleiten. Hoaxes sind nicht wirklich Malware, da sie normalerweise keine bösartigen Absichten verfolgen. Dennoch können solche “Scheinviren” gefährlich werden. Einige Hoaxes fordern den Nutzer zum Beispiel auf, bestimmte und zum Teil wichtige System-Dateien zu löschen.

  • Keylogger

    Ein Keylogger wird eingesetzt, um Tastatureingaben des Anwenders aufzuzeichnen. Kriminelle benutzen Keylogger, um persönliche Daten wie Passwörter direkt abzugreifen. Sie existieren mittlerweile auch auf Smartphones und Tablets und lesen hier die Eingabe auf virtuellen Tastaturen und Touchpanels mit.

  • Scareware

    Scareware dient dazu, Computeranwendern erst Angst zu machen und sie anschließend dazu zu verleiten, eine Software zu installieren. Normalerweise handelt es sich um professionell aufgemachte Programme, die vortäuschen, den Rechner auf Befall, Angriffe oder andere Probleme zu prüfen. Geht der Anwender darauf ein, erhält er anschließend einen umfassenden und beängstigenden Fehlerbericht. Dazu kommt eine Aufforderung, ein Programm zu installieren, das angeblich gefundene Viren oder Probleme entfernt. Natürlich werden von Scareware keine Tests durchgeführt. Auch die angeblichen Systemprobleme oder der scheinbare Virenbefall stehen schon vorher fest.

  • Spyware

    Spyware bezeichnet Programme, die Informationen über Anwender (wie persönliche Daten und Surfgewohnheiten) abgreifen und sie weiterleiten. Die Urheber können so beispielsweise Vorlieben des Anwenders ermitteln und gezielt Werbung auf dem Rechner platzieren. Spyware-Anbieter locken oft mit Tools oder anderer Freeware, in denen die Schadsoftware versteckt ist. Zunehmend wird Spyware auch über Trojaner und Würmer verbreitet.

  • Trojaner

    Als Trojaner bezeichnet man ein scheinbar harmloses Programm mit einer versteckten Schadensfunktion. Diese kann wiederrum ein Virus, Wurm oder Spyware sein. Mit den meisten Trojanern wird bezweckt, schädliche Programme auf den PC zu schleusen. Diese können anschließend unbemerkt sensible Daten wie Passwörter für Onlinebanking oder andere Zugangsdaten ausspähen und an den Urheber übermitteln. Die gefährlichste Form des Trojaners sind die Backdoor-Trojaner. Dabei handelt es sich um Programme, durch die ein Hacker direkt auf den befallenen Computer zugreifen kann.

Diese Liste ist nicht vollständig, da regelmäßig neue, unbekannte oder abgewandelte Formen von Schadsoftware entstehen. Gerade im Zuge der nach wie vor steigenden Nutzung von mobilen Endgeräten und der Heimautomatisierung eröffnen sich für Kriminelle neue Möglichkeiten, Schaden anzurichten.

Um auch auf zukünftige Gefahrenpotenziale vorbereitet zu sein, werden die Entwicklungen im Bereich Schadsoftware von den Mitarbeitern der kreITiv sehr genau verfolgt und regelmäßig diskutiert. Zusätzlich bilden die Empfehlungen und Richtlinien des BSI eine wichtige Grundlage für die Softwareentwicklung in der kreITiv.

Trojaner, Viren und Ransomware bedrohen Unternehmensdaten

Ransomware – Wenn Daten unter Verschluss geraten

Bewegt man sich eine Weile im Internet, gerät man sicher auch sehr bald mit den Unannehmlichkeiten darin in Kontakt: Spam, Phishing, Viren, Trojaner, Würmer etc.

Vor Kurzem sorgte eine sehr spezielle Art Trojaner mit dem Namen “WannaCry” für Aufsehen. Er gehört zur Kategorie der Ransomware (engl., to ransom – auslösen, freikaufen), die, einmal gestartet, Festplatteninhalte verschlüsseln und die so unbrauchbar gewordenen Daten nur gegen Zahlung von Lösegeld wiederherstellen.

Von der Diskette zum Internetwurm, die Evolution der Schadsoftware

“WannaCry” ist dabei nur die Spitze des Eisberges und Ransomware an sich keineswegs neu. Davor trieben beispielsweise schon “Locky” (den wir im März 2016 unter die Lupe genommen haben), “Goldeneye” und “KeRanger” ihr Unwesen. Erstmals tauchte vergleichbare Schadsoftware im Jahr 1989 auf, die damals noch per Diskette Verbreitung fand und deren erpresste Gelder schließlich der AIDS-Forschung gespendet wurden.

Ransomware WannaCry auf Bahnhofsanzeige

Anzeigetafel im Bahnhof Dresden-Neustadt am Abend des 12.05.2017
(Foto: Martin Wießner)

Von der Attacke, die sich am zweiten Mai-Wochenende 2017 abgespielt hat, waren hauptsächlich Rechner mit den Windows-Betriebssystemen 7, 8.x und 10 betroffen, die ohne aktuelle Updates der Betriebssysteme liefen. Entgegen den ersten Meldungen trugen Computer mit Windows XP weit weniger dazu bei, dass der Schädling sich automatisch verbreiten konnte. Das seit April 2014 von Microsoft nicht mehr unterstützte System ist laut Forschern der Sicherheitsfirma Kryptos Logic schlicht zu instabil.

Funktionsweise der Ransomware WannaCry

Einmal infiziert, zum Beispiel durch Öffnen manipulierter Mailanhänge, nutzt der Trojaner eine Schwachstelle des NetBIOS-Protokolls, um sich in Netzwerken massiv zu verbreiten. Dabei baut er sowohl ins Internet, als auch zum TOR-Netzwerk Verbindung auf, lädt von dort Daten nach, verschlüsselt währenddessen die Dateien auf dem infizierten System und sucht weitere Workstations und Server, um sich dort einzunisten.

Ist ein Rechner befallen, muss er sofort von LAN und Internet isoliert werden. Danach gibt es verschiedene Ansätze, die vorhandenen Daten eventuell doch noch retten zu können:

  • Von den Daten auf dem befallenen Computer wird mit Hilfe externer Tools ein Backup gezogen. Die Hoffnung stirbt bekanntlich zuletzt.
  • Der PC kann unter Umständen mit den Werkzeugen WannaKey bzw. WanaKiwi dechiffriert werden. Dafür müssen aber die von WannaCry erzeugten RSA-Schlüssel noch im RAM liegen. Das heißt, das System darf nicht neu gestartet worden sein. Diese Methode funktioniert allerdings nicht unter Windows 8 und 10. In diesen Versionen wurde das Speichermanagement verändert.

Schutz vor Trojaner, Viren und anderen Schädlingen

Der Schutz gegen solche Bedrohungen besteht vor allem darin, ein gesundes Misstrauen gegenüber unangekündigten Mailanhängen von unbekannten Absendern zu hegen. Niemand wird Ihnen ohne vorherige Absprache vorgebliche Rechnungen, Personaldatenbanken oder Auflistungen von Vorstandsgehältern schicken.

Prüfen Sie stets folgende vier Punkte:

  1. Sind Ihre Downloadquellen vertrauenswürdig?
  2. Ist das Betriebssystem auf dem aktuellsten Stand?
  3. Sind die Signaturen Ihres Antiviren-Programms frisch?
  4. Sind Ihre Netzwerke mit Intrusion-Detection- und Prevention-Systemen ausgestattet?

Um sich ausreichend zu schützen, hat sich eine Mischung aus segmentierten Netzen, Firewalling und Sandboxes, die solche Bedrohungen schon recht gut im Zaum halten können, bewährt. Die IT-Sicherheitsexperten der kreITiv helfen Ihnen und Ihrem Unternehmen gern weiter und wappnen Ihre IT-Infrastruktur für zukünftige Vorfälle.

Trojaner Locky verschlüsselt Ihre Dateien

„Sie haben eine ungelesene Mail“: Gefahren durch Trojaner „Locky“

Zur Zeit berichten viele Medien über die Ransomware Locky – auch Erpressungstrojaner oder Kryptotrojaner genannt. Doch was macht Locky tatsächlich? Wir klären auf und geben Ihnen Ratschläge in die Hand, wie Sie den Fängen des digitalen Raubritters entkommen.

Was genau ist der Trojaner Locky?

Einfallstor von Locky ist meistens das E-Mail Programm. Eine getarnte Rechnung soll Ihr Interesse wecken und Sie dazu animieren, den mit dem Trojaner versehenen Anhang zu öffnen. Es wird allerdings auch berichtet, dass der Trojaner Locky als angeblich eingescanntes Dokument eines Netzwerkdruckers auf das System gelangt.

In jedem Fall verschlüsselt der Trojaner nach dem Öffnen, ohne weiteres Zutun des Benutzers, im Hintergrund sämtliche erreichbaren Dateien. Darüber hinaus greift Locky auf alle dem Rechner bekannten Netzwerklaufwerke und Cloudspeicher zu und verschlüsselt auch dort alle Dateien. Den Befall erkennt man an der Dateiendung *.locky

Das perfide Vorgehen treibt der Trojaner auf die Spitze, indem er sämtliche angelegte Schattenkopien unwiederbringlich löscht. So ist es nicht möglich, zu einer sauberen Version einer Datei zurückzuspringen.

Sobald die befallenen Daten erfolgreich verschlüsselt sind, wird der Benutzer mit einem neuen Desktophintergrund begrüßt, welcher ihn auf seine Situation aufmerksam macht und eine Maßnahme zur Befreiung seiner Daten anbietet: Natürlich gegen Geld.

Hände hoch und Lösegeld zahlen?

Eines vorab: Wenn Locky einmal erfolgreich war, helfen auch die besten Tools nicht mehr, um anderweitig an die Daten heran zu kommen. In diesem Fall empfehlen wir, nicht auf die Geldforderung einzugehen. In solchen Fällen kann nie ausgeschlossen werden, dass der Erpresser seine Forderungen erhöhen wird.

Es ist ebenfalls nicht sichergestellt, dass die Daten tatsächlich entschlüsselt werden und sich der Trojaner Locky selbst deinstalliert. Letzteres könnte im ungünstigsten Fall bedeuten, dass der Erpresser Ihre Daten zu einem späteren Zeitpunkt erneut verschlüsselt und noch einmal Geld nachfordert.

Oder Gegenmaßnahmen ergreifen?

Mit einer guten Vorbereitung können Sie jedoch dafür sorgen, dass der fiese Trojaner erst gar nicht an Ihren PC oder gar Ihre Daten herankommt. Hierbei gibt es eine Reihe von Punkten, die man prüfen sollte:

  1. Gesundes Misstrauen gegenüber nicht stimmigen E-Mails: Was Sie nicht kennen, müssen Sie nicht unbedingt öffnen.
  2. Korrekte Einstellungen in Ihrem Office-Programm: Oder warum sollte Ihr Office den Trojaner für Sie automatisch ausführen?
  3. Nutzung von Antispam/Antivir-Programmen für Ihren Mailclient: So können Sie zumindest verhindern, dass Locky ein zu leichtes Spiel hat.
  4. Backups: Eine saubere, konsequente Backupstrategie im Voraus hilft, falls der Trojaner zuschlagen sollte.
  5. Rechtekonzept des Storage-Servers: Oder warum benötigt der Mitarbeiter am Empfang Zugriff auf die Daten der Buchhaltung?
  6. Rechtekonzept der Clientumgebung: Oder wofür benötigt der Mitarbeiter im Büro administrative Rechte?
  7. Absicherung des Storage-Servers gegen Dritte: Mit Brute-Force-Angriffen von verseuchten Rechnern versucht Locky auch Ihre Netzwerkfreigaben zu erreichen.
  8. Firewallkonfiguration: Isolierte Rechner können nicht mit der „Locky-Zentrale“ kommunizieren.
  9. Patchmanagement: Neuste Updates schließen Sicherheitslücken und minimieren somit Risiken.

Wenn Sie eine Sicherheitsberatung zu technischen und/oder organisatorischen Maßnahmen für Ihr Unternehmen benötigen, können Sie sich gerne an das Team der kreITiv wenden.