Sitemap  |  Login  |  Suchen  |  
design by graphicom medien

Methoden heutiger Malware

von Peter Riedlberger, erschienen am 19. Februar 2007

Die elektronischen Schädlinge von heute unterscheiden sich in verschiedenster Hinsicht von der Malware vergangener Jahre.

Als Viren in den 80er Jahren zum ersten Mal auftauchten, war die Intention der Verbreiter vergleichbar mit der von Graffiti-Sprühern: Unreife, geltungssüchtige Menschen wollten möglichst weitflächig eine Spur hinterlassen, und zwar ohne Rücksicht auf die Interessen anderer. Der Sinn des Computerschädlings war also die Ausbreitung an sich. Bald kamen auch noch Schadroutinen hinzu, die Dateien löschten, Partitionen formatierten oder – in extremen Fällen – den Computer mittels böswilligem BIOS-Flash unbrauchbar machten.

Das Internet hat den Computer zum Mainstream-Gerät gemacht, und so haben in den letzten fünf Jahren auch Mainstream-Kriminelle die Möglichkeiten von Schädlingssoftware erkannt. Mit frappierenden Folgen: Das klassische Virus, das sich über Dateien verbreitet, eventuell eine Schad­routine enthält und dessen Seinszweck die Befriedigung der Geltungssucht eines Einzelnen ist, existiert praktisch nicht mehr. Heutige Malware dient mit ganz wenigen Ausnahmen nur noch dazu, Kriminellen beim Geld verdienen zu helfen. Zu diesem Zweck musste sich das Verhalten von Malware dramatisch ändern. Während klassische Viren früher oder später ihre Anwesenheit auf dramatische Weise demonstrierten, versteckt sich heutige Malware, um im Verborgenen zu wirken.

Es gibt mannigfaltige Möglichkeiten, mit Malware Geld zu verdienen. Oft ist der Besitzer des infizierten Rechners selbst das Opfer. Manche Malware-Programme enthalten eine Keylogging-Funktion. Das heisst, dass jeder Tastenanschlag des Opfers mitprotokolliert und an den Malware-Versender übermittelt wird. Kommt er so an die Girokonti- oder Paypal-Daten des Opfers, kann er direkt Geld abgreifen. Eine andere Möglichkeit des Missbrauchs ist, dem Opfer Werbung anzuzeigen. Häufig will ein angeblicher Virenscanner ein Schadprogramm gefunden haben; man solle die Vollversion gegen Geld erwerben, um den Schädling entfernen zu können. Eine dritte Variante ist das gezielte Ausspionieren von Informationen; das betrifft aber freilich keine Privatpersonen, wohl aber immer mehr Unternehmen, deren Geschäftsgeheimnisse von grossem Interesse für die Konkurrenz sind.

Aber die genannten Umtriebe sind keineswegs die Hauptmethode, mit der Virenautoren Geld verdienen. Die üblichste Form der Cyberkriminalität ist, die Kontrolle über fremde Computer zu erlangen, um deren Internetverbindung für weitere Aktivitäten zu missbrauchen. Eine grosse Zahl solcher ferngesteuerter Computer, die von einem einzigen Kriminellen kontrolliert werden, nennt man Botnetz. Der überwiegende Teil des aktuellen Spam-Aufkommens wird über solche Botnetze verschickt. Aber nicht nur die Empfänger von Werbung sind Opfer, sondern auch die Auftraggeber: Botnetze lassen sich auch dazu nutzen, massiv die Zugriffszahlen und Klickraten von Websiten zu erhöhen, die für die Anzeige von Werbung bezahlt werden. Der Werbepartner muss also zahlen, ohne dass seine Anzeigen wirklich beachten wurden. Eine besonders grobe Form der Kriminalität ist die Gelderpressung unter Androhung einer DDoS-Attacke. Schon Mitte 2004, kurz vor der Fussball-EM, wurden Online-Wettanbieter um fünfstellige Dollarbeträge erpresst. Mybet.com ignorierte die Forderung. Daraufhin war die Site tatsächlich rund 16 Stunden lang offline.

Schädlingstypen

Früher machte die Unterscheidung in Viren, Würmer und Trojaner Sinn. Viren waren Schadprogramme, die andere Dateien infizierten, Würmer «krochen» gleichsam durch ein Netzwerk, und Trojaner (besser eigentlich: Trojanische Pferde) waren Schadprogramme, die den Feind in den eigenen Computer liessen. Heute kann man praktisch von einer Konvergenz der Schadprogramme sprechen: Es gibt eigentlich nur noch einen einheitlichen Typus, der sich nach Wurm-Art verbreitet und die Funktionen eines Trojanischen Pferdes besitzt. Insofern ist eine Unterscheidung hier überflüssig. Was aber von dieser eindeutig kriminellen Art der Malware scharf zu trennen ist, ist die sogenannte «Spyware».

Der unglücklich gewählte Begriff bezeichnet unangenehme, zumeist schwer deinstallierbare Werbeprogramme, die auf zumindest halblegalem Weg ins System kommen, beispielsweise als Dreingabe bei der Installation eines kostenlosen Programms. Ein Begriff, der in den letzten Monaten zunehmend an Medienpräsenz gewann, ist «Rootkit». Es ist wichtig zu verstehen, dass ein Rootkit keineswegs eine eigene Art von Schadprogramm ist (wie ein Virus oder ein Spyware-Programm), sondern eine Funktion von Malware. Der Zweck eines Rootkits ist, das Schadprogramm vor dem System (und insbesondere dem Virenscanner) sowie vor dem Benutzer zu verstecken. Dementsprechend ist auch «Rootkit» ein unglücklich gewählter Begriff; besser wäre etwa «Tarnkappe».