Costin Raiu, Chef der Forschungsabteilung von Kaspersky Lab bezeichnet den Gro\u00dfteil der bekannten Schadprogramme als Crimeware \u2013 Programme, die von Cyberkriminellen ver\u00f6ffentlicht werden, um Geld zu machen: durch den Diebstahl von Zugangsdaten, privaten Informationen, Ressourcen oder direkt von Geld. Die zweite gro\u00dfe Kategorie sch\u00e4dlicher Software wird exklusiv f\u00fcr Cyberspionage entwickelt und von verschiedenen fortschrittlichen Angreifern verwendet \u2013 oft mit staatlicher oder wirtschaftlicher Hilfe, oder mit Unterst\u00fctzung durch einen anderen, finanziell gut gestellten G\u00f6nner. Die dritte, viel kleinere Gruppe sind die Schadprogramme, die auf Zerst\u00f6rung aus sind. Diese werden manchmal auch als Wiper bezeichnet.<\/p>\n
Die fr\u00fchesten Schadprogramme waren fast ausschlie\u00dflich destruktiv. Ende der 1990er Jahre war das Internet noch nicht der riesige Speicherplatz f\u00fcr wertvolle Daten, der es heute ist. Zudem mussten organisierte Verbrecher erst den finanziellen Wert der \u2013 damals noch \u2013 einfach zug\u00e4nglichen Informationen erkennen. Also erstellten die Hacker damals, \u00e4hnlich der heutigen Ransomware<\/a>, Schadprogramme, die Festplatten verschl\u00fcsselten oder die Daten auf Computern auf andere Art und Weise zerst\u00f6rten. Es gab bei den fr\u00fchen Trojanern und deren Programmieren eine spielerische B\u00f6swilligkeit. So weit ich wei\u00df, war Geld nicht der Hauptantrieb f\u00fcr die ersten Schadprogrammautoren.<\/p>\n Zerst\u00f6rerische Wiper-Schadprogramme sind niemals ganz verschwunden, doch nun werden sie \u2013 im d\u00fcsteren Zeitalter der Attacken von Staaten auf andere Staaten oder von Staaten auf Firmen \u2013 mit neuer Kraft wiederbelebt. In den letzten drei Jahren haben unsere Freunde bei Securelist<\/a> nicht weniger als f\u00fcnf unterschiedliche Wiper-Attacken erforscht.<\/p>\n Das erste Sch\u00e4dlingsexemplar, das einfach Wiper<\/a> genannt wurde, war so effektiv, dass es sogar sich selbst von Tausenden von iranischen Computern l\u00f6schte, die es infiziert haben soll. Deshalb konnte niemand das Schadprogramm analysieren. Im Vergleich zu anderen zerst\u00f6rerischen Schadprogrammen war dieses Exemplar wohl recht neuartig und zielte auf eine Menge Computer ab, die anscheinend zuf\u00e4llig infiziert wurden. Doch Wiper ist bedeutend, weil er \u2013 egal, wer den Sch\u00e4dling programmiert hat und was er damit erreichen wollte \u2013 als Inspiration f\u00fcr folgende Schadprogramme diente.<\/p>\n Vor allem Shamoon<\/a> gilt als Nachfolger des mysteri\u00f6sen Wiper. Dieses zerst\u00f6rerische Exemplar drang in das Netzwerk der Firma ein, die wohl das wertvollste Unternehmen und auf jeden Fall der gr\u00f6\u00dfte \u00d6lproduzent der Welt ist: Saudi Aramco. Shamoon hat bei der Saudi-Arabischen \u00d6lfirma im August 2012 schnelle Arbeit geleistet und mehr als 30.000 Firmencomputer zerst\u00f6rt. Das Schadprogramm, dessen Ursprung von einigen in Iran vermutet wird, auch wenn sich eine Hackergruppe zu dem Angriff bekannte, konnte seine Existenz allerdings nicht so gut wie Wiper verwischen. Forscher konnten Shamoon sicherstellen und fanden heraus, dass der Sch\u00e4dling bei seinem Angriff zwar primitive, aber sehr effektive Methoden verwendete.<\/p>\n Dann kam Narilam<\/a>, ein listiges St\u00fcck Malware, das wohl die Datenbanken einiger Finanz-Apps angreifen sollte, die fast ausschlie\u00dflich in Iran genutzt werden. Narilam war anders als die anderen Wiper-Sch\u00e4dlinge, da er sehr langsam arbeitete \u2013 ausgerichtet auf Langzeit-Sabotage. Kaspersky Lab hat einige verschiedene Narilam-Versionen entdeckt, von denen manche schon aus dem Jahr 2008 stammen. Und obwohl Narilam und \u00e4hnliche Sch\u00e4dlinge langsam agieren, k\u00f6nnen sie dennoch langfristig sehr zerst\u00f6rerisch wirken.<\/p>\n Ein weiteres Wiper-\u00e4hnliches Schadprogramm war Groovemonitor<\/a> (auch bekannt als Maya). Hierbei handelt es sich um das iranische Gegenst\u00fcck zum dem Schadprogramm, das das Computer Emergency Response Team im Jahr 2012 unter dem Namen Maher entdeckte. Es handelt sich dabei um eine recht simple Bedrohung, die die Opfer-Computer eher mit einem Kn\u00fcppel als mit einem Skalpell angreift. Groovemonitor enth\u00e4lt einen vorgeschriebenen Zeitraum zwischen zwei Zeitpunkten und versucht in dieser Zeit, alle Dateien auf den Laufwerken D bis I eines Computers zu l\u00f6schen.<\/p>\n