Arten von Malware und Beispiele

Was bedeutet Malware?

Malware ist ein Kunstwort aus den beiden Begriffen „malicious“ (schädlich) und „Software“. Malware ist eine Software, die bewusst dafür konzipiert wurde, in Computer und Computersysteme einzudringen und diese zu schädigen. Im Gegensatz dazu wird Software, die ungewollt Schaden anrichtet, als „Software Bug“ oder „Programmfehler“ bezeichnet.

Gelegentlich taucht die Frage nach dem Unterschied zwischen einem Virus und Malware auf. Er besteht darin, dass Malware ein Oberbegriff für eine Reihe von Online-Bedrohungen wie Viren, Spyware, Adware, Ransomware und andere Arten von Schadsoftware ist. Ein Computervirus ist ganz einfach eine Art von Malware.

Malware kann durch Phishing, schädliche Anhänge, infizierte Downloads, Social Engineeringoder Flash-Laufwerke in ein Netzwerk eingeschleust werden. In diesem Überblick sollten gängige Malware-Typen vorgestellt werden.

Arten von Malware

Damit man sich vor ihnen schützen kann, ist es wichtig, die unterschiedlichen Arten von Malware-Angriffen zu kennen. Einige davon sind sicherlich weitestgehend bekannt (zumindest dem Namen nach), andere weniger.

Adware

Adware steht für „advertising-supported Software“ (durch Werbung unterstützte Software). Sie sorgt für unerwünschte und gelegentlich schädliche Werbeeinblendungen am Bildschirm eines Computers oder mobilen Geräts, leitet Suchergebnisse auf Werbe-Webseiten um und erfasst Benutzerdaten ohne Einwilligung der Besitzer. Nicht jede Adware ist Malware, einige sind seriös und ungefährlich.

Wie viel Adware eingeblendet wird oder welche Arten von Download zulässig sind, kann jeder Benutzer über die Popup-Steuerung und die Einstellungen in seinem Internetbrowser bzw. einen Ad Blocker festlegen.

Beispiele für Adware:

Fireball: Fireball machte 2017 Schlagzeilen, als ein israelisches Softwareunternehmen entdeckte, dass 250 Millionen Computer und ein Fünftel der Unternehmensnetzwerke weltweit damit infiziert waren. Wenn Ihr Computer damit infiziert ist, übernimmt Fireball Ihren Browser. Die Adware macht aus Ihrer Homepage eine gefälschte Suchmaschine – Trotus – und fügt in jede Webseite, die Sie besuchen, aufdringliche Werbung ein. Sie hindert Sie außerdem daran, Ihre Browser-Einstellungen zu ändern.
Appearch: Appearch ist ein weiteres weit verbreitetes Adware-Programm, das als Browser-Hijacker fungiert. Es wird normalerweise in einer kostenlosen Software versteckt und fügt so viele Werbeanzeigen in den Browser ein, dass es sehr schwer wird, überhaupt im Internet zu surfen. Wenn Sie versuchen, eine Webseite zu besuchen, werden Sie stattdessen zu Appearch.info umgeleitet. Wenn es Ihnen gelingt, eine Webseite zu öffnen, wandelt Appearch zufällig ausgewählte Textblöcke in Links um. Wenn Sie den Text auswählen, werden Sie in einem Popup-Fenster aufgefordert, Software-Updates herunterzuladen.

Spyware

Spyware ist eine Form von Malware, die sich auf Ihrem Gerät versteckt, Aktivitäten überwacht und vertrauliche Informationen wie Finanzdaten, Kontoinformationen, Anmeldedaten und Ähnliches abgreift. Spyware verbreitet sich über Softwareschwachstellen, im Bündel mit seriöser Software oder über Trojaner.

Beispiele für Spyware:

CoolWebSearch: Dieses Programm konnte über Sicherheitslücken im Internet Explorer die Kontrolle über den Browser zu übernehmen, die Einstellungen ändern und Browser-Verlaufsdaten an seinen Urheber senden.
Gator: Dieses Programm, das in der Regel mit Filesharing-Software wie Kazaa gebündelt wird, überwacht die Surfgewohnheiten des Opfers und nutzt diese Informationen, um gezielt Werbung einzublenden.

Ransomware und Crypto-Malware

Ransomware ist eine Form der Malware, bei der es darum geht, Nutzer aus ihren Systemen auszusperren oder den Zugriff auf deren Daten zu verweigern, bis ein Lösegeld gezahlt wird. Bei Krypto-Malware handelt es sich um eine spezielle Art von Ransomware, mit der Benutzerdateien verschlüsselt werden. Die Lösegeldzahlungen müssen innerhalb einer bestimmten Frist und häufig in digitaler Währung, z. B. Bitcoin, erfolgen. Ransomware ist schon seit vielen Jahren eine ständige Bedrohung für Unternehmen aller Branchen. Da immer mehr Unternehmen auf digitale Systeme umgestellt werden, hat die Wahrscheinlichkeit, einem Ransomware-Angriff zum Opfer zu fallen, deutlich zugenommen.

Beispiele für Ransomware:

CryptoLocker war vor allem in den Jahren 2013 und 2014 aktiv. Mit dieser Malware gelang es Cyberkriminellen, sich Zugang zu den Dateien eines Systems zu verschaffen und diese zu verschlüsseln. Dabei brachten sie Mitarbeiter mithilfe von Social Engineering-Taktiken dazu, die Ransomware auf ihre Computer herunterzuladen, mit der dann das Netzwerk infiziert wurde. Nach dem Herunterladen von CryptoLocker erscheint eine Mitteilung am infizierten Gerät, dass die Daten wieder entschlüsselt würden, wenn innerhalb der angegebenen Frist eine Bargeld- oder Bitcoin-Zahlung geleistet werde. CryptoLocker wurde zwar inzwischen der Garaus gemacht, man geht aber davon aus, dass die Betreiber dieser Ransomware ahnungslose Unternehmen um rund drei Millionen US-Dollar erleichtert haben.
Phobos-Malware: eine weitere Form von Ransomware, die erstmals im Jahr 2019 auftauchte. Dieser Ransomware-Stamm basiert auf der bereits bekannten Ransomware-Familie Dharma (auch unter dem Namen CrySis bekannt).

Trojaner

Ein Trojaner (oder Trojanisches Pferd) tarnt sich als seriöse Software, um Nutzer dazu zu verleiten, eine Schadsoftware auf ihrem Computer auszuführen. Da sie vertrauenswürdig aussieht, wird sie bedenkenlos heruntergeladen und kann sich auf den Geräten verbreiten. Der Trojaner selbst ist ein Türöffner. Im Gegensatz zu Würmern brauchen Sie einen Host. Sobald sich ein Trojaner auf einem Gerät installiert hat, können Hacker darüber Daten löschen, ändern oder abfangen, das infizierte Gerät in ein Botnet eingliedern, es ausspionieren oder sich Zugang zu Ihrem Netzwerk verschaffen.

Beispiele für Trojaner:

Qbot-Malware, auch unter dem Namen „Qakbot“ oder „Pinkslipbot“ bekannt, ist ein Banking-Trojaner, der seit 2007 im Umlauf ist und sich auf den Diebstahl von Benutzerdaten und Anmeldeinformationen für das Online-Banking konzentriert. Die Malware wurde konsequent weiterentwickelt und um neue Verbreitungsmechanismen, Befehls- und Kontrolltechniken sowie Funktionen zur Verhinderung von Analysen ergänzt.
Der Trojaner TrickBot tauchte erstmals im Jahr 2016 auf und wird von äußerst raffiniert vorgehenden Cyberkriminellen entwickelt und verbreitet. Ursprünglich als Banking-Trojaner entwickelt, um Finanzdaten zu stehlen, hat sich TrickBot zu einer modularen, mehrstufigen Malware mit einer ganzen Palette von Tools entwickelt, mit denen sich zahlreiche illegale Cyberaktivitäten umsetzen lassen.

Würmer

Würmer sind eine der gängigsten Malware-Art und verbreiten sich vornehmlich über Schwachstellen im Betriebssystem. Ein Wurm ist ein eigenständiges Programm, das sich ohne Zutun seines Betreibers selbst repliziert, um andere Computer zu infizieren. Da sie sich rasend schnell ausbreiten können, werden Würmer oft dazu verwendet, eine Payload auszuführen – ein Stück Code, das ein System beschädigen soll. Payloads können Dateien auf einem Hostsystem löschen, Dateien löschen oder für einen Ransomware-Angriff verschlüsseln, Daten abgreifen und Botnets zusammenstellen.

Beispiel für einen Computerwurm:

SQL Slammer war ein bekannter Computerwurm, der sich auf sehr ungewöhnliche Art und Weise verbreiten konnte. Anders als andere Würmer konnte er zufällige IP-Adressen generieren, an die er sich selbst verschickte, um nach Systemen Ausschau zu halten, auf denen keine Antiviren-Software installiert war. Innerhalb kürzester Zeit nach seinem Aufkommen im Jahr 2003 waren mehr als 75.000 Computer infiziert, die ohne ihr Wissen an DDoS-Angriffen auf mehrere große Webseiten beteiligt wurden. Obwohl der entsprechende Sicherheitspatch bereits seit vielen Jahren verfügbar ist, erlebte SQL Slammer in den Jahren 2016 und 2017 eine Renaissance.

Viren

Ein Virus ist ein kleiner Code, der sich in einer Anwendung einnistet und beim Starten des befallenen Programms ausgeführt wird. Hat ein Virus erst einmal ein Netzwerk befallen, können Hacker darüber sensible Daten stehlen, DDoS-Angriffe starten oder Ransomware-Angriffe durchführen. In der Regel wird ein Virus über infizierte Websites, File Sharing oder heruntergeladene E-Mail-Anhänge verbreitet und wartet im Verborgenen, bis die infizierte Host-Datei oder das infizierte Programm aktiviert wird. Sobald dies geschieht, kann sich das Virus selbst replizieren und in den Systemen ausbreiten.

Beispiel für ein Computervirus:

Stuxnet tauchte 2010 auf und ist nach allgemeiner Auffassung eine gemeinsame Entwicklung der US-amerikanischen und der israelischen Regierung mit dem Ziel, das iranische Atomprogramm zu stören. Über einen USB-Stick drang das Virus in industrielle Steuersysteme von Siemens ein und löste dort eine Rekordzahl von Zentrifugenausfällen und Selbstzerstörungen aus. Es wird vermutet, dass Stuxnet über 20.000 Computer infiziert und ein Fünftel der iranischen Atomzentrifugen zerstört hat, wodurch das iranische Atomprogramm um Jahre zurückgeworfen wurde.

Keylogger

Ein Keylogger ist eine Spionagesoftware oder Spyware, die Benutzeraktivitäten mitverfolgt. Keylogger können ganz legitim eingesetzt werden, z. B. von Eltern, die damit die Online-Aktivitäten ihrer Kinder verfolgen, oder in Unternehmen, die darüber kontrollieren, was ihre Mitarbeiter tun. Wenn sie jedoch zu schädlichen Zwecken installiert werden, können Keylogger auch dazu dienen, Passwörter, Bankzugänge und andere sensible Daten abzugreifen. Keylogger können durch Phishing, Social Engineering oder den Download infizierter Dateien in ein System eingeschleust werden.

Beispiel für einen Keylogger:

Im Jahr 2017 wurde ein Student der Universität von Iowa verhaftet, nachdem er Keylogger auf den Computern von Mitarbeitern der Uni installiert hatte, um deren Anmeldedaten abzugreifen und seine Noten aufzubessern. Der Student wurde für schuldig befunden und zu einer viermonatigen Haftstrafe verurteilt.

Bots und Botnets

Ein Bot ist ein Computer, der von Hackern über eine darauf installierte Malware ferngesteuert werden kann. Dieser gelegentlich auch als Zombie-Computer bezeichnete Bot kann dann für weitere Angriffe missbraucht werden oder in ein ganzes Netzwerk von Bots eingegliedert werden, das als Botnet bezeichnet wird. Da sich Botnets vollkommen unbemerkt verbreiten, können Millionen von Geräten betroffen sein. Mithilfe von Botnets können Hacker zahlreiche schädliche Aktivitäten wie DDoS-Angriffe ausführen, Spam- und Phishing-Nachrichten versenden und andere Arten von Malware verbreiten.

Beispiele für Botnets:

Andromeda-Malware: Dem Andromeda-Botnet werden 80 verschiedene Malware-Familien zugeschrieben. Über soziale Medien, Instant Messaging, Spam-E-Mails, Exploit-Kits und viele andere mehr konnte sich diese Malware so rasant ausbreiten, dass zeitweise jeden Monat eine Million weitere Computer hinzukamen. Sie konnte zwar 2017 vom FBI, dem Europäischen Zentrum für Cyberkriminalität von Europol und anderen Organisationen an der weiteren Ausbreitung gehindert werden, aber viele PCs blieben infiziert.
Mirai: Ein massiver DDoS-Angriff sorgte 2016 dafür, dass weite Teile der US-Ostküste keinen Internetzugang mehr hatten. Der Angriff, von dem die Behörden zunächst befürchteten, dass er von einem feindlichen Staat ausging, wurde über das Mirai-Botnet lanciert. Mirai gehört zu einer Art von Malware, die eigenständig IoT-Geräte ( Internet of Things) aufspürt, um sie in ein Botnet einzubinden. Die so entstandene IoT-Armee kann für DDoS-Angriffe genutzt werden, bei denen die angegriffenen Server mit schädlichem Datenverkehr regelrecht überschwemmt werden. Mirai konnte bis heute nicht vollständig aus der Welt geschafft werden.

PUP-Malware

Das Kürzel PUPs steht für „potenziell unerwünschte Programme“. Dabei handelt es sich um Programme, die Werbung, Symbolleisten und Popups enthalten, die nichts mit der heruntergeladenen Software zu tun haben. Streng genommen steckt hinter PUPs nicht immer eine Malware. PUP-Entwickler weisen vielmehr darauf hin, dass ihre Programme im Gegensatz zu Malware mit dem Einverständnis der Benutzer heruntergeladen werden. Man kann aber davon ausgehen, dass Menschen PUPs hauptsächlich deshalb herunterladen, weil sie nicht wissen, dass sie sich damit einverstanden erklärt haben.

PUPs werden oft im Paket mit anderen, seriöseren Softwareprodukten angeboten. Die meisten Menschen geraten an ein PUP, weil sie ein neues Programm heruntergeladen und installiert haben, ohne das Kleingedruckte zu lesen. Daher war ihnen nicht bewusst, dass sie sich auch für ein nutzloses Zusatzprogramm entschieden haben.

Beispiel für eine PUP-Malware:

Die Mindspark-Malware war ein PUP, das sich im Handumdrehen auf Rechnern installierte, ohne dass die betroffenen Benutzer den Download bemerkten. Mindspark kann auf den Geräten der ahnungslosen Benutzer Einstellungen ändern und bestimmte Verhaltensweisen auslösen. Das Programm ist bekannt dafür, dass man es nur sehr schwer wieder los wird.

Hybride Konstruktionen

Heutzutage handelt es sich bei Malware meist um Kombinationen von verschiedenen Malware-Typen, häufig aus Trojanern und Computerwürmern, gelegentlich mit einem Virus. Normalerweise verhält sich das Schadprogramm dem Endbenutzer gegenüber wie ein Trojaner, aber sobald es ausgeführt wird, greift es wie ein Computerwurm weitere Computer über das Netzwerk an.

Beispiel für eine hybride Malware:

Im Jahr 2001 trat ein Malware-Entwickler, der sich „Lion“ nannte, mit einer hybriden Malware an, bei der es sich um eine Kombination aus Computerwurm und Rootkit handelte. Mithilfe von Rootkits können Hacker Betriebssystemdateien manipulieren, während Würmer leistungsstarke Vektoren für die schnelle Verbreitung von Code sind. Die Auswirkungen dieser perfiden Kombination waren verheerend: Mehr als 10.000 Linux-Systeme wurden geschädigt. Die Schadsoftware aus Computerwurm und Rootkit hatte es speziell auf Schwachstellen in Linux-Systemen abgesehen.

Dateilose Malware

Bei der dateilosen Variante von Malware werden seriöse Programme für die Infizierung eines Computers zweckentfremdet. Sie kommt ganz ohne Dateien aus und hinterlässt keine Spuren, was die Erkennung und Beseitigung stark erschwert. Dateilose Malware hat sich seit 2017 als weit verbreitete Angriffsform etabliert, wobei es viele dieser Angriffsmethoden schon seit geraumer Zeit gibt.

Ohne in einer Datei gespeichert oder direkt auf einem Computer installiert zu werden, nisten sich dateilose Infektionen direkt im Speicher ein, so dass die Festplatte davon unberührt bleibt. Dateilose Malware wird unter Cyberkriminellen immer beliebter: Sie hinterlässt kaum Spuren hinterlässt und ohne Dateien zum Scannen ist sie für herkömmliche Antiviren-Programme kaum zu erkennen.

Beispiele für dateilose Malware:

Frodo, Number of the Beast und The Dark Avenger sind allesamt frühe Beispiele für diese Art von Malware.

Logische Bomben

Logische Bomben sind eine Art von Malware, die erst durch einen Auslöser, z. B. ein bestimmtes Datum und eine bestimmte Uhrzeit oder bei der 20. Anmeldung bei einem Konto, aktiviert wird. Viren und Würmer enthalten oft logische Bomben, um ihre schädliche Wirkung an einem zuvor festgelegten Zeitpunkt oder bei Erfüllung einer weiteren Bedingung zu entfalten. Mögliche Schäden durch eine logische Bombe reichen von der Veränderung von Datenbytes bis zur Unlesbarkeit von Festplatten.

Beispiel für eine logischen Bombe:

Im Jahr 2016 verursachte ein Programmierer in einer Niederlassung des Siemens-Konzerns alle paar Jahre eine Fehlfunktion in Tabellenkalkulationen, so dass er immer wieder aufs Neue den Auftrag erhielt, das Problem zu beheben. Niemand schöpfte Verdacht, bis ein Zufall den Schadcode ans Licht brachte.

Wie kann sich Malware ausbreiten?

Zu den häufigsten Verbreitungswegen von Malware gehören:

E-Mail: Wenn Ihre E-Mail gehackt wurde, kann Malware Ihren Computer dazu zwingen, E-Mails mit infizierten Anhängen oder Links an schädliche Websites zu senden. Öffnet der Empfänger den Anhang oder klickt er auf den Link, wird die Malware auf seinem Computer installiert und der Zyklus setzt sich fort.
Physische Medien: Hacker können Malware auf USB-Flash-Laufwerke laden und darauf warten, dass ahnungslose Opfer diese an ihre Computer anschließen. Diese Methode wird häufig in der Wirtschaftsspionage eingesetzt.
Popup-Warnungen: Dazu gehören gefälschte Sicherheitswarnungen, in denen Sie aufgefordert werden, eine vermeintliche Sicherheitssoftware herunterzuladen, bei der es sich eventuell um weitere Malware handelt.
Schwachstellen: Eine Sicherheitslücke in der Software kann Malware unbefugten Zugriff auf einen Computer, die Hardware oder das Netzwerk verschaffen.
Backdoors: Eine absichtliche oder versehentliche offene Stelle in Software, Hardware, Netzwerken oder der Systemsicherheit.
Drive-by-Downloads: Unbeabsichtigtes Herunterladen von Software mit oder ohne Wissen des Endnutzers.
Ausweitung von Berechtigungen: Eine Situation, in der sich der Angreifer höhere Zugangsrechte zu einem Computer oder Netzwerk erschleicht und dann für einen Angriff nutzt.
Homogenität: Wenn alle Systeme unter demselben Betriebssystem laufen und mit demselben Netzwerk verbunden sind, steigt das Risiko, dass ein Wurm noch weitere Computer befällt.
Komplexe Bedrohungen: Malware-Pakete, in denen mehrere Malware-Typen kombiniert sind, was es schwerer macht, sie zu erkennen und zu stoppen, da sie verschiedene Schwachstellen ausnutzen können.

Anzeichen einer Malware-Infektion

Bei folgenden Anzeichen für Malware auf Ihrem Gerät sollten Sie aktiv werden:

Der Computer läuft langsam und stürzt häufig ab
Der berüchtigte „Blaue Bildschirm“
Programme öffnen, schließen oder verändern sich selbsttätig
Der Speicherplatz wird knapp
Vermehrt Popups, Symbolleisten und andere unerwünschte Programme
E-Mails und Nachrichten werden ohne Ihr Zutun versendet

Mit einem Antiviren-Programm können Sie sich vor Malware-Bedrohungen schützen:

Der Königsweg zu einem wirksamen Schutz vor Malware-Angriffen und unerwünschten Programmen besteht in der Installation einer umfassenden Antiviren-Lösung. Kaspersky Total Security schützt Sie, Ihre Daten und Ihre Geräte rund um die Uhr vor Hackern, Viren und Malware.

Verwandte Artikel:

Welche unterschiedlichen Arten von Malware gibt es?

Kaspersky

Malware ist eine Software, die konzipiert wurde, um anderen zu schaden. Lernen Sie den Unterschied zwischen Viren und Malware, die unterschiedlichen Arten von Schadsoftware und Beispiele für Malware kennen.