Welche Arten von Malware gibt es und wie schütze ich mich davor?

Malware – die Kurzform von Malicious Software – ist der Oberbegriff für schädliche Programme, die Computer, Netzwerke oder mobile Endgeräte infizieren und auf unterschiedliche Weise Schaden anrichten können. Malware tritt in unterschiedlichsten Formen auf. Zu den bekanntesten Varianten gehören Viren, Würmer und Trojaner. Auch Spyware und Ransomware zählen zur Gattung der schädlichen Software. Damit sich Anwender vor Malware schützen können, müssen die verschiedenen Formen und ihre Wirkmechanismen bekannt sein. Welche Arten von Malicious Software es gibt und wie Sie sich vor den Schadprogrammen schützen können, erfahren Sie in diesem Beitrag.

Wie infiziere ich mich mit Malware?

Damit Malware auf einem Computer, in einem Netzwerk oder auf mobilen Geräten aktiv zum Einsatz kommen kann, muss das Schadprogramm zunächst einmal den Weg dorthin finden. Cyberkriminelle entwickeln permanent neue Strategien, um Schadcode auf die Systeme ihrer Opfer einzuschleusen. Ein weit verbreiteter Weg ist dabei der Versand von Schadsoftware über E-Mails. Im Anhang einer auf den ersten Blick unverdächtigen Mail kann sich Malware verstecken – häufig in komprimierten Archiven oder getarnt als Word-Dokument. Ebenfalls sehr häufig werden Schadprogramme über einen Link verteilt. Dieser kann ebenfalls in einer E-Mail oder aber auch über Messenger-Dienste wie WhatsApp, Signal oder Telegram versendet werden. Klickt der Empfänger den Link an und lädt die Software herunter, muss er nur noch die Installation starten – und schon ist der Rechner kompromittiert. Eine weitere, bei Cyberkriminellen überaus beliebte Methode ist das Verteilen von Malware über gefälschte Software. Insbesondere in illegalen Downloads von Spielen, Filmen oder hochpreisiger Software verstecken sich gerne schädliche Programme. Die genannten Methoden haben alle eines gemeinsam: Sie erfordern die aktive „Mitarbeit“ des Empfängers – durch Öffnen von Anhängen, durch das Anklicken von Links oder aber auch durch das Herunterladen von Angeboten aus dem Internet. Doch auch ohne eigenes Zutun kann sich ein Rechner oder Smartphone mit Schadsoftware infizieren. Durch die Ausnutzung von Schwachstellen in öffentlich erreichbaren Systemen, beispielsweise über das Internet erreichbare E-Mail Server, oder Schwachstellen in Browsern, erlangen Cyberkriminelle Zugang zu verbundenen Rechnern und können Schadsoftware aufspielen – ohne dass der Benutzer hiervon etwas mitbekommt.

Wie funktioniert Malware?

Schadprogramme sind meist mehrstufig aufgebaut. Oftmals wird die erste Stufe durch einen sogenannten „Dropper“ durchgeführt, der dann die maliziöse „Payload“ ausführt. Der Dropper versteckt sich beispielsweise in Office-Dokumenten oder hinter Links in E-Mails und hat als einzige Aufgabe, entweder die nächste Stufe der Infektion, die Payload, herunterzuladen und auszuführen – oder aber die Payload ist bereits im Dropper vorhanden und wird nur dekodiert und ausgeführt.

Damit die Angreifer wissen, dass eine Infektion erfolgreich war, setzen sie sogenannte Command & Control-Server auf. Mit diesen Servern verbindet sich die eingeschleuste Malware – und ermöglicht es den Angreifern so, Befehle an die infizierten Systeme zu übertragen oder mit ihnen zu interagieren.

Malware ist darauf ausgelegt, möglichst lange aktiv zu sein. Damit Malware auch in der Lage ist, nach beispielsweise einem Neustart weiterhin aktiv zu sein, verschafft sich diese häufig eine sogenannte “Persistenz”.

Die unterschiedlichen Formen von Schadsoftware

Schadsoftware kommt in den vielfältigsten Formen daher. Keylogger, Ransomware, Backdoors, Bots und Cryptominer – der Kreativität der Cyberkriminellen ist keine Grenze gesetzt. Nachfolgend kennzeichnen wir die die Arten von Malware, denen besondere Relevanz bei Cyberangriffen zukommt.

Was versteht man unter Dropper?

Dropper sind per se keine aktiven Schädlinge – stellen jedoch oft die erste Stufe einer Infektion dar. Denn Dropper haben genau eine einzige Aufgabe: Weitere Malware nachzuladen oder zu dekodieren. Dropper finden sich besonders häufig in „maliziöse“ E-Mail-Anhänge, versteckt als Makros, welche automatisch beim Öffnen ausgeführt werden.

Was versteht man unter Ransomware bzw. Wiper?

Ransomware ist in der Lage, bestimmte Dateien auf einem Computer-System zu verschlüsseln. Wurde Ransomware einmal erfolgreich auf einem System ausgeführt, haben die Benutzer ohne entsprechenden kryptographischen Schlüssel keine Möglichkeit mehr, an die Daten heranzukommen. Die Verschlüsselung nutzen Angreifern häufig dafür, ein Lösegeld von ihren Opfern zu erpressen. Nach erfolgter Zahlung – zumeist in Bitcoins – erhält der Anwender den benötigen Code, um die Daten entschlüsseln zu können. Ob dies wirklich geschieht, liegt allerdings in den Händen der Angreifer. In vielen Fällen ist das Lösegeld weg und die Daten bleiben dennoch unerreichbar.

Wiper können als eine besondere „Subform“ von Ransomware angesehen werden. Wiper verschlüsseln ebenfalls Dateien  – allerdings ohne die zumindest theoretische Möglichkeit, die Daten wieder zu entschlüsseln. Viele Wiper löschen die Dateien auch einfach komplett von der Festplatte. Wiper sind also als überaus aggressive Angriffswaffe zu verstehen, die rein destruktive Zwecke verfolgt. Im aktuellen Russland/Ukraine Konflikt wurden mehrere Angriffe mit Wipern bekannt.

Was ist ein Keylogger bzw. Spyware?

Keylogger und Spyware haben immer das Ziel, möglichst viele Informationen über das infizierte System zu ermitteln und an den Angreifer zurückzusenden. So sind einige Spyware-Varianten in der Lage, bestimmte Dateien einzusammeln und, unbemerkt vom Anwender, über bestehende Netzwerk-Verbindungen an den Angreifer zu senden. Keylogger hingegen sind darauf spezialisiert, Tastatureingaben aufzuzeichnen. Dadurch sind Hacker in der Lage, Zugangsdaten abzugreifen oder in Echtzeit vertrauliche Informationen „mitzulesen“.

Was versteht man unter RAT/Backdoor?

Bei einem Remote Access Trojan (RAT) handelt es sich um ein Malware-Programm, das eine Hintertür / Backdoor für administrative Kontrolle auf einem Zielsystem öffnet. Ein einmal installiertes Backdoor bietet einem Angreifer die Möglichkeit, sich jederzeit mit dem infizierten System zu verbinden und so Befehle auf dem System auszuführen. Backdoors werden häufig dann eingesetzt, wenn Angriffe nicht komplett automatisiert ausgeführt werden. Backdoors halten dem Angreifer im wortwörtlichen Sinne eine „Hintertür“ offen, durch die jederzeit ein laufender Angriff weiter ausgeführt werden kann.

Wie funktionieren Botnetze?

Wird ein System, häufig beispielsweise IoT-Geräte, mit einer Botnet Malware infiziert, so erlaubt dies dem Angreifer, Befehle an das infizierte Gerät zu senden. Dies gestattet dem Angreifer, beispielsweise Befehle an alle Geräte gleichzeitig zu senden. Häufig werden diese Bots dazu verwendet, DDoS (Distributed Denial of Service) Angriffe auszuführen, also durch eine hohe Anzahl an Anfragen, beispielsweise einen Webserver zum Absturz zu bringen.

Wie werden Cryptominer eingesetzt?

Das „Schürfen“ von Kryptowährungen ist immens ressourcenintensiv und benötigt sowohl viel Energie als auch Rechenleistung. Dies wissen auch Cyberkriminelle – und haben mit Cryptominern eine besondere Form der Malware geschaffen. Ein Cryptominer missbraucht die CPU/GPU eines infizierten Systems, um mit der so gewonnenen Rechenleistung Kryptowährungen zu minen.

Wozu dienen Rootkits?

Vom Grundprinzip her sind Rootkits zunächst nur Sammlungen von unterschiedlichsten Software-Werkzeugen, welche mit dem Betriebssystem interagieren. Rootkits dienen Cyberkriminellen dazu, auf kompromittierten Systemen laufende Prozesse zu verstecken oder Anmeldeversuche des Angreifers zu verbergen. Rootkits können darüber hinaus neue Backdoors öffnen, weitere Schadsoftware nachladen und Spuren des Angreifers auf dem System verschleiern.