Wenn wir einen Virus, Wurm oder Trojaner – kurz: ein Schadprogramm oder Malware – auf unserem Rechner haben, so ist das eine höchst unerfreuliche Angelegenheit. Vor kurzem aber hat nun ein namhafter Antivirenprogrammhersteller eine weitere Bedrohung gefunden: Schadprogramme, die andere Schadprogramme infizieren und somit das Bedrohungspotential insgesamt steigern! Aber beginnen wir von vorn…
Schadprogramme können in verschiedene Kategorien eingeteilt werden, je nachdem, wie sie sich selber verbreiten und was sie bewirken. Die folgenden drei, nach der Verbreitungsart kategorisierten Typen von Schadprogrammen sind die am häufigste anzutreffenden:
Viren
Viren sind die ursprünglichsten aller Schadprogramme. Ihr Name leitet sich aus ihrer Eigenschaft her, dass sie genau wie ihre biologischen Vorbilder “Wirtszellen”, im Falle von Computern also meist Dateien, infizieren und für ihre Zwecke missbrauchen. Dabei schleusen sie ihren Programmcode in eine (in der Regel ausführbare) Datei ein, indem sie ihn zum Beispiel einfach an den Anfang der Datei kopieren. Wird die Datei nun gestartet, so wird auch irgendwann der Code des Virus ausgeführt. Der Virencode bewirkt in der Regel, dass sowohl neue Dateien im Dateisystem befallen als auch oft genug mehr oder weniger schädliche Aktionen durchgeführt werden, indem etwa weitere Dateien auf der Festplatte willkürlich zerstört werden. Ein Computervirus benötigt also ganz wie ein echter Virus immer einen Wirt, welchen er infizieren und für seine weitere Vermehrung benutzen kann. Die Verbreitung eines Computervirus von einem System auf ein anderes kann allerdings nur erfolgen, wenn eine infizierte manuell (das heißt, durch den Anwender) auf ein anderes System kopiert wird. Aus diesem Grund finden sich Viren auch vermehrt in Tauschbörsen und Seiten mit illegalen Programmdownloads, da hier viele Programme – oft ohne weitere Prüfung – über das Netzwerk verteilt werden und somit die Verbreitung der Viren unterstützen (und unter anderem deswegen sollte man auch tunlichst die Finger von derartigen Angeboten lassen).
Würmer
Viren sind passive Schadprogramme, welche eine Interaktion des Nutzers erfordern, um sich zu verbreiten. Demgegenüber stehen die Würmer, die sich aktiv, also ohne das Eingreifen des Anwenders verbreiten. Die Verbreitung läuft hier typischerweise über das Netzwerk; ein auf einem Rechner gestarteter Wurm kann etwa das lokale Mailprogramm ansteuern und sich selber per Mail an sämtliche Kontakte im Adressbuch des Programms schicken. Führen die Empfänger der Mail den Wurm bei sich auf dem Rechner aus (was nicht einmal so unwahrscheinlich ist, da die Mail ja in der Regel von einem vertrauenswürdigen Kontakt kam), so geht das Spiel von vorne los. Würmer können dabei einfache Programme sein, oder auch Dokumente mit automatisch ausgeführtem Code. Auch ist es denkbar, dass eine von einem Wurm verschickte E-Mail lediglich einen Link auf eine Website enthält; wird vom Empfänger der Mail auf diesen Link geklickt, so wird automatisch das Wurm-Programm auf dem Rechner installiert. Der Hauptschaden durch Würmer entsteht dadurch, dass sie die verfügbaren Ressourcen eines Rechners (insbesondere natürlich die verfügbare Internetverbindung) durch ihre weitere Verbreitung stark belasten und somit auch Abstürze des Systems hervorrufen können.
Trojaner
Ein Trojaner – oder eigentlich “Trojanisches Pferd”, angelehnt an das trojanische Pferd der griechischen Mythologie – ist (analog zum mythologische Vorbild) ein Programm, welches eine bestimmte, nützliche Funktionalität vortäuscht, aber eigentlich eine ganz andere und meist schädliche Funktion hat. Wird der Trojaner durch den Anwender gestartet, so wird neben dem eigentlichen Programm noch der Schadcode ausgeführt, durch welchen etwa der Rechner ausspioniert oder Viren verbreitet werden können. Trojaner verbreiten sich, ähnlich wie Viren, zwischen Computern nur durch Nutzerinteraktion, wenn die Schadprogramme etwa aus dem Internet heruntergeladen werden. Alternativ kann ein Trojaner aber natürlich auch auf dem Rechner, auf dem er ausgeführt wird, einen Wurm installieren, welcher dann schließlich den Trojaner per Mail automatisiert weiter verbreitet – man hat dann einen Hybriden aus Trojaner und Wurm.
Es ist im Malware-Geschäft durchaus üblich, dass Hybriden aus mehreren Schadprogrammen im Umlauf sind, wenn etwa wie bereits erwähnt ein Trojaner Würmer oder Viren verbreitet oder ein Virus einen Wurm auf einem Rechner installiert. Derartige Verbindungen sind aber immer in ihrer ganzen Schädlichkeit geplant und von vornherein so konzipiert.
Untersuchungen haben nun aber gezeigt, dass Malware-Hybriden auch auf “natürlichem” Weg, also ohne explizite Planung, entstehen können. Das kann dann passieren, wenn ein Virus, welcher ja Dateien auf der Festplatte befällt, einen Wurm
auf ebendieser Festplatte
infiziert, welcher ja wiederum eine Datei ist (für derartige Verbindungen wurde übrigens der Name “Frankenmalware” geprägt). Das eigentlich Gefährliche ist nun: verbreitet sich der infizierte Wurm übers Netz, so nimmt er den Virus mit sich und trägt zu dessen Verbreitung bei. Wir erinnern uns: die meisten Viren sind nicht in der Lage, Rechnergrenzen zu übertreten, sondern verlassen sich auf die Verteilung durch den Benutzer. Dadurch aber, dass sich Würmer automatisiert verbreiten und Viren quasi im Gepäck mitführen, ergeben sich für die Viren vollkommen neue Verbreitungswege.
Zusätzlich kann es nun auch noch passieren, dass die beiden so im Verbund agierenden Schadprogramme über Funktionalitäten verfügen, welche dem jeweils anderen Programm helfen; wenn etwa der Wurm den Virenscanner eines Rechners blockiert, kann sich der mitgeführte Virus umso leichter ausbreiten.
Und um es noch schlimmer zu machen, wurde ein weiteres Szenario diskutiert. Viele Virenscanner sind in der Lage, Viren aus infizierten Dateien zu entfernen. Dabei geschieht es aber mitunter, dass die Struktur der ursprünglichen Datei bei der Desinfektion leicht verändert wird; nicht so stark, dass sich die Funktionalität ändert, aber immerhin genügend, dass sich die der Datei (gewissermaßen deren Erkennungsmerkmal für den Virenscanner) ändert. Hat nun ein Virus einen Wurm infiziert, wird diese infizierte Datei vom Virenscanner entdeckt und findet dieser zusätzlich noch zuerst den Virus in der Datei und entfernt ihn, so kann es passieren, dass sich die Signatur des Wurms ändert – mit dem Ergebnis, dass er nicht mehr von Virenscannern entdeckt werden kann (denn deren Suche basiert wie gesagt häufig auf dem Signaturvergleich von Dateien). Fast könnte man sagen, dass der Wurm einer evolutionstechnischen Mutation unterliegt, welche seine Überlebenschancen erhöht.
Auch wenn das Thema “Malware” ein eigentlich unerfreuliches ist, so sind derartige Beobachtungen dennoch interessant, da sie gewisse Parallelen zur Biologie besitzen und einen Ausblick darauf geben, was uns im Bereich der Computer noch so alles in Zukunft erwarten kann.
In jedem Fall aber, und diese Gelegenheit für eine Moralpredigt möchte ich mir nicht entgehen lassen, erinnern sie uns daran, was beim Umgang mit dem Internet immer wieder wichtig ist: Finger weg von dubiosen Seiten im Netz, keine illegalen Downloads und auf Links in Mails nur klicken, wenn man genau weiß, wohin der Link führt – man weiß nie, was man sonst bekommt. Und für einen Computer ist eine Vireninfektion nicht angenehmer als für einen Menschen – die alljährliche Erkältung dürfte dafür Argument genug sein.
Kommentare (31)