Die Entwicklungsgeschichte von Viren und Antivirus

Vor mehr als 20 Jahren tauchte der erste Virus auf einem PC auf. Seither haben sich die Malware-Bedrohungen radikal verändert und sind heute komplexer denn je. Viele Schadprogramme wie Trojaner, Exploits, Rootkits, Phishing-Mails sowie Spam und Spyware versuchen, sich in Rechner einzuschleichen und dort die Kontrolle zu übernehmen. Mit diesen „Zombie-PCs“ finanzieren die Malware-Autoren anschließend ihre illegalen Tätigkeiten. Da alle befallenen Rechner via Internet miteinander vernetzt sind, können die Cyberkriminellen mit ihrer Hilfe sehr schnell zielgerichtete oder weit gestreute Angriffe starten. Schädlicher Code kann unter anderem in eMails, gefälschten Software-Paketen oder Webseiten enthalten sein. Ein Trojaner, der sich in einem PC eingenistet hat, lädt von dieser Adresse weitere Schädlinge auf den Rechner. Mittlerweile existieren buchstäblich Hunderttausende dieser Programme. Im Februar 2008 umfaßten die Antiviren-Datenbanken von Kaspersky Lab bereits mehr als 570'000 Malware-Einträge. Wöchentlich kommen etwa 3500 neue hinzu.

Bei jedem Entwicklungsprozeß der Menschheitsgeschichte orientiert sich die jüngere Generation an ihren Vorgängern. Sie übernimmt Bewährtes und versucht, neues daraus zu entwickeln. Das gilt auch für die Zunft der Malware-Entwickler, die PCs mit immer neuen Schadcode-Generationen bedrohen.

Um jeder neuen Malware-Generation gewachsen zu sein, müssen sich natürlich auch die Sicherheitslösungen stetig weiterentwickeln. Bei Rechnern verlaufen „Erkrankung“ und „Therapie“ daher völlig anders als zu den Kindertagen des Virusproblems. Doch welche Faktoren haben die Malware-Entwicklung beeinflußt? Und wie müssen sich die Sicherheitslösungen anpassen, um auf neue Bedrohungen richtig reagieren zu können?

Die ersten Schadprogramme: Das Auftauchen von Boot-Sektor-Viren

Mit Brain erschien 1986 der erste PC-Schädling. Dieser Bootsektorvirus modifiziert den ersten Sektor von Floppy-Disks und ging dabei folgendermaßen vor: Brain sitzt auf einer infizierten Diskette und lädt sich beim Bootvorgang in den Speicher. Dabei muß es sich nicht um eine Systemdiskette handeln, denn jede beliebige Floppy-Disk erfüllt diesen Zweck. In den meisten Fällen merken Anwender gar nicht, daß die Diskette bootet. Häufig haben sie beim Herunterfahren des Rechners schlicht vergessen, die Diskette aus dem Laufwerk herauszunehmen und beim nächsten Start auch nicht mehr daran gedacht, daß sie sich noch dort befindet. Unterstützt das BIOS auch Disketten als Bootmedien, erkennt das System die Diskette in Laufwerk A und lädt automatisch jeden Code, der sich im Bootsektor befindet. Bei einer infizierten Diskette gelangt so der Virus auf den Rechner.

„Keine Systemdiskette oder Diskettenfehler, Diskette entnehmen und anschließend eine beliebige Taste drücken“: Der Anwender bemerkt erst anhand dieses Hinweises, daß sich noch eine Diskette im Laufwerk befindet. Also entnimmt er die Diskette und arbeitet weiter, ohne einen Verdacht zu schöpfen. Was als nächstes geschieht, hängt vom verwendeten Betriebssystem ab. Bootsektorviren infizieren den PC auf BIOS-Ebene, also noch bevor das OS vollständig geladen ist. Daher sind sie zwar nicht von einem bestimmten Betriebssystem abhängig. Allerdings machen sie sich über DOS-Aufrufe speicherresident und schreiben sich auf andere Disketten. Unterstützt das Betriebssystem keine DOS-Kommandos, kann sich der Bootsektorvirus weder selbst laden noch verbreiten. Diese Schädlinge funktionieren also ausschließlich unter DOS, dem auf DOS aufsetzenden Windows 3.x oder einer Windows-9x-Version, die sich manchmal DOS-Zugriffen auf Disketten bedient. Ein Bootsektorvirus kann auf anderen Betriebssystemen nur dann Schaden anrichten, wenn er vor Start des Betriebssystems irgendeine seiner Schadroutinen auf BIOS-Ebene ausführen kann. Beispielsweise schlägt der Virus Michelangelo am 6. März eines Jahres zu und überschreibt vor Betriebssystem-Start die ersten Sektoren der Festplatte.

Die Autoren von Bootsektorviren mußten keine Social-Engineering-Methoden einsetzen, um ihre Machwerke zu verbreiten. Dafür sorgten die Anwender selbst, wenn sie eine infizierte Diskette versehentlich im Laufwerk ließen. Disketten waren damals das einzig erschwingliche Medium, um Daten zwischen Computern auszutauschen. Früher oder später gab also ein Anwender eine infizierte Diskette an einen Freund, Kollegen oder Kunden weiter und verbreitete so den Virus.

In den folgenden Jahren entwickelten sich die Bootsektorviren technisch immer weiter. Während Brain sich nur auf Floppydisks verbreitete, infizierten viele seiner Nachfolger bereits ganze Festplatten. In den meisten Fällen schrieben sie dabei wie der Virus Form Code in den MBR (Master Boot Record). Einige wenige Exemplare wie zum Beispiel Purcyst infizierten sowohl den MBR als auch den Bootsektor.

DOS-Datei-Viren

Bis zum Jahr 1995 gingen etwa 70 Prozent aller bekannten Infizierungen auf das Konto von Bootsektorviren. Es gab allerdings noch andere Schädlings-Typen. Zu dieser Zeit kamen auch Viren auf, die ausführbare DOS-Dateien infizierten. Das waren zunächst COM-Files, später auch EXE-Dateien. Von derartigen Viren modifizierte Dateien führen den schädlichen Code automatisch beim Programmstart aus. Es gab zahlreiche Möglichkeiten, den Virus einzuschleusen.

Eine typische Methode bestand darin, den Viruscode ans Ende der Host-Datei anzuhängen und ihren File-Header zu instruieren, zuerst den Viruscode und erst dann die Original-Programminstruktionen zu laden. Von dieser Methode existieren zahlreiche Variationen. Einige Viren fügten ihren Code am Anfang der Datei ein, andere an verschiedenen Stellen innerhalb der Datei. Die so genannten überschreibenden oder Overwriting-Viren tauschen den Original-Code dagegen komplett aus. Allerdings war die Infizierung sehr öffentlich, weil sich das Hostprogramm nicht mehr starten ließ. Daher waren diese Viren nur selten anzutreffen. Die Companion-Viren bedienten sich einer alternativen Infizierungsmethode. Sie legten ihren Code in einer separaten Datei ab. Der Virus benannte zum Beispiel die Systemdatei runme.exe in runme.exd um und ersetzte das Originalfile durch eine gleichnamige Datei, die aber den Viruscode enthielt. Bei Programmstart wurde zuerst der Virus geladen, aber unmittelbar danach das Originalfile. User bemerkten daher nichts Verdächtiges. Die Link-Viren wiederum verbreiteten sich, indem sie den Dateizugriff des unter DOS eingesetzten FAT-Dateisystems manipulierten. Wenn Anwender eine so infizierte Datei beispielsweise auf Diskette erhielten und starteten, landete der Virus im Arbeitsspeicher. Anschließend erstellte die Malware eine normalerweise verborgene Datei auf der Festplatte, die schädlichen Code enthielt. Der Virus modifizierte nun die FAT-Tabelle, um Dateiaufrufe auf den verseuchten Festplatten-Sektor umzuleiten.

Dateiviren waren um 1995 weniger verbreitet als Bootsektorviren, weil gerade im Geschäftsbereich nur sehr selten Programme von Rechner zu Rechner übertragen wurden. Man tauschte zwar Disketten untereinander aus, normalerweise aber nur zum Datentransfer. Trotzdem gab es auch in diesen Tagen bereits Dateiviren. Die sich am schnellsten verbreitenden unter ihnen waren speicherresident und in zwei Varianten aktiv. Indirect-Action Dateiviren überwachen die Systemaktivität und infizierten so jede Datei, die Anwender aufriefen. Im Gegensatz dazu schrieben sich die Direct-Action-Viren in eine Datei oder mehrere Dateien und lagen dann so lange in Wartestellung, bis eines der betroffenen Files gestartet wurde. Dieser Viren-Typ verbreitete sich weitaus weniger effektiv als Indirect-Action-Schädlinge. Dateiviren verbreiteten sich aber auch massenhaft über Disketten, die Computerzeitschriften beigelegt wurden.

Die Virenlandschaft der 1980er

Obwohl die Zahl der Dateiviren seit den späten 1980ern stetig anstieg, beherrschten nur wenige, dafür aber äußerst effektive Viren die Szene. Jerusalem etwa verbreitete sich in zahlreichen Unternehmen, wissenschaftlichen Organisationen und Regierungsbehörden und verursachte am 13. Mai 1988 die erste große Virenepidemie überhaupt. Dieser Tag ging als schwarzer Freitag in die Geschichte der Computerviren ein. Vom Virus Vienna kursierten zahllose Varianten, nachdem sein Quellcode offengelegt wurde. Cascade war der erste verschlüsselte Virus und noch bis weit in die 90er Jahre präsent.

Mit der Zeit kombinierten Programmierer die Funktionen beider Virentypen und entwickelten daraus eine Mischung aus Bootsektor- und Dateivirus. Das Ergebnis waren überaus schlagkräftige Hybrid-Schädlinge wie etwa Tequila, Junkie und Natas.

Damals waren fast ausschließlich Viren in Umlauf. Es gab allerdings auch einige Würmer, unter denen sich besonders der Morris Worm hervortat. Im November 1988 infizierte er etwa 6000 Rechner, was ungefähr 10 Prozent aller mit dem Internet verbundenen Computer entsprach. Das Internet wurde damals allerdings fast ausschließlich von Regierungen und wissenschaftlichen Einrichtungen genutzt. Die Zeit der Internet-Würmer war noch nicht gekommen.

Es gab auch nur sehr wenige Trojaner. Der Ausdruck Trojaner ist eine Kurzform für „trojanisches Pferd“ und bezieht sich auf das hölzerne Pferd, in dem sich die Griechen versteckten, um unbemerkt in die Stadt Troja zu gelangen und diese anschließend einzunehmen. Die ersten Trojaner erschienen Ende der 80er-Jahre auf der Bildfläche und maskierten sich als saubere Programme. Sobald arglose Anwender sie starteten, luden die Schädlinge ihre schädliche Fracht. Dementsprechend lautet die Standarddefinition der meisten Hersteller von Antiviren-Software für diesen Malware-Typ wie folgt: Ein sich nicht selbst reproduzierendes, scheinbar legitimes Programm, das entwickelt wurde, um schädliche Aktivität auf einem befallenen Computer auszuführen.

Das wichtigste Unterscheidungsmerkmal zwischen Viren und Trojanern besteht darin, daß sich letztere nicht selbst vervielfältigen können. Viren sind Parasiten, die ihren Code an einen bereits existierenden Wirt weitergeben. Aus diesem Grund verbreiteten sie sich von einer Datei zur anderen. Je länger ein Computer infiziert ist, desto weiter kann sich der Virus über alle verfügbaren Kanäle wie Datenträger und Netzwerke ausbreiten. Trojaner dagegen verfügen über keinen Vervielfältigungsmechanismus. Daher mußten die Trojaner-Autoren den schädlichen Code manuell verbreiten. Sie luden ihn deshalb getarnt als nützliche Anwendung auf ein BBS (Bulletin Board System), schleusten den Code in Unternehmensnetzwerke ein oder versendeten ihn auf dem Postweg an ausgesuchte Opfer.

Bei Twelve Tricks handelte es sich beispielsweise um eine gehackte Version eines Festplatten-Testprogramms. Nach der Installation schrieb sich der Trojaner selbst in den MBR der Festplatte und führte einen seiner zwölf „Tricks“ aus. Diese erweckten häufig den Eindruck, der Rechner hätte ein Hardware-Problem. Leider überschrieb der Trojaner aber hin und wieder auch den Bootsektor oder korrumpierte schleichend das FAT-System.

Ein anderer früher Trojaner versteckte sich auf der Aids Information Disk. Ende 1989 wurden von einer Firma namens PC Cyborg 20'000 mit einem Trojaner verseuchte Disketten per Post an Adressen versendet, die von PC Business World und der Weltgesundheitsorganisation gestohlen worden waren. Die Diskette enthielt angeblich Informationen zu dem HI-Virus und deren Autor nutze die allgemeine Verunsicherung bezüglich dieser Krankheit aus. Wenn Anwender das Installationsprogramm von der Diskette starteten, schrieb sich der Trojaner auf die Festplatte, erstellte seine eigenen verborgenen Dateien und Verzeichnisse und modifizierte Systemdateien. Nach 90 PC-Starts verschlüsselte der Trojaner die Inhalte der Festplatte, so daß auf die Daten nicht mehr zugegriffen werden konnte. Die einzige noch lesbare Datei auf der Festplatte war ein Text-File. Dieses enthielt eine Postfach-Adresse in Panama, an die Geld gezahlt werden sollte. Interessanterweise wies schon der Lizenzvertrag der Schadsoftware auf bestimmte „Programmechanismen“ hin, die „andere Programmapplikationen negativ beeinflussen“ könnten.

Danach dauerte nicht mehr allzu lange, bis sich die Trojaner in großem Stil verbreiteten.

Tarnkappen und Polymorphismus

In dieser Zeit aufkommende Techniken zielten darauf ab, das „Zeitfenster“ zu vergrößern. Dabei handelt es sich um den Zeitabschnitt, in dem ein Virus sich unbemerkt verbreiten kann. Tarnkappen-Techniken wurden entwickelt, um durch den Virus ausgelöste Systemveränderungen zu verschleiern. Unter anderem wurden Fehlermeldungen unterdrückt, die auf einen Virus im System hinweisen konnten. Zu den Tarnaktionen gehörten auch gefälschte Dateiinformationen, um die Größe von Files nach außen hin unverändert erscheinen zu lassen. Außerdem fingen Trojaner Versuche ab, die Systemsektoren mit Hilfe eines Sector Editors zu lesen. Die Tarnkappentechniken wurden immer ausgereifter und entfernten schließlich auch den Virencode aus infizierten Dateien, sobald diese ein Antiviren-Scanner überprüfte. Durch diese Entwicklung war es notwendig, den Arbeitsspeicher eines Computers noch vor allen anderen Datenträgern zu überprüfen. Die Verschlüsselung des Viruscodes im Speicher war so komplex, daß nur wenige Schädlinge diese Technologie verwendeten.

Polymorphismus ist eine weitere Technik, um Antiviren-Scanner zu täuschen. „Polymorph“ kommt aus dem Griechischen und bedeutet „vielgestaltig“. Mit dieser Technik ausgestattete Viren verschlüsseln ihren Code bei jeder neuen Infizierung anders. Dadurch erhalten Antiviren-Programme keine konstante Byte-Sequenz, nach der sie suchen können. Die ersten polymorphen Proof-of-Concept-Viren wurden 1990 entwickelt. Doch erst im April 1991 kam mit dem Virus Tequila polymorpher Code auch tatsächlich in Umlauf. Antiviren-Programme konnten sich nun nicht mehr allein auf die Signatur-basierte Erkennung stützen. Andere Techniken wie etwa die Emulation des Viruscodes oder der Einsatz von mathematischen Algorithmen waren ab sofort unerläßlich, um Malware zu erkennen.

Tarnkappen-Techniken und Polymorphismus wurden von jeder neuen Virenschreiber-Generation immer weiter verbessert.

Wie entwickelten sich die Antiviren-Lösungen in dieser Zeit? Neue Viren erschienen damals nur sehr selten und nie mehrere zugleich. Tatsächlich bezweifelten einige Menschen zunächst sogar die Existenz von Computerviren. Die ersten Antiviren-Produkte waren Tools, die einen speziellen Virus finden und entfernen konnten. Als die Zahl schädlicher Programme langsam anstieg, waren sie in der Lage, eine Handvoll Viren unschädlich zu machen.

Frühe Antivirus-Lösungen

Als 1989 immer mehr Schädlinge auftauchten, wurden die ersten Antiviren-Toolkits herausgebracht. Diese Programme waren größtenteils On-Demand-Scanner, die Disketten auf die zu dieser Zeit etwa ein Dutzend existierenden Viren untersuchten. Einige Tools waren in der Lage, den infizierten Code zu entfernen. Andere verfügten auch über eine Checksumm-Funktion, die Dateien auf einer „sauberen“ Diskette mit einer Art Fingerabdruck versah. Dadurch ließ sich theoretisch jede nachträgliche Veränderung bemerken, selbst wenn die Dateien von einem bis dato unbekannten Virus modifiziert wurden.

Die ersten Antiviren-Programme waren ausschließlich On-Demand-Scanner, scannten also nur auf Anforderung. Die Anzahl neuer Viren stieg anfangs nur sehr schleppend, zudem verbreiteten sie sich verglichen mit heutigen Maßstäben äußerst langsam. Man mußte daher nur für regelmäßige System-Scans sorgen und über Mittel verfügen, alle in Unternehmenssysteme oder Heimcomputer eingedrungene Malware zu entfernen. Dazu war eine saubere Systemdiskette unerläßlich. Erst nach einem sauberen Systemstart konnte man sicher sein, daß sich kein Virus im Speicher befand, der den Antiviren-Scan oder die Desinfizierung behinderte. Unternehmen, deren Rechner noch nie von Viren befallen wurde, installierten meistens auch keine Virenscanner auf einzelnen PCs. Normalerweise überprüfte der Administrator das System regelmäßig und durchleuchtete eingehende Disketten auf einem separaten Computer, bevor sie weitergegeben wurden.

Die meisten Antiviren-Programme erhielten vierteljährliche Updates. Einige Hersteller boten zwar auch monatliche Aktualisierungen an, jedoch wurde dies im Allgemeinen nicht für nötig gehalten. Anwender, die sich dennoch sicherer fühlen wollten, mußten für die höhere Aktualisierungs-Frequenz einen Aufpreis zahlen. Die Updates kamen selbstverständlich auf Diskette…

Wachsende Bedrohungen, verbesserte Erkennungsmethoden

Gegen Ende 1990 war Anzahl der Viren bereits auf 300 gestiegen. Hersteller von Antiviren-Software statteten ihre Programme über TSR-Software (Terminate and Stay Resistent) deshalb mit einem Echtzeit-Schutz aus. Ähnlich wie die erfolgreichen Viren dieser Periode fingen Antiviren-Tools nun Festplatten- und Dateizugriffe ab, um nach bekannten Viren zu suchen.

Zeitgleich mit TSR-Komponenten wurden proaktive Verfahren wie die heuristische Analyse entwickelt, die Viren unabhängig von ihrer spezifischen Signatur erkennt. Die Antiviren-Experten machten sich immer mehr mit den von Schadprogrammen verwendeten Techniken vertraut. Mit diesem Wissen erstellten sie eine Liste verdächtiger Eigenschaften, von denen jede eine Punktzahl erhielt. Virenscanner überprüften eine verdächtige Datei daraufhin auf die in der Liste definierten Merkmale. Überschritt die Punktzahl einen vorher festgelegten Grenzwert, wurde das File als mutmaßlicher Virus eingestuft.

Die wachsende Bedrohung durch polymorphe Viren zwang Entwickler von Antiviren-Tools dazu, neben der signaturbasierten Analyse auch andere Methoden einzusetzen, um verschlüsselte Schädlinge zu identifizieren. Das beinhaltete unter anderem Crypto-Analyse, statistische Analyse sowie Emulationstechniken. Zur Verbesserung der heuristischen Methode setzen die Hersteller auch Code-Emulation ein, da sie eine dynamische Code-Analyse ermöglicht.

Frühe Verhaltensblocker

Der plötzlichen Zunahme von Viren setzen die Hersteller auch die Verhaltensanalyse entgegen. Traditionelle Virenscanner verglichen untersuchten Code mit den Malware-Signaturen ihrer Datenbanken. Dagegen entschieden Verhaltensblocker aufgrund der Aktionen eines Programms, ob dieses schädlich war oder nicht. Zeigte ein Programm als unzulässig definierte Aktionen, wurde es blockiert.

Verfechtern von Verhaltensblockern zufolge besteht deren größter Vorteil darin, daß sie zwischen „guten“ und „schlechten“ Programmen unterscheiden können, ohne daß ein Antiviren-Experte den Code untersuchen muß. Wenn es keine permanente Analyse jeder einzelnen Bedrohung braucht, müssen auch die Virus-Signaturen nicht aktualisiert werden. Rechner sind also auch ohne Updates der Antiviren-Datenbanken vor neuen Schädlingen geschützt.

Zwischen eindeutig schädlicher Aktivität und legitimem Verhalten zu unterscheiden, entpuppte sich aber als schwieriges Unterfangen. Eine von Malware durchgeführte Aktion kann Schaden anrichten - dieselbe Aktion kann in einem ungefährlichen Programm durchaus nützlich sein. Neben Viren, Würmern und Trojanern greifen auch Betriebssysteme direkt auf die Festplatte zu, um beispielsweise Daten zu löschen. Die Frage bleibt, wie sich mit Hilfe eines Verhaltensblockers auf einem File-Server erkennen läßt, ob ein Dokument rechtmäßig vom Anwender oder durch Malware-Aktivität modifiziert oder gelöscht wurde - Viren und Würmer sind prinzipiell nur Programme, die sich selbst reproduzieren. Darüber hinaus können sie sich verhalten wie jede andere Software auch. Daher konzentrierten sich die etablierten Antiviren-Programme weiterhin darauf, bekannte Schadprogramme aufzuspüren.

Die heuristische Analyse blieb weiterhin Teil eines Antiviren-Schutzes. Heutzutage kombinieren viele Sicherheitslösungen Verhaltensanalysen mit anderen Methoden, um schädlichen Code zu entdecken, zu blockieren und zu entfernen.

Die zunehmende Zahl der Malware-Bedrohungen war nur ein Teil des Problems. Die eingangs beschriebene „Tarnkappen-Methode“ des Polymorphismus zeigt, daß Schadprogramme technisch immer ausgereifter wurden. Obwohl auch zahlreiche äußerst simple oder auch nachgebaute Schädlinge existierten, waren die wirklich guten Virenautoren ohne weiteres in der Lage, äußerst effektiven Viruscode zu programmieren. Ein Wettrennen begann, in dem die Virenschreiber den Antiviren-Experten immer einen Schritt voraus sein wollten. Zum Beispiel war der als „Dark Avenger“ bekannte Malware-Autor unter anderem für das Konzept der schleichenden Datenkorruption und die Entwicklung der „Fast Infectors“ verantwortlich. Diese infizierten eine Datei, sobald diese geöffnet oder geschlossen wird. Auch das Modul MtE geht auf das Konto von „Dark Avenger“. Damit lassen sich normale Viren in polymorphe Viren umwandeln. Sein letztes Machwerk war ein Virus mit dem Namen Commander Bomber, der seinen schädlichen Code in mehreren Fragmenten befallener Dateien versteckte und daher nur sehr schwer aufzuspüren war.



Virus-Exchange und Virus-Bausätze

In der ersten Hälfte der 90er-Jahre machten eine Reihe weiterer Malware-Neuheiten den Antiviren-Profis das Leben schwer. Die erste war das Bulletin Board Virus Exchange (VX). Bulletin Boards sind elektronische „schwarze Bretter“ und wurden schon immer zur Viren-Verbreitung genutzt. Bevor das Internet zum Massenmedium avancierte, wurden auf Bulletin Boards Programme zum Download angeboten. Um Viren wirksam zu verbreiten, brauchte man also nur Dateien zu infizieren und sie dann zum Download bereitstellen. Das VX-Board ging noch einen Schritt weiter und unterhielt eine ganze Viren-Kollektion. Wer sich davon bedienen wollte, mußte zunächst selbst Viren hochladen. Das war nicht nur ein Ansporn für Malware-Programmierer, sondern führte auch dazu, daß sich Viren ausbreiteten, die unter normalen Bedingungen vermutlich nicht in Umlauf gekommen wären. In Europa und den USA boten einige Personen erstmals zeitgleich Virensammlungen zum Kauf an.

Auch das Erscheinen der ersten Virus-Construction-Kits war besorgniserregend. Wie der Name schon vermuten läßt, kann jedermann mit diesen Tools Viren basteln und muß dazu weder über weitreichendes Wissen noch technische Fertigkeiten verfügen. Die Bausätze präsentieren sich mit einer Benutzeroberfläche, auf der man Virus-Funktionen aus einer Liste auswählen kann. Damit erstellte Viren verfügten jedoch meistens über einen einzigartigen „Fingerabdruck“, so daß sie alle mittels einer einzigen Signatur erkannt werden konnten.

Makroviren

Mit dem Erscheinen des ersten Makrovirus Concept im Juli 1995 schlug die Entwicklung der Schadprogramme eine völlig neue Richtung ein. Makroviren sollten in den kommenden vier Jahren das beherrschende Thema bei den Herstellern von Antiviren-Software sein.

Der Autor von Concept nutzte die Tatsache aus, daß Anwender wesentlich häufiger Daten als Programme austauschten. Er verwendete WordBasic -Befehle, um die Dokumentenvorlage Normal.dot zu modifizieren und konnte so den Viruscode in Form verschiedener Automakros in alle vom User erstellten Dokumente einschleusen. Jeder Anwender, der die infizierte Datei verwendete, infizierte damit seinen Rechner. Diese Entwicklung war schon seit langem von Antiviren-Forschern vorhergesagt worden und hatte weit reichende Auswirkungen.

Erstens verlagerte sich das Interesse der Virenschreiber weg von ausführbarem Code wie Programmdateien und Diskettensektoren hin zu Daten. Bis zu diesem Zeitpunkt wurden Viren in der Regel in Assembler-Code geschrieben, was gewisse Fachkenntnisse voraussetzt. Makroviren ließen sich nun aber auch mit WordBasic und später VBA (Visual Basic for Applications) erstellen und waren daher sehr viel einfacher zu programmieren. Virenmakros waren üblicherweise im Klartext verfügbar und konnten daher ganz einfach kopiert, modifiziert und weiterverwendet werden. Damit eröffnete sich einer sehr viel größeren Personenzahl die Möglichkeit, Schadprogramme zu erstellen. Folglich stiegen auch die Virenzahlen rasant an - von ungefähr 6000 im Juni 1995 auf 7500 zum Jahresende. Im Dezember 1998 waren schon mehr als 25'000 Schädlinge in Umlauf.

Zweitens waren Makroviren die ersten Schadprogramme, die vorsätzlich Datendateien infizierten. Da Text- und Anwendungsdateien sehr viel häufiger getauscht wurden als Programme, verbreiteten sich Makroviren weitaus effektiver als Viren. Dieses Problem verstärkte sich zusätzlich, als plötzlich jedermann Daten per eMail austauschen konnte und die Zahl der Internetzugänge immer weiter anstieg.

Drittens benötigen Makroviren weder eine spezielle Plattformen noch Betriebssysteme, sondern sind anwendungsspezifisch. Die Schädlinge existierten in Word-Versionen für Windows 3.x, Windows 95, Windows NT und Macintosh-Rechner. Alle diese Systeme wurden damit angreifbar für Makroviren oder zumindest zu effektiven Virenträgern. Zudem beschränkte sich das Problem bald nicht mehr allein auf Word. Nachdem auch Excel, PowerPoint, Access sowie Project und damit auf das gesamte Office-Paket VBA unterstützte, wurden all diese Anwendungen zur Zielscheibe von Makroviren. Es gab sogar Schädlinge, die sämtliche im Office-Paket enthaltenen Programme attackierten.

Wie bereits erwähnt, baut jede Viren-Generation auf ihren Vorgängern auf. Auch die Autoren von Makroviren statteten ihre neuen Machwerke mit schon bekannten Entwicklungen wie Tarnkappentechnik und Polymorphismus aus.

Sicherheitslösungen für Mail-Server und Gateway

Ebenso wie die Malware änderten sich in diesen Jahren auch die Sicherheitslösungen, die Unternehmen vor Virenattacken schützen. Bevor Makroviren erschienen, wurden größtenteils Desktopserver und in einem geringeren Maße auch Fileserver auf Viren überprüft. Nun wurden die Scans auch auf Mail-Server und Internet-Gateways ausgedehnt. Der Grund dafür ist offensichtlich: Da sich Viren hauptsächlich über eMails verbreiteten, konnten sie Malware-Scanner blockieren, bevor sie auf den Rechner gelangten. Der Schutz von PCs und File-Servern wurde dadurch aber nicht überflüssig, sondern blieb weiterhin entscheidend zur Abwehr von Schadprogrammen und hielt daher in vielschichtigere Lösungen Einzug.

Hersteller von Antiviren-Software erweiterten ihre proaktiven Schutzmechanismen insbesondere durch generische Erkennungsmethoden. Dadurch lassen sich neue und unbekannte Bedrohungen anhand einer einzigen Signatur erkennen und abwehren. Die generische Erkennung nutzt dabei aus, daß erfolgreiche Schädlinge häufig Nachahmer finden oder auch von ihren ursprünglichen Autoren weiter entwickelt werden. Das resultiert in einer Flut von unterschiedlichen Viren, Würmern oder Trojanern, die jedoch alle der gleichen Familie angehören. Teilweise gibt es dutzende oder sogar mehrere hundert Varianten.

Die Geburtsstunde des Spam

Als sich eMails zum zentralen Kommunikationsmittel in der Geschäftswelt entwickelten, kam mit UCE (Unsolicited Commercial E-Mail) ein weiteres Problem hinzu, das besser unter der Bezeichnung Spam bekannt ist. Je mehr die Unternehmen ihre Korrespondenz per eMail abgewickelten, desto stärker rückten sie in den Fokus der Spammer. Diese versorgen ihre vermeintliche Klientel mit Werbung für verschiedene legale, illegale, aufdringliche oder einfach nur unerwünschte Waren sowie Dienstleistungen.

Die rasche Zunahme von Spam verursachte bei Unternehmen zahlreiche Probleme. Dazu gehören unter anderem verschwendete Systemressourcen und Arbeitszeit durch das Lesen geschäftsfremder eMails sowie Rechtsfragen bezüglich obszöner, sexistischer, rassistischer oder anderer unerwünschter Inhalte. Natürlich gibt es dabei auch Grauzonen. Was der Eine als Spam einstuft, halten andere für nützliche und interessante Informationen.

Zu dieser Zeit wurden die Internet-Gateway oftmals durch Content-Filter verstärkt, die Spam und andere unerwünschte Inhalte aus dem eMail-Traffic aussortierten. Anbieter von Antiviren-Software arbeiteten auch erstmals zusammen, um schädlichen Code im Mail-Server und am Internet-Gateway abzufangen.

Virus-Massenversendungen

Mit dem im März 1999 erschienenen Virus Melissa legten die Schadprogramme einen weiteren Quantensprung in ihrer Entwicklung hin. Oberflächlich betrachtet sah Melissa zunächst wie ein weiterer Makrovirus aus. Während die Vorgänger aber darauf angewiesen waren, daß Anwender die infizierten Daten selbst verschickten, verbreitete sich Melissa eigenständig über das eMail-System. User mußten dazu lediglich auf den infizierten Anhang einer eMail doppelklicken, woraufhin sich der Virus an alle im Outlook-Adreßbuch gespeicherten Adressen weiterverschickte. Durch solche Massen-Mails verbreitete sich Melissa schneller und weit reichender als vorherige Makroviren. Zudem gefährdete Melissa durch das von ihm erzeugte Mail-Aufkommen die Stabilität der eMail-Infrastruktur selbst. Nachdem der Makrovirus über eine Sex-Newsgroup in Umlauf gelangte, wurden die eMail-Systeme zahlreicher Firmen von einer Flut an elektronischer Post geradezu verstopft. Viele brachen unter dem Druck einfach zusammen. Es überrascht nicht, daß Melissa als Trendsetter fungierte. In den folgenden Jahren verfügten nahezu alle Viren und Würmer, die Unternehmen und PCs einzelner Anwender bedrohten, über eine Mass-Mailing-Funktion.

Mit Melissa veränderte sich das Bedrohungspotential von Viren entscheidend. Diese waren nicht länger darauf angewiesen, daß Anwender infizierte Dateien versehentlich selbst verbreiteten. Indem sie das Mailsystem kaperten, konnten sich die Viren äußerst effektiv verbreiten und innerhalb von Tagen oder sogar Stunden globale Epidemien verursachen.

Würmer

eMail-Würmer

Melissa ist aus zwei Gründen ein bemerkenswerter Virus. Zum einen verursachte er eine der letzten und umfangreichsten Makrovirus-Epidemien. Andererseits zeigte Melissa, daß Würmer - und insbesondere eMail-Würmer - künftig eine dominierende Rolle spielen könnten.

Ein Wurm ist ein sich selbst reproduzierendes Programm, also im Grunde ein Virus, der keinen Wirt benötigt. Anstatt Dateien innerhalb eines Rechners zu infizieren, nutzt der Wurm Netzwerkverbindungen oder das Internet, um sich selbst zu reproduzieren. Mit dem erneuten Auftauchen des Wurms verwendeten Malware-Autoren auch wieder ausführbare Dateien, um Virenepidemien auszulösen. Andererseits nahm die Zahl der Makroviren immer weiter ab. Daran hatte Microsoft großen Anteil, dessen Office-Software Makros nun anders handhabte.

eMail-Würmer kursierten in den verschiedensten Varianten. Sie verbreiteten sich ebenso wie der erste moderne eMail-Wurm Happy99 über ausführbare Dateien oder HTML-Seiten samt integriertem Script. Wiederum andere Würmer verbargen sich in eMail-Anhängen, die in Visual Basic oder Java Script verfaßt wurden. Alle Varianten verbreiteten sich jedoch über eMails und nutzen üblicherweise Social-Engineering-Techniken, um naive Anwender zum Ausführen des schädlichen Codes zu bewegen.

Social Engineering läßt sich als nicht-technische Sicherheitslücke einstufen und versucht Anwender dazu zu bringen, grundlegende Sicherheitsmaßnahmen zu ignorieren. Bezogen auf Malware bedeutet das normalerweise, daß ein Virus oder Wurm an eine harmlos aussehende eMail angehängt wird. Eines der ersten Beispiele hierfür ist LoveLetter. Die mit diesem Schädling infizierten Mails kamen mit der Betreffzeile „ILOVEYOU“ und der Nachricht „Kindly check the attached LOVELETTER coming from me“. Neben LoveLetter konnten auch Schädlinge wie SirCam, Tanatos und Netsky ein infiziertes Attachment enthalten, dessen Extension durch eine unverbindliche verschleiert wurde. Da Windows die Extension bekannter Dateitypen per default nicht anzeigt, bleibt Anwendern der tatsächliche File-Typ verborgen. Andere derart präparierte eMails enthielten scheinbar harmlosen Inhalt oder gaben vor, einem wohltätigen Zweck zu dienen.

Internet-Würmer

Neben eMail-Würmern gab es auch andere Wurm-Typen. In Gestalt des „dateilosen“ Schädlings CodeRed erschien im Juli 2001 wieder der Internet-Wurm auf der Bildfläche. Im Gegensatz zu allen vormals bekannten Malware-Typen schrieb sich der Wurmcode ausschließlich in den Arbeitsspeicher und infizierte keine Dateien. CodeRed nutzte eine Sicherheitslücke im Microsoft IIS Server aus, um Windows 2000 Server anzugreifen (MS01-033, „Ungeprüfter Puffer in ISAPI-Erweiterung kann Server beeinträchtigen“). Der Wurm verbreitete sich über Port 80 einer TCP/IP-Verbindung. Zuvor lud sich CodeRed über einen Puffer-Überlauf selbst in den Arbeitsspeicher und verschickte sich über den TCP/IP-Port an andere angreifbare Server. Innerhalb von Stunden jagte der Wurm durchs Internet und war damit vermutlich schneller als irgendein Schadprogramm vor ihm. Außerdem wurde erstmals seit dem Morris-Wurm wieder eine Sicherheitslücke als Verbreitungsmethode verwendet. Der Erfolg von CodeRed ließ allerdings vermuten, daß weitere derartige Vorfälle folgen würden. Schon einige Monate später trat genau das ein. Im September 2001 nutzte der Virus Nimda eine Sicherheitslücke im Internet Explorer aus und verursachte damit eine weitere weltweite Epidemie (MS01-020, „Inkorrekter MIME-Header kann zur Ausführung von eMail-Anhängen in Outlook führen“).

Nimda infizierte zwar Dateien, war jedoch anders als frühere Mass-Mailing-Bedrohungen nicht auf die Mitarbeit des Anwenders angewiesen. Vielmehr startete sich der Schädling über eine Browser-Schwachstelle auf verwundbaren Systemen selbst. Dieses Sicherheitsleck war bereits seit sechs Monaten bekannt. Die entsprechenden Patches waren allerdings auf vielen Systemen nicht installiert, so daß Nimda innerhalb von wenigen Stunden weltweit unzählige Computer infizieren konnte.

Exploits (Sicherheitslücken)

In den folgenden Jahren nutzen Malware-Autoren ebenso dankbar wie regelmäßig Sicherheitslücken in Programmen und Betriebssystemen aus. Solche Angriffsarten wurden bis dahin eher Hackern als Virenschreibern zugeordnet. Die Kombination aus traditionellen Malware-Techniken und Hacker-Attacken ist ein weiterer Entwicklungsschritt in der Malware-Historie.

Einige Schädlinge wie etwa die Internet-Würmer Lovesan, Welchia und Sasser kamen komplett ohne die üblichen Virentechniken aus. Sie verfügten weder über eine Mass-Mailing-Komponente noch benötigten sie eine Starthilfe durch den Anwender. Diese Malware-Typen verbreiteten sich über das Internet mittels Exploits direkt von einem Computer zum nächsten. Lovesan nutzte die Sicherheitslücke MS03-026 aus („Pufferüberlauf in RPC kann Ausführung von Code ermöglichen“). Welchia bediente sich neben dieser Schwachstelle auch dem Exploit MS03-007 („Ungeprüfter Puffer in einer Windows-Komponente kann die Sicherheit des Webservers gefährden“). Sasser zielte auf die Sicherheitslücke MS04-011 ab („Ein Pufferüberlauf im Windows Service LSASS.EXE)“.

Nimda kombinierte Exploits mit anderen Angriffsmethoden und schuf damit einen weiteren Trend. Der Schädling war mit einer Mass-Mailing-Funktion ausgestattet und fügte HTML-Dateien infizierten JavaScript-Code hinzu. Handelte es sich bei dem befallenen Rechner um einen Server, verbreitete sich Nimda über sämtliche darauf gehosteten Webseiten. Bei Unternehmensnetzwerken griff der Schädling sogar noch zu einer weiteren Taktik. Nimda kopierte sich in frei zugängliche Netzwerkverzeichnisse und zielte darauf ab, daß arglose Anwender die infizierte Datei aufrufen würden. Gelang das, gab der Virus sämtliche Laufwerke des verseuchten Computers im Netzwerk frei und ermöglichte damit einen Remote-Zugriff auf den Rechner. Um das Maß voll zu machen, bediente sich Nimda zudem der Sicherheitslücke MS00-078 im Microsoft IIS Server („Web Server Folder Traversal“). Von bereits befallenen Computern überspielte der Schädling dabei eine Kopie seiner selbst auf ungeschützte Server. Auf Grund seiner vielseitigen Angriffsstrategie wurde Nimda häufig als komplexe Bedrohung bezeichnet.

Viele nachfolgende und im Sinne der Virenautoren erfolgreiche Schädlinge bedienten sich mehrerer Angriffsmechanismen gleichzeitig und konnten sich über Sicherheitslücken selbst ausführen. Die Zeitspanne zwischen dem Erscheinungstermin eines Virus und der von ihm ausgelösten Epidemie verkürzte sich dadurch dramatisch. Malware verbreitete sich weltweit innerhalb von Stunden und damit so rasant wie noch nie zuvor. Dazu kam ihnen die eMail-Infrastruktur ebenso zugute wie die zunehmende Zahl von Sicherheitslücken.

Reaktionen auf die beschleunigte Ausbreitung neuer Viren

Die durch das Internet beschleunigte Ausbreitung neuer Schädlinge und die steigende Zahl globaler Epidemien brachten die Anbieter von Antiviren-Tools unter Zugzwang. Während vierteljährliche Updates anfangs vollkommen ausreichend waren, gingen die meisten Hersteller nach dem Erscheinen der eMail- und Internet-Würmer zu wöchentlichen Antiviren-Updates über. Heutzutage aktualisieren einige Anbieter ihre Datenbanken dagegen mehrmals täglich. In unabhängigen Tests von Antiviren-Tools ist die Reaktionszeit auf neue Bedrohungen mittlerweile ein wichtiges Kriterium.

Viele Unternehmen reagierten auf die von Malware-Autoren eingesetzten Social-Engineering-Techniken, indem sie bestimmte Dateiformate am Internet-Gateway blockierten. Das sollte verhindern, daß Anhänge mit Extensionen wie EXE, PIF oder SCR zu den Usern gelangen.

Grund zur Entwarnung gab es allerdings nicht. Bevor eine Sicherheitslücke geschlossen wurde, konnten sich neue Schädlinge darüber unkontrolliert verbreiten. Angesichts des immer komplexeren Malware-Codes wurde die Wirksamkeit signaturbasierter Antiviren-Lösungen daher zunehmend in Frage gestellt. Viele Anbieter von Antiviren-Software erweiterten ihre Produkte daher um neue Schutzmechanismen.

Personal Firewalls

Antiviren-Programme erhielten mit der Personal Firewall einen zusätzlichen Malware-Filter. Eine Personal Firewall überwacht und blockiert unerwünschten Netz-Traffic und wird im Gegensatz zur Gateway-Firewall auf dem Rechner des Anwenders installiert. Dort prüft das Programm den eingehenden sowie ausgehenden Netzwerkverkehr und kann angeforderte Verbindungen mittels vordefinierter Richtlinien zulassen oder blockieren. Personal Firewalls besitzen zwei typische Merkmale. Mit der Anwendungsfilterung lassen sich Regeln für gängige Anwendungen wie beispielsweise den Webbrowser oder das Chatprogramm ICQ festlegen. Personal Firewalls unterstützen zudem Paketfilterung und analysieren den Datenverkehr anhand von Policies. Das gilt für sämtliche Übertragungsprotokolle, Ports und IP-Adressen.

Intrusion-Prevention-Systeme (IPS)

Einige Anbieter ergänzten übliche Schutzmechanismen um Intrusion-Prevention-Systeme (IPS). Hostbasierte IPS-Lösungen verwenden üblicherweise eine Verhaltensanalyse, um Client-PCs sowie Server vor schädlichem Code abzuschirmen. Sämtliche Systemanfragen werden dabei mit Richtlinien verglichen, die auf „normalem“ Verhalten basieren. Derartige Policies beziehen sich allerdings auf spezielle Applikationen und können als abnormes Verhalten eingestuft und blockiert werden. Dazu zählen Aktivitäten wie das Öffnen oder Scannen eines Ports sowie Versuche, Zugriffsrechte zu ändern oder Code in einen laufenden Prozeß einzuschleusen. Einige IPS-Lösungen arbeiten neben der Verhaltensanalyse auch mit Signaturen bekannter Schadprogramme.

Netzwerkbasierte Intrusion-Prevention-Systeme überprüfen den Datenverkehr auf schädlichen Code und suchen nach ungewöhnlich hoher Bandbreiten-Nutzung oder nicht standardisiertem Traffic wie etwa fehlerhaften Datenpaketen. Dieser Schutzmechanismus ist gut dafür geeignet, um Denial-of-Service-Attacken (DoS) abzuwehren oder von netzwerkfähigen Würmern erzeugten Traffic zu erkennen.

Verhaltensanalyse

Einige Hersteller von Antiviren-Software haben ihre Programme um eine Verhaltensanalyse erweitert und überprüfen alle auf einem Rechner laufenden Anwendungen in Echtzeit. Des Weiteren lassen sich mit den Tools verdächtige Aktionen blockieren und von Schadprogrammen verursachte Systemveränderungen rückgängig machen.

Die neuen Abwehrmechanismen sollen PCs einerseits vor Datenverlust bewahren. Zum anderen will Antiviren-Software vor Netzwürmern und schädlichem Code schützen, die Rechner in einen „Zombie“ verwandeln und zum Spamversand mißbrauchen könnten.

Beide Technologien schützen vor Angriffen durch unbekannten Schadcode und beschränken sich nicht auf die Signaturen bekannter Bedrohungen. Allerdings lösen sie dabei auch häufig Fehlalarm aus. Um ihn auf ein Minimum zu reduzieren, verfügen viele Antiviren-Programme über einen Lernmodus. Darüber ermitteln die Tools, welches Programmverhalten sie als ungefährlich einstufen können. Dazu bedarf es allerdings einer exakten Konfiguration, wodurch der administrative Aufwand höher ist als bei einem herkömmlichen Antiviren-Programm. Damit sie neue Angriffsmethoden erkennen können, benötigen IPS-Lösungen Updates. Diese müssen jedoch nicht wöchentlich oder täglich erfolgen.

Vom Cyber-Vandalismus zur Cyber-Kriminalität

Weil die Anzahl globaler Epidemien seit 2003 abnimmt, haben sich Malware-Autoren anscheinend anderen Zielen zugewandt. Bis vor wenigen Jahren verbuchte man Viren und andere Malware noch unter der Rubrik Computervandalismus. Die meisten Schädlinge beschränkten sich darauf, Disketten oder andere Programme zu infizieren. Folglich gingen lediglich einige Dateien verloren.

Während der letzten beiden Jahre hat sich die Situation allerdings geändert. Hersteller von Antiviren-Software haben es heute es mit „Crimeware“ zu tun, also schädlichem Code, der eigens für illegale Geschäfte entwickelt wurde. Kriminelle haben mittlerweile erkannt, daß sich mit Malware in einer vernetzten Welt viel Geld verdienen läßt. Viele der aktuellen Schadprogramme werden mittlerweile auf Bestellung entwickelt.

Am Rückgang der globalen Virenepidemien zeigt sich, daß immer mehr Virenautoren ihre Taktik nicht mehr auf massenhafte Angriffe auslegten. Im Jahr 2003 erreichten die globalen Malware-Epidemien ihren Höhepunkt und sind seither stetig zurückgegangen. Epidemien gibt es jedoch nach wie vor, allerdings verbreiten sie sich mittlerweile nicht mehr global und arbeiten zielgerichteter.

Ein Grund dafür ist, daß Kriminalbeamte mittlerweile über ein größeres Malware-Fachwissen verfügen und Cyberkriminelle dadurch leichter aufspüren können. Auch Antiviren-Experten haben einen großen Anteil daran, weil sie jahrelang Erfahrungen bei groß angelegten Viren-Epidemien gesammelt haben. Am deutlichsten äußert sich dieses Wissen in den immer kürzeren Reaktionszeiten der Antiviren-Programme auf neue IT-Bedrohungen. International zusammengesetzte Experten-Teams entwickelten zudem Frühwarnsysteme, mit denen sich verdächtige Web-Aktivitäten schnell aufspüren lassen. Bei einem Malware-Angriff konnten damit diejenigen Server, die gestohlene Daten sammeln, lokalisiert und stillgelegt werden. Das Frühwarnsystem milderte die Auswirkungen eines Viren-Angriffs somit ab.

Ein dritter Grund für den Rückgang globaler Epidemien hat mit den Motiven der Cyberkriminellen zu tun. Die von ihnen entwickelte „Crimeware“ wird für Datendiebstähle eingesetzt und dient als illegale Einnahmequelle. Um mit dieser Methode Geld zu verdienen, müssen die Virenprogrammierer die gestohlenen Daten jedoch zuerst auswerten. Der dazu erforderliche logistische Aufwand ist dabei um so größer, je mehr Rechner von Datenklau betroffen sind. Gleichzeitig steigt auch die Gefahr, bei der Diebestour entdeckt zu werden. Daher macht es für die Cyberkriminellen mehr Sinn, ihre Attacken zu fokussieren.

Typischerweise lassen die Virenschreiber ihre Machwerke nur auf einige tausend Computer gleichzeitig los. Dabei ausgelöste Epidemien spielen sich in einem geographisch kleinen Gebiet ab und sind zeitlich begrenzt. In manchen Fällen wird der schädliche Code maßgeschneidert und dient dem Angriff auf ein einzelnes oder einige wenige Opfer.

Für derart zielgerichtete Attacken verwenden die Cyberkriminellen meistens Trojaner. In den letzten Jahren stieg ihre Anzahl enorm. Zudem avancierten sie zum Lieblings-Werkzeug der Malware-Autoren. Trojaner gibt es in den verschiedensten Varianten. Jede davon führt auf infizierten PCs eine bestimmte Aktion aus auf. Eingesetzt werden unter anderem Backdoors, Paßwörter stehlende Trojaner, Trojan-Dropper, Trojan-Downloader und Trojan-Proxies.

Mit Trojanern lassen sich vertrauliche Informationen wie Benutzernamen, Paßwörter und PIN-Nummern stehlen, weswegen sie zum Computer-Betrug eingesetzt werden. Die schädlichen Programme können infizierte Rechner aber auch in eine „Zombie-Armee“ einberufen, um DDoS-Attacken (Distributed Denial of Service) gegen Unternehmen durchzuführen und damit zum Beispiel Geld zu erpressen. Mit einem Warnangriff erhält die betroffene Firme einen Vorgeschmack darauf, was im Falle einer Zahlungsverweigerung passiert. Alternativ lassen sich mit Trojanern befallene PCs auch als Proxies für den Spamversand einsetzen. Auch Ransomware-Würmer oder -Trojaner konnten zahlenmäßig zulegen. Mit diesen Schädlingen versuchten Cyberkriminelle, Geld von Anwendern zu erpressen. Beide Malware-Varianten verschlüsseln die Daten auf heimischen PCs und erstellen eine Textdatei. Um wieder an seine Daten heranzukommen, wird der User aufgefordert, Geld über einen ePayment-Service Geld an den Autor des Schädlings zu überweisen.

Meist werden infizierte Rechner über IRC-Kanäle und Websites zu Netzwerken zusammengeschlossen. Solche Botnetze kontrolliert üblicherweise ein einzelner Control- und Command-Server, der sich sofort vom Netz nehmen läßt, sobald sein Standort bekannt wird. Allerdings tauchen in letzter Zeit immer mehr Botnetze auf, die nach einem P2P-Modell (Peer-to-Peer) aufgebaut sind. Zhelatin alias Sturmwurm ist der bekannteste Wurm, der Botnetze erstellt. Dieser Schädling erschien im Januar 2007 und ist seither aktiv. Das Zhelatin-Modell wurde auch von der Backdoor MayDay übernommen, die erstmals im September 2007 in Aktion trat. Die hohe Lebensdauer von Zhelatin ergibt sich aus dem dezentralisierten Aufbau seiner Botnetze. Mangels eines einzelnen Kontrollservers läßt sich der Rechner-Verbund nur schwer lahmlegen.

Der Schritt von globalen Epidemien zu zeitlich und geographisch eingeschränkten Trojaner-Angriffen lief parallel zu einer weiteren wesentlichen Entwicklung. Um schädlichen Code zu verbreiten, setzen die Cyberkriminellen immer seltener auf Massenmails. Noch vor wenigen Jahren wurden damit die meisten Wurm-Epidemien ausgelöst. Dabei übernahmen Trojaner das eMail-System infizierter Rechner und verschickten sich selbst an sämtliche gespeicherten eMail-Adressen. Mit dieser Methode lösten die Würmer LoveLetter, Klez, Tanatos (Bugbear), Sobig, Mimail und Mydoom weltweite Epidemien aus. Schädliche Programme landen heute immer häufiger über Spam-Mails auf den Rechnern. Damit stellen Malware-Autoren sicher, daß sich ihr Code kontrolliert über ausgewählte PCs verbreitet.

Aus dem gleichen Grund enthalten Malware-Pakete, die heute auf Computern landen, häufig einen Trojan-Downloader. Wie der Name schon sagt, sind diese Schädlinge darauf spezialisiert, schädlichen Code von infizierten Websites herunterzuladen. Trojan-Downloader werden nicht nur zur kontrollierten Verbreitung von Schadcode eingesetzt, sondern sind auch in der Lage, diesen über das Internet zu aktualisieren. Sie dienen auch immer häufiger dazu, ohne Wissen oder Zustimmung des Anwenders virenfreie Programme wie Spyware oder Pornware zu installieren.

Phishing-Attacken

Cyberkriminelle verwenden nicht ausschließlich Schadcode, um vertrauliche User-Daten zu stehlen und zu verkaufen. Phishing kommt von „Fishing“ - bewußt falsch geschrieben - und beschreibt eine spezielle Variante der Cyberkriminalität. Diese Methode zielt darauf ab, daß Anwender persönliche Informationen wie Zugangsdaten oder Paßwörter preisgeben und fällt ganz klar unter Betrug. Jede von Phishern verschickte eMail soll den Empfänger dazu bringen, einen in der Mitteilung enthaltenen Weblink aufzurufen. Geht der Anwender darauf ein, ist es bis zum Datendiebstahl nur noch ein kurzer Weg. Dazu erstellen die Cyberkriminellen beispielsweise eine täuschend echt aussehende Kopie einer Bankwebseite. Um Anwender dorthin zu locken, versenden die Cyberkriminellen Spam, der sich in diesem Fall als offizielle Bankmitteilung tarnt. Üblicherweise werden die Kunden in diesen Mails darüber informiert, daß es Veränderungen in der IT-Infrastruktur der Bank gegeben habe und daher eine Bestätigung der Benutzerdaten notwendig sei. Mitunter dienen sogar Netzwerkdefekte oder Hackerattacken als Begründung. In jedem Fall wird der Empfänger aufgefordert, auf der präparierten Webseite seine Zugangsdaten einzugeben. Kooperiert der Anwender, erhalten die Übeltäter Zugriff auf sein Online-Konto und damit sein Geld.

Sind ihnen Rechner erst einmal ins Netz gegangen, treten Cyberkriminelle die Kontrolle darüber nur äußerst unwillig wieder ab. Unter Malware-Autoren ist die Sabotage von Sicherheitssoftware mittlerweile gang und gäbe. Sie setzen alles daran, aktive Prozesse zu beenden, Code zu löschen oder die Updates der Antiviren-Datenbanken zu blockieren. Einige Schadprogramme entfernen auch „konkurrierende“ Malware. Der Trojaner Backdoor.Win32.Agent.uu alias SpamThru setzte sogar die Raubkopie eines Antiviren-Programms ein, um andere Malware auf infizierten Rechnern zu finden und zu löschen.

Verbesserte Tarnkappentechnologien

Seit etwa 12 Monaten werden vermehrt Rootkits eingesetzt, um schädlichen Code oder Spyware im System zu verbergen. Der Begriff Rootkit stammt ursprünglich aus der Unix-Welt und beschreibt die Möglichkeit, einem Anwender Administratorrechte zu verschaffen. Für den Systemadministrator blieben solche Tools anschließend unsichtbar. Heute bezeichnet der Begriff eine Tarnkappentechnik, mit denen Malware-Autoren die von ihnen verursachten Systemänderungen zu verschleiern. Das umfaßt unter anderem Registry-Einträge, Trojaner-Prozesse und andere Systemaktivitäten. Um Zugriff auf ein System zu erhalten, hacken die Cyberkriminellen entweder das Rechner-Paßwort oder nutzen Sicherheitslücken aus. Ausgehend davon versuchen sie, so lange Informationen zusammenzutragen, bis sie über Administratorenrechte verfügen.

Mobile Schadsoftware

Bis dato konzentrieren sich Malware-Autoren hauptsächlich auf Desktop-Rechner und Notebooks. Seit Cabir im Juni 2004 erschien, zielen viele neue Schadprogramme auf mobile Geräte ab.

Unternehmen setzen immer mehr mobile Geräte ein. In Sachen Kommunikationsfähigkeiten sind Handhelds herkömmlichen PCs inzwischen fast ebenbürtig. Sie führen IP-Services aus, verbinden sich mit dem Internet und sind netzwerkfähig.

Doch genau darin liegt das Problem für Unternehmen. Egal, ob sich ihre Mitarbeiter am Arbeitsplatz, zu Hause oder auf Reisen befinden: Ihre mobilen Geräte stehen immer mit dem Unternehmen in Kontakt sind deshalb angreifbar. Das gilt insbesondere dann, wenn sie sich außer Reichweite der Firmen-Firewall befinden. Zudem wird bequemem Zugriff meistens mehr Bedeutung beigemessen als der Sicherheit. Nachdem immer mehr Unternehmensdaten auf Handhelds gespeichert oder über drahtlose Netzwerke übertragen werden, rücken die Geräte immer stärker in den Fokus von Malware-Autoren.

Cabir war der erste Wurm für Mobiltelefone und erschien im Juni 2004. Seither hat sich der Wurm in mehr als 40 Ländern ausgebreitet. Cabir verbreitet sich via Bluetooth, der gängigsten Methode für drahtlose Datenübertragung. Eine erstaunlich hohe Zahl von Bluetooth-fähigen Geräten arbeitet im sichtbaren Modus, was Infizierungen und Hackern Tür und Tor öffnet.

Innerhalb kürzester Zeit erschienen Würmer, Viren und Trojaner für mobile Geräte, also die gesamte Palette an Bedrohungen aus der mittlerweile 20jährigen Malware-Historie.

Derzeit erscheinen für mobile Geräte wöchentlich etwa zehn neue Schädlinge. Viele davon sind recht einfach gestrickt, doch Malware-Autoren wittern im Hacken von Handhelds offenbar ein lukratives Geschäft. Im April 2007 erschien mit Flexispy der erste Trojan-Spy für das Betriebssystem Symbian. Flexispy ist ein kommerzieller Schädling für Smartphones, welcher die Anrufhistorie sowie Kopien von SMS-Nachrichten an den Autor oder Besitzer des Trojaners versendet. Auch für Windows Mobile, das derzeit zweitbeliebteste Betriebssystem für Handhelds, gab es ähnliche Malware.

Die meisten Schädlinge für mobile Geräte erfordern Mitarbeit seitens der Anwender. Dazu gehört beispielsweise, einen Datentransfer zu bestätigen und zu starten. Auf den ersten Blick ist es daher recht erstaunlich, wie schnell sich derartige Malware verbreitet. Ähnlich erfolgreich sind allerdings auch PC-Würmer, die sich ebenfalls nur unter Mithilfe der User verbreiten. Beide Schädlings-Typen setzen erfolgreich auf Social-Engineering-Techniken. Anwender werden häufig mit kostenlosen pornografischen Abbildungen, Film-Downloads oder schnellen Verdienstmöglichkeiten geködert.

Bei mobilen Geräten verschickt sich der Wurm Comwar per MMS (Multimedia Messaging Service) an alle gespeicherten Kontakte – und für jede Nachricht werden rund 0,35 US-Dollar fällig. Studien zeigen, daß viele Anwender via Bluetooth empfangene Dateien bereitwillig annehmen, wenn diese erotischen Inhalt suggerieren.

Malware wirkt sich sehr unterschiedlich auf mobile Geräte aus. So kann zum Beispiel die Telefonfunktion unbrauchbar werden, sobald ein Trojaner auf dem Gerät installiert ist. Skuller verbreitet sich via Download von verschiedenen Mobile-Websites und ersetzt System-Icons durch ein Totenkopf-Icon. Verlinkte Services lassen sich dadurch nicht mehr erreichen. Der Trojaner Mosquit verschickt SMS-Nachrichten an kostenpflichtige Premium-Nummern. Andere Crimeware wie Brador oder Flexspy ermöglichen es ihren Autoren oder Besitzern, auf dem mobilen Gerät gespeicherte Daten zu stehlen. Letztere sind in den wenigsten Fällen verschlüsselt und viele User verwenden nicht einmal ein Zugangspaßwort.

Cyberkriminelle haben bereits einige technologisch interessante Handheld-Schädlinge in Umlauf gebracht. Dazu gehört Lasco, eine Kombination aus Wurm und Virus sowie Cxover, der sowohl mobile Geräte als auch PCs infiziert. In diese Kategorie fällt auch der Trojaner RedBrowser. Dieser infiziert Java-kompatible Telefone (J2ME), also keine Smartphones.

Obwohl mobile Geräte anfällig für Malware-Attacken sind, läßt sich nur schwer vorhersagen, wann die Experimentierphase der Malware-Autoren in eine echte Schädlings-Flut übergeht. Das hängt entscheidend davon ab, wie stark sich mobile Geräte und mobile Finanzdienstleistungen (Telefon-Banking u.ä.) verbreiten. Sobald sie eine „kritische Menge“ erreicht haben, werden Cyberkriminelle sie ebenso ins Visier nehmen wie andere gängige Systeme. Während Hacker heute noch auf Desktop-Rechnern und Laptops gespeicherte Daten stehlen und damit illegale Geschäfte machen, könnten sie morgen schon dasselbe bei mobilen Geräten versuchen.

Aktuelle Herausforderungen

Seit dem Erscheinen des ersten PC-Virus haben sich die IT-Bedrohungen für Unternehmen und Anwender dramatisch verändert. In den Anfangstagen der Malware hätte sich niemand die Anzahl oder Vielfalt heutiger Schadprogramme vorstellen können. Die Sicherheitslösungen mußten sich jeder neuen Schädlings-Generation anpassen und nicht selten komplett neu entwickelt werden. In den letzten 20 Jahren haben sich daher nicht nur die Malware-Bedrohungen radikal verändert, sondern auch die entsprechenden Sicherheitslösungen. Virenschreiber wandten sich vom „Cyber-Vandalismus“ ab und nutzen schädlichen Code verstärkt als illegale Einnahmequelle. Daher ist ein umfassender Virenschutz heute wichtiger denn je und muß innerhalb kürzester Zeit mit täglich rund 500 neuen Bedrohungen fertig werden. Ein Virenschutz muß außerdem neue und unbekannte Malware auch ohne Kenntnis ihrer Signatur effektiv blockieren können.

Verglichen mit den heutigen holistischen Antiviren-Lösungen erscheinen frühe Malware-Filter eindimensional. Da sich IT-Infrastrukturen in Unternehmen ebenso verändert haben wie die traditionellen Netzwerk-Schutzmechanismen, braucht es neue Sicherheitslösungen, die Firmen und deren Mitarbeiter rundum schützen.