Pc Online überprüfen Viren

Mit neuen IT-Bedrohungen, neuen Abwehrmaßnahmen: Der Entwicklungsstand von Viren und Antivirenprogrammen

Bereits vor mehr als 20 Jahren erschien der erste Erreger auf einem PC. Zahlreiche bösartige Programme wie Trojaner, Schwachstellen, Wurzelkits, Phishing-E-Mails, Spam und Spekulationsprogramme schleichen sich in Computer ein und kontrollieren sie. Weil alle infizierten Computer über das Netz verbunden sind, können Cyberkriminelle damit sehr rasch gezielte oder weit verbreitete Attacken auslösen.

Schadcode kann unter anderem in E-Mails, nachgeahmten Softwarepaketen oder Websites vorkommen. Der in einen PC eingebettete Drojaner läd unter dieser Anschrift weitere Malware auf den Computer. Es verwendet bewährte Methoden und bemüht sich, daraus neue zu entwerfen. Das Brain befindet sich auf einer befallenen Floppy-Disk und wird während des Bootvorgangs in den Arbeitsspeicher geladen.

Meistens merkt der Benutzer gar nicht, dass die Floppy-Disk gerade bricht. Oft haben sie beim Beenden des Computers einfach versäumt, die Floppy-Disk aus dem Antrieb zu nehmen und dachten nicht, dass sie beim nÃ??chsten Mal, wenn sie sie starten, noch da ist. Wenn das BIOS auch Floppy-Disks als Bootmedium unterstüzt, erkennt der Computer die Floppy-Disk im Laufwerk von A und läd den beliebigen Programmcode, der sich im Boot-Sektor des Geräts aufhält.

Wenn die Floppy-Disk infiziert ist, landet der Erreger auf dem Computer. "Kein Systemdisketten- oder Discettenfehler, entfernen Sie die Discette und betätigen Sie dann eine der Tasten": Erst anhand dieser Notiz merkt der Benutzer, dass sich noch eine Discette im Antrieb aufhält. So entfernt er die Festplatte und fährt fort, ohne Misstrauen zu arbeiten.

So trifft z. B. der Michelangelo-Virus am sechsten Quartal eines jeden Jahrs zu und löscht die ersten Bereiche der Harddisk vor dem Start des Betriebssystems. Dies haben sich die Benutzer selbst davon überzeugt, wenn sie aus Versehen eine befallene Datendiskette im Gerät hinterlassen haben. Irgendwann würde ein Benutzer eine befallene Platte an einen Bekannten, Arbeitskollegen oder Abnehmer weitergeben und den Virenscanner verbreiten.

Obwohl sich das Gehirn nur auf Disketten ausbreitete, haben viele seiner Erben ganze Harddisks infiziert. Meistens haben sie den Virus-Formularcode in den MBR (Master Boot Record) geschrieben. Ein paar Proben wie z. B. Pincyst haben sowohl den MBR als auch den Boot-Sektor infiziert. Damals traten auch Viren auf, die infizierte DOS-Dateien angesteckt haben.

Durch solche Viren veränderte Daten werden beim Start des Programms beim Ausführen des bösartigen Codes ausgeführt. Die Infiltration des Erregers erfolgte auf vielfältige Weise. Manche Viren haben ihren Programmcode am Beginn der Anwendung eingefügt, andere an unterschiedlichen Orten innerhalb der Anwendung. Das so genannte Überschreiben von Viren hingegen ersetzt den ursprünglichen Quellcode vollständig. Deshalb wurden diese Viren nur in Ausnahmefällen gefunden.

Die haben ihren Kode in eine separate Akte geschrieben. So hat der Erreger z. B. die Symboldatei runme.exe in runme.exd umbenannt und die Originaldatei durch eine identische Dateinamensdatei ersetzt, die jedoch den Virencode enthält. Beim Start des Programms wurde der Erreger zuerst heruntergeladen, aber die Originaldatei sofort danach. Zum Beispiel, wenn Benutzer eine virenverseuchte Akte auf der Festplatte erhalten und gestartet haben, würde der Virus im Speicher landen.

Die Schadsoftware hat dann eine normal versteckte Grafikdatei auf der Harddisk erstellt, die bösartigen Programmcode enthält. In der FAT-Tabelle hat der Erreger nun die Umleitung von Dateiaufrufen an den infizierten Festplattensektor vorgenommen. File-Viren waren um 1995 weniger häufig als Bootsektor-Viren, da gerade im Unternehmenssektor die Übertragung von Programmen sehr ungewöhnlich ist.

Indirekt wirkende Aktenviren kontrollieren die Systemaktivitäten und infizieren jede einzelne Akte, die von Benutzern aufgerufen wurde. Die Direct Action-Viren hingegen haben sich in eine oder mehrere von ihnen eingeschrieben und dann gewartet, bis eine der betreffenden Aktionen ausgeführt wurde. Diese Art von Virus verbreitet sich weit weniger wirksam als indirekt wirkende Schädlinge. Auch wenn die Anzahl der File-Viren seit Ende der 80er Jahre kontinuierlich steigt, haben nur wenige, aber hochwirksame Viren die Szenerie dominiert.

So breitete sich Jerusalem auf zahlreiche Firmen, wissenschaftliche Einrichtungen und Regierungsstellen aus und löste am Donnerstag, den 14. April 1988, die erste große Virusepidemie aller Zeiten aus. Es gab unzählige Variationen des Viruses Wien, nachdem sein Quelltext enthüllt worden war. Kaskade war der erste virenverschlüsselte Code und war noch bis weit in die neunziger Jahre hinein verbreitet. Im Laufe der Zeit haben die Entwickler die Funktionalitäten beider Virustypen kombiniert und eine Kombination aus Bootsektor und Filevirus entwickelt.

Die Ergebnisse waren extrem starke Hybridschädlinge wie Tequila, Junkie und Natas. Zu dieser Zeit waren nahezu ausschliesslich Viren im Einsatz. Aber es gab auch einige Larven, unter denen der Morris-Wurm auffiel. So wurden im Oktober 1988 etwa 6000 Geräte infiziert, was etwa 10 Prozentpunkten aller mit dem Netz verbundener Geräte entspricht.

Auch die Anzahl der trojanischen Pferde war sehr gering. Die Bezeichnung Trojanischer Mensch ist eine Abkürzung für "Trojanisches Pferd" und bezeichnet das Holzpferd, in dem sich die Griechinnen versteckt haben, um unbeachtet in die Trojaburg einzudringen und es dann zu nehmen. Ende der 80er Jahre kamen die ersten trojanischen Pferde auf den Markt und tarnten sich als sauber.

Kaum hatten ahnungslose Benutzer sie gestartet, beluden die Plagegeister ihre gefährliche Ladung. Der wesentliche Unterschied zwischen Viren und Drojanern ist, dass sich diese nicht selbst reproduzieren können. Ein Virus ist ein Parasit, der seinen Kode an einen bestehenden Host weitergibt. Deshalb verbreiten sie sich von einer Akte zur anderen.

Mit zunehmender Dauer der Infektion eines Computers kann sich der Erreger umso mehr über alle zur Verfügung stehenden Kommunikationskanäle wie Festplatten und Netze verteilen. Die Trojaner hingegen haben keinen Reproduktionsmechanismus. Deshalb mussten die trojanischen Autoren den bösartigen Programmcode von Hand verteilen. Deshalb haben sie ihn verkleidet als sinnvolle Applikation auf ein BBS (Bulletin Board System) geladen, den Kode in Unternehmensnetzwerke geschmuggelt oder per Post an ausgewählte Betroffene geschickt.

In den MBR der Harddisk hat sich der trojanische Benutzer nach der Installierung eingeschrieben und einen seiner zwölf "Tricks" ausgeführt. Oftmals vermittelten diese den Anschein, dass der Computer ein Hardwareproblem hatte. Unglücklicherweise überflutete der Drojaner auch von Zeit zu Zeit den Boot-Sektor oder beschädigte das FAT-System kriechend. Eine weitere frühe Trojanerin hat sich auf der AIDS-Informationsdiskette versteckt.

Ende 1989 schickte eine Gesellschaft namens PC Cyborg 20.000 trojanerverseuchte Floppy-Disks per Brief an die von PC Business World und der WHO gestohlenen Anschriften. Auf der Festplatte sollen Daten über das HI-Virus enthalten sein, und sein Verfasser hat die generelle Unsicherheit über diese Erkrankung genutzt.

Als Benutzer das Installations-Programm von der Floppy-Disk aus begannen, schriebe sich der Drojaner auf die Harddisk, schuf seine eigenen versteckten und versteckten Ordner und modifizierten System-Dateien. Bei 90 PC-Starts verschlüsselt der TROJAN den Inhalt der Harddisk, so dass kein Zugriff mehr auf die gesammelten Informationen möglich ist. Das einzig auslesbare File auf der Harddisk war eine Textdatei.

Anschließend dauerte es nicht allzu lange, bis sich die Drohnen in grossem Umfang ausbreiten. Dies ist die Zeitspanne, in der sich ein Krankheitserreger unbeachtet ausbreiten kann. Tarntechniken wurden mit dem Ziel der Verheimlichung von durch das Virusinfektion verursachten Systemänderungen beibehalten. So wurden unter anderem Störmeldungen ausgeblendet, die auf einen Virenbefall im Netz hindeuten könnten.

Darüber hinaus fing Trojanern den Versuch ab, die Sektoren des Systems mit einem Sektoreditor zu erfassen. Camouflage-Techniken wurden immer ausgefeilter und löschten den Viruscode schlussendlich aus angesteckten Daten, sobald sie von einem Antivirenscanner gescannt wurden. Aufgrund dieser Weiterentwicklung war es erforderlich, das RAM eines Rechners vor allen anderen Speichermedien zu überprüfen.

Viren, die mit dieser Technologie ausgestattet sind, kodieren ihren Kode bei jeder neuen Infektion unterschiedlich. Es dauerte jedoch bis Anfang 1991, bis das polymorphe Tequila-Code Viren in den Verkehr kam. Stealth-Techniken und Polymorphie wurden von jeder neuen Generation von Virenautoren kontinuierlich weiterentwickelt. Neuartige Viren traten sehr ungewöhnlich häufig auf und nie mehrere zur gleichen Zeit.

Bei den ersten Antivirenprodukten handelte es sich um Werkzeuge, die einen bestimmten Viren erkennen und beseitigen konnten. Da die Anzahl der bösartigen Anwendungen allmählich zunahm, konnten sie eine Hand voll Viren unbedenklich machen. Bei diesen Programmen handelte es sich meist um On-Demand- Scanner, die Floppy-Disks nach etwa einem halben Jahr auf vorhandene Viren scannten. Manche Werkzeuge konnten den betroffenen Quellcode auflösen.

Bei anderen gab es auch eine Prüfsummenfunktion, die Daten auf einer "sauberen" Festplatte mit einer bspw. In der Theorie konnte jede spätere Änderung erkannt werden, auch wenn die Daten durch einen bisher nicht bekannten Viren verändert wurden. In der Anfangszeit nahm die Zahl der neuen Viren nur sehr gering zu, und sie verbreiten sich im Vergleich zu den heute üblichen Standards nur sehr schlecht.

Nur nach einem virenfreien Start des Systems konnte man sich vergewissern, dass sich kein Viren im Arbeitsspeicher befindet, der den Virenscan oder die Desinfektion4 behindern würde. Auch Firmen, deren Systeme noch nie zuvor mit Viren infiziert wurden, haben in der Regel keine Virusscanner auf Einzelrechnern installiert. Typischerweise würde der Verwalter das Gerät regelmässig überprüfen und ankommende Floppy-Disks auf einem eigenen PC scannen, bevor er sie weitergibt.

Bis Ende 1990 stieg die Zahl der Viren auf 300. Wie bei den damals erfolgreich eingesetzten Viren haben Antivirenprogramme nun auch Festplatten- und Aktenzugriffe abgefangen, um nach unbekannten Viren zu durchsuchen. Parallel zu den TSR-Komponenten wurden zudem Proaktivitätsmethoden wie die Heuristikanalyse mit dem Ziel der Erkennung von Viren ohne Rücksicht auf deren spezifische Merkmale aufgesetzt.

Virusscanner scannten dann eine misstrauische Akte nach den in der Auswahlliste angegebenen Merkmalen. Wenn der Wert einen vordefinierten Schwellenwert überschritt, wurde die betreffende Datendatei als verdächtiger Virenverdacht klassifiziert. Aufgrund der wachsenden Gefahr durch vielgestaltige Viren mussten die Hersteller von Antivirenprogrammen neben der Signatur-basierten Analytik auch andere Verfahren zur Identifizierung verschlüsselter Malware einsetzen.

Mit Verhaltensanalysen begegnen die Produzenten auch dem sprunghaften Anstieg der Viren. Herkömmliche Virusscanner haben gescannten Programmcode mit den Malware-Signaturen ihrer Datenbestände abgleich. Nach Ansicht von Befürwortern von Verhaltens-Blockern ist ihr grösster Vorzug, dass sie zwischen "guten" und "schlechten" Produkten differenzieren können, ohne dass ein Antivirenexperte den Quellcode überprüfen muss. Das bedeutet, dass Computer auch ohne Aktualisierung der Virenschutzdatenbanken vor neuer Malware sicher sind.

Das Betriebssystem greift neben Viren, Wurm und Trojaner auch unmittelbar auf die Harddisk zu, um z.B. Dateien zu vernichten. Es stellt sich die Fragestellung, wie mit einem Verhaltensblocker auf einem Dateiserver erkannt werden kann, ob ein Original vom Benutzer oder durch Malware-Aktivitäten legitim verändert oder entfernt wurde - Viren und Worms sind im Prinzip nur selbst reproduzierende Produkte.

Heute verbinden viele Securitylösungen die Verhaltensanalyse mit anderen Verfahren zur Erkennung, Blockierung und Entfernung von schädlichem Programmcode. Zwar gab es auch viele sehr einfache oder gar replizierte Malware, aber die wirklich gut ausgebildeten Virenentwickler waren leicht in der Lage, extrem leistungsfähigen Virencode zu schreiben. Am Anfang stand ein Rennen, bei dem die Virenentwickler den Antivirenexperten immer einen Tick voraus sein wollten.

Sie haben eine Akte infiziert, sobald sie offen oder verschlossen wurde. Auf diese Weise können herkömmliche Viren in Polymorph-Viren umgewandelt werden5. Seine letzte Arbeit war ein Viren namens Commander Bomber, der seinen bösartigen Programmcode in mehreren Teilen infizierter Dokumente versteckt und daher nur sehr schwierig zu erkennen war. Der erste war der Black Board Virus Exchange (VX).

Foren sind die elektronischen "Foren" und wurden schon immer zur Verbreitung von Viren eingesetzt. Für eine effektive Verbreitung von Viren musste man nur Akten anstecken und diese dann zum Herunterladen zur Verfügung stellen. Die VX-Platine ging einen weiteren Weg und pflegte eine ganze Virensammlung. Diejenigen, die es nutzen wollten, mussten zunächst ihre eigenen Viren aufladen.

Dies war nicht nur ein Anreiz für Malware-Programmierer, sondern auch die Verbreitung von Viren, die unter normalen Umständen wahrscheinlich nicht verbreitet worden wären. Im europäischen und US-amerikanischen Raum haben einige Menschen gleichzeitig zum ersten Mal Virenkollektionen zum Verkauf angeboten. Mit diesen Werkzeugen kann jeder Viren erzeugen und muss weder über umfangreiche Kenntnisse noch über technisches Know-how auf diesem Gebiet aufwenden.

Die so erzeugten Viren hatten jedoch in der Regel einen eindeutigen "Fingerabdruck", so dass sie alle mit einer einzelnen Unterschrift auffindbar waren. Die Autorin von Konzept nutzt die Möglichkeit, dass Benutzer viel öfter Informationen austauschen als andere Software. Alle Benutzer, die die betroffene Datenbank verwendet haben, haben damit ihren Computer infiziert. Zunächst einmal hat sich das Interessengebiet der Virenautoren von ausführbaren Codes wie Programmen und Festplattensektoren auf den Datenbereich verlagert.

Bisher wurden Viren in der Regel in Assembler-Code programmiert, was einige Kenntnisse erfordert. Virus-Makros waren in der Regel in einfacher Schrift erhältlich und konnten daher leicht übernommen, geändert und wiederverwendet werden. Infolgedessen stieg auch die Zahl der Viren rapide an, von rund 6000 im Jahr 1995 auf 7500 am Ende des Jahres.

Zum anderen waren Makrowiren die erste Malware, die bewusst Dateien infizierte. Weil Text- und Applikationsdateien viel öfter ausgetauscht wurden als die von Programmen, verbreiten sich Makrowiren viel besser als Viren. All diese Anlagen wurden anfällig für Makaviren oder wenigstens für effektive Virusträger. Die einzelnen Virusgenerationen bauen, wie bereits gesagt, auf ihren Vorläufern auf.

Ähnlich wie Schadprogramme haben sich auch Security-Lösungen, die vor Virenangriffen von Unternehmen geschützt sind, im Laufe der Jahre verändert. Vor der Entstehung von Makro-Viren wurden die meisten Desktop-Server und in geringerem Umfang auch die Dateiserver auf Viren gescannt. Das liegt auf der Hand: Da sich Viren vor allem per E-Mail verbreiten, konnten sie Schadprogrammscanner sperren, bevor sie den Computer erreichten.

Dabei wurde der Einsatz von PC und Dateiservern nicht unnötig, sondern bleibt für die Malwareabwehr ausschlaggebend und fand so den Weg in komplexere Lösungsansätze. Daraus ergibt sich eine Vielzahl von verschiedenen Viren, Wurm arten oder Drojanern, die alle zur selben Gruppe gehören. Auch bei der Abfangung von bösartigem Programmcode auf dem Mailserver und am Internet-Gateway haben die Hersteller von Antivirenprodukten erstmalig zusammengearbeitet.

Der Melissenvirus, der im Maerz 1999 auftrat, stellte einen weiteren grossen Sprung in der Erforschung der Malwareprogramme dar. Doch während sich die Pioniere darauf verlassen konnten, dass die Benutzer die betroffenen Dateien selbst versandten, breitete sich Melissa unabhängig voneinander über das E-Mail-System aus7. Alles, was die Benutzer tun mussten, war, auf den betroffenen Dateianhang einer E-Mail zu klicken, und der Erreger leitete sich selbst an alle im Outlook-Adressbuch hinterlegten Empfänger weiter.

Kein Wunder, dass Melissa als Trendsetterin agierte. Fast alle Viren und Worms, die die Geschäfte und Computer der einzelnen Benutzer gefährdeten, hatten in den Folgejahren eine Massenmailing-Funktion. Durch Melissa hat sich das Bedrohungspotential von Viren maßgeblich verändert. Sie brauchten keine Benutzer mehr, um die infizierten Daten selbst zu verteilen.

Durch die Entführung des Mailsystems konnten sich die Viren extrem wirkungsvoll ausbreiten und innerhalb von Tagen oder gar stundenschnelle weltweite Ausbrüche hervorrufen. Melisse ist aus zwei verschiedenen GrÃ?nden ein bemerkenswertes Erregervirus. Auf der anderen Seite hat Melissa gezeigt, dass Wurmer - und hier vor allem Emailwürmer - in Zukunft eine dominante Bedeutung haben werden. Dies ist ein selbstreplizierendes System, im Wesentlichen ein Virenprogramm, das keinen Host anspricht.

Die Malware-Autoren nutzten mit dem Wiederaufleben des Würmers auch wieder ausfÃ??hrbare Daten, um Viren-Epidemien auszulösen. Andere Worms versteckten sich in E-Mail-Anhängen, die in Visual Basic oder Java Script geschrieben wurden. Allerdings verbreiten sich alle Variationen per E-Mail und verwenden typischerweise Social Engineering-Techniken, um naivere Benutzer davon zu überzeugen, den bösartigen Code auszuführen.

Sozialtechnik kann als eine nicht-technische Sicherheitsschwachstelle eingestuft werden und Versuche, Benutzer dazu zu bewegen, elementare Sicherheitsmassnahmen zu missachten. Für den Bereich der Schadsoftware heißt das in der Regel, dass ein Wurm oder eine Krankheit an eine harmlose E-Mail anhängt. Bei den mit diesem Plagegetier befallenen Nachrichten gab es die Überschrift "ILOVEYOU" und die Meldung "Bitte überprüfen Sie den beigefügten LOVELETTER von mir".

Anders als alle bisher bekannteren Malware-Typen hat sich der Wurm-Code ausschliesslich in den Speicher geschrieben und keine Akten infiziert. So hat der Nimda-Virus im Spätsommer 2001 eine Schwachstelle im Internetexplorer ausgenutzt und eine weitere globale Seuche ausgelöst (MS01-020, "Falscher MIME-Header kann dazu fuehren, dass E-Mail-Anhaenge in Outlook ausgeführt werden").

Die von Nimda infizierten Daten, aber im Gegensatz zu früheren Massen-Mailing-Bedrohungen war sie nicht auf die Zusammenarbeit des Benutzers angewiesen. Der Benutzer musste nicht zusammenarbeiten. Bis dahin waren solche Angriffe häufiger auf Hacker als auf Virenschreiber zurückzuführen. Manche Malware wie die Internetwürmer Lovesan, Walchia und Sauer kommen ganz ohne die gängigen Virustechniken aus. Es gab keine Massen-Mailing-Komponente, noch brauchten sie Hilfe vom Benutzer, um loszulegen.

Die Schwachstelle MS03-026 wurde von ihm ausgenutzt ( "Buffer Overflow im RPC kann die AusfÃ??hrung von Programmcode erlauben"). Die Malware war mit einer Massen-Mailing-Funktion ausgerüstet und ergänzte den angesteckten Java-Skriptcode um HTML-Dateien. Wenn es sich bei dem betroffenen Computer um einen Computer handelt, verteilt sich Nimda auf alle Websites, die auf ihm gehostet werden. Die Firma Nimda hat sich in freizugängliche Netzverzeichnisse kopiert und wollte sicherstellen, dass unschuldige Benutzer auf die betroffene Datenbank zugreifen können.

War dies erfolgreich, gab der Erkennungsvirus alle Festplatten des infizierten Rechners im Netz frei die den Fernzugriff auf den Computer ermöglichten. Die Malware hat eine eigene Version von bereits infizierten Rechnern auf nicht geschützte Computer übertragen. Zahlreiche spätere Malware-Bedrohungen, die in den Augen der Virusautoren erfolgreich waren, nutzten mehrere Angreifermechanismen zur gleichen Zeit und konnten sich über Sicherheitsschwachstellen auslösen.

Dadurch wurde die Zeit zwischen dem Erscheinungsdatum eines Viruses und der von ihm verursachten Seuche erheblich verkürzt. Die persönliche Brandmauer kontrolliert und sperrt ungewollten Netzwerkverkehr und wird im Unterschied zu einer Schleuse auf dem Computer des Benutzers eingerichtet. Dies betrifft alle Übertragungs-Protokolle, Schnittstellen und IP-Adressen. Host-basierte IPS-Lösungen nutzen typischerweise die verhaltensbasierte Analyse, um Client-PCs und -Server vor Schadcode zu schützen.

Dies umfasst Tätigkeiten wie das Eröffnen oder Überprüfen eines Anschlusses und den Versuch, Zugangsrechte zu ändern bzw. Codes in einen aktiven Vorgang einzubringen. Netzbasierte Intrusion Prevention Systeme durchsuchen den Verkehr nach bösartigem Programmcode und durchsuchen ihn nach außergewöhnlich hohen Bandbreiten oder nicht standardmäßigem Verkehr, wie beispielsweise fehlerhafte Datenpakete. Manche Anbieter von Antivirensoftware haben ihren Programmen eine Funktionsanalyse hinzugefügt und überprüfen alle auf einem Computer ausgeführten Applikationen in Echtzeit. In diesem Zusammenhang werden auch die folgenden Punkte berücksichtigt.

Andererseits will die Antivirensoftware vor Netzwerkwürmern und bösartigem Programmcode geschützt werden, die Computer in einen "Zombie" verwandeln und sie für den Versand von Spam ausnutzen. Noch vor wenigen Jahren wurden Viren und andere Schadprogramme als Computer-Vandalismus eingestuft. Anbieter von Antivirensoftware befassen sich heute mit "Crimeware", bösartigem Programmcode, der speziell für den illegalen Geschäftsverkehr konzipiert wurde.

Die Abnahme der weltweiten Virusepidemien macht deutlich, dass immer mehr Virenexperten ihre Taktiken nicht mehr auf Massenangriffe konzentrieren. Antivirus-Experten spielen auch deshalb eine wichtige Rolle, weil sie über jahrelange Erfahrung mit großen Virusepidemien verfügen. Damit hat das Warnsystem die Folgen eines Virenangriffs abgeschwächt. Doch um mit dieser Technik wirtschaftlich zu werden, müssen die Virusprogrammierer zunächst die entwendeten Dateien nachweisen.

Je mehr PCs von Datendiebstahl bedroht sind, desto höher ist der dafür notwendige Logistikaufwand. Normalerweise veröffentlichen Virenautoren ihre Werke nur auf einigen tausend Computern zur gleichen Zeit. Möglicherweise ist der bösartige Programmcode darauf zugeschnitten, ein einziges oder einige wenige Personen anzugreifen. Cyberkriminelle nutzen in der Regel gezielt Missbrauch von Trojanern für solche Angriffe.

Es stehen Ihnen trojanische Pferde in den unterschiedlichsten Ausprägungen zur Verfügung. Jeder von ihnen fÃ?hrt eine spezifische MaÃ?nahme auf betroffenen Computern durch. Unter anderem werden Backdoors, Dropper, Downloader von Trojanern und Trojaner-Proxies verwendet. Auch können die bösartigen Schädlinge angesteckte Computer in eine "Zombiearmee" rufen, um DDoS-Angriffe (Distributed Denial of Service) gegen Firmen auszuführen, z.B. um Gelder zu dulden.

Ransomware Würmer oder Trojaner konnten ebenfalls an Zahl gewinnen. Für einen erneuten Zugriff auf seine Angaben wird der Nutzer gebeten, über einen elektronischen Zahlungsdienst Geldbeträge an den Schädlingsautor zu übermitteln. Die meisten infizierten Computer sind über IRC-Kanäle und Webseiten mit dem Netzwerk verbunden. Auch der MayDay, der im Hinterzimmer stattfand und im August 2007 in Betrieb ging, übernahm das Modell Zhelatin.

Zur Verbreitung von bösartigem Programmcode verlassen sich Cyberkriminelle immer weniger auf Massenmailings. Trojaner haben das E-Mail-System von infizierten Computern übernommen und sich an alle hinterlegten E-Mail-Adressen gesendet. Damit verursachten die Schnecken LoveLetter, Klez, Tanatos (Bugbear), Sobig, Mimail, Sober und My Room weltweit Seuchen. Malware-Autoren sorgen so dafür, dass sich ihr Programmcode gezielt auf ausgewählten Rechnern ausbreitet.

Diese Malwareprogramme sind, wie der Namen schon sagt, auf das Herunterladen von bösartigem Programmcode von verseuchten Webseiten ausgerichtet. Zunehmend werden sie auch dazu verwendet, ohne Wissen und Einwilligung des Nutzers virusfreie Software wie z. B. Spione oder Pornoware zu implementieren. Dieses Verfahren richtet sich an Benutzer, die personenbezogene Daten wie Zugriffsdaten oder Kennwörter offenlegen, und gehört eindeutig zur Kategorie der Betrugsfälle.

Reagiert der Benutzer darauf, ist es nur ein kürzerer Weg zum Datenklau. Zur Verlockung der Nutzer senden die Cyberkriminalen Spam, was sich in diesem Falle als amtliche Banknachricht ausgibt. Wenn der Nutzer mitwirkt, haben die Täter Zugang zu ihrem Online-Konto und damit zu ihrem eigenen Vermögen. Sobald Computer online sind, zögern Internetkriminelle extrem, die Verfügungsgewalt über sie aufzugeben.

Die Mitarbeiter tun alles, was sie können, um laufende Vorgänge zu stoppen, Codes zu entfernen oder Aktualisierungen von Datenbanken für Antivirenprogramme zu verhindern. Die trojanische Backdoor.Win32.Agent. unter dem Decknamen SpamThru verwendete auch eine raubkopierte Kopie eines Antivirenprogramms11, um andere Schadprogramme auf betroffenen Computern zu erkennen und zu entfernen. Etwa 12 Monate lang wurden immer häufiger Wurzelkits verwendet, um bösartigen Programmcode oder Spione vor dem Computer zu schützen.

Die Bezeichnung Stammkit kommt aus der Unix-Welt und bezeichnet die Möglichkeiten, einem Benutzer Administrationsrechte zu geben. Seitdem Cabir im Juli 2004 auf den Markt kam, haben sich viele neue Malware-Programme auf Mobilgeräte konzentriert. Immer häufiger nutzen Firmen auch Mobilgeräte. Da immer mehr Firmendaten auf Handhelden abgelegt oder über Mobilfunknetze übermittelt werden, konzentrieren sich Malware-Autoren mehr und mehr auf diese Speicher.

In sehr kurzer Zeit tauchten für Mobilgeräte Wurmer, Viren und Throjaner auf, d.h. die ganze Bandbreite der Gefahren aus der inzwischen 20-jährigen Malware-Geschichte. Gegenwärtig treten jede Woche etwa zehn neue Schaderreger für Mobilgeräte auf. Ähnliche Schadsoftware gab es auch für Windows Phone, das zurzeit zweithäufigste Betriebssytem für Handflächen. Bei den meisten Schädlingen auf mobilen Geräten ist eine Beteiligung der Benutzer erforderlich.

Die Nutzer werden oft mit freien pornographischen Bildern, Filmdownloads oder Schnellverdienstmöglichkeiten angelockt. Untersuchungen haben gezeigt, dass viele Benutzer gerne über Bluetooth erhaltene Daten akzeptieren, wenn sie erotische Inhalte vorschlagen. Die Auswirkungen von Schadprogrammen auf Mobilgeräte sind sehr verschieden. Beispielsweise kann die Telefoniefunktion nicht mehr nutzbar sein, sobald ein trojanischer Code auf dem Endgerät vorhanden ist.

Die Trojanische Mücke sendet SMS-Nachrichten an Premium-Nummern kostenpflichtig. Zu diesen gehören Lasco, eine Mischung aus Würmern und Viren, und Cxover, das sowohl Mobilgeräte als auch PC's aufnimmt. Auch der trojanische Rote-Browser zählt zu dieser Kat. Auch wenn Mobilgeräte für Malware-Angriffe verwundbar sind, ist es schwierig vorherzusagen, wann die experimentelle Phase der Malware-Autoren zu einer echten Malware-Flut werden wird.

Dies ist maßgeblich davon abhängig, wie weit verbreitet Mobilgeräte und tragbare Finanzdienste (Telefonbanking, etc.) sind. Seitdem der erste PC-Virus auftauchte, haben sich die Gefahren für die IT für Unternehmen und Benutzer drastisch gewandelt. Virenautoren wendeten sich vom "Cyber-Vandalismus" ab und verwenden zunehmend bösartigen Programmcode als legale Einnahmen. Deshalb ist ein umfangreicher Anti-Viren-Schutz so wichtig wie nie zuvor und muss jeden Tag rund 500 neue Gefahren in möglichst kurzer Zeit bewältigen.

Darüber hinaus muss der Virusschutz in der Lage sein, neue und bisher noch nicht bekannte Schadprogramme wirksam zu stoppen, ohne deren Unterschrift zu kennen. Im Jahr 2001 stellten die Gartner-Marktforscher in ihrem Report "Signature-Based Virus Detection at the Desktop is Dying" fest: "Die von den meisten Firmen heute verwendete Signature-basierte Desktop-Antivirensoftware ist wenig hilfreich.