Schadsoftware - Malware

Hex-Dump des Blaster-Wurms , der eine Nachricht anzeigt , die der Programmierer des Wurms für Microsoft -Mitbegründer Bill Gates hinterlassen hat

Malware (ein Portmanteau für bösartige Software ) ist jede Software, die absichtlich entwickelt wurde, um einem Computer , Server , Client oder Computernetzwerk Schaden zuzufügen . Im Gegensatz dazu wird Software, die aufgrund eines Mangels unbeabsichtigt Schaden verursacht, typischerweise als Softwarefehler bezeichnet . Es gibt eine Vielzahl von Malware-Typen, darunter Computerviren , Würmer , Trojaner , Ransomware , Spyware , Adware , betrügerische Software , Wischer und Scareware .

Als Schadsoftware gelten auch Programme, die heimlich gegen die Interessen des Computernutzers handeln. So installierte Sony BMG Compact Discs einmal stillschweigend ein Rootkit auf den Computern der Käufer, um illegales Kopieren zu verhindern, das aber auch über die Hörgewohnheiten der Benutzer berichtete und unbeabsichtigt zusätzliche Sicherheitslücken erzeugte.

Eine Reihe von Antivirensoftware , Firewalls und anderen Strategien werden verwendet, um sich vor der Einführung von Malware zu schützen, sie zu erkennen, wenn sie bereits vorhanden ist, und um sich von Malware-bedingten bösartigen Aktivitäten und Angriffen zu erholen.

Zwecke

Dieses Tortendiagramm zeigt, dass im Jahr 2011 70 % der Malware-Infektionen durch Trojaner, 17 % von Viren, 8 % von Würmern und die restlichen Prozentsätze auf Adware, Backdoor, Spyware und andere Exploits verteilt waren.

Viele frühe infektiöse Programme, einschließlich des ersten Internet-Wurms , wurden als Experimente oder Streiche geschrieben. Heutzutage wird Malware sowohl von Black-Hat-Hackern als auch von Regierungen verwendet, um persönliche, finanzielle oder geschäftliche Informationen zu stehlen.

Malware wird manchmal allgemein gegen Regierungs- oder Unternehmenswebsites eingesetzt, um geschützte Informationen zu sammeln oder deren Betrieb im Allgemeinen zu stören. Malware kann jedoch gegen Einzelpersonen verwendet werden, um Informationen wie persönliche Identifikationsnummern oder Details, Bank- oder Kreditkartennummern und Passwörter zu erhalten.

Seit der Verbreitung von Breitband- Internetzugängen wird Schadsoftware immer häufiger auf Profit ausgelegt. Seit 2003 sind die meisten weit verbreiteten Viren und Würmer darauf ausgelegt, die Kontrolle über die Computer der Benutzer zu illegalen Zwecken zu übernehmen. Infizierte „ Zombie-Computer “ können zum Versenden von E-Mail-Spam , zum Hosten von Schmuggeldaten wie Kinderpornografie oder für verteilte Denial-of-Service- Angriffe als Form der Erpressung verwendet werden .

Programme, die entwickelt wurden, um das Surfen im Internet zu überwachen, unerwünschte Werbung anzuzeigen oder Einnahmen aus dem Affiliate-Marketing umzuleiten, werden als Spyware bezeichnet . Spyware-Programme verbreiten sich nicht wie Viren; Stattdessen werden sie im Allgemeinen unter Ausnutzung von Sicherheitslücken installiert. Sie können auch ausgeblendet und zusammen mit nicht verwandter, vom Benutzer installierter Software gepackt werden. Das Sony BMG-Rootkit sollte illegales Kopieren verhindern; sondern auch über die Hörgewohnheiten der Nutzer berichtet und unbeabsichtigt zusätzliche Sicherheitslücken geschaffen.

Ransomware beeinflusst in irgendeiner Weise ein infiziertes Computersystem und verlangt eine Zahlung, um es in seinen normalen Zustand zurückzusetzen. Es gibt zwei Varianten von Ransomware, nämlich Krypto-Ransomware und Locker-Ransomware. Locker-Ransomware sperrt nur ein Computersystem, ohne seinen Inhalt zu verschlüsseln, während die traditionelle Ransomware ein System sperrt und seinen Inhalt verschlüsselt. Programme wie CryptoLocker verschlüsseln beispielsweise Dateien sicher und entschlüsseln sie erst gegen Zahlung eines erheblichen Geldbetrags.

Einige Malware wird verwendet, um durch Klickbetrug Geld zu generieren , wodurch der Anschein erweckt wird , dass der Computerbenutzer auf einen Werbelink auf einer Website geklickt hat, wodurch eine Zahlung vom Werbetreibenden generiert wird. Im Jahr 2012 wurde geschätzt, dass etwa 60 bis 70 % aller aktiven Malware eine Art von Klickbetrug nutzten und 22 % aller Anzeigenklicks betrügerisch waren.

Neben dem kriminellen Geldverdienen kann Malware auch zur Sabotage eingesetzt werden, oft aus politischen Motiven. Stuxnet zum Beispiel wurde entwickelt, um sehr spezifische Industrieanlagen zu stören. Es hat politisch motivierte Angriffe gegeben, die sich über große Computernetzwerke ausbreiteten und sie lahmlegten, einschließlich der massiven Löschung von Dateien und der Korruption von Master Boot Records , die als "Computertötung" bezeichnet werden. Solche Angriffe erfolgten auf Sony Pictures Entertainment (25. November 2014, mit Malware namens Shamoon oder W32.Disttrack) und Saudi Aramco (August 2012).

Infektiöse Malware

Die bekanntesten Arten von Malware, Viren und Würmer, sind eher für ihre Verbreitung als für bestimmte Verhaltensweisen bekannt. Ein Computervirus ist Software, die sich ohne Wissen und Zustimmung des Benutzers in eine andere ausführbare Software (einschließlich des Betriebssystems selbst) auf dem Zielsystem einbettet und bei ihrer Ausführung auf andere ausführbare Dateien verbreitet wird. Auf der anderen Seite ist ein Wurm eine eigenständige Malware-Software, die sich aktiv über ein Netzwerk überträgt , um andere Computer zu infizieren, und sich selbst kopieren kann, ohne Dateien zu infizieren. Diese Definitionen führen zu der Beobachtung, dass ein Virus vom Benutzer die Ausführung einer infizierten Software oder eines infizierten Betriebssystems erfordert, damit sich der Virus ausbreitet, während sich ein Wurm selbst verbreitet.

Verborgenheit

Diese Kategorien schließen sich nicht gegenseitig aus, daher kann Malware mehrere Techniken verwenden. Dieser Abschnitt gilt nur für Malware, die darauf ausgelegt ist, unentdeckt zu funktionieren, nicht aber für Sabotage und Ransomware.

Viren

Ein Computervirus ist eine Software, die normalerweise in einem anderen scheinbar harmlosen Programm versteckt ist, das Kopien von sich selbst erstellen und in andere Programme oder Dateien einfügen kann und die normalerweise eine schädliche Aktion ausführt (z. B. Daten zerstören). Ein Beispiel hierfür ist eine PE-Infektion, eine Technik, die normalerweise zur Verbreitung von Malware verwendet wird und die zusätzliche Daten oder ausführbaren Code in PE-Dateien einfügt .

Ransomware mit Bildschirmsperre

„Lock-Screens“ oder Screen Lockers ist eine Art „Cyber ​​Police“-Ransomware, die Bildschirme auf Windows- oder Android-Geräten mit einer falschen Anschuldigung blockiert, illegale Inhalte zu sammeln, um die Opfer zur Zahlung einer Gebühr zu erschrecken. Jisut und SLocker wirken sich stärker auf Android-Geräte aus als andere Sperrbildschirme, wobei Jisut fast 60 Prozent aller Android-Ransomware-Erkennungen ausmacht.

Verschlüsselungsbasierte Ransomware

Verschlüsselungsbasierte Ransomware ist, wie der Name schon sagt, eine Art von Ransomware, die alle Dateien auf einem infizierten Computer verschlüsselt. Diese Arten von Malware zeigen dann ein Popup an, das den Benutzer darüber informiert, dass ihre Dateien verschlüsselt wurden und dass sie (normalerweise in Bitcoin) bezahlen müssen, um sie wiederherzustellen. Einige Beispiele für auf Verschlüsselung basierende Ransomware sind CryptoLocker und WannaCry.

trojanische Pferde

Ein Trojanisches Pferd ist ein schädliches Programm, das sich fälschlicherweise als normales, harmloses Programm oder Dienstprogramm ausgibt, um ein Opfer dazu zu bringen, es zu installieren. Ein Trojaner trägt normalerweise eine versteckte destruktive Funktion, die beim Start der Anwendung aktiviert wird. Der Begriff leitet sich von der altgriechischen Geschichte des Trojanischen Pferdes ab, das verwendet wurde, um heimlich in die Stadt Troja einzudringen .

Trojanische Pferde werden im Allgemeinen durch irgendeine Form von Social Engineering verbreitet , beispielsweise wenn ein Benutzer dazu verleitet wird, einen als unverdächtig getarnten E-Mail-Anhang auszuführen (z. B. ein Routineformular, das ausgefüllt werden muss) oder durch Drive-by-Download . Obwohl ihre Nutzlast alles sein kann, fungieren viele moderne Formulare als Hintertür , indem sie einen Controller kontaktieren ( nach Hause telefonieren ), der dann unbefugten Zugriff auf den betroffenen Computer haben kann, und möglicherweise zusätzliche Software wie einen Keylogger zum Stehlen vertraulicher Informationen, Kryptomining-Software oder Adware installieren um Einnahmen an den Betreiber des Trojaners zu generieren. Trojanische Pferde und Hintertüren sind zwar nicht leicht zu erkennen, aber Computer scheinen langsamer zu laufen, mehr Wärme abzugeben oder Lüftergeräusche aufgrund starker Prozessor- oder Netzwerkauslastung zu erzeugen, wie dies bei der Installation von Cryptomining-Software der Fall sein kann. Cryptominer können die Ressourcennutzung einschränken und/oder nur während Leerlaufzeiten ausgeführt werden, um einer Erkennung zu entgehen.

Anders als Computerviren und -würmer versuchen Trojanische Pferde im Allgemeinen nicht, sich in andere Dateien einzuschleusen oder sich anderweitig zu verbreiten.

Im Frühjahr 2017 wurden Mac-Benutzer von der neuen Version des Proton Remote Access Trojan (RAT) getroffen, die darauf trainiert wurde, Passwortdaten aus verschiedenen Quellen zu extrahieren, wie zum Beispiel Browser-Auto-Fill-Daten, dem Mac-OS-Schlüsselbund und Passwort-Vaults.

Rootkits

Sobald bösartige Software auf einem System installiert ist, ist es wichtig, dass sie verborgen bleibt, um eine Entdeckung zu vermeiden. Softwarepakete, die als Rootkits bekannt sind, ermöglichen diese Verschleierung, indem sie das Betriebssystem des Hosts so ändern, dass die Malware vor dem Benutzer verborgen ist. Rootkits können verhindern, dass ein schädlicher Prozess in der Prozessliste des Systems angezeigt wird , oder verhindern, dass seine Dateien gelesen werden.

Einige Arten von schädlicher Software enthalten Routinen, um Identifizierungs- und/oder Entfernungsversuche zu umgehen, und nicht nur, um sich selbst zu verbergen. Ein frühes Beispiel für dieses Verhalten ist in der Jargon File- Geschichte eines Paars von Programmen aufgezeichnet , die ein Xerox CP-V- Timesharing-System befallen :

Jeder Geisterjob würde erkennen, dass der andere getötet wurde, und innerhalb weniger Millisekunden eine neue Kopie des kürzlich gestoppten Programms starten. Die einzige Möglichkeit, beide Geister zu töten, bestand darin, sie gleichzeitig zu töten (sehr schwierig) oder das System absichtlich zum Absturz zu bringen.

Hintertüren

Eine Hintertür ist eine Methode zur Umgehung normaler Authentifizierungsverfahren , normalerweise über eine Verbindung zu einem Netzwerk wie dem Internet. Sobald ein System kompromittiert wurde, können eine oder mehrere Hintertüren installiert werden, um den Zugriff in Zukunft für den Benutzer unsichtbar zu ermöglichen.

Es wurde oft vorgeschlagen, dass Computerhersteller Hintertüren auf ihren Systemen vorinstallieren, um den Kunden technischen Support zu bieten, aber dies wurde nie zuverlässig überprüft. Im Jahr 2014 wurde berichtet, dass US-Regierungsbehörden Computer, die von als "Zielobjekten" angesehenen Personen gekauft wurden, in geheime Werkstätten umgeleitet hatten, in denen Software oder Hardware installiert war, die den Fernzugriff durch die Behörde ermöglichte, was als eine der produktivsten Operationen gilt, um Zugang zu Netzwerken in der Umgebung zu erhalten die Welt. Hintertüren können durch Trojanische Pferde, Würmer , Implantate oder andere Methoden installiert werden.

Ausweichen

Seit Anfang 2015 verwendet ein beträchtlicher Teil der Malware eine Kombination vieler Techniken, die entwickelt wurden, um Erkennung und Analyse zu vermeiden. Von den häufigeren zu den seltensten:

  1. Umgehung der Analyse und Erkennung durch Fingerabdrücke der Umgebung bei der Ausführung.
  2. verwirrende Erkennungsmethoden automatisierter Tools. Auf diese Weise kann Malware die Erkennung durch Technologien wie signaturbasierte Antivirensoftware vermeiden, indem der von der Malware verwendete Server geändert wird.
  3. zeitbasiertes Ausweichen. Dies ist der Fall, wenn Malware zu bestimmten Zeiten oder nach bestimmten Aktionen des Benutzers ausgeführt wird, sodass sie in bestimmten anfälligen Phasen ausgeführt wird, z. B. während des Startvorgangs, während sie für den Rest der Zeit ruht.
  4. Verschleierung interner Daten, damit automatisierte Tools die Malware nicht erkennen.

Eine zunehmend verbreitete Technik (2015) ist Adware, die gestohlene Zertifikate verwendet, um den Anti-Malware- und Virenschutz zu deaktivieren; Es stehen technische Abhilfemaßnahmen zur Verfügung, um mit der Adware umzugehen.

Heutzutage ist die Verwendung von Techniken zum Verbergen von Informationen, nämlich Stegomalware , eine der ausgefeiltesten und heimlichsten Methoden der Umgehung . Eine Umfrage zu Stegomalware wurde von Cabaj et al. im Jahr 2018.

Eine andere Art von Umgehungstechniken ist Fileless Malware oder Advanced Volatile Threats (AVTs). Dateilose Malware benötigt keine Datei, um zu funktionieren. Es läuft im Speicher und nutzt vorhandene Systemtools, um böswillige Handlungen auszuführen. Da keine Dateien auf dem System vorhanden sind, gibt es keine ausführbaren Dateien für Antiviren- und Forensik-Tools, die analysiert werden könnten, was die Erkennung solcher Malware nahezu unmöglich macht. Die einzige Möglichkeit, dateilose Malware zu erkennen, besteht darin, sie in Echtzeit zu erkennen. In letzter Zeit sind diese Arten von Angriffen mit einem Anstieg von 432% im Jahr 2017 und 35% der Angriffe im Jahr 2018 häufiger geworden. Solche Angriffe sind nicht einfach durchzuführen, werden aber mit Hilfe von Exploit-Kits immer häufiger.

Verletzlichkeit

  • In diesem Zusammenhang und überall kann das sogenannte "System", das angegriffen wird, alles sein, von einer einzelnen Anwendung über einen vollständigen Computer und ein vollständiges Betriebssystem bis hin zu einem großen Netzwerk .
  • Verschiedene Faktoren machen ein System anfälliger für Malware:

Sicherheitsmängel in Software

Malware nutzt Sicherheitsmängel ( Sicherheitslücken oder Schwachstellen ) im Design des Betriebssystems, in Anwendungen (wie Browsern, zB ältere Versionen von Microsoft Internet Explorer, die von Windows XP unterstützt werden) oder in anfälligen Versionen von Browser-Plugins wie Adobe Flash Player , Adobe Acrobat oder Reader oder Java SE . Manchmal deinstalliert selbst die Installation neuer Versionen solcher Plugins nicht automatisch alte Versionen. Sicherheitshinweise von Plug-in- Anbietern kündigen sicherheitsrelevante Updates an. Häufigen Schwachstellen werden CVE-IDs zugewiesen und in der US National Vulnerability Database aufgeführt . Secunia PSI ist ein Beispiel für eine kostenlose Software für den persönlichen Gebrauch, die einen PC auf anfällige veraltete Software überprüft und versucht, diese zu aktualisieren.

Malware-Autoren zielen auf Fehler oder Schlupflöcher ab, um sie auszunutzen. Eine gängige Methode ist die Ausnutzung einer Pufferüberlauf- Schwachstelle, bei der Software zum Speichern von Daten in einem bestimmten Speicherbereich nicht verhindert, dass mehr Daten bereitgestellt werden, als der Puffer aufnehmen kann. Malware kann Daten bereitstellen, die den Puffer überlaufen, mit bösartigem ausführbarem Code oder Daten nach dem Ende; Wenn auf diese Nutzlast zugegriffen wird, tut sie das, was der Angreifer und nicht die legitime Software bestimmt.

Anti-Malware ist eine ständig wachsende Bedrohung für die Malware-Erkennung. Laut Symantecs Internet Security Threat Report (ISTR 2018) stieg die Zahl der Malware-Varianten im Jahr 2017 auf 669.947.865, was dem Doppelten der Malware-Varianten im Jahr 2016 entspricht.

Unsicheres Design oder Benutzerfehler

Frühe PCs mussten von Disketten gebootet werden . Als eingebaute Festplatten üblich wurden, wurde das Betriebssystem normalerweise von ihnen gestartet, aber es war möglich, von einem anderen Boot-Gerät zu booten, falls verfügbar, wie einer Diskette, CD-ROM , DVD-ROM, USB-Flash-Laufwerk oder Netzwerk . Es war üblich, den Computer so zu konfigurieren, dass er von einem dieser Geräte bootet, wenn verfügbar. Normalerweise wäre keine verfügbar; der Benutzer würde beispielsweise absichtlich eine CD in das optische Laufwerk einlegen, um den Computer auf besondere Weise zu booten, beispielsweise um ein Betriebssystem zu installieren. Auch ohne Booten können Computer so konfiguriert werden, dass Software auf einigen Medien ausgeführt wird, sobald diese verfügbar sind, z. B. um eine CD oder ein USB-Gerät beim Einlegen automatisch auszuführen.

Malware-Distributoren würden den Benutzer dazu verleiten, von einem infizierten Gerät oder Medium zu booten oder zu starten. Beispielsweise könnte ein Virus dazu führen, dass ein infizierter Computer einem USB-Stick, der daran angeschlossen ist, automatisch ausführbaren Code hinzufügt. Wer den Stick dann an einen anderen Computer mit USB-Autorun anschließt, der würde sich wiederum infizieren und die Infektion auf die gleiche Weise weitergeben. Im Allgemeinen kann jedes Gerät, das an einen USB-Port angeschlossen wird – sogar Lampen, Lüfter, Lautsprecher, Spielzeug oder Peripheriegeräte wie ein digitales Mikroskop – zur Verbreitung von Malware verwendet werden. Geräte können während der Herstellung oder Lieferung infiziert werden, wenn die Qualitätskontrolle unzureichend ist.

Diese Form der Infektion kann weitgehend vermieden werden, indem Computer standardmäßig so eingerichtet werden, dass sie von der internen Festplatte booten, sofern vorhanden, und nicht automatisch von Geräten gestartet werden. Ein absichtliches Booten von einem anderen Gerät ist immer möglich, indem beim Booten bestimmte Tasten gedrückt werden.

Ältere E-Mail-Software öffnet automatisch HTML-E-Mails, die potenziell bösartigen JavaScript- Code enthalten. Benutzer können auch getarnte bösartige E-Mail-Anhänge ausführen. Der von CSO Online zitierte Data Breach Investigations Report 2018 von Verizon besagt, dass E-Mails die wichtigste Methode der Malware-Versendung sind und 92 % der Malware-Versendung weltweit ausmachen.

Überprivilegierte Benutzer und überprivilegierter Code

In der Computertechnik bezieht sich das Privileg darauf, wie viel ein Benutzer oder ein Programm ein System modifizieren darf. In schlecht konzipierten Computersystemen können sowohl Benutzern als auch Programmen mehr Berechtigungen zugewiesen werden, als sie haben sollten, und Malware kann dies ausnutzen. Die beiden Möglichkeiten, wie Malware dies tut, sind überprivilegierte Benutzer und überprivilegierten Code.

Einige Systeme erlauben allen Benutzern, ihre internen Strukturen zu ändern, und solche Benutzer würden heute als überprivilegierte Benutzer betrachtet. Dies war die Standardbetriebsprozedur für frühe Mikrocomputer- und Heimcomputersysteme, bei denen es keinen Unterschied zwischen einem Administrator oder Root und einem normalen Benutzer des Systems gab. In einigen Systemen sind Nicht-Administrator- Benutzer absichtlich überprivilegiert, in dem Sinne, dass sie interne Strukturen des Systems ändern dürfen. In einigen Umgebungen sind Benutzer überprivilegiert, weil ihnen ein unangemessener Administrator- oder gleichwertiger Status zuerkannt wurde.

Einige Systeme erlauben Code, der von einem Benutzer ausgeführt wird, auf alle Rechte dieses Benutzers zuzugreifen, was als überprivilegierter Code bekannt ist. Dies war auch ein Standardbetriebsverfahren für frühe Mikrocomputer- und Heimcomputersysteme. Malware, die als überprivilegierter Code ausgeführt wird, kann dieses Privileg nutzen, um das System zu untergraben. Fast alle derzeit gängigen Betriebssysteme und auch viele Skriptanwendungen erlauben dem Code zu viele Privilegien, normalerweise in dem Sinne, dass das System diesem Code alle Rechte dieses Benutzers gewährt , wenn ein Benutzer Code ausführt . Dies macht Benutzer anfällig für Malware in Form von E-Mail-Anhängen , die getarnt sein können oder nicht.

Verwendung des gleichen Betriebssystems

  • Homogenität kann eine Schwachstelle sein. Wenn beispielsweise auf allen Computern in einem Netzwerk das gleiche Betriebssystem läuft, kann ein Wurm beim Ausnutzen eines alle ausnutzen: Insbesondere Microsoft Windows oder Mac OS X haben einen so großen Marktanteil, dass sich eine ausgenutzte Schwachstelle auf beide konzentriert Betriebssystem könnte eine große Anzahl von Systemen untergraben. Die Einführung von Diversity allein aus Gründen der Robustheit, beispielsweise durch das Hinzufügen von Linux-Computern, könnte die Kosten für Schulung und Wartung kurzfristig erhöhen. Solange jedoch nicht alle Knoten zur Authentifizierung Teil desselben Verzeichnisdienstes sind, können einige unterschiedliche Knoten das vollständige Herunterfahren des Netzwerks verhindern und es diesen Knoten ermöglichen, bei der Wiederherstellung der infizierten Knoten zu helfen. Eine solche separate, funktionale Redundanz könnte die Kosten eines vollständigen Herunterfahrens auf Kosten einer erhöhten Komplexität und einer verringerten Benutzerfreundlichkeit in Bezug auf die Single-Sign-On- Authentifizierung vermeiden .

Anti-Malware-Strategien

Da Malware-Angriffe immer häufiger werden, verlagert sich die Aufmerksamkeit von Viren- und Spyware-Schutz auf Malware-Schutz und Programme, die speziell zur Bekämpfung von Malware entwickelt wurden. (Andere Präventiv- und Wiederherstellungsmaßnahmen, wie Sicherungs- und Wiederherstellungsmethoden, werden im Artikel über Computerviren erwähnt ). Ein Neustart zum Wiederherstellen der Software ist auch nützlich, um Malware zu minimieren, indem böswillige Änderungen zurückgesetzt werden.

Antiviren- und Anti-Malware-Software

Eine bestimmte Komponente von Antiviren- und Anti-Malware-Software, die gemeinhin als On-Access- oder Echtzeit-Scanner bezeichnet wird, greift tief in den Kern oder Kernel des Betriebssystems ein und funktioniert ähnlich wie bestimmte Malware selbst arbeiten, jedoch mit der informierten Erlaubnis des Benutzers zum Schutz des Systems. Jedes Mal, wenn das Betriebssystem auf eine Datei zugreift, überprüft der On-Access-Scanner, ob die Datei eine „legitime“ Datei ist oder nicht. Wird die Datei vom Scanner als Schadsoftware erkannt, wird der Zugriff abgebrochen, die Datei wird vom Scanner in einer vordefinierten Weise behandelt (wie das Antivirenprogramm während/nach der Installation konfiguriert wurde) und die der Benutzer wird benachrichtigt. Dies kann erhebliche Auswirkungen auf die Leistung des Betriebssystems haben, wobei das Ausmaß der Auswirkungen davon abhängt, wie gut der Scanner programmiert wurde. Das Ziel besteht darin, alle Operationen, die die Malware auf dem System versucht, zu stoppen, bevor sie auftreten, einschließlich Aktivitäten, die Fehler ausnutzen oder unerwartetes Verhalten des Betriebssystems auslösen könnten .

Anti-Malware-Programme können Malware auf zwei Arten bekämpfen:

  1. Sie können Echtzeitschutz gegen die Installation von Malware-Software auf einem Computer bieten. Diese Art von Malware-Schutz funktioniert genauso wie der Antiviren-Schutz, indem die Anti-Malware-Software alle eingehenden Netzwerkdaten auf Malware scannt und alle Bedrohungen blockiert, auf die sie stößt.
  2. Anti-Malware-Softwareprogramme können ausschließlich zum Erkennen und Entfernen von Malware-Software verwendet werden, die bereits auf einem Computer installiert ist. Diese Art von Anti-Malware-Software scannt den Inhalt der Windows-Registrierung, Betriebssystemdateien und installierte Programme auf einem Computer und stellt eine Liste aller gefundenen Bedrohungen bereit, sodass der Benutzer auswählen kann, welche Dateien gelöscht oder behalten oder verglichen werden sollen diese Liste zu einer Liste bekannter Malware-Komponenten, wobei übereinstimmende Dateien entfernt werden.

Der Echtzeitschutz vor Malware funktioniert genauso wie der Echtzeit-Virenschutz: Die Software scannt Festplattendateien zum Zeitpunkt des Downloads und blockiert die Aktivität von Komponenten, von denen bekannt ist, dass sie Malware darstellen. In einigen Fällen kann es auch Versuche abfangen, Startobjekte zu installieren oder Browsereinstellungen zu ändern. Da viele Malware-Komponenten als Folge von Browser-Exploits oder Benutzerfehlern installiert werden, verwenden Sie Sicherheitssoftware (von denen einige Anti-Malware sind, viele jedoch nicht) in "Sandbox"-Browsern (im Wesentlichen den Browser vom Computer und damit von jeglicher Malware isolieren). induzierte Veränderung) kann auch wirksam dazu beitragen, den entstandenen Schaden zu begrenzen.

Beispiele für Antivirus- und Anti-Malware-Software von Microsoft Windows sind die optionalen Microsoft Security Essentials (für Windows XP, Vista und Windows 7) für den Echtzeitschutz, das Windows-Tool zum Entfernen bösartiger Software (jetzt in Windows-(Sicherheits-)Updates auf " Patch Tuesday ", der zweite Dienstag jedes Monats) und Windows Defender (ein optionaler Download im Fall von Windows XP, der die MSE-Funktionalität im Fall von Windows 8 und höher enthält). Darüber hinaus stehen mehrere leistungsfähige Antiviren-Softwareprogramme zum kostenlosen Download aus dem Internet zur Verfügung (in der Regel auf nicht-kommerzielle Nutzung beschränkt). Tests haben ergeben, dass einige kostenlose Programme mit kommerziellen konkurrieren. Der System File Checker von Microsoft kann verwendet werden, um beschädigte Systemdateien zu überprüfen und zu reparieren.

Einige Viren deaktivieren die Systemwiederherstellung und andere wichtige Windows-Tools wie Task-Manager und Eingabeaufforderung . Viele dieser Viren können entfernt werden, indem Sie den Computer neu starten, den abgesicherten Modus von Windows mit Netzwerk aktivieren und dann die Systemtools oder den Microsoft Safety Scanner verwenden .

Hardware- Implantate können von beliebiger Art sein, daher gibt es keine allgemeine Möglichkeit, sie zu erkennen.

Website-Sicherheitsscans

Da Malware auch die kompromittierten Websites schädigt (durch Rufschädigung, Blacklisting in Suchmaschinen usw.), bieten einige Websites Schwachstellen-Scans an. Solche Scans überprüfen die Website, erkennen Malware, stellen möglicherweise veraltete Software fest und melden möglicherweise bekannte Sicherheitsprobleme.

„Luftspalt“-Isolation oder „Parallelnetz“

Als letztes Mittel können Computer vor Malware geschützt und infizierte Computer daran gehindert werden, vertrauenswürdige Informationen zu verbreiten, indem ein "Air Gap" (dh vollständige Trennung von allen anderen Netzwerken) eingerichtet wird. In einigen Situationen kann Malware jedoch immer noch die Luftspalte überwinden. Stuxnet ist ein Beispiel für Malware, die über ein USB-Laufwerk in die Zielumgebung eingeführt wird.

"AirHopper", "BitWhisper", "GSMem" und "Fansmitter" sind vier von Forschern eingeführte Techniken, mit denen Daten von Computern mit Luftspalten durch elektromagnetische, thermische und akustische Emissionen entweichen können.

Grauware

Grayware (manchmal auch als Grayware geschrieben ) ist ein Begriff für unerwünschte Anwendungen oder Dateien, die nicht als Malware klassifiziert werden, aber die Leistung von Computern verschlechtern und Sicherheitsrisiken verursachen können.

Es beschreibt Anwendungen, die sich störend oder unerwünschte verhalten und dennoch weniger schwerwiegend oder störend sind als Malware. Grayware umfasst Spyware , Adware , betrügerische Dialer , Scherzprogramme, Fernzugriffstools und andere unerwünschte Programme, die die Leistung von Computern beeinträchtigen oder Unannehmlichkeiten verursachen können. Der Begriff wurde um 2004 gebräuchlich.

Ein anderer Begriff, potenziell unerwünschtes Programm (PUP) oder potenziell unerwünschte Anwendung (PUA), bezieht sich auf Anwendungen, die als unerwünscht gelten würden, obwohl sie oft vom Benutzer heruntergeladen wurden, möglicherweise nachdem er eine Download-Vereinbarung nicht gelesen hat. PUPs umfassen Spyware, Adware und betrügerische Dialer. Viele Sicherheitsprodukte klassifizieren nicht autorisierte Schlüsselgeneratoren als Grayware, obwohl sie neben ihrem angeblichen Zweck häufig echte Malware enthalten.

Der Softwarehersteller Malwarebytes listet mehrere Kriterien auf, um ein Programm als PUP zu klassifizieren. Einige Arten von Adware (die gestohlene Zertifikate verwenden) deaktivieren den Anti-Malware- und Virenschutz; technische Abhilfen zur Verfügung stehen.

Geschichte

Bevor der Internetzugang weit verbreitet war, verbreiteten sich Viren auf PCs, indem sie ausführbare Programme oder Bootsektoren von Disketten infizierten . Durch das Einfügen einer Kopie von sich selbst in die Maschinencode- Anweisungen in diesen Programmen oder Bootsektoren wird ein Virus immer dann ausgeführt, wenn das Programm ausgeführt oder die Festplatte gebootet wird. Frühe Computerviren wurden für Apple II und Macintosh geschrieben , aber sie wurden mit der Dominanz des IBM PC- und MS-DOS- Systems weiter verbreitet. Der erste IBM-PC-Virus in der "Wildnis" war ein Bootsektorvirus namens (c)Brain , der 1986 von den Farooq Alvi-Brüdern in Pakistan entwickelt wurde.

Die ersten Würmer, netzwerkbasierte infektiöse Programme, entstanden nicht auf PCs, sondern auf Multitasking- Unix- Systemen. Der erste bekannte Wurm war der Internet-Wurm von 1988, der SunOS- und VAX- BSD- Systeme infizierte . Im Gegensatz zu einem Virus hat sich dieser Wurm nicht in andere Programme eingeschleust. Stattdessen nutzte es Sicherheitslücken ( Schwachstellen ) in Netzwerk - Server - Programme und begann sich als separates Laufprozess . Dieses Verhalten wird auch von den heutigen Würmern verwendet.

Mit dem Aufkommen der Microsoft Windows- Plattform in den 1990er Jahren und den flexiblen Makros ihrer Anwendungen wurde es möglich, infektiösen Code in der Makrosprache von Microsoft Word und ähnlichen Programmen zu schreiben . Diese Makroviren infizieren eher Dokumente und Vorlagen als Anwendungen ( ausführbare Dateien ), verlassen sich jedoch auf die Tatsache, dass Makros in einem Word-Dokument eine Form von ausführbarem Code sind.

Wissenschaftliche Forschung

Die Vorstellung eines sich selbst reproduzierenden Computerprogramms lässt sich auf erste Theorien über den Betrieb komplexer Automaten zurückführen. John von Neumann zeigte, dass sich ein Programm theoretisch selbst reproduzieren kann. Dies war ein Plausibilitätsergebnis in der Berechenbarkeitstheorie . Fred Cohen experimentierte mit Computerviren und bestätigte Neumanns Postulat und untersuchte weitere Eigenschaften von Malware wie Auffindbarkeit und Selbstverschleierung durch rudimentäre Verschlüsselung. 1987 promovierte er zum Thema Computerviren. Die Kombination von kryptografischer Technologie als Teil der Nutzlast des Virus und deren Ausnutzung für Angriffszwecke wurde ab Mitte der 1990er Jahre initialisiert und untersucht und beinhaltet erste Ransomware- und Umgehungsideen.

Siehe auch

Verweise


Externe Links