Computervirus-Arten

9 Wege, Ihre Systeme zu infizieren

07.02.2023
Von 
Josh Fruhlinger ist freier Autor in Los Angeles.
Diese neun gängigen Computervirus-Typen bedrohen Ihre Systeme. Lesen Sie, wie sie funktionieren.
Ein Computervirus kann viele Formen annehmen und diverse Funktionen erfüllen. Diese 9 Typen sollten Sie kennen.
Ein Computervirus kann viele Formen annehmen und diverse Funktionen erfüllen. Diese 9 Typen sollten Sie kennen.
Foto: Dmitry Natashin - shutterstock.com

Der menschliche Verstand liebt es, Dinge zu kategorisieren - da bildet Malware keine Ausnahme. Insbesondere kann es hilfreich sein, verschiedene Arten von Infektionsvektoren zu unterscheiden, anstatt alles in einen Topf zu werfen und als "Virus" zu bezeichnen, auch wenn dieser Begriff häufig verwendet wird.

"Viele der Begriffe, die in den 1990er und frühen 2000er Jahren verwendet wurden, um Malware zu beschreiben, sind technisch immer noch korrekt, aber vielleicht nicht mehr so relevant wie früher", meint Jacob Ansari, Security Advocate und Emerging Cyber Trends Analyst beim Security-Beratungsunternehmen Schellman: "Während Malware in der Vergangenheit auf dem Zielsystem installiert wurde und dann ohne menschliches Zutun lief, werden die meisten modernen Angriffskampagnen von mehreren Bedrohungsakteuren durchgeführt. Die Angreifer versuchen dabei nach wie vor, sich Erkennungsmaßnahmen zu entziehen und verwenden eine Vielzahl von Programmier- oder Skriptsprachen, um ihren Schadcode zu erstellen"

Wir haben Ansari und weitere Sicherheitsexperten gefragt, wie sie die Malware-Typen, mit denen sie zu tun haben, kategorisieren. Dabei haben wir festgestellt, dass es zwei verschiedene Sichtweisen auf die Malware-Taxonomie gibt:

  • Man kann darüber nachdenken, wie Viren ihre schmutzige Arbeit verrichten (das heißt, was sie Ihnen antun) oder

  • sie darüber kategorisieren, an welcher Stelle sie in Ihr Ökosystem passen (das heißt, was sie für einen Angreifer tun).

9 Computervirus-Arten

Wenn Sie einen guten Überblick über die verschiedenen Malware-Arten gewinnen möchten, sollten Sie mit jemandem sprechen, der beruflich damit zu tun hat. So wie Dahvid Schloss: Er ist Managing Lead für Offensive Security beim Sicherheitsdienstleister Echelon Risk + Cyber und arbeitet an Schadsoftware, die reale Bedrohungsakteure nachahmen soll. Er schlüsselt die Virus-Typen, mit denen er arbeitet, nach ihrer Funktion auf:

Makro-Virus

"Diese Kategorie ist wahrscheinlich die am weitesten verbreitete Malware-Technik der Welt", erklärt Schloss. "Ungefähr 92 Prozent der externen Angriffe beginnen mit Phishing - und Makros sind der Kern des Problems. Ein Makro ist eine automatisierte Ausführung von Tastenanschlägen oder Mausaktionen, die ein Programm ohne Benutzerinteraktion durchführen kann - typischerweise handelt es sich um Microsoft Word/Excel-Makros, mit denen sich wiederholende Aufgaben auf einem Arbeitsblatt oder Dokument automatisiert werden können."

Makros sind eine extrem verbreitete Malware-Art und das aus gutem Grund, erläutert Schloss: "Die Übermittlungsmethode ist glaubwürdig, besonders wenn sie arbeitsbezogen aussieht. Zudem sind die verwendeten Programmiersprachen wie etwa Visual Basic im Fall von Microsoft recht einfach gestrickt. Einen Makrovirus zu schreiben, erfordert daher auch weniger technisches Knowhow." Dem kann Lauren Pearce, Incident Response Lead beim Cloud-Sicherheitsunternehmen Redacted, nur zustimmen: "Wir beobachten nach wie vor erhebliche Schäden durch simple Malware. Das Makro eines Office-Dokuments ist immer noch der am häufigsten auftretende Infektionsvektor."

Polymorpher Virus

"Während der Makrovirus am einfachsten zu programmieren ist, ist der polymorphe Virus der komplexeste", weiß Schloss. "Jedes Mal, wenn der Schadcode ausgeführt wird, läuft das etwas anders ab und typischerweise wird der Code jedes Mal, wenn er auf einen neuen Rechner übertragen wird, anders aussehen." Diese Virus-Kategorie sei sein Favorit, so der Sicherheitsexperte, weil er kompliziert und extrem schwierig zu untersuchen und zu entdecken sei.

Residenter Virus

Diese besonders bösartige Kategorie meint einen "körperlosen" Virus, der nicht als Teil einer Datei existiert, wie Schloss erklärt: "Der Virus selbst wird im RAM des Hosts ausgeführt. Sein Code ist nicht in der ausführbaren Datei gespeichert, die ihn aufgerufen hat, sondern in der Regel auf einer über das Internet erreichbaren Website oder einem Storage Container. Die ausführbare Datei, die den residenten Code aufruft, ist in der Regel so geschrieben, dass sie nicht bösartig erscheint. Das soll eine Detektion durch Antivirus-Lösungen verhindern."

Der Begriff "residenter Virus" impliziert natürlich auch die Existenz eines nicht residenten Virus. Der Experte definiert diesen als einen Virus, der in der ausführbaren Datei enthalten ist, die ihn aufruft: "Diese Art des Virus verbreitet sich am häufigsten durch den Missbrauch von Enterprise Services."

Bootsektor-Virus

"Diese Kategorie bezeichne ich gerne als 'Nation State Cocktail'", meint Schloss. "Dieser Virus-Typ soll dem Bedrohungsakteur eine uneingeschränkte und tiefe Persistenz ermöglichen. Wird der Master Boot Record (MBR) des Computers infiziert, bleibt der Virus selbst bei einem Re-Image des Rechners bestehen und kann beim Boot-Vorgang im Speicher des Hosts ausgeführt werden. Makroviren werden im Regelfall von staatlich gelenkten Cyberkriminellen eingesetzt und beruhen fast immer auf einem Zero-Day-Exploit, um die MBR-Ebene zu erreichen. Ansonsten verbreiten sie sich auch über physische Medien wie infizierte USB- oder Festplattenlaufwerke."

Mehrteiliger Virus

Während sich einige Malware-Entwickler spezialisieren, verfolgen andere einen "All of the above"-Ansatz und greifen überall auf einmal an, wie Schloss ausführt: "Mehrteilige Viren sind mit am schwierigsten einzudämmen und zu bekämpfen. Sie infizieren mehrere Teile eines Systems, darunter den Speicher, Dateien, ausführbare Dateien und sogar den Bootsektor. Wir beobachten diesen Virus-Typ inzwischen immer häufiger. Dabei verbreitet er sich auf jede nur erdenkliche Weise, wobei in der Regel mehrere Techniken parallel gefahren werden, um den Verbreitungsgrad zu maximieren."

Eine weitere Möglichkeit, die Malware-Typen zu kategorisieren, besteht - wie schon erwähnt - darin, zu betrachten, wie sie sich in das Gesamtbild eines Angriffs einfügen. Security-Experte Ansari schlüsselt auf:

Dropper

"Dieser Teil der Malware soll andere Malware auf dem infizierten System ablegen. Die Opfer können über einen maliziösen Link, Anhang oder Download mit einem Dropper infiziert werden, der in der Regel nach dem Ablegen der nächsten Malware-Stufe nicht mehr vorhanden ist." In die Kategorie der Dropper entfalle etwa Makro-Malware, ergänzt Pearce: "Es handelt sich um Malware, die nur zu dem Zweck entwickelt wurde, zusätzliche Malware herunterzuladen und auszuführen."

Beacon/Payload

Diese Malware-Typen bilden die nächste Stufe des Angriffs, weiß Ansari: "Ein Beacon oder ein Payload ist die Malware, die dem Bedrohungsakteur seine neu installierten Zugriffsmöglichkeiten signalisiert. Sie wird oft von einem Dropper installiert. Von hier aus kann ein Angreifer über den vom Beacon eingerichteten Weg auf die Opfersysteme und die darin enthaltenen Daten oder andere Systeme im Netzwerk zugreifen."

Packers

Diese Komponenten verpacken andere Komponenten und verwenden kryptografische Techniken, um eine Detektion zu umgehen. "Einige ausgeklügelte Malware-Kampagnen verwenden eine Reihe von Packern, die wie eine Matrjoschka-Puppe verschachtelt sind", erklärt Ansari. "Jede Komponente enthält ein weiteres gepacktes Element, bis die endgültige Nutzlast ausgeführt wird."

Command & Control

Jedes Team braucht einen Anführer - das ist die Rolle, die "Command & Control"-Systeme für kollaborative Malware-Komponenten spielen, wie Ansari verdeutlicht: "Diese Systeme, die manchmal auch als C&C, CNC oder C2 bezeichnet werden, arbeiten außerhalb der Umgebung des Opfers und ermöglichen dem Bedrohungsakteur, mit den anderen Komponenten der auf dem Zielsystem installierten Malware-Kampagne zu kommunizieren. Wenn die Strafverfolgungsbehörden einen Bedrohungsakteur ins Visier nehmen, beschlagnahmen sie oft die Command-and-Control-Systeme, um die Bedrohung zu stoppen." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.