Malware

Zu den besonderen Bedrohungen, denen ein Computersystem ausgesetzt ist, gehören Programme, die eine für den Anwender des Systems grundsätzlich unerwünschte oder schädliche Wirkung entfalten. Nach der prinzipiellen Funktionsweise werden sog. »Würmer«, »Viren«, »Trojaner« u.a. unterschieden. In ihrer Gesamtheit wird Software dieser Art als Malware (engl.; von lat. malus: böse, schlecht, schädlich, …) bezeichnet.

Malware hat sich mit den Jahren von einer eher exotischen zu einer fast schon alltäglichen Bedrohung entwickelt. Das liegt sicher ganz wesentlich daran, dass Computer in Gestalt des PCs zu einem Massenartikel der Unterhaltungselektronik geworden und zudem in großer Zahl vernetzt (mit dem Internet verbunden) sind. Gerade diese Vernetzung schafft natürlich zusätzliche Angriffspunkte. Andererseits wirkt Malware meist gar nicht unmittelbar über das Internet, sondern ist auf die Mithilfe des Anwenders angewiesen.

Ein paar Kenntnisse darüber, wie solche Angriffe erfolgen, sind daher für jeden PC-Anwender wichtig und nützlich – auch dann, wenn auf dem PC aktuelle Schutzsoftware installiert ist.

Malware mag sich in manchen Details von anderer Software unterscheiden (ganz abgesehen von der schädlichen Funktion), aber im Wesentlichen handelt es sich dabei einfach um ein Computerprogramm. Um irgendetwas zu bewirken, muss – wie bei jeder Software – der Programmcode auf dem PC ausgeführt werden. Der naheliegendste Schritt, dies zu bewerkstelligen, besteht darin, den Programmcode in einer ausführbaren Programmdatei zu speichern. Alle Anwendungsprogramme bestehen ja (auch) aus solchen Programmdateien, wie zum Bsp. winword.exe. Das Schadprogramm liegt dann also gebrauchsfertig in der Datei »super.exe«, nun muss es nur noch vom Anwender des Zielsystems gestartet werden. (Dazu kommen wir gleich.)

Die »Verpackung« von Malware in Programmdateien ist zwar die klassische und häufigste Vorgehensweise, aber leider nicht die einzige. Programmcode kann auch in Dateien enthalten sein, die primär zur Aufnahme von Daten bestimmt sind, jedoch auch eine Ergänzung um bestimmte Anweisungen (Scripts, Makros) zulassen. Typische Vertreter sind beispielsweise diverse Office-Dokumente (VBA) und natürlich HTML-Seiten (JavaScript). Selbst wenn die konkreten Eigenschaften nicht so weit reichen, ein PC-System unmittelbar anzugreifen, so können solche Dateien dabei zumindest eine entscheidende Hilfsfunktion ausüben.

Zudem machen sich Malware-Entwickler vielfach (und anscheinend zunehmend) die Fehler und Sicherheitslücken in Betriebssystemen und anderer Software zunutze. Hierbei werden mitunter sogar Wege gefunden, versteckten Programmcode über zu verarbeitende Daten in ein System einzuschleusen und zur Ausführung zu bringen. Solche Verfahren sind technisch raffiniert und dementsprechend schwierig zu realisieren, haben aber doch an Bedeutung gewonnen. Als gängigste Methode kann wohl die unmittelbare Einbettung von Programmcode in Daten angesehen werden. In einem solchen Fall kann das Schadprogramm dann (unsichtbarer) Bestandteil beispielsweise der Bilddatei urlaub.jpg sein.

Wir haben nun Verfahrensweisen zur Darbietung von Malware betrachtet. Sie bestehen darin, eine präparierte Datei zu erstellen, wobei es sich entweder um ein ausführbares Programm oder um ein Textdokument, eine Bilddatei o.ä. handelt. Wir wollen nun schauen, wie diese Dateien in das PC-System gelangen und dort ihre Wirkung entfalten können.

Es gibt durchaus spezielle technische Tricks, durch die ein PC quasi automatisch infiziert werden kann. ¹ Allerdings ist deren Funktionieren immer an etliche Voraussetzungen geknüpft. Dazu gehören neben bestimmten Systemeigenschaften zumeist auch noch eine nachlässige (unsichere) Konfiguration und ein leichtfertiges Anwenderverhalten. Daher geht Malware überwiegend einen viel direkteren Weg: Sie wird dem Anwender einfach angeboten. Hierbei spielt das Internet grundsätzlich nur die Rolle eines zusätzlichen, effektiven und kostengünstigen Mediums zur Verteilung und Bereitstellung. (Die wirklichen Besonderheiten des Internets werden noch an anderer Stelle behandelt.)

Natürlich wird versucht, den Anwender über Zweck, Beschaffenheit und häufig auch die Herkunft der Dateien zu täuschen. Malware kann bspw. als nützliches Anwendungsprogramm deklariert oder sogar tatsächlich (versteckter) Bestandteil solcher Software sein. Selbst die Beschränkung auf vermeintlich bekannte Programme aus vertrauenswürdiger Quelle bietet keinen hundertprozentigen Schutz, aber sie vermindert das Risiko doch schon erheblich. Der Abgleich mit Dateiprüfsummen, die bei vielen seriösen Download-Angeboten angegeben sind, und die Analyse durch Antiviren-Software helfen zusätzlich.

Täuschungsversuche zur Dateienherkunft fallen in unterschiedliche Kategorien. Bei der Bereitstellung im Internet wird gerne versucht, eine auf den ersten Blick authentisch wirkende Fassade aufzubauen. Mitunter werden sogar Webseiten scheinbarer Hersteller von PC-Sicherheitssoftware angelegt und die Malware als kostenlose Antiviren- oder Antispyware-Programme angeboten. Oder die Webseiten geben vor, eine (private) Einrichtung zum Download bekannter Software zu sein.

Auch E-Mails werden zur Verteilung von Malware eingesetzt, entweder durch Bewerbung der entsprechenden Webseite oder unmittelbar per E-Mail-Anhang. ² Dabei wird selbstverständlich versucht, das Interesse des Empfängers zu wecken, so dass dieser etwa die angefügte Datei speichert bzw. öffnet. Beliebt ist die Vortäuschung einer privaten Mail (Bsp.: »Urlaubsfotos von Fam. Schmitt«), die der Empfänger womöglich auf seinen Bekanntenkreis bezieht. Ein anderer Ansatz ist die bedrohliche Mail, die scheinbar juristische Schritte einleitet (mit einem Betreff wie »Strafanzeige gegen Sie« o.ä.), oder die angebliche Geschäfts-Mail, die sich auf eine Bestellung oder Rechnung bezieht. Schließlich gibt es noch die Variante des vermeintlichen Irrläufers, eine E-Mail also, die den Anschein erwecken soll, irgendein interessanter (exklusiver) Inhalt habe den Empfänger nur durch ein zufälliges Versehen erreicht.

Oft erscheinen Täuschungsversuche bei E-Mails zwar als nicht so gelungen, da sie von Sprache, Aufmachung und Absender her Auffälligkeiten zeigen. Es gibt aber auch immer wieder Exemplare, die ziemlich echt wirken können. Wichtigster Schutz ist hier die ruhige, kritische Prüfung der Mail und des Absenders! Wenn eine E-Mail auch nur im Geringsten dubios oder unplausibel erscheint, sollte man auf keinen Fall ihre Dateianhänge öffnen bzw. den Links im Mailtext folgen! Zweifelhafte Mails sollte man auch nicht direkt beantworten. Möchte man den Vorgang mit dem Absender klären, so ist es sicherer, auf anderem Weg, etwa telefonisch, Kontakt aufzunehmen. (Vorsicht bei Verwendung von Kontaktdaten, z.B. Telefonnummer, die aus der Mail selbst stammen!)

Die bloße Übertragung einer Datei ist grundsätzlich nur der erste Schritt, um ein System mit Malware zu infizieren. Die Datei muss dann auch noch vom Zielsystem geöffnet werden. Öffnen hat dabei je nach Dateityp zweierlei Bedeutung:

Stellt die Datei eine Datenkomposition dar (z.B. Textdokument oder Bild), wird sie durch das zuständige Anwendungsprogramm geöffnet und verarbeitet.

Handelt es sich um eine Programmdatei, so wird dieses Programm vom Betriebssystem geladen und gestartet.

Das Öffnen einer Datei steht also immer im Zusammenhang mit der Ausführung eines Programms! Der Unterschied zwischen den beiden Fällen liegt darin, dass im zweiten Fall hier möglicherweise ein für das System neues Programm ausgeführt wird.

Wegen dieser unterschiedlichen Bedeutung wird häufig versucht, den Anwender (oder sogar das System) über den wahren Dateityp zu täuschen. Man macht sich etwa bei der Benennung der Datei zunutze, dass Windows mitunter »bekannte« Dateitypen nicht mit dem vollen Dateinamen anzeigt, oder dass der Anwender sich ohnehin nicht so gut mit Dateinamen und -typen auskennt. ³ Wenn also eine Datei rechnung.pdf.exe heißt, so kann bei einem Anwender der Eindruck entstehen, dass es sich um ein PDF-Dokument handelt (zumal wenn Windows evtl. den Dateityp .exe ausblendet und als Dateinamen nur rechnung.pdf anzeigt). In Wahrheit ist die Datei aber ein ausführbares Programm.

Weitere Täuschungsmöglichkeiten bestehen, wenn z.B. Internet-Anwendungen Dateien öffnen und hierzu eine spezielle Information über den Typ bzw. Inhalt (MIME-Typ) auswerten. Gefälschte Informationen können dann unter Umständen zu einer unkorrekten resp. unerwünschten Dateibehandlung führen.

Prinzipiell wird das Öffnen einer Datei (und damit gemäß dem Thema die potenzielle Installation von Malware) stets durch den PC-Anwender veranlasst. Allerdings sind Vorgang und Bedeutung nicht immer ganz klar erkennbar. Zum einen kann es durchaus sein, dass eine Programmausführung nicht vorhergesehen wird. So stellen bestimmte Textdateien, die Systembefehle enthalten (sog. Scripte), für das Betriebssystem Programme dar. Wer aber eine solche Textdatei öffnet, möchte diese möglicherweise nur im Texteditor betrachten oder bearbeiten und erwartet vielleicht nicht, dass diese Datei unmittelbar als Programm gestartet wird.

Zum anderen werden Daten zunehmend in komplexer Form (als Konglomerat unterschiedlicher Typen) präsentiert, wobei ein Hauptdokument als Container für weitere Datenformate dient, ohne dass dies von außen erkennbar sein muss. Auch erfolgt die zur Anzeige von Daten notwendige Ausführung des zugehörigen Anwendungsprogramms nicht selten im Hintergrund. Wenn etwa in einem Internet-Browser Flash- oder PDF-Formate angezeigt werden, so geschieht dies in Wahrheit jeweils durch ein weiteres Programm, das mit dem Browser modular verbunden ist. Dem Anwender ist oft gar nicht bewusst, dass er mit der Betrachtung diverser medialer Inhalte auch zusätzliche Programme ausführt.

Überhaupt ist natürlich der nonchalante Umgang des durchschnittlichen PC-Anwenders mit »irgendwelchen« Daten und Medien zumeist das größte Risiko. Da werden unbekannte CDs ungeachtet einer (typischerweise) aktiven Autostart-Funktion eingelegt, und lustige E-Mail-Anhänge, von denen niemand etwas Genaueres weiß, verbreiten sich über die Büros schneller, als es eine Schweinegrippe je könnte. Anscheinend verlässt man sich vielfach auf den Schutz durch sog. Sicherheitssoftware. Aber dieser Schutz ist trügerisch, und eine völlige Abhängigkeit davon ist eigentlich schon mit ein wenig Vorsicht und Information vermeidbar.

Anmerkungen:

¹) Zwei Beispiele vom Jahresanfang 2012 sollen dies illustrieren:

Im Januar hatte Microsoft eine Sicherheitslücke in einer Windows-Multimediabibliothek »gepatcht«, deren Ausnutzung durch Malware inzwischen bereits beobachtet wurde. Dabei enthalten Webseiten im Wesentlichen eine speziell angefertigte MIDI-Datei, die vom Internet Explorer-Plugin des Windows Media Players zur (vermeintlichen) Musikwiedergabe geöffnet wird. Tatsächlich aber nutzt die MIDI-Datei die Sicherheitslücke zur Malware-Installation aus.
Anfang Februar wurde über eine Schwachstelle in Mozilla Firefox berichtet, die zudem auch die Anwendungen Thunderbird und SeaMonkey betrifft (jeweils in nachfolgenden Updates behoben). Hier ist es eine Sicherheitslücke im integrierten Videodecoder, die mittels präparierter Videodateien zur Ausführung schädlichen Programmcodes ausgenützt werden kann.
Quelle und weitere Info: Heise Online-News vom 30.01.2012 und 01.02.2012.

Nun gibt es leider überhaupt keinen Grund für die Annahme, aktuelle Systembibliotheken und Programmversionen wären gänzlich frei von Sicherheitslücken. Die Risiken lassen sich jedoch erheblich minimieren, wenn man – wie im Artikel Hinweise zur Absicherung von PC-Systemen empfohlen – unbekannte Webseiten nur mit »zugeknöpftem« Browser besucht.

²) Dieses Thema wird auch in meinem Artikel über Spam behandelt.

³) Es soll hier nicht darum gehen, ob Windows im Vergleich zu anderen Betriebssystemen möglicherweise mit größeren Sicherheitslücken behaftet ist. Die Bezugnahmen sind daher grundsätzlich nur beispielhaft. Allerdings findet sich die Besonderheit, dass Dateinamen unvollständig angezeigt werden, meines Wissens bei keinem anderen System.