Über Spyware und andere Programme, die keine Viren sind

Die Kaspersky Lab Anti-Virus Engine ist der Bestandteil aller Kaspersky Anti-Virus-Produkte, der Schadprogramme (Malware) aufspürt und entfernt.

„Malware“ (kurz für malicious = bösartige Software) bezeichnet alle Programme, die mit der Absicht geschrieben werden, eine unberechtigte, oft Schaden verursachende Aktion durchzuführen. Dazu gehören Viren, Würmer und Trojaner aller Arten.

Es gibt jedoch noch andere Möglichkeiten für Hacker, Spammer und sonstige Internetkriminelle, Computer-Anwendern Schaden zuzufügen.

In den letzten Jahren ist die Zahl potentiell gefährlicher Programme stark angestiegen, die zwar keine Viren sind, aber von Kriminellen benutzt werden, um User anzugreifen oder deren Rechner zu kriminellen Zwecken zu missbrauchen. Dazu gehören zum Beispiel Adware und mit Malware verbundene Riskware wie Pornware. Solche Programme werden üblicherweise nicht als Malware bezeichnet, da es sich bei ihnen grundsätzlich um legale und von Anwendern gewünschte Applikationen handeln kann. Doch ihr Potential für einen Missbrauch durch Hacker und andere Internetkriminelle lässt die Benutzer sie zunehmend als unerwünschte Anwendungen betrachten.

Die Anti-Virus-Lösungen von Kaspersky Lab bieten standardmäßig Schutz vor Viren, Würmern und Trojanern, deren Signaturen in den Standard-Datenbanken aktualisiert werden. Diese schließen auch gefährliche trojanische Spyware-Programme ein (u.a. Backdoor Trojans, Trojan Spies, Trojan Proxies und Trojan Notifiers). Der Schutz vor potentiell gefährlichen Programmen, die keine Viren sind, wird durch die sogenannten erweiterten Datenbanken gewährleistet. Anwender von Kaspersky Anti-Virus-Produkten müssen darum ihre Produkte so konfigurieren, dass sie auch die Aktualisierungen der erweiterten Datenbanken herunterladen.

Folgende Übersicht zeigt die verschiedenen Kategorien der Programme und wie Kaspersky Lab für Schutz sorgt.

SCHADPROGRAMME POTENTIELL GEFÄHRLICHE SOFTWARE
STANDARD-DATENBANKEN Viren
Würmer
Trojaner (einschließlich Trojan Spyware)
 
ERWEITERTE DATENBANKEN   Spyware ohne Trojaner
Riskware
Pornware
Adware

Kaspersky hat eine lange Tradition beim Aufspüren und Beseitigen von Spionageprogrammen. Diese reicht zurück bis ins Jahr 1996 als Kaspersky Lab einen Mechanismus zum Aufspüren und Beseitigen des ersten Trojaners, der AOL Passworte stehlen konnte, in seine Software einbaute. Heute kann Kaspersky Lab stolz auf seine Erfolge beim Eliminieren von Trojanern und anderer Malware in unabhängigen Tests verweisen. (Quelle: u.a. Virus Test Center, Universität Hamburg, AV-Test GmbH, AV-comparatives.org & Virus Bulletin)

Das Aufspüren von potentiell gefährlichen Programmen ist besonders für Unternehmen wichtig, weil solche Anwendungen bedeutende Sicherheits- und rechtliche Risiken mit sich bringen können. Unter anderem folgende:

  • Finanzielle Verluste durch Diebstahl vertraulicher Informationen;
  • Verringerte Computerleistung und geringere Arbeitsproduktivität;
  • Wachsende Risiken für die gesetzliche Haftung;
  • Wachsende Kommunikationskosten.

Überblick über potentiell gefährliche Programme

Spyware

In einer aktuellen Untersuchung in 2004 in mehr als 600 nordamerikanischen Unternehmen stuft das Markforschungsunternehmen IDC Spyware als viertgrößte Gefahr für die Sicherheit der Unternehmensnetzwerke ein und schätzt, dass auf 67 Prozent aller Computer die eine oder andere Art von Spyware installiert ist. (Quelle: IDC, Dezember 2004)

Spyware wird zum Zweck entwickelt, Daten auf einem Computer zu sammeln und an Dritte weiterzuleiten, und zwar ohne Wissen und Zustimmung des Computerbesitzers. Dabei geht es unter anderem um

  • das Überwachen von Tastenanschlägen (Key Logging),
  • das Sammeln vertraulicher Informationen (Passwörter, Kreditkartennummern, PIN Nummern etc.) wie auch
  • das Abfangen von E-Mail-Adressen und
  • das Beobachten des Internetverhaltens.

Hierbei treten natürlich auch Nebeneffekte auf: Die Netzwerkfunktion wird nachhaltig beeinträchtigt, das System wird langsamer und stört so den gesamten Arbeitsablauf.

Spyware ist in einer gewissen Grauzone angesiedelt. Es gibt in der Branche keine Standarddefinition für diesen Begriff. Man ist oft versucht, sämtliche Spyware-Programme als bösartig zu klassifizieren, was allerdings Probleme mit sich bringen kann. So verfügen beispielsweise einige Administrations-Tools zum Remote-Zugriff über die Funktionalität, Anwenderaktivitäten zu überwachen. Solche Dienstprogramme sind legal, sie können und sollten also nicht einfach als Trojaner eingestuft werden. Andererseits können solche Programme durch Internetkriminelle missbraucht werden indem sie durch einen Trojaner auf dem Computer eines Anwenders zum „Datendiebstahl“ eingeschleust werden. Von dieser Seite aus betrachtet, liegt die Aufforderung von Datenschützern nahe, solche Programme rigoros als potentiell gefährlich einzustufen und Tools zuzulassen, die sie aufspüren und eliminieren können.

Die Entscheidung, gut funktionierende Suchprogramme zu implementieren, ist nicht immer einfach. Man bedenke, dass Programme zur Fernadministration und Backdoor-Trojaner ähnliche Funktionsweisen haben. Wie soll also das gefährliche Programm vom „guten“ unterschieden werden?

Ein grundlegender Unterschied ist, dass Spyware-Programme selten ihre Präsenz offenbaren. Sie können als Teil anderer Komponenten auf den Computer gelangen, zum Beispiel durch Freeware-Programme. Man könnte sich auch vorstellen, dass sie unbemerkt durch einen Trojanischen Dropper oder einen Trojanischen Downloader in das System eindringen. In jedem Fall installieren sie sich unbemerkt und laufen versteckt im Hintergrund. Selbst wenn der Computerbesitzer sie bemerkt, lassen sich solche Programme nicht automatisch deinstallieren, wie dies bei legitimen Applikationen der Fall ist.

Verfügt ein Programm eindeutig über bösartige Spyware-Eigenschaften, wurde es also nach obiger Definition mit der Absicht geschrieben, eine unberechtigte, oft Schaden verursachende Aktion auszuführen. In diesem Fall übernimmt Kaspersky Lab die Signatur dieses Programms in seine Standard-Datenbanken.

Das gilt für eine Reihe verschiedener Trojaner:

  1. Backdoor-Trojaner und Trojan Spys werden entwickelt, um vertrauliche Finanzdaten zu stehlen. Wöchentlich gibt es Dutzende neue Varianten, die oft unterschiedlich in Form und Funktion sind. Einige davon registrieren Tastenanschläge (Key Logging) und schicken die Daten per E-Mail an den Autor oder Lenker des Trojaners. Die aufwändigeren Vertreter übernehmen die komplette Kontrolle über den befallenen Rechner, wobei ganze Datenströme auf entfernten Servern abgelegt werden und weitere Befehle von diesen Servern empfangen werden können. Die betroffenen Rechner werden meist in einem sogenannten „bot-Netzwerk“ miteinander verbunden. Diese riesigen Netzwerke werden zum Speichern der gestohlenen persönlichen Daten (wie Passwörter, PINs etc.) genutzt und zur Verteilung von Spam-E-Mails oder zum Start von DDos-Attacken (Distributed Denial of Service) genutzt.
  2. Trojan Proxies installieren und starten ohne Wissen des Anwenders einen Proxy Server auf dem befallenen Rechner (manchmal werden dafür Systemschwachstellen ausgenutzt). Sie öffnen anschließend einen Port auf dem befallenen Rechner, was das Versenden und Empfangen von E-Mails möglich macht. So werden die befallenen Rechner zu einer Armee von Spam–sendenden ‚Zombies“.
  3. Trojan Notifiers werden eingesetzt, um dem Urheber zu bestätigen, dass der Angriff auf einen Rechner erfolgreich war. Typischerweise leiten sie Informationen über den betroffenen Rechner, IP-Adresse, Eingangsport, E-Mail-Adresse) an den Urheber weiter.

PSW-Trojaner werden zum Durchsuchen von Systemdateien nach Passwörtern und Internetadressen entwickelt und leiten die gefundenen Daten dann über eine codierte E-Mail-Adresse innerhalb des Trojaners an den Urheber weiter. PSW-Trojaner stehlen auch andere Informationen, wie zum Beispiel Systeminformationen, IP-Adressen, Registrierungs-Details oder Passwörter für Online-Spiele. Die zahlreichen AOL-Passwortdiebe Mitte der 90er Jahre waren von Trojanern dieser Gruppe.

Wenn eine Anwendung zwar Spyware-Eigenschaften aufweist, aber nicht als Schadprogramm entwickelt wurde, dann ist seine Signatur in den „erweiterten Datenbanken“ enthalten.

Kaspersky Lab schützt seine Kunden gegen alle Arten von Spyware. Das können Programme sein, die die unberechtigte Benutzung eines Rechners ermöglichen, aber auch legitime Anwendungen, die durch Internetkriminelle missbraucht werden können. Beide verfügen über die gleiche technische Funktionsweise und fallen deshalb beide unter den Begriff Spyware. Trotzdem behandelt Kaspersky Lab sie unterschiedlich, da die Entwicklungsabsichten der Programmierer nicht identisch sind.

Die Nutzung von Spyware-Programmen zum Diebstahl vertraulicher Daten ist symptomatisch für die grundlegende Veränderung der IT-Bedrohungen: nämlich ihrer wachsenden Kommerzialisierung. Es ist gewiss, dass dieser Trend so lange anhalten wird, wie er für die Entwickler von Schadsoftware und deren Kunden finanzielle Vorteile mit sich bringt.

„Riskware“

Außer Spyware gibt es natürlich noch eine Fülle anderer Möglichkeiten in Computer einzudringen. Der „Computer-Untergrund“ ist außerordentlich kreativ, wenn es darum geht, legitime Software für seine Zwecke zu missbrauchen. Eine Definition für diesen Bereich wird kompliziert, denn die Einteilung in Kategorien hängt einzig und allein vom Einfallsreichtum der Hacker ab.

Sobald sich Internetkriminelle einer Software annehmen, die missbraucht werden kann, können sie diese ohne Wissen und Zustimmung des Besitzers auf einem Rechner platzieren und ihn steuern, ohne dass Antivirenprogramme oder andere Sicherheitssoftware darauf ansprechen. Legale Software, die geschickt für illegale Zwecke benutzt wird, kann nur sehr schwer entdeckt werden.

Hier einige Software-Arten, die gegenwärtig auf diese Weise benutzt werden können. Wichtig ist darauf hinzuweisen, dass es sich hierbei nicht um eine vollständige Liste handelt.

Das Entscheidende bei der Definition von Riskware ist nicht der Programmtyp, sondern die illegale Absicht der Internetkriminellen, die sie benutzen.

  1. Dialer, wie der Name bereits sagt, sind Programme, die dazu entwickelt worden sind, über das Computermodem automatisch bestimmte Telefonnummern anzuwählen. Sie fügen dem Computer keinen unmittelbaren Schaden zu, können für den Computerbesitzer jedoch ernsthafte finanzielle Auswirkungen mit sich bringen. Obwohl es legitime Dialer gibt, werden doch viele dieser Programme von Webseitenbesitzern eingesetzt, um den Opferrechner anzuweisen, kostenpflichtige Seiten (pay-to-view-sites) anzuwählen (meist Seiten pornografischen Inhalts). Die daraus resultierenden hohen Telefonrechnungen machen Dialer selbstverständlich zu unerwünschten „Gästen“ für Computernutzer und Netzwerkeigentümer. Es gibt zwei Arten von Dialern: Trojanische Dialer und bösartige Dialer. Trojanische Dialer werden ohne Wissen und Zustimmung des Benutzers installiert und wählen automatisch kostenpflichtige Seiten an. Bösartige Dialer hingegen informieren den Nutzer über die Verbindungen und deren Kosten. Solche Dialer können mit Hilfe von Standardverfahren deinstalliert werden. Sie werden als gefährlich eingestuft, da sie zunächst ohne Zustimmung des Anwenders installiert werden.
  2. Selbst legale Programme zum Herunterladen können gefährlich werden, da sie in der Regel im Hintergrund ablaufen, ohne dass sie dem Nutzer ein direktes Eingreifen ermöglichen. Darüber hinaus ist es für Hacker leicht, sichere Download-Sites durch manipulierte Verweise zu infizierten Quellen umzuleiten, so dass ohne Wissen des Anwenders Schadprogramme auf den betroffenen Computer heruntergeladen werden.
  3. FTP-Server ermöglichen den Zugriff auf Dateien aus dem Internet. Wird Schadcode oder ein Virus im System installiert, kann der eigene Rechner zum „FTP-Server“ werden. Dem Hacker ist es dann möglich, Dateien von dem betreffenden Rechner herunterzuladen und die Aktivitäten auf dem infizierten Computer zu verfolgen.
  4. Proxy-Server sind die zentrale Stelle eines Unternehmens, über die der gesamte Datenverkehr nach außen (Internet) abgewickelt wird. Dabei wird nur die IP-Adresse des Servers sichtbar, nicht aber die, der jeweiligen Clients. Hacker nutzen sie jedoch, um anonym ins Internet zu gelangen: Die Adresse des Proxy-Servers ersetzt in diesem Fall nämlich die wirkliche Adresse des Hackers.
  5. Telnet-Server wurden entwickelt, um einen Rechner von außen steuern zu können. Hacker benutzen sie zum Zugriff auf Computer, in die sie einbrechen.
  6. Web-Server bieten Zugang zu Webseiten, die in einem definierten Bereich der Festplatte liegen. Sie werden von Hackern dazu benutzt, den vollen Zugriff auf die Daten des angegriffenen Rechners zu erlangen.
  7. IRC-Programme ermöglichen den Zugang zu IRC-Kanälen. Einige von ihnen ( besonders mIRC) enthalten Code, um eine Automatisierung zu ermöglichen. Diese Funktion kann ausgenutzt werden, um Trojaner und IRC-Würmer zu entwickeln. Beim Installieren eines IRC-Trojaners am entsprechenden Rechner implementieren Hacker heimlich ein IRC-Programm.
  8. Monitoring-Tools sind legale Dienstprogramme, die Computer- und Anwenderaktivitäten überwachen, und es gibt eine ganze Reihe kommerzieller Dienstprogramme dieser Art. Normalerweise werden die Benutzer-Aktivitäten überwacht oder Informationen darüber an eine bestimmte E-Mail Adresse versandt. Jedoch unterscheiden sich Monitoring-Programme lediglich dadurch von Spionage-Programmen, dass sie ihre Präsenz im System nicht verstecken und sie dadurch deinstalliert werden können.
  9. PSW-Tools werden zur Wiederherstellung verlorengegangener Passwörter benutzt. Normalerweise zeigen sie die Passwortinformationen auf dem Bildschirm an oder speichern sie auf der Festplatte. Wenn jedoch Hacker am Werk sind, werden diese Informationen an den „Angreifer“ weitergeleitet.
  10. Hilfsmittel zur Fern-Administration sind legitime Komponenten, die es dem Netzwerkadministrator ermöglichen, die gesamte Kontrolle über einen Rechner auszuüben. Natürlich erlangen Hacker bei Missbrauch dieser Programme dieselbe vollständige Kontrolle über einen Rechner.
  11. „Cracker“ sind Programme, die Hacker zum Knacken verschiedener Softwareprogramme benutzen. Normalerweise haben sie keinen schädlichen Einfluss auf die installierte Software, da sie lediglich dazu verwendet werden, einen Kopier- und/oder Datenschutz in geschützten Programmen aufzuheben.
  12. Hoaxes (Falschmeldungen und absichtliche Täuschungen) verursachen keinen unmittelbaren Schaden am Rechner. Typischerweise zeigen sie falsche Warnungen oder Fehlalarm über einen imaginären Schaden an, der im Rechner aufgetreten ist oder auftreten wird. Das können Meldungen sein, dass ein Virus gefunden oder Anzeichen einer Infektion entdeckt wurde. Schaden können Hoaxes dann verursachen, wenn die Anwender angebliche Hinweise befolgen und zum Beispiel systemimmanente Dateien löschen.

Wir möchten nochmals hervorheben, dass es sich hierbei nicht um eine vollständige Aufzählung handelt und es eine Vielzahl weiterer kommerzieller Programme und Freeware gibt, die Hacker für ihre Zwecke nutzen können.

„Pornware“

Pornware ist ein bei Kaspersky Lab verwendeter Sammelbegriff, unter dem Malware zusammengefasst wird, die ohne Zustimmung des Anwenders entweder die Internetverbindung zu kostenpflichtigen Pornoseiten herstellen oder pornografische Inhalte aus dem Internet herunterladen.

Solche Programme können jedoch auch legitim als Internet-Service für Erwachsene benutzt werden, weshalb sie auch nicht mit Hilfe der Kaspersky Lab-Standarddatenbanken aufgespürt werden. Jedoch können auch sie durch Internetkriminelle missbraucht werden. Deshalb ist ihre Entdeckung mit Hilfe der erweiterten Datenbanken möglich und wird bereits durch eine wachsende Zahl von Anwendern eingesetzt.

Diese Kategorie ist eindeutig mit den vorher genannten Dialer-Programmen vergleichbar, bezeichnet aber speziell solche Programme, die für den Zugriff auf pornografische Inhalte entwickelt worden sind.

Adware

Adware (auch „AdvWare“, „SpyWare“ oder „Browser Hijackers“ genannt) dient dazu, Anzeigen auf infizierte Rechner zu platzieren und/oder die Ergebnisse von Suchmaschinen auf Werbeseiten umzu lenken. Adware ist ansonsten normalerweise im System nicht zu erkennen: Sie hinterlässt kein Icon in der Systemablage und keine Erwähnung in den Programmdateien. Adware verfügt selten über ein Deinstallationsprogramm. Versuche der manuellen Entfernung können zur Beschädigung des ursprünglichen Trägerprogramms führen.

Adware erreichte zwischen 2000 bis 2004 die Ausmaße einer Epidemie. Zum einen wurde durch die umfangreiche Nutzung von Computern in Industrieländern das Internetmarketing zum billigsten und effektivsten Kanal beim Erreichung eines breiten Publikums. Zweitens wurde Spam (E-Mail-Werbung) in vielen Ländern für rechtswidrig erklärt, was dazu führte, dass die Spammer ihre Methoden änderten. Wenn in der Zukunft Anti-Adware-Gesetze erlassen werden, wird das zu erneuten Veränderungen des elektronischen Marketings führen.

Es gibt zwei Methoden, wie Adware in Rechner eindringt.

  1. Adware-Komponenten werden in Freeware- oder Shareware-Programme integriert. In den meisten Fällen werden Adware-Komponenten automatisch deaktiviert, wenn die Software durch den Anwender gekauft oder registriert wird. Adware, die erstellt worden ist, um Banner aus dem Internet herunterzuladen, enthält in der Regel fertige Komponenten von Fremdanbietern. Diese Adware-Komponenten bleiben selbst dann im System erhalten, wenn die Werbeaktion deaktiviert worden ist. Werden solche Komponenten gelöscht, während die Werbeaktion noch läuft, kann dies zu Funktionsstörungen des Trägerprogramms führen. ‚Huckepack-Adware“ (piggyback) ist eine indirekte Gebühr für Freeware und Shareware: Der Inserent bezahlt die ‚Werbeagentur“, die wiederum den Adware-Anbieter oder -Entwickler bezahlt. Zusätzliche finanzielle Vorteile durch Adware motivieren die Entwickler von Freeware und Shareware, immer neue Versionen und Programme zu schreiben.
  2. Adware wird von infizierten Websites unbemerkt auf Rechner der User geladen. Dafür werden Hacker-Utilities verschiedenster Coleur eingesetzt. Diese Hacker-Utilities nutzen Schwachstellen von Internetbrowsern aus oder setzen Trojaner ein (Trojan Droppers oder Trojan Downloaders), um den Adware-Code herunterzuladen. Diese Art von Adware wird oft als ‚Browser Hijackers“ bezeichnet, weil solche Programme den Webbrowser untergraben, um eine Software ohne Wissen und Zustimmung des Anwenders zu installieren. Browser Hijackers können die Browser-Einstellungen verändern, sie können falsche oder unvollständige URLs umleiten oder die Standard-Webseite ändern. Sie können auch Suchläufe zu gebührenpflichtigen (oft pornografischen) Websites umleiten.

Die eigentlichen Werbematerialien selbst werden oft mit einer der folgenden Methoden geliefert:

  • Herunterladen von Werbung von Web-Servern oder FTP-Servern
  • Umleiten von Suchmaschinen-Ergebnissen auf Werbeseiten. Dies ist nur möglich, wenn die vom Anwender angewählte Seite unzugänglich ist.

Viele Adware-Komponenten sammeln Informationen über einzelne Rechner oder Anwender und leiten diese weiter: dies können IP-Adressen, Versionsnummern von Betriebssystemen und Browsern, Listen der meist besuchten Webseiten, Suchmaschinen-Anfragen und andere Informationen sein, die für die Entwicklung einer neuen Werbekampagne genutzt werden können. Aus diesem Grunde wird Adware teilweise auch als Spyware bezeichnet.

Bei Kaspersky Lab sehen wir jedoch einen Unterschied zwischen Adware und Spyware.

Es ist richtig, dass Spyware-Programme dafür geschrieben werden, um Daten von einem Computer zu sammeln und diese ohne Wissen und Zustimmung des Besitzers an Dritte weiterzuleiten. Trojan.Spies haben jedoch eher den Zweck, Finanz- und andere Informationen zu stehlen, und fungieren nicht als Werbeträger für Waren und Dienstleistungen. Das Endergebnis für den Anwender mag dasselbe sein, aber die Absicht ist eine andere.

Weitere potenziell gefährliche Programme

Die erweiterten Datenbanken von Kaspersky Lab erkennen viele verschiedene andere potenziell gefährliche Programme, die keine Viren sind. Darunter die folgenden:

  1. Programme, von denen man weiß, dass sie Systemprobleme verursachen;
  2. Schlüssel-Generatoren;
  3. Kreditkartennummern-Generatoren;
  4. Java-Klassen-Generatoren;
  5. Programme, die unerwartet Audio- und Videoeffekte erzeugen;
  6. Programme, die Sicherheitsdaten zu installierten Anti-Virus- und Firewall-Programmen sammeln;
  7. Virussimulatoren;
  8. Programme, die in Form und Inhalt ungewöhnlich sind und gefährlich sein können.

Schutz vor Spyware und anderen potenziell gefährlichen Programmen

Die Anwendung einer integrierten Sicherheitslösung, die auch vor Spyware und anderen unerwünschten Programmen schützt, ist inzwischen wesentlicher Bestandteil einer weiterreichenden Sicherheitsstrategie geworden. Kaspersky Lab’s erweiterte Datenbanken bieten eine effektive Erkennung von Programmen, die zwar keine Viren, aber potenziell gefährlich sind. Dies umfasst auch Adware, Riskware Pornware sowie Spionage-Programme (Spyware), die nicht bereits durch die Standarddatenbanken als Trojaner klassifiziert werden.

ie Funktionalitäten der Anti-Virus-Produkte von Kaspersky Lab können auch nahtlos in Produkte und Unternehmensdienstleistungen Dritter integriert werden. Erstklassige Erkennung, flexible Konfiguration und Kasperskys OEM-Partnerschaften machen die Kaspersky® Anti-Virus-Engine für Hunderte Geschäftspartner zur ersten Wahl.

Kaspersky Lab bietet nicht nur außergewöhnlich hohe Erkennungsraten. Die Expertise von Kaspersky Lab’s Anti-Virusforschern und unsere unübertroffenen stündlichen Updates garantieren eine schnelle Reaktion auf jede neue Bedrohung.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.