Glossar
Was ist Malware?

Was ist Malware?

Malware in E-Mail-Anhängen Stoppen Sie Bedrohungen frühzeitig

Definition

Malware ist ein Überbegriff für verschiedene Arten von schädlichen Programmen, die auf Endbenutzersystemen und -servern installiert werden.

Malware historisch betrachtet

Die meisten Computer-Historiker sind sich einig, dass der erste Computervirus auf das Jahr 1970 zurück geht. Der sogenannte Creeper-Wurm kopierte und verbreitete sich eigenständig innerhalb des ARPANETs (einer frühen Version des Internets). Wurde er aktiviert, erschien auf dem Bildschirm die Nachricht „Ich bin der Creeper, fang mich, wenn du kannst!“.

Der Begriff „Virus“ wurde jedoch erst ab 1986 genutzt und geht auf den Doktoranden Fred Cohen zurück. Er beschrieb einen Computervirus als ein Programm, das andere Programme infizieren und eine weiterentwickelte Version von sich selbst erstellen kann. Die meisten frühen Viren zerstörten Dateien oder infizierten Bootsektoren. Heutige Malware ist weitaus böswilliger, denn kann Daten stehlen, Unternehmen ausspionieren, einen Denial-of-Service-Angriff vorbereiten oder Dateien sperren, um die Opfer um Geld zu erpressen.

Arten von Malware

Geläufige Malware-Programme lassen sich in folgende Kategorien einteilen:

  • Ransomware: Zugang zu blockierten Dateien wird nur gegen eine Geldzahlung gewährt.
  • Backdoor: Remote-Benutzer greifen auf ein System zu und können sich möglicherweise parallel darin bewegen.
  • Banking-Trojaner: sehen Bankdaten ein oder stehlen diese, um auf Konten zuzugreifen.
  • Keylogger: protokolliert die Tastatur-Eingabe des Benutzers, insbesondere Anmeldeinformationen.
  • Stealer: stehlen Daten wie Kontakte oder Browser-Passwörter.
  • RAT: Fernzugriff-Tools für umfassende Steuerungsmöglichkeiten aus der Ferne.
  • Downloader: laden andere Malware herunter, abhängig von einer Reihe von Faktoren.
  • POS: Kompromittieren ein Verkaufsstellengerät, um Kreditkartennummern, Debitkarten- und PIN-Nummern, Transaktionshistorie etc. zu stehlen.

Raffinierte Malware kombiniert mehrere der oben genannten Arten. Häufig sehen wir auch Malware, die Ausweichtechniken anwendet, um nicht entdeckt zu werden.

Auszug aus einem Malware-Code

Abstrakter Computercode

Ausweichtechniken

Ausweichtechniken sind ein wichtiges Thema, da die Wirksamkeit von Sicherheitstools abnimmt, wenn Angreifer diese erfolgreich anwenden. Hier ist eine Auswahl beliebter Malware-Ausweichtechniken:

  • Code-Verschleierung: Anwendung von Kodierung zum Verbergen der Codesyntax.
  • Code-Komprimierung: Verwendung von Kompressionsformaten wie gzip, zip, rar etc., um die Codesyntax zu verbergen.
  • Code-Verschlüsselung: Anwendung von Verschlüsselungstechniken zum Verbergen der Codesyntax.
  • Steganographie: Code oder Programme werden in Bildern versteckt.
  • Vermeiden von bestimmten Domains oder IP-Bereichen: Identifizierung von Domains oder IPs von Sicherheitsunternehmen und Deaktivierung von Malware, wenn sie sich an diesen Standorten befindet.
  • Erkennung von Benutzeraktionen: Suchen nach Aktionen wie Rechts- oder Linksklicks, Mausbewegungen und mehr.
  • Zeitverzögerungen: Die Malware ruht für eine gewisse Zeit und wird erst dann aktiv.
  • Erkennung aktueller Dateien: Suchen nach vergangenen Aktionen wie Öffnen und Schließen von Dateien aus mehreren Anwendungen.
  • Geräte-Fingerabdrücke: Werden nur bei bestimmten Systemkonfigurationen ausgeführt.

Angreifer setzen eine oder mehrere dieser Ausweichtechniken ein, damit ihre Malware nicht entdeckt wird und nur auf von Menschen betriebenen Systemen läuft.

Malware-Statistiken

Seit den Lockdowns der Corona-Pandemie haben Malware-Autoren ihre Angriffe verstärkt, um mangelhafte Cybersicherheitspraktiken auszunutzen. AV-TEST-Forscher finden jeden Tag über 450.000 neue schädliche Programme. Während im Jahr 2013 noch etwas über 182 Millionen Malware-Anwendungen im Umlauf waren, registrierte AV-Test 2021 über 1,3 Milliarden. Prognosen zufolge soll sich die Zahl an Malware-Anwendungen 2022 verdoppeln.

Google stellt der breiten Öffentlichkeit einen Malware-Crawler zur Verfügung, der schädliche Webseiten aufspürt und deren Indexierung in Suchmaschinen blockiert. Diese „Sicher suchen“-Initiativen haben zutage gebracht, dass 7% aller Webseiten Malware hosten oder mit Malware infiziert sind. In der ersten Hälfte des Jahres 2020 wurden alleine zwanzig Millionen IoT-Malware-Angriffe entdeckt, Tendenz steigend. Symantec schätzt, dass es sich bei drei von vier infizierten IoT-Geräten um Router handelt.

Wofür wird Malware verwendet?

Hacking ist ein Geschäft, und Malware ist eines der Tools, die Hacker einsetzen, um Daten zu stehlen oder Geräte zu kontrollieren. Cyberkriminelle nutzen je nach Anwendungsfall bestimmte Arten von Malware. Beispielsweise ist Ransomware nützlich, wenn es darum geht, von Unternehmen Geld zu erpressen, wohingegen die Schadsoftware Mirai dazu dient, IoT-Geräte für einen Distributed-Denial-of-Service-(DDoS)-Angriff verfügbar zu machen.

Gründe, warum Angreifer auf Malware zurückgreifen, sind:

  • Malware kann Nutzer austricksen und dazu bringen, persönliche Daten preiszugeben.
  • Mithilfe von Malware lassen sich Finanzdaten wie Kreditkartennummern oder Bankinformationen stehlen.
  • Malware kann Angreifern Fernzugriff auf Geräte verschaffen.
  • Außerdem kann Malware dazu dienen, Computerressourcen für das Minen von Bitcoin oder anderen Kryptowährungen zu nutzen.

Wie infiziert man sich mit Malware?

Ein gutes Antivirenprogramm hindert Malware am Infizieren eines Computers, weshalb Malware-Autoren verschiedene Strategien entwickelt haben, um im Netzwerk installierte Cybersicherheitsmaßnahmen zu umgehen. Ein Nutzer kann Malware von verschiedenen Angriffsvektoren aus zum Opfer fallen.

So werden Sie Opfer von Malware:

  • Sie laden eine Installationsdatei herunter, die eine legitime Software installiert, aber die Datei enthält gleichzeitig auch Malware.
  • Sie besuchen eine Website mit einem ungeschützten Browser (z.B. Internet Explorer 6) und die Website enthält eine schadhafte Installationsdatei.
  • Sie öffnen ein schadhaftes Script in einer Phishing-Mail, das Malware lädt und installiert.
  • Sie laden eine Installationsdatei von einem inoffiziellen Anbieter herunter, die statt dem gewünschten Programm Malware installiert.
  • Sie klicken auf eine Online-Anzeige, die Sie dazu verleitet, Malware herunterzuladen.

Woran erkenne ich, dass mein Computer mit Malware infiziert ist?

Selbst wenn Malware still und heimlich im Hintergrund läuft, können Sie die Infektion dennoch am gestiegenen Ressourcenverbrauch und an einem verdächtigen Arbeitsprozess in der Anzeige aller laufenden Prozesse erkennen. Bei manchen Infektionen braucht es fortgeschrittenes Wissen, um sie zu erkennen, aber auch ohne Fachwissen können Sie auf erste Anzeichen achten und davon ausgehend weiter recherchieren.

Einige Anzeichen, dass Ihr Computer mit Malware infiziert ist, sind:

  • Ein langsamer Computer: Manche Malware wie Cryptojacker benötigen sehr viel CPU und Arbeitsspeicher. Sie erkennen dies daran, dass Ihr Computer sehr langsam läuft, auch nach Neustart.
  • Konstante Pop-ups: Adware ist plötzlich Teil des Betriebssystems oder Ihr Browser zeigt konstant Anzeigen an. Nachdem Sie eine Anzeige geschlossen haben, poppt gleich die nächste auf.
  • Blauer Bildschirm des Todes („Blue screen of death“, BSOD): Windows crasht und zeigt einen blauen Bildschirm mit einer Fehlermeldung an. Normalerweise kommt dies nur selten vor, aber wenn Sie vermehrt BSOD-Probleme haben, kann dies bedeuten, dass der Computer Malware enthält.
  • Freier Speicherplatz oder Datenverlust: Manchmal löscht Malware Dateien, wodurch plötzlich große Mengen an ungenutztem Speicherplatz frei werden. Es kann im Gegensatz dazu aber auch vorkommen, dass plötzlich mehrere Gigabyte an Daten in den Speicher geladen werden.
  • Unbekannte Internetaktivitäten: Ihr Router zeigt exzessive Internetaktivitäten an, auch wenn Sie selbst gerade nicht aktiv sind.
  • Veränderte Browsereinstellungen: Malware kann die Homepage des Browsers oder Suchmaschineneinstellungen verändern, um Sie auf Spam-Webseiten oder Webseiten mit schädlichem Code umzuleiten.
  • Das Antivirenprogramm ist deaktiviert: Manche Malware ist so programmiert, dass sie erstmal das Antivirenprogramm ausschaltet, bevor sie ihre Payload ausführt. Sie erkennen dies daran, dass sich das Antivirenprogramm immer wieder deaktiviert, selbst, nachdem sie es manuell aktiviert haben.

Können sich Smartphones mit Malware infizieren?

Bei den meisten Desktop-Computern kommt Antivirenschutz entweder von einem Drittanbieter oder ist im Betriebssystem enthalten. Bei Smartphones und Tablets sind diese Schutzmechanismen nicht standardmäßig installiert, weshalb sie für Angreifer eine perfekte Zielscheibe darstellen. Malware auf einem Smartphone zu installieren, erfreut sich unter Angreifern zunehmender Beliebtheit. Apple und Android integrieren mobile Sicherheit im Betriebssystem, aber dies reicht nicht aus, um alle Malware vollständig zu blockieren.

Auf Smartphones sind aufgrund ihrer Beliebtheit mehr persönliche Daten gespeichert als auf einem Computer. Nutzer nehmen Ihre Telefone überallhin mit, weshalb sie finanzielle Informationen, Reiseziele, GPS-Tracking, Shopping-Verläufe, Browser-Verläufe und viel mehr Informationen, die für einen Angreifer nützlich sein können, enthalten. Nutzer installieren auf ihren Smartphones viel eher Anwendungen, weil sie annehmen, dass das sicherer ist als die Installation auf dem Desktop. Alle diese Faktoren bewirken, dass Smartphones für manche Bedrohungen eine größere Angriffsfläche als Desktop-Computer bieten.

Bedrohungen nutzen aus, dass Smartphones über WLAN oder mobile Daten permanent mit dem Internet verbunden sind. Dadurch steht das Internet immer zur Verfügung. Während die Malware im Hintergrund läuft, kann sie heimlich Daten und Passwörter auf einen vom Angreifer kontrollierten Server hochladen, unabhängig davon, wo sich der Besitzer des Smartphones gerade befindet.

Malware verhindern

Individuen und Unternehmen müssen die notwendigen Maßnahmen ergreifen, um Desktop- und Mobilgeräte zu schützen. Das bedeutet, auf Computern und mobilen Geräten Antivirenprogramme zu installieren, wodurch sich die Gefahr durch Malware-Bedrohungen bereits erheblich reduziert.

Weitere Möglichkeiten zum Verhindern von Malware sind:

  • Multifaktor-Authentifizierung (MFA) mit biometrischen Daten (z.B. Fingerabdruck oder Gesichtserkennung) oder PINs über Textnachrichten.
  • Komplexe, starke Passwörter mit Regeln zur Mindestlänge, mit denen alle Nutzer gezwungen sind, effektive Passwörter zu erstellen.
  • Zwingen Sie alle Nutzer, Ihre Passwörter alle 30-45 Tage zu ändern, um die Gelegenheit für Angreifer, einen kompromittierten Account auch tatsächlich auszunutzen, zu verringern.
  • Nutzen Sie Admin-Accounts nur wenn nötig und vermeiden Sie, Drittanbieter-Software mit Admin-Rechten auszuführen.
  • Halten Sie Betriebssystem und jegliche Software stets auf dem neuesten Stand, indem Sie Sicherheitspatches sofort installieren, wenn sie verfügbar sind.
  • Installieren Sie ein Warnsystem für Kompromittierungen, Firewalls und Verschlüsselungsprotokolle für digitale Kommunikation, um das Abhören von Daten zu unterbinden.
  • Sorgen Sie für sichere E-Mails und blockieren Sie verdächtige Nachrichten oder solche, die als Phishing einzustufen sind.
  • Überwachen Sie das Unternehmensnetzwerk auf verdächtigen Traffic.
  • Schulen Sie Ihre Mitarbeiter mit Security Awareness Trainings dahingehend, dass sie schädliche E-Mails erkennen können und wissen, dass sie keine Software aus inoffiziellen Quellen installieren sollen.

Malware entfernen

Wenn Sie den Verdacht haben, dass Ihr Computer Malware enthält, müssen Sie Maßnahmen ergreifen, um diese zu entfernen. Für Unternehmensarbeitsplätze kann die Entfernung von Malware über Fernzugriff erfolgen. Dabei kommen Antivirentools für Unternehmen zum Einsatz. Für Malware, die Antivirenprogramme umgeht, müssen ggf. fortschrittlichere Entfernungsmethoden herangezogen werden.

Der erste Schritt bei der Entfernung ist immer, das Antivirenprogramm auf dem Gerät zu aktualisieren und einen Scan des gesamten Systems durchzuführen. Stellen Sie sicher, dass Ihr Antivirenprogramm aktiviert ist, bevor Sie den Scan durchführen, weil manche Malware Antivirenprogramme deaktivieren kann. Der Scan eines Computers kann mehrere Minuten in Anspruch nehmen, weshalb Sie den Scan am besten über Nacht durchführen, falls Sie das Gerät tagsüber nutzen müssen.

Sobald der Scan abgeschlossen ist, bekommen Sie einen Bericht über die Ergebnisse. Die meisten Antivirenprogramme stellen verdächtige Dateien unter Quarantäne und fragen Sie, was Sie mit ihnen anstellen wollen. Starten Sie den Computer nach dem Scan neu. Das Antivirenprogramm sollte über eine Einstellung verfügen, mit der der Computer jede Woche automatisch gescannt wird. Indem Sie Ihren Computer nach einem festgelegten Zeitplan scannen, verhindern Sie, dass sich Malware unwissentlich wieder im System breit macht.

Im schlimmsten Fall sind sie gezwungen, ein altes Image Ihres Computers zu installieren oder ihn auf die Werkseinstellungen zurückzusetzen. Mit einem Image wird alles ab einem bestimmten Speicherzeitpunkt nochmal installiert, inklusive aller Dateien. Besitzen Sie kein solches Backup, können Sie den Computer auf die Werkseinstellungen zurücksetzen. Beachten Sie dabei, dass Sie in dem Fall alle Dateien und Programme verlieren und der Computer in den Zustand zurückversetzt wird, wie Sie ihn gekauft haben.

Bei all dem ist wichtig, dass Malware vollständig entfernt wird. Wenn Sie Malware nicht vollständig aus einer Umgebung entfernen, kann es passieren, dass sie ein frisch aufgesetztes und gescanntes System reinfiziert. Um dies zu verhindern, lassen Sie Monitoring- und Datensicherheitstools jederzeit angeschaltet, und dies über alle Netzwerkressourcen hinweg. Warnsysteme prüfen das Netzwerk aktiv auf verdächtige Muster im Traffic und alarmieren Administratoren bei potenziellen Bedrohungen. Dadurch verhindern Sie proaktiv, dass Cybersicherheitsvorfälle zu Datenverletzungen ausarten.

Malware-Angriffe in Unternehmen

Malware greift Unternehmen in fast allen Branchen an. Während einige Kriminelle Malware verwenden, um ein Unternehmen direkt anzugreifen, gibt es auch Malware-Angriffe, die die normale Zustellung per E-Mail umgehen.

Unternehmen, die auf den Austausch von externen Dokumenten angewiesen sind, haben sich als gutes Ziel für Cyberkriminelle erwiesen. Da jedes Unternehmen von Menschen abhängig ist, nutzen Kriminelle die Personalabteilung, um Malware-Angriffe zu den Zielunternehmen zu leiten. Durch das direkte Hochladen oder Versenden von Lebensläufen über Rekrutierungs-Websites können die Angreifer Lebensläufe direkt an Mitarbeiter schicken und gleichzeitig einen wichtigen Erkennungsmechanismus – das sichere E-Mail-Gateway – umgehen.

Mehr erfahren
Teammeeting

Wie Proofpoint Sie schützt

Proofpoint setzt verschiedene Anti-Malware-Strategien und Infrastrukturtools ein, die Bedrohungen stoppen, bevor Sie sich in einer Umgebung installieren und diese infizieren können. Wir wenden einen vielschichtigen Cybersicherheitsansatz an, um Ihr Netzwerk zu schützen.

Einige Strategien, die Proofpoint bei der Enterprise-Sicherheit anwendet, sind:

  • E-Mail-Schutz und Quarantäne von Malware-Anhängen und Phishing.
  • Targeted Attack Protection (TAP) erkennt und blockiert Ransomware, schädliche E-Mail-Anhänge und Dokumente sowie URLs.
  • Informationsschutz und einfache Verwaltung sensibler Inhalte.
  • Verschlüsselung von Kommunikation.
  • Threat Response Auto Pull (TRAP) von potenzieller Malware, die per E-Mail ankommt oder auf einer schädlichen Website gehostet wird.
  • Threat Intelligence mithilfe einer dynamischen Bedrohungsanalyse auf Grundlage von Daten aus einer Vielzahl an Quellen.

Backdoor-Litecoin Wallet verbreitet sich über Tippfehlerdomain

Kryptowährungen werden zunehmend für Mainstream-Anwendungen eingesetzt; außerhalb der Dark-Web-Märkte, wo sie anonyme Zahlungen noch immer dominieren.

Jetzt lesen

Ovidiy Stealer: Diebstahl von Anmeldeinformationen für die breite Masse

Proofpoint-Bedrohungsforscher analysierten kürzlich Ovidiy Stealer, einen bisher undokumentierten Stealer, der offenbar hauptsächlich in den russischsprachigen Regionen vermarktet wird.

Jetzt lesen

Bedrohungsakteur entführt Chrome-Erweiterung

Chrome-Erweiterungen können leistungsstarke Funktionen zum Chrome-Browser hinzufügen, von der einfacheren Veröffentlichung von Inhalten in sozialen Medien bis hin zu integrierten Entwicklertools.

Jetzt lesen

Der Faktor Mensch 2021

Während die weltweite Pandemie 2020 die beruflichen und privaten Abläufe auf den Kopf stellte, sahen die Cyberangreifer ihre Chance gekommen. Erfahren Sie im Detail, wie diese außergewöhnlichen Zeiten die Bedrohungslandschaft verändert haben – und was das für das kommende Jahr bedeutet.

Jetzt lesen

Was ist Ransomware?

Erfahren Sie wie Proofpoint Ihrem Unternehmen helfen kann, einen effektiven Schutz gegen Ransomware, Verschlüsselungs-Trojanern und weiteren Bedrohungen aufzubauen.

Jetzt lesen

Webinar: Ransomware-Angriffe aus der Cloud

Nehmen Sie an diesem Webinar teil, in dem die Cybersecurity-Experten von Proofpoint Ihnen aufzeigen, wie Ransomware-Angriffe aus der Cloud zu einer bewährten Methode von Cyberkriminellen geworden sind und was Sie unternehmen sollten, um Ihre Cloud-Umgebung zu schützen.

Jetzt lesen

Was ist ein Botnet?

Botnets sind eine der größten Gefahren für das Internet. Erfahren Sie, wie sie genau funktionieren und wie Sie sich schützen können mit Proofpoint.

Jetzt lesen

Automatisierte IT-Sicherheit mit Proofpoint Threat Response

Threat Response von Proofpoint ermöglicht eine schnelle, automatisierte Reaktion auf Online-Bedrohungen. Sichern Sie jetzt Ihre IT!

Jetzt lesen
Previous Glossary
Next Glossary