Die Evolution der Malware-Entwicklung

Vor mehr als 20 Jahren tauchte der erste Virus auf einem Computer auf. Seither haben sich die Malware-Bedrohungen radikal verändert. Heute sind sie komplexer denn je. silicon.de wirft einen Blick auf die Entwicklung von Trojanern, Exploits, Rootkits, Phishing-Mails sowie Spam und Spyware.

Würmer

Melissa ist aus zwei Gründen ein bemerkenswerter Virus. Zum einen verursachte er eine der letzten und umfangreichsten Makrovirus-Epidemien. Andererseits zeigte Melissa, dass Würmer – und insbesondere E-Mail-Würmer – künftig eine dominierende Rolle spielen könnten. Anstatt Dateien innerhalb eines Rechners zu infizieren, nutzt der Wurm Netzwerkverbindungen oder das Internet, um sich selbst zu reproduzieren. Mit dem erneuten Auftauchen des Wurms verwendeten Malware-Autoren auch wieder ausführbare Dateien, um Virenepidemien auszulösen. E-Mail-Würmer kursierten in den verschiedensten Varianten. Sie verbreiteten sich ebenso wie der erste moderne E-Mail-Wurm ‘Happy99’ über ausführbare Dateien oder HTML-Seiten samt integriertem Script. Wiederum andere Würmer verbargen sich in E-Mail-Anhängen, die in Visual Basic oder Java Script verfasst wurden. Alle Varianten verbreiteten sich jedoch über E-Mails und nutzen üblicherweise Social-Engineering-Techniken, um naive Anwender zum Ausführen des schädlichen Codes zu bewegen.

Neben E-Mail-Würmern gab es auch andere Wurm-Typen. In Gestalt des “dateilosen” Schädlings ‘CodeRed’ erschien im Juli 2001 der Internet-Wurm auf der Bildfläche. Im Gegensatz zu allen vormals bekannten Malware-Typen schrieb sich der Wurmcode ausschließlich in den Arbeitsspeicher und infizierte keine Dateien. CodeRed nutzte eine Sicherheitslücke im Microsoft IIS Server aus, um Windows 2000 Server anzugreifen. Innerhalb von Stunden jagte der Wurm durchs Internet und war damit vermutlich schneller als irgendein Schadprogramm vor ihm. Der Erfolg von CodeRed ließ allerdings vermuten, dass weitere derartige Vorfälle folgen würden. Schon einige Monate später trat genau das ein. Im September 2001 nutzte der Virus ‘Nimda’ eine Sicherheitslücke im Internet Explorer aus und verursachte damit eine weitere weltweite Epidemie. Nimda infizierte zwar Dateien, war jedoch anders als frühere Mass-Mailing-Bedrohungen nicht auf die Mitarbeit des Anwenders angewiesen. Vielmehr startete sich der Schädling über eine Browser-Schwachstelle auf verwundbaren Systemen selbst.

Missbrauch von Sicherheitslücken

In den folgenden Jahren nutzen Malware-Autoren ebenso dankbar wie regelmäßig Sicherheitslücken in Programmen und Betriebssystemen aus. Solche Angriffsarten wurden bis dahin eher Hackern als Virenschreibern zugeordnet. Die Kombination aus traditionellen Malware-Techniken und Hacker-Attacken ist ein weiterer Entwicklungsschritt in der Malware-Historie.
Einige Schädlinge wie etwa die Internet-Würmer ‘Lovesan’, ‘Welchia’ und ‘Sasser’ kamen komplett ohne die üblichen Virentechniken aus. Sie verfügten weder über eine Mass-Mailing-Komponente noch benötigten sie eine Starthilfe durch den Anwender.

Diese Malware-Typen verbreiteten sich über das Internet mittels Exploits direkt von einem Computer zum nächsten. Viele nachfolgende und im Sinne der Virenautoren erfolgreiche Schädlinge bedienten sich mehrerer Angriffsmechanismen gleichzeitig und konnten sich über Sicherheitslücken selbst ausführen. Die Zeitspanne zwischen dem Erscheinungstermin eines Virus und der von ihm ausgelösten Epidemie verkürzte sich dadurch dramatisch. Malware verbreitete sich weltweit innerhalb von Stunden und damit so rasant wie noch nie zuvor. Dazu kam ihnen die E-Mail-Infrastruktur ebenso zugute wie die zunehmende Zahl von Sicherheitslücken.