Malware 101: Potenziell unerwünschte Programme

Malware ist ein Kofferwort aus „Malicious Software“, d. h. bösartige Software und während die überwiegende Mehrheit der Malware tatsächlich bösartig ist, gibt es einige Arten, die eher in einer Grauzone liegen und lästig oder potenziell gefährlich sind, anstatt ausgesprochen bösartig. Ähnlich wie bei der Unterscheidung zwischen Spam und Phishing versuchen die meisten Anwender weiterhin, diese Arten von Malware mit Hilfe von Anti-Malware-Software zu blockieren (so wie auch E-Mail-Schutzsoftware in der Regel versucht, Spam zu blockieren), aber ihre Auswirkungen sind für die meisten weniger schädlich als bei anderer Malware.

Eine der allgemeineren Bezeichnungen für diese Art von Software ist PUP (potenziell unerwünschtes Programm). PUPs zeigen in der Regel verdächtige Verhaltensweisen oder wurden möglicherweise mit weniger hinterhältigen Tricks als der typische Trojaner installiert, aber sie haben nichts getan, um dem Benutzer, dem Gerät oder dem Netzwerk konkret zu schaden. PUPs können mehr Nutzungsdaten sammeln als Facebook und Google zusammen, obwohl sie es nicht speziell auf sensible Informationen abgesehen haben, wie es Spyware tun würde. PUPs können in Form einer Browser-Symbolleiste oder einer zweiten Anwendung auftreten, die mit einer Software gebündelt ist, die Sie eigentlich installieren wollten. Die wichtigste Gemeinsamkeit ist, dass die meisten Benutzer die Installation des PUPs nicht wollen würden, wenn sie alle Informationen darüber kennen würden und man sie direkt fragen würden, ob sie es haben möchten. Bei PUPs kommt es häufig zu einer Benutzertäuschung.

Adware

Adware ist ein spezifischer PUP-Typ, der häufig genug vorkommt, um einen eigenen Namen zu erhalten. Adware zeigt einem Benutzer, wie der Name schon sagt, Werbung an. Dies kann durch das direkte Öffnen von Fenstern im Betriebssystem, das Einfügen von Werbung in andere Software (z. B. die Software, die der Benutzer installieren wollte) oder durch die Kaperung der bereits auf Webseiten angezeigten Werbefläche zur Anzeige anderer Werbung geschehen.

Zwar könnte jede Software, die Werbung enthält, als Adware eingestuft werden, doch aus der Sicht der Malware ist es besonders bedenklich, wenn diese Werbung besonders aufdringlich ist oder zusätzlich eine große Menge an Nutzungsdaten sammelt. Der Ruf der verwendeten Werbenetzwerke spielt ebenfalls eine Rolle, da Werbenetzwerke ohne angemessene Sicherheits- und Inhaltsprüfung dazu führen können, dass Nutzern bösartige Werbung angezeigt wird, was wiederum zu noch gefährlicheren Malware-Angriffen führen kann.

FakeAV

FakeAV ist quasi der gefälschte COVID-19-Test der Malware: Es gibt vor, legitime Antivirus-Software zu sein. FakeAV geht oft so weit, dass es die Auswirkungen einer schwerwiegenderen Malware-Infektion auf das System nachahmt. Dabei behauptet es, ein System sei mit Malware infiziert, um den Benutzer zum Kauf einer Softwarelizenz zu bewegen und so die angebliche, nicht tatsächlich vorhandene Malware im System zu beseitigen.

Abgesehen von der Verschlechterung der Systemleistung in dieser Simulation richtet FakeAV keinen besonderen Schaden auf dem System an, auf dem es installiert ist – sein Ziel ist es vielmehr, den Benutzer zum Kauf der Software zu verleiten. Ähnlich wie bei mancher Adware sind auch bei FakeAV häufige und aufdringliche Popup-Fenster keine Seltenheit.

Hacktools

Im Gegensatz zu anderen PUPs, die nicht unbedingt etwas so Bösartiges tun wie die meisten anderen Schadprogramme, handelt es sich bei Hacktools in der Regel um bösartige Software, die von Penetrationstestern verwendet wird. Zwar sind einige Hacktools in andere Malware verpackt und werden von dieser genutzt, doch das Hacktool als solches erfordert in der Regel einen Benutzer oder ein Programm, um die bösartigen Funktionen zu aktivieren. Die Bezeichnung Hacktool hilft dabei, die Software von anderer Malware zu unterscheiden, sodass jeder, der sie wissentlich heruntergeladen und/oder installiert hat, die Warnung deaktivieren kann, während andere darüber informiert werden können, dass sich etwas potenziell Gefährliches auf ihrem Gerät befindet.

Natürlich sind Penetrationstester nicht die einzigen, die derartige Tools verwenden – sie stellen nicht einmal die größte Gruppe dar –, aber trotzdem ist es üblich, dass die Benutzer von dem Hacktool wissen und es in ihrem System haben wollen. Aus der Sicht der Netzwerkverteidigung könnte die Erkennung von Hacktools jedoch ein Hinweis darauf sein, dass ein Angreifer im System beabsichtigt, diese Tools gegen das System einzusetzen, und ist daher nicht zu ignorieren. Da viele Hacktools aus weniger seriösen Quellen stammen, ist es auch immer möglich, dass andere Malware, wie etwa eine Backdoor, im Hacktool versteckt ist.

Sich entwickelnde Ziele

Während die Arten der Infektion und die Verbreitungsmethoden in der Regel gleich bleiben, sind die Ziele und die Umgehung (womit sich der nächste Abschnitt dieser Serie beschäftigt) vielfältig und entwickeln sich ständig weiter. Ich bin mir sicher, dass es viele Ziele da draußen gibt, die nicht behandelt wurden, dies sollte jedoch die überwiegende Mehrheit der Ziele sein, bei denen es sich lohnt, jetzt schon damit vertraut zu sein.

Ähnlich wie Malware Infektionsmethoden mit Zielen und manchmal auch Verbreitungsmethoden kombiniert, werden oft Ziele selbst kombiniert, um mit derselben Malware mehrere Aufgaben zu erfüllen oder sich an eine größere Vielfalt von Systemen anzupassen. Die Ziele von Malware sind für die Angreifer das Wichtigste, doch um diese zu erreichen, müssen sie eine Vielzahl anderer Techniken anwenden und gleichzeitig Sicherheitssoftware umgehen.

Die anderen Artikel der Reihe Malware 101 finden Sie hier.