Ein alternativer Ansatz zur Klassifizierung entdeckter Objekte
Um Trends in der Evolution von Schadprogrammen sehen zu können, nutzt Kaspersky Lab auch ein alternatives Klassifizierungssystem.
Ständig tauchen neue Bedrohungen auf und erfolgreiche Betrugsmaschen entwickeln sich weiter. Aus diesem Grund ist es oft notwendig, in den Gruppen der entdeckten Objekte Untergruppen auszumachen, die die wichtigsten und gefährlichsten Trends in der Schadprogrammentwicklung abdecken.
Die oben beschriebene Klassifizierung für Würmer und Viren basiert auf deren Verbreitungsmethoden, während andere schädliche Programme nach ihren Aktionen klassifiziert werden. Diese Charakteristiken sind jedoch nicht immer ausreichend, um Trends in der Schadprogramm-Evolution zu identifizieren. Deshalb werden zusätzliche Faktoren zur Klassifizierung von Objekten herangezogen. Dieser alternative Ansatz hilft dabei, das nötige Verhalten in einer breiten Vielfalt entdeckter Objekte zu identifizieren und diese in Kategorien gruppieren zu können.
Kaspersky Lab und viele andere Antivirus-Hersteller verwenden die folgenden Kategorien, um einige der verbreitetsten, hartnäckigsten und gefährlichsten aktuellen Trends zu kategorisieren:
- Crimeware
- Spyware
- Ransomware
- Bot-Clients
Diese Kategorien werden im Folgenden erklärt:
Crimeware
Crimeware bezeichnet schädliche Programme, die extra dafür entwickelt wurden, Finanzverbrechen zu begehen.
Böswillige Anwender haben Hunderte verschiedener Programme geschrieben, die in diese Kategorie fallen. Das können Programme sein, die das Öffnen eines Verbindungsfensters mit einem Banksystem überwachen, um alle vertraulichen Daten abzufangen, die in diesem Fenster eingegeben werden, oder aber Programme, die den Inhalt der Zwischenablage kopieren, wenn eine Verbindung mit einem E-Payment-System aufgebaut wird. Im letzteren Fall muss der Täter nicht einmal viel selbst machen – denn sehr oft geben Anwender ihr Passwort nicht manuell ein, sondern kopieren es aus der Zwischenablage von einem anderen Ort, an dem das Passwort gespeichert wurde.
Der Fantasie Cyberkrimineller sind keine Grenzen gesetzt und sie erfinden laufend neue und noch anspruchsvollere Möglichkeiten, Zugriff auf die Konten der Anwender zu bekommen.
Beispiele für solche Schadprogramme sind Trojan-Spy.Win32.Goldun und Trojan-Spy.Win32.Webmoner, sowie viele andere, inklusive aller Trojan-Banker-Programme.
Trojan-Banker und Trojan Spy sind die vorherrschenden Verhaltensmuster in der Crimeware-Kategorie. Doch gemäß unserer Grafik und den Klassifizierungsregeln für entdeckte Objekte mit mehreren Funktionen, haben auch die folgenden Verhaltensweisen Funktionen, die für Finanzverbrechen verwendet werden können (auch wenn sie viel seltener zum Einsatz kommen als Trojan-Banker und Trojan-Spy): Trojan, Backdoor, Virus, IM-Worm, P2P-Worm, IRC-Worm, Worm, Email-Worm und Net-Worm.
Crimeware ist eine Untergruppe der Schadprogramm-Klasse und kann sich mit anderen Untergruppen/Kategorien schädlicher Programme überschneiden.
Spyware
Spyware bezeichnet Schadprogramme, die verwendet werden, um die Aktionen des Anwenders mitzuschneiden und/oder Daten ohne Wissen des Anwenders zu sammeln.
Dazu gehören Keylogger, die alle Tastatureingaben aufzeichnen und diese dann an den Täter schicken, oder Programme, die E-Mail-Adressen vom Computer sammeln, ohne dass der Anwender es bemerkt, und diese dann an Spammer und andere Kriminelle weitergibt.
Beispiel für Spyware sind unter anderem Trojan-Spy.Win32.Keylogger, Trojan-PSW.Win32.PdPinch und viele andere. Programme, die Verhaltensweisen von Trojan-Spy und Trojan-PSW zeigen, werden als Spyware eingestuft, genau wie alle Programme, die als Trojan-GameThief, Trojan-IM, Trojan-Mailfinder, Trojan-Banker und Trojan-Notifier klassifiziert werden.
Und auch wenn Trojan-Banker als Crimeware eingestuft werden, könnten sie doch auch als Spyware klassifiziert werden, da sie auch dieses Verhalten zeigen und Daten über das Opfer sammeln. In diesem Fall haben wir die typische Überschneidung zwischen den Untergruppen Crimeware und Spyware.
Trojan-Notifier werden ebenfalls als Spyware klassifiziert, da sie heimlich ihren „Meister“ informieren, wenn der Opfer-Computer mit einem Netzwerk verbunden wird.
Laut den Klassifizierungsregeln für entdeckte Objekte mit mehreren Funktionen, kann die Kategorie Spyware auch Programme abdecken, die die oben genannten Verhaltensweisen zeigen, zum Beispiel Trojaner, Backdoors, Viren, IM-Worms, P2P-Worms, IRC-Worms, Würmer, Email-Worms und Net-Worms.
Hinweis: Anders als bei vielen Antivirus-Herstellern, enthält die Spyware-Kategorie bei Kaspersky Lab keine Adware-Programme, selbst wenn Adware verwendet wird, um Nutzerdaten für die Marktforschung zu sammeln. Wir sind der Meinung, dass diese Art schädlicher Programme keine Spyware ist, da sie die Daten über den Anwender mit dessen Einverständnis sammeln. Probleme gibt es dann, wenn der Anwender die Lizenzbedingungen nicht genau liest, in denen die Erlaubnis zum Datensammeln oft nebenbei anstatt direkt erwähnt wird. Natürlich schreiben die Hersteller solcher Programme die Lizenzbedingungen absichtlich auf diese Art, doch der Anwender wird damit eigentlich vorgewarnt, dass seine Daten gesammelt werden.
Jedes schädliche Programm, das Aktionen durchführt, die in die Kategorie Spyware fallen, werden von Kaspersky Lab eindeutig als schädlich (nicht Adware/Riskware!) gekennzeichnet und in die Schadprogramm-Gruppe aufgenommen.
Ransomware
Die Kategorie Ransomware bezeichnet Schadprogramme, die den Zugriff auf Daten blockieren oder die Arbeit des Computers stören. Sie werden ohne Zustimmung des Anwenders installiert und die Cyberkriminellen verwenden sie, um Lösegeld zu erpressen.
Beispiele für Ransomware sind unter anderem die Familien Trojan-Ransom.Win32.Gpcode und Trojan-Ransom.Win32.Krotten. Gpcode verschlüsselt Dateien und zielt vor allem auf Daten, die für den Anwender am wichtigsten sind (Dokumente, Datenbanken usw.). Nach der Verschlüsselung wird eine Nachricht angezeigt, die darlegt, wen der Anwender für „Hilfe“ beim Wiederherstellen der Daten kontaktieren muss. Der Trojaner Krotten modifiziert die System-Registry und macht es unmöglich, den Computer zu verwenden. Erst, wenn ein Lösegeld bezahlt wurde, kann der Computer wieder normal genutzt werden.
In der Kategorie Ransomware sind vor allem Programme zu finden, die das typische Trojan-Ransom-Verhalten zeigen, doch nach den Klassifizierungsregeln für die Einstufung von Objekten mit mehreren Funktionen, können auch Programm mit den folgenden, höher eingestuften Bedrohungsverhaltensweisen als Ransomware kategorisiert werden: Trojaner, Backdoors, Viren, IM-Worms, P2P-Worms, IRC-Worms, Würmer, Email-Worms und Net-Worms.
Bot-Clients
Die Gruppe Bot-Clients enthält schädliche Programme, die infizierte Computer in Bot-Netzen (Bot-Netzwerke, auch Zombie-Netzwerke) zusammenfassen. Damit erhalten die Täter zentrale Kontrolle über alle infizierten Computer, ohne dass die Anwender es wissen. Botnetze können zum Beispiel massenhaft Spam-Mails versenden oder DDoS-Attacken durchführen.
Diese Kategorie enthält vor allem Programme, die Backdoor-Verhalten zeigen, doch nach den Klassifizierungsregeln für die Einstufung von Objekten mit mehreren Funktionen, können auch Programm mit den folgenden, höher eingestuften Verhaltensweisen in diese Kategorie fallen: Viren, IM-Worms, P2P-Worms, IRC-Worms, Würmer, Email-Worms und Net-Worms. Würmer haben sogar recht oft Funktionen, die die infizierten Computer in ein Botnetz einfügen.