Begriff
Malware
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Malware ist der Oberbegriff für jede Art von böser Software ("Malicious Software"). Viele Leute sagen einfach "Virus", aber ein Virus ist nur eine Art von Malware. Das Ziel von Malware ist immer Schaden:
- Daten stehlen (Passwörter).
- Geld erpressen.
- Computer zerstören oder fernsteuern.
Merksatz: Sammelbegriff für alle schädlichen Programme, die einem Computer oder Nutzer schaden wollen.
Die "Big 3" der Malware-Familie:
- Virus: Ein Programm, das sich selbst kopiert und an andere Dateien anhängt ("infiziert"), wie ein biologischer Virus. Braucht einen Wirt (eine Datei).
- Trojaner: Tarnt sich als nützliches Programm ("Gratis Screensaver!"). Du installierst es freiwillig. Aber im Hintergrund öffnet es eine Hintertür für Hacker. Benannt nach dem Trojanischen Pferd.
- Ransomware: Der Albtraum jeder Firma. Verschlüsselt alle deine Daten und zeigt einen roten Bildschirm: "Zahle 1 Bitcoin, oder alles ist weg." (Erpressung).
1. Rootkits
Die Königsklasse der Tarnung. Ein Rootkit nistet sich tief im Betriebssystem (oder sogar Kernel) ein. Wenn der Task-Manager fragt: "Welche Prozesse laufen?", fängt das Rootkit die Frage ab und löscht sich selbst aus der Antwortliste. Für den Nutzer (und oft den Antivirus) ist es unsichtbar.
2. Botnets
Moderne Malware will deinen PC oft gar nicht kaputt machen. Sie will ihn versklaven. Dein PC wird Teil eines "Botnetzes" (Zombie-Armee). Der Hacker ("Bot-Herder") befiehlt tausenden infizierten PCs gleichzeitig: "Greift jetzt alle amazon.com an!" (DDoS-Attacke). Du merkst davon nichts, außer dass dein PC etwas langsamer ist.
3. Polymorphe Malware
Virenscanner suchen nach festen Mustern (Signaturen). Polymorphe Malware ändert bei jeder Infektion ihren eigenen Code (sie verschlüsselt sich selbst anders). Damit sieht die Datei jedes Mal anders aus, obwohl sie das Gleiche tut. extrem schwer zu fangen.
1. API Hooking und das Versteckspiel im Kernel
Ein moderner Trojaner liest keine Dateien stumpf von der Festplatte. Er injiziert sich aktiv in laufende Prozesse (svchost.exe).
Er betreibt API Hooking. Er manipuliert (patched) im RAM die Kerndateien der Windows-API (ntdll.dll).
Ruft der legitime Browser die Windows-Funktion CreateProcess (um einen Tab zu starten) auf, leitet der gehookte Pointer den Aufruf tief in den eigenen Malware-Code um. Die Malware initiiert dort im Hintergrund einen Cryptominer, bevor sie die Kontrolle wieder gnädig an den echten Browser-Prozess zurückgibt. Der Antivirus (sofern nicht EDR) ist machtlos, da die Aktion aus einer sauberen System-Exe zu stammen scheint.
2. Ransomware: Asymmetric Cryptography (Hybrid)
Ransomware zerstört keine Dateien, sie nutzt legitime Verschlüsselung auf perfide Weise. Man nutzt das Hybrid-Modell: Der Trojaner generiert einen rasend schnellen symmetrischen AES-256 Key lokal im RAM und verschlüsselt damit in Minuten 5 Terabyte Firmendaten. Das Problem für den Hacker: Steht der AES-Key noch im Text in der Malware, können Forscher ihn extrahieren. Die Genialität: Die Ransomware hat den asymmetrischen RSA Public Key des Hackers hartcodiert an Bord. Sie verschlüsselt den lokalen AES-Key mit diesem Public Key, hängt das verschlüsselte Paket an die Erpresser-Note an, und vernichtet den AES-Key massiv im RAM ("Wiping"). Nur der Hacker besitzt den zugehörigen Private RSA-Key auf seinem russischen Server, um überhaupt wieder an den AES-Key zu drüfen. Das Opfer ist physikalisch schachmatt.
3. Fileless Malware und "Living off the Land" (LotL)
Der dümmste Hacker speichert seine "virus.exe" auf dem Desktop. Sie wird im Sec-Skimming vom Antivirus am File-Hash gelöscht.
Die Elite operiert Fileless (ohne Datei).
Ein Word-Makro-Klick läutet die Attacke ein. Das Makro startet die legitime Windows PowerShell (LotL - Nutze das Werkzeug des Opfers). Die gepanzerte Powershell lädt sich den schädlichen C#-Code direkt als String komplett in den Arbeitsspeicher (RAM) der svchost.exe herunter und kompiliert und führt ihn dort on the fly aus (Reflection). Es wird niemals etwas auf die Festplatte (C:\) geschrieben. Rebootet man den Server schreckhaft, ist die RAM-Malware "weg". Das macht Forensik bei Incident Responses enorm komplex.
Quick-Check
Ist ein "Wurm" (Worm) auch Malware?
Ja. Ein Wurm ist besonders gefährlich, weil er keinen Menschen braucht. Er kriecht selbstständig durchs Netzwerk. Ein Virus braucht dich (Datei öffnen), ein Wurm nicht.Habe ich Malware, wenn mein PC langsam ist?
Nicht unbedingt. Oft ist es nur ein volles Laufwerk oder zu viele offene Programme. Aber es kann ein Hinweis auf ein Botnet oder Mining-Malware (Krypto schürfen) sein.Was ist "Spyware"?
Malware, die leise im Hintergrund alles mitschreibt ("Keylogger"), was du tippst (auch Passwörter), und es an den Hacker sendet.