Stealth-Virus

Was ist ein Stealth-Virus?

Ein Stealth-Virus ist ein Computervirus, der verschiedene Mechanismen nutzt, um der Erkennung durch Antivirensoftware zu entgehen. Der Name leitet sich vom Begriff Stealth ab, der eine Vorgehensweise beschreibt, bei der etwas getan wird, ohne dass es bemerkt wird.

In der Regel kann sich ein Stealth-Virus in den legitimen Dateien, Partitionen oder Bootsektoren eines Computers verstecken, ohne dass die Antivirensoftware Alarm schlägt oder der Benutzer über seine Existenz informiert wird. Sobald der Virus in einen Computer eingeschleust wurde, ermöglicht er es den Angreifern, Teile des Systems oder das gesamte System zu steuern und zu kontrollieren.

Wie ein Stealth-Virus funktioniert

Ein Stealth-Virus ist eine Schadsoftware, der versucht, sich der Erkennung durch Antivirensoftware zu entziehen. Allerdings werden auch Viren, die unbemerkt bleiben, obwohl sie nicht speziell dafür entwickelt wurden, als Stealth-Viren bezeichnet. Dies geschieht manchmal, weil der Virus neu ist oder weil Benutzer ihre Antivirensoftware nicht aktualisiert haben, um die Infektion erkennen zu können.

Stealth-Viren sind keine neue Entwicklung. Brain, der erste bekannte Virus, der IBM-PCs befallen hat, war ein Stealth-Virus, der den Bootsektor einer Diskette infizierte. Brain wurde 1986 in Pakistan als Maßnahme gegen Softwarepiraterie entwickelt.

Ein Stealth-Virus verfügt üblicherweise über eine intelligente Architektur, wodurch er nur schwer aus einem Computersystem zu entfernen ist. Der Virus ist so programmiert, dass er sich selbst umbenennt und Kopien an ein anderes Laufwerk oder einen anderen Speicherort sendet, um so der Erkennung durch die Antivirensoftware des Systems zu entgehen. Die einzige Möglichkeit, ihn zu entfernen, besteht häufig darin, den Computer vollständig neu aufzusetzen.

Das Starten eines Computers von einem Wechseldatenträger, beispielsweise einem USB-Stick, verhindert, dass sich der Stealth-Virus ausbreiten kann, bevor die Antiviren- oder Antimalware-Software nach Malware sucht. Ausgefeilte, aktuelle Antivirensoftware kann das Infektionsrisiko verringern oder einen Virus beseitigen.

Arten von Stealth-Viren

Es gibt verschiedene Ausprägungen von Stealth-Viren. Die häufigsten sind die folgenden:

• Bootsektor. Diese sind nach dem Master Boot Record (MBR) benannt, den sie infizieren. Durch die Infektion des MBR ist der Bootsektorvirus bereits vor dem Laden des Betriebssystems aktiv und umgeht so viele digitale Abwehrmechanismen.
• Polymorph. Diese Viren modifizieren ihren Code bei jeder Infektion und können so der signaturbasierten Virenerkennung entgehen.
• Rootkit-basiert. Diese Viren nisten sich tief in einer Systemdatei ein, um langfristigen Zugriff zu erhalten.
• Verschlüsselt. Diese verwenden Verschlüsselungstechniken, um ihre Anwesenheit zu verschleiern, und entschlüsseln sich nur während der Ausführung.
• Metamorph. Diese Malware schreibt ihren Code vollständig um, um ihre Struktur zu ändern.

Wie ein Stealth-Virus einen Computer infiziert

Ein Stealth-Virus gelangt in der Regel über infizierte Weblinks, bösartige E-Mail-Anhänge und Downloads von Anwendungen von Drittanbietern in das System. Der Virus überlistet das System, um ein Antivirenprogramm zu umgehen, wobei er hauptsächlich zwei Methoden anwendet:

• Code-Modifikation. Um eine Erkennung zu vermeiden, modifiziert der Virus den Code und die Virensignatur jeder infizierten Datei.
• Datenverschlüsselung. Der Virus macht die betroffene Datei für den Benutzer unzugänglich oder unlesbar, indem er sie verschlüsselt und für verschiedene Dateien unterschiedliche Verschlüsselungsschlüssel verwendet.

Wenn ein Antivirenprogramm ausgeführt wird, versteckt sich ein Stealth-Virus in der Regel im Speicher und verwendet verschiedene Tricks, um alle Änderungen, die er an Dateien oder Boot-Datensätzen vorgenommen hat, zu verbergen. Er kann eine Kopie der ursprünglichen, nicht infizierten Daten aufbewahren und die Systemaktivität überwachen. Wenn ein Programm versucht, auf veränderte Daten zuzugreifen, leitet der Virus es zu einem Speicherbereich um, in dem die Originaldaten aufbewahrt werden.

Ein Antivirenprogramm sollte den Speicher des Computers und andere häufig betroffene Bereiche scannen, um versteckte Viren zu finden. Dies ist jedoch nicht immer erfolgreich, da Viren so programmiert sein können, dass sie sich vor Antivirensoftware verstecken. Dazu verbergen sie die Größe der Datei, die sie infiziert haben, entfernen sich von der infizierten Datei, kopieren sich auf ein anderes Laufwerk und ersetzen sich selbst durch eine saubere Datei.

Typische Probleme bei Angriffen durch Stealth-Viren

Wenn ein Stealth-Virus ein Computersystem infiziert, ermöglicht er Angreifern die Kontrolle über eine Vielzahl von Systemaufgaben. Im Folgenden sind einige der Probleme aufgeführt, die häufig mit Stealth-Virus-Angriffen verbunden sind:

• Plötzliche Systemabstürze.
• Lange Wartezeiten beim Neustart.
• Langsame Systemleistung.
• Unbekannte Symbole auf dem Computerbildschirm.
• Das System schaltet sich ohne Benutzereingriff ein oder aus.
• Sicherheitsprogramme funktionieren nicht mehr.
• Probleme mit Druckern.

Wie Stealth-Viren der Erkennung entgehen

Ein Stealth-Virus kann verschiedene Techniken einsetzen, um einer Erkennung zu entgehen. Zu den gängigsten gehören die folgenden:

• Verändern von Systemdateien, sodass Antivirenprogramme nicht mehr zwischen infiziertem und legitimem Code unterscheiden können.
• Stören von Sicherheits- und Erkennungssoftware durch Deaktivieren oder Manipulieren.
• Verschlüsseln oder Modifizieren von Code, um die Erkennung durch herkömmliche Antivirenmethoden zu vermeiden.
• Verstecken im Systemspeicher, sodass der Virus ohne Schreibzugriff auf die Festplatte ausgeführt werden kann.
• Abfangen und Verändern von Systemanfragen, die von Sicherheitstools gestellt werden.
• Replizieren und Verbreiten, sodass der Virus mehrere Systeme infiziert.

Geräte vor Stealth-Viren schützen

Im Folgenden finden Sie Strategien zum Schutz vor einem Stealth-Virus:

• Leistungsfähige Antivirensoftware. Ein umfassendes, aktuelles Antivirenprogramm erkennt und schützt Systeme vor Stealth-Viren und anderer Malware wie Trojanern, Würmern, Ransomware, Spyware und Adware. Moderne Antivirenprogramme verwenden eine Virensignaturstrategie, um Stealth-Viren zu erkennen und zu beseitigen. Diese Signaturen müssen regelmäßig aktualisiert werden, damit die Antivirensoftware neue Arten von Stealth-Viren erkennen und beseitigen kann.
• E-Mail-Sicherheitsmaßnahmen. Stealth-Viren können über E-Mails und E-Mail-Anhänge in ein System gelangen. Benutzer sollten keine E-Mails öffnen oder auf darin enthaltene Links klicken, wenn diese aus einer unbekannten Quelle stammen oder verdächtig erscheinen.
• Computer- und Suchhygiene. Es ist wichtig, den Besuch unbekannter Websites und solcher, die als Sicherheitsrisiko bekannt sind, zu vermeiden. Manipulierte Websites und Werbung können eine Quelle für Schadsoftware sein.

Beispiele aus der Praxis für Stealth-Viren

Stealth-Viren sind seit mehreren Jahrzehnten aktiv. Zu den bekanntesten gehören:

• Brain war der erste bekannte Stealth-Virus, der den Bootsektor von Disketten infizierte. Er tauchte 1986 auf und stellt heute keine aktive Bedrohung mehr dar.
• Chernobyl tauchte 1998 auf und stellt keine nennenswerte Bedrohung mehr dar. Er überschrieb die System-Firmware und verursachte massive Datenverluste.
• FunLove wurde erstmals 1999 entdeckt und verursacht weiterhin Probleme. Es handelt sich um einen Stealth-Virus, der Windows-Systeme infiziert, Standard-Sicherheitsmaßnahmen umgeht und sich über Netzwerkverbindungen verbreitet.
• Sality tauchte 2003 auf und stellt weiterhin eine Bedrohung dar. Es handelt sich um einen polymorphen Virus, der seinen Code verändert und gleichzeitig Antivirensoftware deaktiviert.
• ZeroAccess kam 2011 auf den Markt; Varianten des ursprünglichen Virus verursachen weiterhin Probleme. Es handelt sich um einen Rootkit-fähigen Virus, der sich tief im Betriebssystem versteckt, um ein Botnetz zu erstellen.