Computerwürmer sind deswegen so einzigartig und tückisch, weil sie eigenständig handeln und sich nach der Infektion eines PCs selbstständig replizieren und über das gesamte Netzwerk weiterverbreiten können. Erfahren Sie hier mehr über die älteste Malware-Art überhaupt und wie Sie sich vor Computerwurm-Attacken schützen können – zum Beispiel mit der All-in-One-Schutzlösung Avira Free Security, die viel mehr als nur einen Malware-Schutz enthält.
Was ist ein Computerwurm und wie funktioniert er?
Computerwürmer sind die älteste Malware-Art überhaupt und verdanken ihren Namen ihrer Art, sich fortzubewegen bzw. zu verbreiten. Denn wie sein biologischer Namensvetter durchs Erdreich, kriecht ein Computerwurm quasi durchs Netzwerk, um weitere Systeme zu befallen.
Bei einem Computerwurm handelt es sich um ein Schadprogramm (Computerprogramm oder Skript), das sich – im Gegensatz zu anderer Schadsoftware wie einem Virus – selbst replizieren und völlig autark durch die digitale Welt bewegen kann. Um sich selbst zu vervielfältigen, erstellt ein PC-Wurm Kopien von sich selbst und verbreitet diese über Netzwerk- und Internetverbindungen, häufig in rasender Geschwindigkeit.
Neben Computerviren sind Computerwürmer die wahrscheinlich bekannteste Malware-Art. Sie teilen zwar die Gemeinsamkeit, sich auf Computern zu verbreiten, jedoch benötigen Würmer im Unterschied zu Viren keine Wirts- bzw. Host-Datei. Sie müssen nicht in eine ausführbare Datei eingebettet sein, um sich zu replizieren und zu verbreiten und sind auch nicht auf eine Interaktion mit dem Anwender angewiesen.
Ein Wurm kann also per se eigenständig agieren und muss nicht erst vom Nutzer aktiviert werden. Sobald er auf einen PC gelangt ist, wird er automatisch ausgeführt und nistet sich unbemerkt im Zielsystem ein. Dann macht sich der Wurm auf die Suche nach Schwachstellen, wie zum Beispiel Sicherheitslücken in Programmen, Betriebssystemen oder Netzwerkdiensten, um sich auf andere Systeme zu verbreiten und dort sein Werk von Neuem zu beginnen. Da jeder infizierte PC als Quelle für weitere Wurm-Infektionen dient, kann sich ein Wurm schnell exponentiell verbreiten und die Netzwerke stark belasten, was eine großangelegte Wurm-Attacke so gefährlich macht.
Obwohl Computerwürmer per definitionem keine Wirtsdatei benötigen, können sie dennoch Dateien oder Programme als Transportmittel verwenden, um sich initial zu verbreiten, und zum Beispiel in einem E-Mail-Anhang versteckt auf die Reise gehen. In diesem Fall brauchen sie zur Aktivierung durchaus die Hilfe des Nutzers, der die E-Mail oder den E-Mail-Anhang öffnen oder ihn herunterladen muss.
Zudem können Computerwürmer auch Hilfsprogramme mitführen, um ihre Anwesenheit zu verschleiern oder das System auf ausnutzbare Schwachstellen zu scannen. Zur besseren Verbreitung nutzen sie auch häufig Tools, um durch Passwörter geschützte Systeme, Anwendungen oder Konten zu knacken und so Zugangsbeschränkungen zu umgehen. Ein PC-Wurm kann auch Exploit-Frameworks verwenden, um Sicherheitslücken auszunutzen, oder mithilfe von Port-Scannern das Internet nach verwundbaren IP-Adressen durchsuchen, um sich über offene Ports von nicht gesicherten Diensten Zugang zu verschaffen.
Obwohl sich Computerwürmer ursprünglich nur verbreiten und zum Beispiel Sicherheitslücken in Betriebssystemen ausfindig machen sollten, können sie mittlerweile auch als Träger für andere Malware wie Viren, Ransomware oder Spyware genutzt werden. In diesem Fall hat der Wurm eine „Payload“ genannte schädliche Nutzlast im Gepäck. Würmer können auch eine sogenannte Backdoor (Hintertür) einrichten, die später von anderen Schadprogrammen ausgenutzt werden kann.
Doch selbst ohne Payload kann ein Computerwurm Systeme durch seinen hohen Ressourcenverbrauch ausbremsen oder sogar komplett lahmlegen.
Die Anfänge der Computerwürmer: Creeper, Reaper und der Morris-Wurm
Als die Computerwürmer ihren Anfang nahmen, wurden sie noch nicht als solche bezeichnet. Der Name etablierte sich erst Jahre später und könnte auch mit einem Cyberpunk-Roman aus dem Jahr 1975 in Verbindung stehen. In diesem wird sich selbst replizierende Software beschrieben, die sich über Netzwerke verbreitet und als Wurm bezeichnet wird.
Der erste bekannte Computerwurm, der sich unkontrolliert ausbreitete, war „Creeper“. Anfang der 70er Jahre verbreitete er sich im Vorläufer des heutigen Internets, im sogenannten ARPANET, das aus einem Computernetzwerk bestand. Der ARPANET-Entwickler Bob Thomas experimentierte für einen Sicherheitstest mit einem Programm, um herauszufinden, ob ein sich selbst replizierendes Programm möglich ist. Er setzte es fahrlässig im Firmennetzwerk frei, von wo aus es sich verbreitete und schließlich außer Kontrolle geriet.
Der zweite Computerwurm namens „Reaper“ wurde einige Monate vom späteren Erfinder der E-Mail, Roy Tomlinson, programmiert, um Creeper aufzuspüren und zu löschen. Innerhalb kürzester Zeit entstand also nicht nur die erste Malware-Art, sondern mit dem „Helpful Worm“, einem sogenannten Nematoden, auch das erste Programm zur Malware-Bekämpfung.
Der erste Computerwurm, der sich über das noch junge und vergleichsweise winzige Internet verbreitete, war der „Morris-Wurm“, der im Jahr 1988 durch den Studenten Robert T. Morris losgelassen wurde. Der Wurm sollte eigentlich nur zählen, wie viele Rechner ans Internet angeschlossen waren, infizierte durch einen Programmierfehler jedoch rund 10 % der ca. 60.000 Rechner – und das auch nur, weil er ausschließlich eine bestimmte Betriebssystem-Variante angreifen konnte, die mehrere Sicherheitslücken aufwies. Er verursachte hohe Schäden durch Netzwerküberlastungen und Überlastung der betroffenen PCs, darunter Universitätscomputer und Computer von militärischen Einrichtungen.
Computerwürmer-Arten und Verbreitungswege
Früher gelangten Würmer über infizierte Disketten auf einen Computer. Zwar können auch heute noch Wechseldatenträger wie USB-Sticks oder externe Festplatten zum Einsatz kommen, allerdings werden eher elektronische Infektionsmethoden und Verbreitungswege genutzt. Ein Computerwurm wird in den meisten Fällen durch Social Engineering-Methoden, wie zum Beispiel Phishing-Angriffe, oder durch Malvertising auf einen Computer und so in Umlauf gebracht.
Kleiner Tipp: Mit einem Browserschutz können Sie sich besser vor Phishing-Seiten und schädlichen Werbeanzeigen, die mit Computerwürmern oder anderer Malware infiziert sind, schützen.
Wie bereits beschrieben, gibt es Würmer, die sich selbstständig aktivieren können, und Würmer, die manuell ausgeführt werden müssen. Das bedeutet, dass der Nutzer zur Aktivierung eine bestimmte Aktion durchführen muss, wie zum Beispiel das Öffnen einer infizierten Datei oder das Ausführen eines infizierten Programms. Sobald der Wurm aktiviert wird, beginnt er mit der Replikation und Verbreitung auf dem infizierten Computer sowie möglicherweise auch auf andere Systeme im Netzwerk.
Computerwurm-Arten nach initialem Verbreitungsweg (Angriffsvektor):
- Internet-/Netzwerkwürmer: Diese Würmer interagieren nicht mit den Anwendern, sondern nutzen Schwachstellen auf Computern und anderen Netzwerkgeräten wie Routern oder Servern aus und verbreiten sich über private oder öffentliche Netzwerke wie das Internet.
- E-Mail-Würmer: Bei dieser Verbreitungsart befindet sich der Wurm im E-Mail-Anhang, verbirgt sich hinter einem infizierten Link oder führt auf eine infizierte Webseite. Beim Besuch dieser Seite wird der Wurm entweder automatisch durch einen Drive-by-Download oder aktiv durch den Nutzer heruntergeladen. Um ihn dazu zu verleiten, tarnt sich der Wurm oft als vermeintlich nützliche Datei oder Software.
- Instant-Messaging-Würmer: In diesem Fall werden die schädlichen Links über Textnachrichten in Messenger-Diensten wie WhatsApp oder Skype verbreitet.
- Filesharing-/P2P-Würmer: Computerwürmer können sich auch in beliebten Dateien in P2P-Netzwerken verbergen oder deren Kommunikationsprotokolle nutzen, um sich zu verbreiten.
Mögliche Auswirkungen von Computerwürmern
Häufig führen Würmer auf dem PC keine schädlichen Aktionen aus, sondern wollen sich in erster Linie weiterverbreiten und verbrauchen dabei „nur“ Rechenleistung und Speicherplatz. Daher lässt sich eine Computerwurm-Infektion oft daran erkennen, dass der PC langsamer wird, nicht mehr reagiert, häufig abstürzt oder plötzlich nur noch wenig Speicherplatz zur Verfügung steht.
Enthält ein Computerwurm jedoch einen Payload, kann es zu schwerwiegenderen Schäden kommen, die sich je nach mitgeführter Malware-Art durch verschiedene Symptome äußern können.
Das können Computerwürmer unter anderem machen:
- Systeme durch einen hohen Ressourcenverbrauch überlasten (Morris-Wurm)
- Einen enormen Netzwerkverkehr verursachen und durch die Bandbreitenüberlastung Internetdienste und Netzwerkverbindungen beeinträchtigen (Morris-Wurm, SLQ Slammer-Wurm)
- Festplatten oder Dateien beschädigen, überschreiben oder löschen (ILOVEYOU-Wurm)
- Passwörter und Zugangsdaten von E-Mail-Konten, sozialen Netzwerken und anderen Online-Diensten stehlen (ILOVEYOU-Wurm)
- Automatisch E-Mails mit infizierten Anhängen oder Links generieren, um Wurm-Kopien an alle Kontakte aus dem Adressbuch des infizierten PCs oder an zufällig generierte oder vorher festgelegt E-Mail-Adressen zu schicken (ILOVEYOU-Wurm)
- Computer oder vernetzte Geräte zu einem Botnet hinzufügen, um es für DDoS-Angriffe (Mydoom- & Code Red-Wurm) oder zum Kryptomining zu nutzen (NoaBot-Wurm) oder massenhaft Spam zu versenden (Storm-Wurm)
- Erpresserische Ransomware installieren und Dateien verschlüsseln (WannaCry-Ransomware mit Wurmfunktion)
- Tastaturanschläge aufzeichnen und verschicken (Regin-Wurm)
Es gibt heutzutage auch häufig modulare Malware mit Wurmkomponente, wie zum Beispiel das hochgefährliche Emotet-Schadprogramm, bei dem es sich ursprünglich um einen Banking-Trojaner handelte und das sich immer weiterentwickelte. Es konnte Online-Banking-Daten ausspähen, Zugangsdaten aus Webbrowsern, E-Mail-Programmen und weiteren Anwendungen auslesen, Spam an alle Outlook-Kontakte versenden, DDos-Angriffe durchführen und eine Backdoor installieren. Durch diese wurde schließlich das ebenfalls modulare Schadprogramm Trickbot und die Ransomware-Variante Ryuk eingeschleust. Ryuk verschlüsselte die zuvor von Trickbot ausspionierten und als sensibel bzw. wichtig eingestuften Daten.
Wie kann man sich vor Computerwürmern schützen?
Da eine Firewall Schutz vor schädlicher Software bietet, die über Netzwerkverbindungen übertragen wird, sollte sie unbedingt permanent aktiviert sein und sich auf dem neuesten Stand befinden. Neben generellen Vorsichtsmaßnahmen, wie zum Beispiel beim Öffnen von E-Mail-Anhängen und Download von Programmen, empfiehlt sich zudem die Nutzung eines Virenschutzes. Er kann Ihnen dabei helfen, Computerwürmer besser zu erkennen, zu stoppen und gegebenenfalls auch zu entfernen.
Avira Free Security enthält nicht nur einen Echtzeitschutz, mit dem Sie sich besser vor Computerwürmern, Computerviren und anderen Malware-Arten schützen können, sondern auch einen Browserschutz. Dieser hilft Ihnen, infizierte Werbeanzeigen und Webseiten wie Phishing-Seiten zu blockieren und so eine Wurm-Attacke zu verhindern.
Zudem ist es wichtig, die Einfallstore für Computerwürmer, wie zum Beispiel Sicherheitslücken in veralteter Software, durch regelmäßige Updates zu schließen. Denn diese Updates enthalten oft sogenannte Sicherheits-Patches, die bekannte Schwachstellen in Programmen beheben. Dabei kann Ihnen der Software-Updater eine große Hilfe sein, der ebenfalls in Avira Free Security enthalten ist.
Da es auch speziell für Smartphones programmierte Handywürmer gibt, die sich über MMS, Bluetooth, das Mobilfunknetz und WLAN verbreiten können, sollten zu guter Letzt auch Mobilgeräte entsprechend geschützt werden – zum Beispiel mit einer Virenschutz-App wie Avira Antivirus Security für Android.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch