Als Payload (vom engl. Nutzlast abgeleitet) wird eine mehr oder weniger schädliche Routine in Malware bezeichnet, die auf einen bestimmten Trigger hin ausgelöst wird. Der Trigger kann auch von Zufallselementen abhängig gemacht werden.
Die drei klassischen Prinzipien von Malware sind Computervirus, Computerwurm oder das Trojanischen Pferd. Während Viren und Würmer nicht zwangsläufig einen Payload integriert haben müssen ist dies bei Trojanern definitionsgemäß immer der Fall.
Malware ist vor allem gefürchtet, weil sie den Ruf hat, sämtliche Daten zu zerstören. Das ist aber nur in sehr wenigen Fällen richtig. Die meisten klassischen Computerviren versuchen hauptsächlich, sich selbst möglichst weit zu verbreiten und deswegen nicht aufzufallen. Der Payload kann auch einen vergleichsweise harmlosen Scherz darstellen.
Malwareschäden die nicht als Payload zählen
BearbeitenDer Payload ist von der Infektion- bzw. Verbreitungsroutine abzugrenzen, obwohl auch diese beträchtliche Schäden anrichten kann. Bei extrem schneller Verbreitung kann sie Systeme überlasten, und damit Datenverluste oder Serverausfälle verursacht.
Schäden, die ein Wurm oder Virus durch Programmfehler verursacht, zählen ebenfalls nicht als Payload.
Verschiedene Arten eines Payload
BearbeitenKriminelle Aspekte
Bearbeiten- Sachbeschädigung und Sabotage
- Firmware
- Hardware
- Daten
- Erpressung
- Daten verschlüsseln
- Daten stehlen
Auswirkungen
Bearbeiten- Harmlose Auswirkungen
Eine Eigenschaft, die jedes Virus hat, ist das Stehlen von Rechnerzeit und -speicher. Da ein Virus sich selbst verbreitet, benutzt es die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie für das System keine spürbare Beeinträchtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der Größe aktueller Festplatten fällt auch der zusätzlich benötigte Festplattenplatz nicht mehr auf.
- Ungewollte Schäden – Programmierfehler
Viele Computerviren enthalten Fehler, welche unter gewissen Umständen zu fatalen Folgen führen können. Diese Fehler sind zwar meistens unbeabsichtigt, können trotzdem Dateien durch eine falsche Infektion zerstören oder gar in Einzelfällen ganze Datenbestände vernichten.
- „Existenzbericht“ – Meldungen an den Benutzer
Manche Viren geben dem Benutzer ihre Existenz bekannt. Beispiele für Meldungen von Viren können zum Beispiel sein:
- Piepsen bzw. Musik
- Meldungsboxen oder plötzlich auftauchende Texte auf dem Bildschirm mit oft (für den Virusautor) amüsanten Nachrichten oder gar politischem Inhalt
- Manipulation des Bildschirminhaltes wie herunterfallende Buchstaben, Verzerrungen oder über den Bildschirm wandernde Objekte.
Die meisten dieser Existenzmeldungen sind harmlos und erfolgen oft nur zu bestimmten Uhrzeiten oder nur an bestimmten Tagen, um nicht zu schnell aufzufallen und so eine höhere Verbreitung zu erlangen. Es gibt auch „Viren“, die keine eigentliche Schadroutine enthalten, sondern lediglich derartige Meldungen. Dabei handelt es sich um sogenannte Joke-Programme. Beispiele hierfür sind etwa Eatscreen oder FakeBlueScreen.
- Datenzerstörung
Durch das Infizieren von Dateien werden die darin enthaltenen Daten manipuliert und möglicherweise zerstört. Da jedoch die meisten Viren vor Entdeckung geschützt werden sollen, ist eine Rekonstruktion der Daten in vielen Fällen möglich. Einige Viren wurden speziell zur Zerstörung von Daten geschrieben. Das kann vom Löschen von einzelnen Dateien bis hin zum Formatieren ganzer Festplatten führen. Diese Art von Payload wird von den meisten Menschen unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher der „Lebensraum“ von Viren ist, zerstören sie sich mit diesen Aktionen oft selbst. Michelangelo, Diskiller, Vienna, Jerusalem, CIH
- Hardwarezerstörung
Direkte Hardwarezerstörung durch Software und somit durch Computerviren ist nur in Einzelfällen möglich. Dazu müsste dem Virenautor bekannt sein, wie eine bestimmte Hardware so extrem oder fehlerhaft angesteuert werden kann, dass es zu einer Zerstörung kommt. Einige (z. T. eher theoretische) Beispiele für solche Möglichkeiten sind:
- Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebräuchliche Festfrequenzmonitore waren dafür anfällig, es gab Viren, die diese Angriffe auf solche Monitore tatsächlich durchgeführt haben. Heute ist eine Beschädigung durch fehlerhafte bzw. extreme Bildsignale so gut wie ausgeschlossen.
- Übertakten von Grafikkarten, die es erlauben, die Taktfrequenz der Bausteine per Software einzustellen. Bei einer zu hohen Übertaktung und nicht ausreichenden Kühlung können Bausteine überhitzen und beschädigt oder zerstört werden.
- Übertakten von Bausteinen auf der Hauptplatine, die dadurch selbst überhitzen oder andere Bauteile überlasten können (Widerstände, integrierte Bausteine).
- Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.
- Reduzierung der Lüftergeschwindigkeit, um Überhitzung der Komponenten zu verursachen.
Da im heutigen PC-Bereich die Hardwarekomponentenauswahl sehr heterogen ist, gilt bisher die Meinung, dass es sich für Virenautoren nicht lohnt, solche Angriffe durchzuführen.
- Firmwarezerstörung
Ein als Hardwareschaden missinterpretierter Schaden ist das Überschreiben des BIOS, das heute meist in Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher böswillig überschrieben, kann der Rechner nicht mehr starten. Da der Rechner nicht mehr startet, wird oft fälschlicherweise ein Hardwareschaden angenommen. Der Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der Flash-Speicher fest eingelötet, ist das Ausbauen wirtschaftlich oft nicht rentabel und die gesamte Hauptplatine muss ausgetauscht werden.[1] Bei Hauptplatinen mit SPI- oder JTAG-Interface für den Flash-Speicher kann ein gelöschtes oder überschriebenes BIOS mittels geeigneter Programmiergeräte erneuert werden.
Screenshots
Bearbeiten-
Screenshot des Payload von Tannenbaum
-
Screenshot des Payload von Parity Boot
-
Animation des Payload von Skynet
-
Animation des Payload von Ambulance
-
Animation des Payload von Cascade
-
Animation des Payload von Disk Killer
Einzelnachweise
Bearbeiten- ↑ Infos zu den das CMOS und das BIOS schädigenden Viren. In: sophos.de. Abgerufen am 29. Januar 2017.