Einleitung Das Problem: Modifizierte Malware wird oft nicht erkannt. Hintergrund Gefahren durch laufzeitkomprimierte und manipulierte Malware. Beispiel Zwei weit verbreitete AV Scanner werden ausgetrickst. AV Tests Sinn und Unsinn herkömmlicher AV Tests Scanner Wir schauen uns die Funktionsweise und Erkennungsraten verschiedener AV & AT Scanner an Forum ... zum Mitmachen

 

-- Hintergrund --

 

1. Signaturbasiertes Scannen

AV/AT Scanner erkennen einen Trojaner oder sonstige Malware üblicherweise, indem sie - stark vereinfacht ausgedrückt - die verdächtige Datei nach bestimmten Zeichenketten durchsuchen ("scannen") und mit den in der jeweiligen Signaturdatenbank des Scanners enthaltenen Signaturen vergleichen. Signaturbasiertes Scannen bietet grundsätzlich den Vorteil, dass Malware eindeutig erkannt und deshalb ohne Dazutun des Users beseitigt werden kann. Die grosse Schwäche des signaturbasierten Scannens beruht darauf, dass Malware oft auf einfachste Weise so verändert werden kann, dass ein Scanner zwischen den in der Signaturdatenbank befindlichen Signaturen und der Malware keine Übererinstimmung mehr feststellen kann.

2. Gefahren durch laufzeitkomprimierte oder verschlüsselte Malware

Wird ein Trojaner mit einem Packer oder Crypter laufzeitkomprimiert bzw. verschlüsselt, sind die den Signaturen zugrundeliegenden Zeichenketten nicht mehr ohne weiteres erkennbar. Der AV/AT Scanner bemerkt den Trojaner in diesem Fall nicht mehr.

Das Packen oder Verschlüsseln von Malware ist keine komplizierte Kunst, sondern eine Angelegenheit von Sekunden. Hersteller kommerzieller Software benutzen spezielle Tools (sog. Packer, Scrambler oder Crypter), um ihre Programme vor Softwarepiraten zu schützen. Diese Tools sind frei zugänglich und können - oftmals als Freeware - von Internetseiten wie "Programmer's Tools" ( http://protools.cjb.net/ ) heruntergeladen werden. Die Tools werden in der Praxis nicht nur zum Schutz kommerzieller Software, sondern gleichermaßen auch zum Verschlüsseln von Malware verwendet.

Als Käufer eines kostenpflichtigen AV/AT Scanners sollte man erwarten können, dass sich der Hersteller für dieses hinlänglich bekannte Problem eine Lösung hat einfallen lassen. Dem ist aber oftmals nicht so. In der Praxis werden deshalb immer wieder Computernutzer durch Malware geschädigt, obwohl sie einen bekannten AV/AT Scanner installiert haben und sich in Sicherheit wiegen.

Besonders häufig werden von Angreifern speziell gepackte oder verschlüsselte Trojaner eingesetzt. Aber auch andere Malware kann auf diese Weise an AV Scannern "vorbeigeschmuggelt" werden. Beispielsweise wurde eine laufzeitkomprimierte und verschlüsselte Variante des berühmt-berüchtigten Wurmes "Opasoft" von vielen AV Scannern erst entdeckt, nachdem eine neue Signatur speziell für diese Variante erstellt wurde (siehe hier).

Nur wenige Hersteller von AV/AT Scannern sind bislang willens oder in der Lage, eine sog. Unpacking Engine in den Scanner einzubauen, die solche Packer bzw. Crypter "durchleuchten" und verschlüsselte Malware automatisch erkennen kann.

3. Gefahren aufgrund von Designschwächen

Oftmals kann Malware auch deshalb auf einfachste Weise getarnt werden, da AV/AT Scanner gravierende Designfehler aufweisen. Solche Designfehler sind Angreifern in der Regel bekannt und werden von ihnen bewusst ausgenutzt. Beispielsweise können schon geringfügige Manipulationen an einer Malware-Datei dazu führen, dass ein AV/AT Scanner den Vergleich zwischen einer Malware-Datei und den sich in der Signaturdatenbank befindlichen Signaturen nicht mehr korrekt durchführen kann.




Letztes Update: Januar 2005