Internet security center

So bekämpfen Cyberkriminelle Antiviren-Software

Folgendes ist erforderlich, um einen Computer mit Malware zu infizieren:

  • Der Benutzer muss dazu verleitet werden, eine infizierte Datei zu starten.
  • Der Computer muss unter Ausnutzung einer Schwachstelle im Betriebssystem oder in einem Programm infiltriert werden.

Professionelle Cyberkriminelle unternehmen außerdem Schritte, um sicherzustellen, dass ihre Malware die auf dem zu infizierenden Computer ausgeführte Antiviren-Software umgeht.

Verfahren zur Umgehung von Antiviren-Software

Um ihr Ziel zu erreichen, haben Cyberkriminelle eine Reihe von Verfahren entwickelt, mit denen die Aktivitäten von Antiviren-Software umgangen werden sollen. Hierzu gehören u. a.:

  • Komprimierung und Verschlüsselung
    Würmer und Trojaner werden fast immer komprimiert und verschlüsselt. Hacker entwickeln außerdem eigene Komprimierungs- und Verschlüsselungsprogramme. Bei Internet-Dateien, die mit CryptExe, Exeref, PolyCrypt etc. verarbeitet wurden, hat sich letztendlich in allen Fällen herausgestellt, dass es sich um schädlichen Code handelt.

    Um komprimierte und verschlüsselte Würmer und Trojaner erkennen zu können, muss das Antiviren-Programm entweder über die neuesten Dekomprimierungs- und Entschlüsselungsverfahren verfügen, oder es müssen neue Signaturen für jede Variante eines Schadprogramms hinzugefügt werden.
  • Codemutation
    Durch Anreicherung des Viruscodes eines Trojaners mit „Spam“-Anweisungen, die dem Code ein anderes Aussehen geben, gleichzeitig aber die ursprüngliche Funktionalität beibehalten, wird versucht, die Malware zu „verkleiden“. In einigen Fällen passiert die Codemutation in Echtzeit bei jedem oder fast jedem Download des Trojaners von einer infizierten Webseite. Der Warezov-E-Mail-Wurm bediente sich dieser Technik und verursachte Epidemien von beträchtlichem Ausmaß.
  • Tarnungstechniken
    Die bei Trojanern generell eingesetzten Rootkit-Technologien sind in der Lage, Systemfunktionen abzufangen und zu ersetzen, um die infizierte Datei für Betriebssystem und Antiviren-Software unsichtbar zu machen. In einigen Fällen werden sogar die Verzweigungen in der Registry, in denen der Trojaner registriert wird, und andere Systemdateien versteckt. Der Backdoor-Trojaner „HacDef“ ist ein Beispiel für schädlichen Code, der diese Techniken einsetzt.
  • Blockieren von Antiviren-Programmen und Aktualisierungen der Viren-Datenbank
    Viele Trojaner und Netzwerkwürmer suchen auf einem infizierten Computer in der Liste der ausgeführten Programme selbsttätig nach Antiviren-Programmen. Die Malware versucht daraufhin Folgendes:
    • Antiviren-Software blockieren
    • Viren-Datenbanken beschädigen
    • Aktualisierungsvorgänge der Viren-Datenbanken stören
    Um die Malware zu besiegen, muss sich ein Antiviren-Programm verteidigen, indem es die Integrität seiner Datenbanken aufrecht erhält und seine Prozesse und Aktivitäten vor Trojanern verbirgt.
  • Maskieren von Code auf einer Webseite
    Hersteller von Antiviren-Software erfahren schnell, welche Webseiten mit Trojan-Viren infiziert sind. Ihre Viren-Analysten untersuchen dann die Inhalte dieser Webseiten und nehmen die neue Malware in ihre Datenbanken auf. Um das Antiviren-Scanning zu verhindern, kann eine Webseite so modifiziert werden, dass bei einer Anforderung durch einen Hersteller von Antiviren-Software eine Nicht-Trojaner-Datei anstatt eines Trojaner heruntergeladen wird.
  • „Quantitäts“-Attacken
    Bei einer Quantitäts-Attacke werden innerhalb kürzester Zeit große Mengen neuer Trojaner-Versionen über das Internet verteilt. Dies führt dazu, dass Hersteller von Antiviren-Software große Mengen neuer Varianten zur Analyse erhalten. Wegen des Aufwands, der für die Analyse der einzelnen Proben erforderlich ist, so die Hoffnung der Cyberkriminellen, hat die Malware ausreichend Zeit, die Computer von Benutzern zu infiltrieren.

© 1997 – 2014 Kaspersky Lab ZAO

Alle Rechte vorbehalten.