Vorgehen von Cyberkriminellen
Folgendes ist erforderlich, um einen Computer mit Malware zu infizieren: Professionelle Cyberkriminelle unternehmen außerdem Schritte, um sicherzustellen, dass ihre Malware die auf dem zu infizierenden Computer ausgeführte Antiviren-Software umgeht. Um ihr Ziel zu erreichen, haben Cyberkriminelle eine Reihe von Verfahren entwickelt, mit denen die Aktivitäten von Antiviren-Software umgangen werden sollen. Hierzu gehören u. a.: Weitere Artikel und Links im Zusammenhang mit Malware und Antiviren-Lösungen
Verfahren zur Umgehung von Antiviren-Software
Würmer und Trojaner werden fast immer komprimiert und verschlüsselt. Hacker entwickeln außerdem eigene Komprimierungs- und Verschlüsselungsprogramme. Bei Internet-Dateien, die mit CryptExe, Exeref, PolyCrypt etc. verarbeitet wurden, hat sich letztendlich in allen Fällen herausgestellt, dass es sich um schädlichen Code handelt.
Um komprimierte und verschlüsselte Würmer und Trojaner erkennen zu können, muss das Antiviren-Programm entweder über die neuesten Dekomprimierungs- und Entschlüsselungsverfahren verfügen, oder es müssen neue Signaturen für jede Variante eines Schadprogramms hinzugefügt werden.
Durch Anreicherung des Viruscodes eines Trojaners mit „Spam“-Anweisungen, die dem Code ein anderes Aussehen geben, gleichzeitig aber die ursprüngliche Funktionalität beibehalten, wird versucht, die Malware zu „verkleiden“. In einigen Fällen passiert die Codemutation in Echtzeit bei jedem oder fast jedem Download des Trojaners von einer infizierten Webseite. Der Warezov-E-Mail-Wurm bediente sich dieser Technik und verursachte Epidemien von beträchtlichem Ausmaß.
Die bei Trojanern generell eingesetzten Rootkit-Technologien sind in der Lage, Systemfunktionen abzufangen und zu ersetzen, um die infizierte Datei für Betriebssystem und Antiviren-Software unsichtbar zu machen. In einigen Fällen werden sogar die Verzweigungen in der Registry, in denen der Trojaner registriert wird, und andere Systemdateien versteckt. Der Backdoor-Trojaner „HacDef“ ist ein Beispiel für schädlichen Code, der diese Techniken einsetzt.
Viele Trojaner und Netzwerkwürmer suchen auf einem infizierten Computer in der Liste der ausgeführten Programme selbsttätig nach Antiviren-Programmen. Die Malware versucht daraufhin Folgendes:
Um die Malware zu besiegen, muss sich ein Antiviren-Programm verteidigen, indem es die Integrität seiner Datenbanken aufrecht erhält und seine Prozesse und Aktivitäten vor Trojanern verbirgt.
Hersteller von Antiviren-Software erfahren schnell, welche Webseiten mit Trojan-Viren infiziert sind. Ihre Viren-Analysten untersuchen dann die Inhalte dieser Webseiten und nehmen die neue Malware in ihre Datenbanken auf. Um das Antiviren-Scanning zu verhindern, kann eine Webseite so modifiziert werden, dass bei einer Anforderung durch einen Hersteller von Antiviren-Software eine Nicht-Trojaner-Datei anstatt eines Trojaner heruntergeladen wird.
Bei einer Quantitäts-Attacke werden innerhalb kürzester Zeit große Mengen neuer Trojaner-Versionen über das Internet verteilt. Dies führt dazu, dass Hersteller von Antiviren-Software große Mengen neuer Varianten zur Analyse erhalten. Wegen des Aufwands, der für die Analyse der einzelnen Proben erforderlich ist, so die Hoffnung der Cyberkriminellen, hat die Malware ausreichend Zeit, die Computer von Benutzern zu infiltrieren.
