Carbanak-APT
Um einen Computer mit Malware zu infizieren, müssen Cyberkriminelle ...: Gleichzeitig versuchen die professionelleren Cyberkriminellen, ihre Malware vor der Erkennung durch Antiviren-Software auf dem Gerät des Opfers zu schützen. Um die Erfolgswahrscheinlichkeit zu steigern, haben Cyberkriminelle eine Reihe verschiedener Techniken entwickelt, mit denen sie die Aktionen von Antiviren-Software umgehen, darunter: Weitere Artikel und Links zu Malware und Antiviren-Lösungen
Techniken zur Umgehung von Antiviren-Software
Der Großteil der Würmer und Trojaner wird komprimiert und verschlüsselt. Hacker nutzen für diese Komprimierung und Verschlüsselung spezielle Tools. Jede Internetdatei, die mit CryptExe, Exeref, PolyCrypt und anderen ähnlichen Tools verarbeitet wurde, stellte sich als schädlich heraus.
Um komprimierte und verschlüsselte Würmer und Trojaner zu erkennen, muss das Antiviren-Programm entweder neue Dekomprimierungs- und Entschlüsselungsmethoden oder neue Signaturen für jede Variante einer Malware hinzufügen.
Indem Cyberkriminelle den Viruscode eines Trojaners mit Spam-Befehlen versehen, sodass der Code trotz seiner ursprünglichen Funktion anders wahrgenommen wird, versuchen sie, ihre Malware zu verschleiern. Manchmal geschieht diese Code-Mutation in Echtzeit – in (fast) allen Fällen, in denen Trojaner von einer infizierten Webseite heruntergeladen werden. Der E-Mail-Wurm „Warevoz“ nutzte diese Technik und verursachte einige verheerende Epidemie.
Rootkit-Technologien, die im Allgemeinen von Trojanern genutzt werden, können Systemfunktionen abfangen und ersetzen, um die infizierte Datei für das Betriebssystem und die Antiviren-Programme unsichtbar zu machen. Manchmal werden sogar die Registrierungspfade, unter denen sich der Trojaner befindet, und andere Systemdateien versteckt. Der Backdoor-Trojaner „HacDef“ stellt ein Beispiel schädlichen Codes dar, bei dem diese Techniken zum Einsatz kommen.
Viele Trojaner und Netzwerkwürmer suchen in der Liste aktiver Anwendungen aktiv nach Antiviren-Programmen auf dem Computer des Opfers. Wird ein Programm gefunden, versucht die Malware ...:
Um die Malware zu entfernen, muss das Antiviren-Programm zunächst einmal sich selbst schützen, indem es die Integrität seiner Datenbanken kontrolliert und seine Prozesse vor Trojanern verbirgt.
Antiviren-Anbieter erfahren schnell, welche Webseitenadressen Trojaner-Dateien enthalten. Einmal ermittelt, können ihre Virenanalysten den Inhalt der Seiten untersuchen und neue Malware zu ihren Datenbanken hinzufügen. Bei dem Versuch, den Antiviren-Scans zu entgehen, kann eine Webseite jedoch so modifiziert werden, dass bei Anfragen von Antiviren-Anbietern statt des Trojaners eine andere Datei heruntergeladen wird.
Bei einem Massenangriff werden in kurzer Zeit große Mengen neuer Trojaner-Versionen über das Internet verbreitet. So erhalten Antiviren-Anbieter Unmengen neuer Proben zur Analyse. Die Cyberkriminellen hoffen dabei darauf, dass sich durch die Analyse ein Zeitfenster öffnet, in dem ihr schädlicher Code die Computer ihrer Opfer infizieren kann.
