Wie Cyberkriminelle versuchen, Antivirus-Software zu umgehen

Um einen Computer mit Malware zu infizieren, müssen Cyberkriminelle ...:

• Den Benutzer dazu bewegen, eine infizierte Datei zu öffnen, oder
• Versuchen, über eine Schwachstelle im Betriebssystem oder in einer Anwendung in den Computer des Opfers einzudringen

Gleichzeitig versuchen die professionelleren Cyberkriminellen, ihre Malware vor der Erkennung durch Antiviren-Software auf dem Gerät des Opfers zu schützen.

Techniken zur Umgehung von Antiviren-Software

Um die Erfolgswahrscheinlichkeit zu steigern, haben Cyberkriminelle eine Reihe verschiedener Techniken entwickelt, mit denen sie die Aktionen von Antiviren-Software umgehen, darunter:

• Code-Komprimierung und -Verschlüsselung
  Der Großteil der Würmer und Trojaner wird komprimiert und verschlüsselt. Hacker nutzen für diese Komprimierung und Verschlüsselung spezielle Tools. Jede Internetdatei, die mit CryptExe, Exeref, PolyCrypt und anderen ähnlichen Tools verarbeitet wurde, stellte sich als schädlich heraus.
  
  Um komprimierte und verschlüsselte Würmer und Trojaner zu erkennen, muss das Antiviren-Programm entweder neue Dekomprimierungs- und Entschlüsselungsmethoden oder neue Signaturen für jede Variante einer Malware hinzufügen.
• Code-Mutation
  Indem Cyberkriminelle den Viruscode eines Trojaners mit Spam-Befehlen versehen, sodass der Code trotz seiner ursprünglichen Funktion anders wahrgenommen wird, versuchen sie, ihre Malware zu verschleiern. Manchmal geschieht diese Code-Mutation in Echtzeit – in (fast) allen Fällen, in denen Trojaner von einer infizierten Webseite heruntergeladen werden. Der E-Mail-Wurm „Warevoz“ nutzte diese Technik und verursachte einige verheerende Epidemie.
• Stealth-Techniken
  Rootkit-Technologien, die im Allgemeinen von Trojanern genutzt werden, können Systemfunktionen abfangen und ersetzen, um die infizierte Datei für das Betriebssystem und die Antiviren-Programme unsichtbar zu machen. Manchmal werden sogar die Registrierungspfade, unter denen sich der Trojaner befindet, und andere Systemdateien versteckt. Der Backdoor-Trojaner „HacDef“ stellt ein Beispiel schädlichen Codes dar, bei dem diese Techniken zum Einsatz kommen.
• Blockierung von Antiviren-Programmen und -Updates
  Viele Trojaner und Netzwerkwürmer suchen in der Liste aktiver Anwendungen aktiv nach Antiviren-Programmen auf dem Computer des Opfers. Wird ein Programm gefunden, versucht die Malware ...:
  • Die Antiviren-Software zu blockieren
  • Die Viren-Datenbanken zu beschädigen
  • Die Update-Prozesse der Antiviren-Software zu stören
  Um die Malware zu entfernen, muss das Antiviren-Programm zunächst einmal sich selbst schützen, indem es die Integrität seiner Datenbanken kontrolliert und seine Prozesse vor Trojanern verbirgt.
• Code-Maskierung auf einer Webseite
  Antiviren-Anbieter erfahren schnell, welche Webseitenadressen Trojaner-Dateien enthalten. Einmal ermittelt, können ihre Virenanalysten den Inhalt der Seiten untersuchen und neue Malware zu ihren Datenbanken hinzufügen. Bei dem Versuch, den Antiviren-Scans zu entgehen, kann eine Webseite jedoch so modifiziert werden, dass bei Anfragen von Antiviren-Anbietern statt des Trojaners eine andere Datei heruntergeladen wird.
• Massenangriffe
  Bei einem Massenangriff werden in kurzer Zeit große Mengen neuer Trojaner-Versionen über das Internet verbreitet. So erhalten Antiviren-Anbieter Unmengen neuer Proben zur Analyse. Die Cyberkriminellen hoffen dabei darauf, dass sich durch die Analyse ein Zeitfenster öffnet, in dem ihr schädlicher Code die Computer ihrer Opfer infizieren kann.