Wie Cyberkriminelle versuchen, Antivirus-Software zu umgehen

Um einen Computer mit Malware zu infizieren, müssen Cyberkriminelle ...:
- Den Benutzer dazu bewegen, eine infizierte Datei zu öffnen, oder
- Versuchen, über eine Schwachstelle im Betriebssystem oder in einer Anwendung in den Computer des Opfers einzudringen
Gleichzeitig versuchen die professionelleren Cyberkriminellen, ihre Malware vor der Erkennung durch Antiviren-Software auf dem Gerät des Opfers zu schützen.
Techniken zur Umgehung von Antiviren-Software
Um die Erfolgswahrscheinlichkeit zu steigern, haben Cyberkriminelle eine Reihe verschiedener Techniken entwickelt, mit denen sie die Aktionen von Antiviren-Software umgehen, darunter:
- Code-Komprimierung und -Verschlüsselung
Der Großteil der Würmer und Trojaner wird komprimiert und verschlüsselt. Hacker nutzen für diese Komprimierung und Verschlüsselung spezielle Tools. Jede Internetdatei, die mit CryptExe, Exeref, PolyCrypt und anderen ähnlichen Tools verarbeitet wurde, stellte sich als schädlich heraus.
Um komprimierte und verschlüsselte Würmer und Trojaner zu erkennen, muss das Antiviren-Programm entweder neue Dekomprimierungs- und Entschlüsselungsmethoden oder neue Signaturen für jede Variante einer Malware hinzufügen. - Code-Mutation
Indem Cyberkriminelle den Viruscode eines Trojaners mit Spam-Befehlen versehen, sodass der Code trotz seiner ursprünglichen Funktion anders wahrgenommen wird, versuchen sie, ihre Malware zu verschleiern. Manchmal geschieht diese Code-Mutation in Echtzeit – in (fast) allen Fällen, in denen Trojaner von einer infizierten Webseite heruntergeladen werden. Der E-Mail-Wurm „Warevoz“ nutzte diese Technik und verursachte einige verheerende Epidemie. - Stealth-Techniken
Rootkit-Technologien, die im Allgemeinen von Trojanern genutzt werden, können Systemfunktionen abfangen und ersetzen, um die infizierte Datei für das Betriebssystem und die Antiviren-Programme unsichtbar zu machen. Manchmal werden sogar die Registrierungspfade, unter denen sich der Trojaner befindet, und andere Systemdateien versteckt. Der Backdoor-Trojaner „HacDef“ stellt ein Beispiel schädlichen Codes dar, bei dem diese Techniken zum Einsatz kommen. - Blockierung von Antiviren-Programmen und -Updates
Viele Trojaner und Netzwerkwürmer suchen in der Liste aktiver Anwendungen aktiv nach Antiviren-Programmen auf dem Computer des Opfers. Wird ein Programm gefunden, versucht die Malware ...:- Die Antiviren-Software zu blockieren
- Die Viren-Datenbanken zu beschädigen
- Die Update-Prozesse der Antiviren-Software zu stören
- Code-Maskierung auf einer Webseite
Antiviren-Anbieter erfahren schnell, welche Webseitenadressen Trojaner-Dateien enthalten. Einmal ermittelt, können ihre Virenanalysten den Inhalt der Seiten untersuchen und neue Malware zu ihren Datenbanken hinzufügen. Bei dem Versuch, den Antiviren-Scans zu entgehen, kann eine Webseite jedoch so modifiziert werden, dass bei Anfragen von Antiviren-Anbietern statt des Trojaners eine andere Datei heruntergeladen wird. - Massenangriffe
Bei einem Massenangriff werden in kurzer Zeit große Mengen neuer Trojaner-Versionen über das Internet verbreitet. So erhalten Antiviren-Anbieter Unmengen neuer Proben zur Analyse. Die Cyberkriminellen hoffen dabei darauf, dass sich durch die Analyse ein Zeitfenster öffnet, in dem ihr schädlicher Code die Computer ihrer Opfer infizieren kann.
Weitere Artikel und Links zu Malware und Antiviren-Lösungen
Wie Cyberkriminelle versuchen, Antivirus-Software zu umgehen
KasperskyCarbanak ist der Name, den wir für eine APT-Kampagne (Advanced Persistent Threat) verwenden, die es (hauptsächlich) auf Finanzinstitute abgesehen hat.
