Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

Diskutiere Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme im IT-News Forum im Bereich News; Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann. Die Programmierer von Malware aller Art versuchen die Erkennung ihrer Machwerke durch Virenscanner ...


+ Antworten + Neues Thema erstellen

(Um antworten zu können, bitte registrieren oder einloggen)

Ergebnis 1 bis 3 von 3
  1. Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme #1
    Moderator Avatar von Eric-Cartman

    Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

    Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme-original.jpg

    Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann.

    Die Programmierer von Malware aller Art versuchen die Erkennung ihrer Machwerke durch Virenscanner mit Hilfe von EXE-Packern zu erschweren. Ein Vortrag von Tom Brosch und Maik Morgenstern von der Magdeburger Firma AV-Test auf der Black Hat Konferenz in Las Vegas zeigte, dass sie damit zum Teil Erfolg haben.

    Die auch als Laufzeitpacker bezeichneten Programme komprimieren die fertig kompilierten Programmdateien, ohne dass ihre Lauffähigkeit beeinträchtigt wird - zumindest theoretisch. In der Praxis klappt das oft nicht, wie auch Brosch und Morgenstern feststellten. Die resultierenden EXE-Dateien sind meist kleiner und können zudem auch noch verschlüsselt werden. Die Komprimierung derselben Malware-Datei mit einem anderen Packprogramm führt zu einer deutlich unterschiedlichen Datei, die von vielen Antivirus-Programmen erstmal nicht erkannt wird.

    Die Magdeburger Antivirus-Tester untersuchten ein Reihe von Antivirus-Programmen auf ihren Umgang mit komprimierten EXE-Dateien. Dabei stellten sie unter anderen fest, dass Virenscanner mit hohen Erkennungsraten oft auch viele Fehlalarme produzieren. Die Ursache sehen die Forscher darin, dass die Virenscanner nur die enthaltene Entpackroutine des Packers erkennen - auch wenn eine völlig harmlose Datei komprimiert wurde.

    Kein Antivirus-Produkt kann mit allen verfügbaren EXE-Packern umgehen. Es gibt einfach zu viele davon und ständig kommen neue dazu. Von den im März laut Wildlist in freier Wildbahn gesichteten Schädlingen sind mehr als 92 Prozent mit Laufzeitkomprimierern behandelt, oft auch mit mehreren verschiedenen. Von 63 Schädlingen der Bagle-Familie sind 62 Exemplare komprimiert, bei Mytob sind es 241 von 246, bei Sdbot gar alle 58 untersuchten Varianten. Der beliebteste Packer ist das Open-Source-Programm UPX .

    Einige Antivirus-Programme konnten bei den Untersuchungen von AV-Test durch die Verwendung von bestimmten Laufzeitpackern sogar aus dem Tritt gebracht werden. Zudem nimmt bei allen Produkten die Scan-Dauer komprimierter Dateien im Vergleich zu den unkomprimierten naturgemäß deutlich zu. Beobachtet haben die Magdeburger Forscher eine typische Zunahme um Faktoren zwischen 1,5 und 10.

    Die Antivirus-Hersteller sollten folglich vor allem an der Reduktion der Fehlalarme arbeiten. Auch der Umgang mit weniger verbreiteten Packprogrammen ist ständig zu verbessern. Schließlich müssen die Hersteller Probleme bei der Stabilität und der Scan-Geschwindigkeit in den Griff bekommen.

    Quelle: IDG Magazine Verlag GmbH/PC-WELT Online

  2. Hi,

    schau dir mal diesen Ratgeber an. Dort findet man viele Hilfestellungen.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme #2
    Schade nur das die NOD32 nicht mitgetestet haben, ich glaube der hätte wesentlich besser abgeschnitten
    http://www.eset.com/products/compare.php
    Angehängte Grafiken Angehängte Grafiken  

  4. Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme #3
    vernunftgeplagt Avatar von automatthias
    MacAfee geht bei UPX-Dateien auf fast 100%CPU.

    Und wenn man dann in einem größeren Entwicklungsprojekt während des Kompilierens mehrere große selbstextrahierende RAR-Archive erzeugt, dann dauert die ganze Chose 4-5 mal so lang.
    (u.a. deshalb wird bei der neuen RAR-Version auf die UPX-Komprimierung des SFX-Moduls verzichtet)

Ähnliche Themen zu Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme


  1. Nvidia: Neue Grafikkarten bereiten Probleme: http://www.chip.de/ii/193211963_e502a991db.jpg Der Grafikkarten-Hersteller Nvidia arbeitet derzeit an neuen Geforce-Modellen. Die Karten mit der...



  2. Intel: Neue Xeons sollen AMD Probleme bereiten: Hallo http://www.gamestar.de/imgserver/bdb/1496400/1496412/130x.jpg Intel hat zwei neue Vierkern-Xeons auf den Markt gebracht. Dabei handelt es...



  3. [EU/CH] Jüngste Microsoft-Patches bereiten Probleme: http://www.winboard.org/forum/imagehosting/1376045b4eab3757c4.gif Zu Schwierigkeiten kommt es vor allem beim Update des .NET-Frameworks Die...



  4. Vista auf der Black Hat Konferenz: http://www.pcwelt.de/imgserver/bdb/52900/52995/168x168_only_scaled.jpg Die diesjährige Sicherheitskonferenz steht im Zeichen von Windows Vista,...



  5. Verknüpfungen unter ME bereiten Probleme: Hallo Leute!!!! Also, mein Bruder hat da nen Problem mit der Windows MüllEdition (ME). Seit einiger Zeit funktionieren dessen Ordnerverknüpfungen...