Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

Diskutiere Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme im IT-News Forum im Bereich IT-News; Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann. Die Programmierer von Malware aller Art...
#1
Eric-Cartman

Eric-Cartman

Moderator
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
37
Ort
In Windows Nr. 10
original.jpg

Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann.

Die Programmierer von Malware aller Art versuchen die Erkennung ihrer Machwerke durch Virenscanner mit Hilfe von EXE-Packern zu erschweren. Ein Vortrag von Tom Brosch und Maik Morgenstern von der Magdeburger Firma AV-Test auf der Black Hat Konferenz in Las Vegas zeigte, dass sie damit zum Teil Erfolg haben.

Die auch als Laufzeitpacker bezeichneten Programme komprimieren die fertig kompilierten Programmdateien, ohne dass ihre Lauffähigkeit beeinträchtigt wird - zumindest theoretisch. In der Praxis klappt das oft nicht, wie auch Brosch und Morgenstern feststellten. Die resultierenden EXE-Dateien sind meist kleiner und können zudem auch noch verschlüsselt werden. Die Komprimierung derselben Malware-Datei mit einem anderen Packprogramm führt zu einer deutlich unterschiedlichen Datei, die von vielen Antivirus-Programmen erstmal nicht erkannt wird.

Die Magdeburger Antivirus-Tester untersuchten ein Reihe von Antivirus-Programmen auf ihren Umgang mit komprimierten EXE-Dateien. Dabei stellten sie unter anderen fest, dass Virenscanner mit hohen Erkennungsraten oft auch viele Fehlalarme produzieren. Die Ursache sehen die Forscher darin, dass die Virenscanner nur die enthaltene Entpackroutine des Packers erkennen - auch wenn eine völlig harmlose Datei komprimiert wurde.

Kein Antivirus-Produkt kann mit allen verfügbaren EXE-Packern umgehen. Es gibt einfach zu viele davon und ständig kommen neue dazu. Von den im März laut Wildlist in freier Wildbahn gesichteten Schädlingen sind mehr als 92 Prozent mit Laufzeitkomprimierern behandelt, oft auch mit mehreren verschiedenen. Von 63 Schädlingen der Bagle-Familie sind 62 Exemplare komprimiert, bei Mytob sind es 241 von 246, bei Sdbot gar alle 58 untersuchten Varianten. Der beliebteste Packer ist das Open-Source-Programm UPX .

Einige Antivirus-Programme konnten bei den Untersuchungen von AV-Test durch die Verwendung von bestimmten Laufzeitpackern sogar aus dem Tritt gebracht werden. Zudem nimmt bei allen Produkten die Scan-Dauer komprimierter Dateien im Vergleich zu den unkomprimierten naturgemäß deutlich zu. Beobachtet haben die Magdeburger Forscher eine typische Zunahme um Faktoren zwischen 1,5 und 10.

Die Antivirus-Hersteller sollten folglich vor allem an der Reduktion der Fehlalarme arbeiten. Auch der Umgang mit weniger verbreiteten Packprogrammen ist ständig zu verbessern. Schließlich müssen die Hersteller Probleme bei der Stabilität und der Scan-Geschwindigkeit in den Griff bekommen.

Quelle: IDG Magazine Verlag GmbH/PC-WELT Online
 
#3
automatthias

automatthias

vernunftgeplagt
Dabei seit
21.04.2006
Beiträge
7.274
MacAfee geht bei UPX-Dateien auf fast 100%CPU.

Und wenn man dann in einem größeren Entwicklungsprojekt während des Kompilierens mehrere große selbstextrahierende RAR-Archive erzeugt, dann dauert die ganze Chose 4-5 mal so lang. :wut :thumbdown
(u.a. deshalb wird bei der neuen RAR-Version auf die UPX-Komprimierung des SFX-Moduls verzichtet)
 
Thema:

Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme - Ähnliche Themen

  • Black screen after windows update

    Black screen after windows update: Hello everyone so last night i crashed the windows KB4340917 OS build 17134.191 and now I'm on my way to the windows startup finishes the screen...
  • Black and White 2 lässt sich nicht installieren

    Black and White 2 lässt sich nicht installieren: Ich versuche das Spiel zu installieren. Ich habe eine CD Version. Ich starte die CD und drücke auf installieren. Dann öffnet sich kurz ein...
  • Black screen surface rt

    Black screen surface rt: Mein Surface Rt funktioniert nicht mehr richtig. Das Display der Home Button und der Usb Port reagieren nicht mehr. Das Gerät lässt sich noch...
  • Ryzen 3 2200G Black Screen Win 10 64bit

    Ryzen 3 2200G Black Screen Win 10 64bit: Liebe Community, in der vergangenen Woche habe ich folgende Komponenten verwendet, um einen PC aufzubauen: Mainboard GIGABYTE AB350M-DS3H Bios...
  • Vista auf der Black Hat Konferenz

    Vista auf der Black Hat Konferenz: Die diesjährige Sicherheitskonferenz steht im Zeichen von Windows Vista, Rootkits und Netzwerksicherheit. Am Samstag, den 29. Juli, hat die...
  • Ähnliche Themen

    • Black screen after windows update

      Black screen after windows update: Hello everyone so last night i crashed the windows KB4340917 OS build 17134.191 and now I'm on my way to the windows startup finishes the screen...
    • Black and White 2 lässt sich nicht installieren

      Black and White 2 lässt sich nicht installieren: Ich versuche das Spiel zu installieren. Ich habe eine CD Version. Ich starte die CD und drücke auf installieren. Dann öffnet sich kurz ein...
    • Black screen surface rt

      Black screen surface rt: Mein Surface Rt funktioniert nicht mehr richtig. Das Display der Home Button und der Usb Port reagieren nicht mehr. Das Gerät lässt sich noch...
    • Ryzen 3 2200G Black Screen Win 10 64bit

      Ryzen 3 2200G Black Screen Win 10 64bit: Liebe Community, in der vergangenen Woche habe ich folgende Komponenten verwendet, um einen PC aufzubauen: Mainboard GIGABYTE AB350M-DS3H Bios...
    • Vista auf der Black Hat Konferenz

      Vista auf der Black Hat Konferenz: Die diesjährige Sicherheitskonferenz steht im Zeichen von Windows Vista, Rootkits und Netzwerksicherheit. Am Samstag, den 29. Juli, hat die...
    Oben