Polymorpher Virus fordert die Antivirus-Hersteller heraus

Diskutiere Polymorpher Virus fordert die Antivirus-Hersteller heraus im IT-News Forum im Bereich IT-News; Vor etlichen Jahren waren Viren, die sich bei jeder neuen Infektion selbst veränderten, Alltagsgeschäft für Virenforscher. Inzwischen bestimmen...
#1
copy02

copy02

News Master
Threadstarter
Team
Dabei seit
11.02.2005
Beiträge
6.493
Alter
42
Ort
Im Wilden Nordwesten an der Nordsee
Vor etlichen Jahren waren Viren, die sich bei jeder neuen Infektion selbst veränderten, Alltagsgeschäft für Virenforscher. Inzwischen bestimmen andere Malware-Arten die Tagesordnung. Mit "W32/Polip" ist in der letzten Woche ein neuer Vertreter der Klasse so genannter polymorpher Viren aufgetaucht. Das Testlabor AV-Test (http://www.av-test.de) hat getestet, wie moderne Antivirus-Produkte damit zurecht kommen.

Der Virus ist zugleich auch ein P2P-Wurm, er breitet sich über die Freigaben Gnutella-kompatibler Filesharing-Software wie Bearshare oder Gnucleus aus. W32/Polip infiziert ausführbare Dateien mit den Endungen ".exe" und ".scr" im Windows- und im Programme-Verzeichnis sowie in deren Unterverzeichnissen. Einige der infizierten Dateien sind dann irreparabel beschädigt. Er versteckt sich Arbeitsspeicher, indem er seinen Programm-Code in andere laufende Prozesse injiziert. Außerdem schaltet er vorhandene Sicherheits-Software aus, etwa Virenscanner oder Desktop Firewalls. Es wurden allerdings bislang nur recht wenige Exemplare in freier Wildbahn gesichtet.

Das Problem bei polymorphen Viren ist, dass sie beim Infizieren einer Datei nicht einfach immer denselben Code anhängen, sondern diesen Code ständig verändern. So verwendet W32/Polip zu diesem Zweck eine relativ komplexe Verschlüsselungsroutine. Nur mit ausgeklügelten statischen Signaturen können Virenscanner da etwas ausrichten. Das Nachbilden der Entschlüsselungsroutine ist mutmaßlich zuverlässiger, führt jedoch zu längeren Scan-Zeiten.

Die Virenforscher benötigten meist mehrere Tage, bis sie ihren Produkten eine halbwegs zuverlässige Erkennung mit diesem Virus infizierter Dateien beigebracht hatten. Der russische Hersteller Dr. Web konnte bereits am 21. April mit einer recht guten Erkennungsleistung aufwarten. Grisoft (AVG) und Trend Micro hingegen stellten erst am 26. beziehungsweise 27. April ein Update bereit, mit dem die meisten der infizierten Dateien erkannt werden. Microsoft-Produkte und die Open-Source-Lösung Clam AV finden nach wie vor keine einzige Polip-Infektion.

Nur wenige Scanner erkannten alle knapp 500 infizierten Dateien des Testfelds. Jeder Wert unter 100 Prozent deutet auf Schwächen bei der Erkennung hin - auch 99,8 Prozent. In der Praxis bedeutet dies, dass infizierte Dateien auf der Festplatte verbleiben können, die eine weitere Ausbreitung und Neuinfektion ermöglichen. Eine zuverlässige Reparatur der Dateien ist kaum möglich. Daher sollten infizierte Systeme besser komplett neu aufgesetzt werden.

Quelle: IDG Magazine Verlag GmbH/PC-WELT
 
#2
S

seppjo

Gast
Die Idee ist doch auch schon ein alter Hut oder? Heut könnte man ja ein Mix aus allem machen.
Polymorph, Splittend, Port, Worm, MBR... ... Hehe wenn der Typ auf Zack ist benutzt er zur Verschlüsselung irgend eine Datei die auf dem Rechner ist oder Hardware ID's, Hardwarecounter :-) Dann viel spaß den Programmieren der Virenkiller. Die krasseste Routine in dieser Art die ich bisher gesehen hab war ne Zeitsynchrone Decodier-/Codierschleife die zur Verschlüsselung Hardwarecounter genutzt hat. Da konnte man die Daten nicht mal mehr per Einzelstep in einem Debugger entschlüsseln.
 
#3
S

SuperTux

Gast
Wenn die Virenprogrammierer wirklich schlau wären, könnte man die mit einem Virenscanner nicht finden. Verschlüsselung wie von seppjo und Root-Kit, entfernen und blockieren aller Sicherheitssoftware, dann wird es schon schwer.
 
Thema:

Polymorpher Virus fordert die Antivirus-Hersteller heraus

Polymorpher Virus fordert die Antivirus-Hersteller heraus - Ähnliche Themen

  • Pc Blocked - Virus

    Pc Blocked - Virus: Hello. I was looking some clips at internet and then some website pop up. Right after i got warning from Windows abouth virus. What should i do? I...
  • was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN

    was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN: HABE SEIT UNGEFÄHR VIER WOCHEN EINEN Virus. Was kann ich tun? Habe schon so oft gescant auf vieren, aber alles umsonst.
  • Anti- Virus App für Windows 10 Phone

    Anti- Virus App für Windows 10 Phone: Hallo, ich bin auf der Suche nach einer Antivirus App für meine Windows Phone Lumia 650 und 950. Leider finde ich im Microsoft Store dazu...
  • Virus oder seriöse Nachricht von Windows?

    Virus oder seriöse Nachricht von Windows?: ich erhalte seit einigen Wochen folgenden Hinweis wenn ich mich auf der Eingangsseite Windows Edge befinde...
  • ist das ein virus auf meinem Pc?

    ist das ein virus auf meinem Pc?: ein lang anhaltender pip Tower sendet das auff meinen Pc
  • Ähnliche Themen

    • Pc Blocked - Virus

      Pc Blocked - Virus: Hello. I was looking some clips at internet and then some website pop up. Right after i got warning from Windows abouth virus. What should i do? I...
    • was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN

      was kann ich tun,um den **** Virus von meinem PC ZU BEKOMMEN: HABE SEIT UNGEFÄHR VIER WOCHEN EINEN Virus. Was kann ich tun? Habe schon so oft gescant auf vieren, aber alles umsonst.
    • Anti- Virus App für Windows 10 Phone

      Anti- Virus App für Windows 10 Phone: Hallo, ich bin auf der Suche nach einer Antivirus App für meine Windows Phone Lumia 650 und 950. Leider finde ich im Microsoft Store dazu...
    • Virus oder seriöse Nachricht von Windows?

      Virus oder seriöse Nachricht von Windows?: ich erhalte seit einigen Wochen folgenden Hinweis wenn ich mich auf der Eingangsseite Windows Edge befinde...
    • ist das ein virus auf meinem Pc?

      ist das ein virus auf meinem Pc?: ein lang anhaltender pip Tower sendet das auff meinen Pc
    Oben