Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

01.05.1992 - 

Neue Decodierroutinen nicht mehr identifizierbar

Neue Viren-Kits für jedermann machen Schutz-Software blind

MÜNCHEN (CW) - Daß sich Tausende Anwender in Panik vor dem Virus "Michelangelo" zum Teil sehr teure Programme zur Viren-Erkennung und -Bekämpfung angeschafft haben, könnte sich als nutzlos erweisen. Eine Welle neuer Viren droht auf die DOS-Welt zuzukommen, welche sich mit den bisherigen Schutzprogrammen nicht entdecken und bekämpfen lassen.

Ältere Viren waren noch gänzlich uncodiert. Viele der heutigen Viren sind dagegen nicht nur einfach codiert, sondern sie codieren sich nach einer Infektion neu. Sie haben also eine veränderte und nicht wiedererkennbare Gestalt. Glücklicherweise aber ist ein Bestandteil solcher Viren auch eine Decodierroutine, die nicht codiert werden kann; denn dann entstünde ein Paradoxon: Wer oder was sollte den verschlüsselten Code einer Decodierroutine decodieren?

Man kann also ein noch so gut verschlüsseltes Virus immer an seiner Decodierroutine erkennen. Viele Viren-Scanner suchen auch tatsächlich danach. Wird sie erkannt und gelöscht, läßt sich der Virus nicht ausführen, obwohl er noch im System stecken kann.

Jetzt sind in Mailboxen Viren aufgetaucht, die diese Schwäche von Sabotageprogrammen umgehen. Es wird nicht nur der Viren-Stamm verschlüsselt, sondern auch eine völlig neue Verschlüsselungsmethode für jede neue Infektion erzeugt und die Decodierroutine entsprechend angepaßt. Die ehedem eindeutig identifizierbare "Signatur" eines Virus ist nicht mehr vorhanden. Es ist, als könnten Kriminelle ihre Fingerabdrücke nach Belieben ändern.

Die neue Decodierroutine wird aus einem Satz von rund 100 allgemein verwendeten Anweisungen zusammengesetzt, die bei jeder Infektion nach dem Zufallsprinzip neu geordnet werden. Diese zufällige Anordnung bezieht sich dabei nicht nur auf die Reihenfolge der Anweisungen, sondern auch auf Register - Variablen zur Zwischenspeicherung von Teilergebnissen - und die Speicherplätze. In Tests haben Viren-Experten erkennen müssen, daß bei solchen Verschlüsselungsverfahren keine der erzeugten Dateien mit einer anderen identisch war.

Gute Anti-Viren-Software, die nach bekannten Algorithmen zum Beispiel der Decodierroutine sucht, bietet nach Schätzung von Data-5, einem Anbieter von PC-Sicherungssystemen aus dem schwäbischen Geislingen, im Moment ihres Erscheinen eine Sicherheit von bis zu 85 Prozent vor Viren klassischer Bauart. Gegen Viren der neuen Generation vermögen solche Programme bisher jedoch nichts zu tun. Sie sind blind.

Besondere Brisanz erhält dieser Umstand dadurch, daß es durchaus Grund für die Befürchtung gibt, im PC-Bereich könne eine Vireninfektion bisher nicht erwarteten Ausmaßes bevorstehen. Denn nun muß man kein Assembler-Spezialist mehr sein, um einen Virus der neuesten Generation zu entwickeln.

Das kann auch ein gänzlich programmierunerfahrener Laie mittels verstärkt auf dem Markt auftauchender Viren-Toolkits. Ein Viren-Generator wie das vor Jahren aufgetauchte "Virus Constuction Set" ist, weil die Produkte als Viren zu erkennen sind, noch vergleichsweise harmlos. Größere Gefahren bergen die neuen Viren-Baukästen wie "Dark Avanger Mutation Engine". Bei einem Test durch holländische Viren-Schützer produzierte die Mutationsmaschine in wenigen Stunden 400 Viren, die unterschiedliche Decodierroutinen hatten und mittels Viren-Scanner nicht erkannt worden wären.

Nach Ansicht von Data-5 bieten derzeit nur Lösungen Schutz vor neuen Viren, die eben nicht auf bekannte Signaturen von Viren reagieren. Dafür gibt es zur Zeit verschiedene hardwarebasierte Konzepte. Eines davon heißt "Thunderbyte". Bei Thunderbyte handelt es sich um eine PC-Einsteckkarte, die das System konstant auf verdächtige Aktionen überwacht und solche gegebenenfalls abblockt. Nach Angaben von Data-5 ist es bisher keinem Virus auch keinem der neuen Bauart - gelungen, an diesem Hardwareschutz vorbeizukommen.