Gefährliche Viren-Signaturen
Forscher der TU Braunschweig und der Uni Göttingen weisen auf eine bislang wenig diskutierte Missbrauchsmöglichkeit dieser für einen Schädling typischen Byte-Sequenzen hin: Diese Signaturen lassen sich nutzen, um ganz gezielt Fehlalarme zu produzieren, wie heise.de dazu berichtete. Die Viren-Signaturen sind notwendig zum Erkennen von Schadsoftware.
Um Signaturen zu isolieren wurde von den Forschern eigens ein Verfahren entwickelt. Konkret geht es dabei darum, in erkannter Malware systematisch einzelne Bytes zu ändern, um herauszufinden, ob diese für die Erkennung relevant sind. Damit gelang es, die für eine Erkennung relevanten Byte-Sequenzen von vier kommerziellen Antiviren-Programmen ermitteln.
Viren-Alarm
Mit der Einschleusung der gefundenen Byte-Sequenz in Dateien gelang es einen Viren-Alarm auszulösen und die Virenschutz-Software in Gang zu setzen. Eine böse Falle, denn die Virenschutzsoftware vernichtet die angeblich infizierte Datei kurzerhand.
Wie verlautete gelang es den Sicherheitsforschern einen Virenwächter dazu zu provozieren, die komplette Mailbox eines Thunderbird-Nutzers zu löschen. Er bekam dazu eine mail gesandt, in deren Header sie die typische Byte-Sequenz einer Malware platzierten. Im Beitrag Automatically Inferring Malware Signatures for Anti-Virus Assisted Attacks erklärt eine Forschergruppe das gezielte Löschen von verräterischen Log-Dateien.
Ist Antiviren-Software noch zeitgemäß?
Das aktuelle Thema, ob Antiviren-Software noch ein zeitgemäßer Schutz für unsere IT-Infrastruktur darstellt, diskutieren übrigens im Rahmen der diesjährigen heise-Security-Konferenz Komplexe Angriffe intelligent verteidigen der Sicherheitsexperte Felix von Leitner und versierte Experten aus der AV-Branche, so heise.de.
