Navigation
Startseite
Chat
Sendeplan

Gästebuch
Downloads
FAQ
Weblinks
Kontakt
Streamboxen
Impressum
Hörerlist
Videos
Login
Benutzername

Passwort



Noch kein Mitglied?
Klicke hier um dich zu registrieren

Passwort vergessen?
Um ein neues Passwort anzufordern klicke hier.
bist du schon hier?




guggst du



bist du schon hier?


Antiviren-Software versagt beim Staatstrojaner

In einem Test am Montag von heise Security stellte sich jedoch heraus, dass unter anderem Ikarus, Panda, Trend Micro und McAfee schon nach einer minimalen Änderung an der Datei keinen Alarm mehr gaben. Wir ersetzten dazu lediglich das große O in der Zeichenkette "DOS" durch ein kleines. Vorher meldete etwa McAfee die Datei mfc42ul.dll noch als Artemis!930712416770, nach der Änderung blieb es stumm.

Es ist kein Zufall, dass es da gerade drei prominente Fürsprecher von "In the Cloud"-Erkennung erwischt hat. Primitive Cloud-Erkennung arbeitet nämlich nur mit Hash-Werten der fraglichen Dateien. Und die ändern sich schon dann, wenn sich in einer Datei nur ein einziges Bit ändert. Da der CCC die veröffentlichten Dateien bereits vorab verändert hatte, springen diese Signaturen nicht einmal auf die unveränderten, wirklich eingesetzten Originale an. Und selbst wenn der Hersteller die Hashes aller beim CCC eingegangenen Trojaner in seine Datenbank aufgenommen hat – die Trojaner-Versionen, die einem anderen Fall zugeordnet sind, tragen andere Fallnummern und wahrscheinlich auch andere Versionsnummern. Richtige Signaturen, die auch geringfügig modifizierte Varianten erkennen, lieferten Ikarus, Panda, Trend Micro und McAfee zum Teil erst mehrere Tage nach den anderen Herstellern.

Doch auch solche lokalen Signaturen lassen sich einfach austricksen, wie Online-Banking-Betrüger tagtäglich beweisen. Und ganz offenbar sind auch die Heuristiken, mit denen die Hersteller unbekannte Schädlinge entdecken wollen, der Aufgabe nicht gewachsen. Sonst hätten diese ja schon vor der Veröffentlichung des CCC Alarm schlagen müssen. Dass sie das nicht taten, liegt wohl unter anderem daran, dass der Staatstrojaner auf viele Dinge verzichtet, die bei den aktuellen 08/15-Trojanern der Betrüger zum Standardrepertoire gehören. So versucht er nicht, sich in Browser einzuklinken, er liest keinen verschlüsselten https-Verkehr mit und er betätigt sich auch nicht als Spam-Schleuder.

Die CCC-Analyse zeigt auch, wie der Trojaner die verbliebenen, verdächtigen Aktivitäten wie das Starten einer aus dem Netz nachgeladenen Datei an der Heuristik vorbeimogelt. Er zerlegt den Verweis auf die dafür genutzte Funktion des Windows-APIs in die Fragmente "Crea" + "teProc" + "essA" und setzt die erst zur Laufzeit in das verräterische "CreateProcessA" zusammen.

Bleibt als letzte Hoffnung der verunsicherten Anwender die Verhaltenserkennung. Prompt beteuern die AV-Hersteller auch bereits reihenweise, versagt habe ja nur die statische Signatur- und Heuristik-Erkennung. Bei einem Versuch den Trojaner auf einem System tatsächlich zu starten, würde natürlich sofort die Verhaltenserkennung zuschlagen, vernimmt man. Ob dem so wirklich ist, werden wir leider nicht erfahren. Denn der CCC hat leider nur nur die statische Erkennung getestet. Und nachträglich lassen sich derartige Tests nicht mehr sinnvoll durchführen, weil sich die jetzt anspringende Signatur-Erkennung nicht allein abschalten lässt.

Allerdings sind durchaus Zweifel angebracht, ob eine Verhaltenserkennung tatsächlich präventiv schützen würde. Zu untypisch ist das Verhaltensmuster des Staatstrojaners, der nur bei wenigen Prozessen überhaupt aktiv wird. Und Programme wie Skype gehören nicht zu den typischen Zielen von Schädlingen wie Zeus, SpyEye & Co. Wenn überhaupt, würde ein Virenwächter wohl am ehesten beim Ausführen des Installationsprogramms Verdacht schöpfen. Und auch das hilft nicht wirklich, wenn der Trojaner – wie im bis jetzt einzigen dokumentierten Fall – bei einer Zollkontrolle installiert wird. Dabei könnte der Beamte im Zweifelsfall die Spionage-Software auch gleich in die Ausnahmeliste der AV-Software eintragen. Vor einem solchen Szenario schützt am ehesten eine Komplettverschlüsselung des Notebooks mit Pre-Boot-Authentifizierung.

Überhaupt kann man Staatstrojaner nicht wirklich mit den massenhaft verbreiteten Schädlingen vergleichen. Viel eher ähneln sie den Maßanfertigungen, die für Einbrüche und Spionage in Unternehmen zum Einsatz kommen. In beiden Fällen handelt es sich um Spionageprogramme, die gezielt für einen bestimmten Zweck entwickelt werden und die nie große Verbreitung finden. Und ähnlich viel Schutz bietet AV-Software auch vor dieser Gefahr – nämlich nahezu gar keinen. Die jetzt nachgereichten Signaturen sind eher ein Feigenblatt als ein Schild. Wer also sicher sein will, dass derartige Schnüffelei nicht in seine digitale Privatsphäre vordringt, die ihm das Verfassungsgericht zubilligt, darf sich nicht auf die Technik verlassen, sondern muss jetzt auf politische Konsequenzen drängen.  Heise.de




Mitglieder Online
Gäste Online: 1

Mitglieder Online: 0

Mitglieder insgesamt: 7
Neuestes Mitglied: Little

Shoutbox
Du musst eingeloggt sein, um eine Nachricht zu verfassen.

santiano
29.11.2015 22:32:44
grüsse an alle Smile

Auge
01.11.2014 19:09:21
Hallo Karsten, alte Socke, alles frisch..., freut mich dich mal wieder zu sehen Wink

karsten
31.10.2014 20:15:22
Huhu siggi, na wie geht's dir altes haus,grüße vom karsten

Pitti
14.10.2013 18:40:10
wünsche allen zu hörern eine gute Sendung... Grin

Pitti01
01.10.2013 00:25:48
Was hälst von Iron Butterfly,,,mit In The Gadda Davida Grin

Home de

Home com

4vip2.com

BlueEngel



De Fusion


DunklesAuge.de Topsites wir zeigen eure Site/Homepage


TerraList - unlimit Webcharts - Google und Seo optimiert


Sie haben Interesse an einem Stream oder Teamspeak, hier haben Sie eine Test & Kontaktmöglichkeit !