15460

Black Hat Konferenz: EXE-Packer bereiten Virenscannern Probleme

08.08.2006 | 08:43 Uhr |

Forscher aus Magdeburg zeigten, dass kein Antivirus-Programm fehlerfrei mit Laufzeitpackern umgehen kann.

Die Programmierer von Malware aller Art versuchen die Erkennung ihrer Machwerke durch Virenscanner mit Hilfe von EXE-Packern zu erschweren. Ein Vortrag von Tom Brosch und Maik Morgenstern von der Magdeburger Firma AV-Test auf der Black Hat Konferenz in Las Vegas zeigte, dass sie damit zum Teil Erfolg haben.

Die auch als Laufzeitpacker bezeichneten Programme komprimieren die fertig kompilierten Programmdateien, ohne dass ihre Lauffähigkeit beeinträchtigt wird - zumindest theoretisch. In der Praxis klappt das oft nicht, wie auch Brosch und Morgenstern feststellten. Die resultierenden EXE-Dateien sind meist kleiner und können zudem auch noch verschlüsselt werden. Die Komprimierung derselben Malware-Datei mit einem anderen Packprogramm führt zu einer deutlich unterschiedlichen Datei, die von vielen Antivirus-Programmen erstmal nicht erkannt wird.

Die Magdeburger Antivirus-Tester untersuchten ein Reihe von Antivirus-Programmen auf ihren Umgang mit komprimierten EXE-Dateien. Dabei stellten sie unter anderen fest, dass Virenscanner mit hohen Erkennungsraten oft auch viele Fehlalarme produzieren. Die Ursache sehen die Forscher darin, dass die Virenscanner nur die enthaltene Entpackroutine des Packers erkennen - auch wenn eine völlig harmlose Datei komprimiert wurde.

Kein Antivirus-Produkt kann mit allen verfügbaren EXE-Packern umgehen. Es gibt einfach zu viele davon und ständig kommen neue dazu. Von den im März laut Wildlist in freier Wildbahn gesichteten Schädlingen sind mehr als 92 Prozent mit Laufzeitkomprimierern behandelt, oft auch mit mehreren verschiedenen. Von 63 Schädlingen der Bagle-Familie sind 62 Exemplare komprimiert, bei Mytob sind es 241 von 246, bei Sdbot gar alle 58 untersuchten Varianten. Der beliebteste Packer ist das Open-Source-Programm UPX .

Einige Antivirus-Programme konnten bei den Untersuchungen von AV-Test durch die Verwendung von bestimmten Laufzeitpackern sogar aus dem Tritt gebracht werden. Zudem nimmt bei allen Produkten die Scan-Dauer komprimierter Dateien im Vergleich zu den unkomprimierten naturgemäß deutlich zu. Beobachtet haben die Magdeburger Forscher eine typische Zunahme um Faktoren zwischen 1,5 und 10.

Die Antivirus-Hersteller sollten folglich vor allem an der Reduktion der Fehlalarme arbeiten. Auch der Umgang mit weniger verbreiteten Packprogrammen ist ständig zu verbessern. Schließlich müssen die Hersteller Probleme bei der Stabilität und der Scan-Geschwindigkeit in den Griff bekommen.

0 Kommentare zu diesem Artikel
15460