04.05.2006, 16:44

Frank Ziemann

Malware-Analyse offenbart Verwandtschaften

Ein deutsches Projekt entdeckt Verbindungen zwischen verschiedenen Schädlingsfamilien.
Bekannte digitale Schädlinge werden in immer neuen Versionen in Umlauf gebracht. Antivirus-Hersteller tragen dem zumindest teilweise Rechnung, indem sie Varianten durch einen Suffix kennzeichnen. So sind von etlichen Würmern wie Mytob oder Bagle inzwischen mehr als 100 Varianten bekannt. Die Sabre Security GmbH aus Bochum hat in einem laufenden Projekt weitere Verwandtschaften entdeckt, die sich nicht in den von Antivirus-Herstellern vergebenen Namen widerspiegeln.
Sabre Security entwickelt eigene Programme zur Analyse von Code, mit denen etwa Unterschiede zwischen den Dateien verschiedener Schädlinge oder Schädlingsvarianten untersucht werden können. Ziel des Projekts ist eine automatisierte Klassifikation von Malware. Je nach Verwandtschaftsgrad (Ähnlichkeit) des Codes werden Exemplare einer Familie zugeordnet.
Bei der Untersuchung einiger hundert gesammelter Schädlinge wurden zunächst die komprimierten EXE-Dateien ausgepackt und dann disassembliert. In einem Disassembler wird das ausführbare Programm in Assembler-Code umgewandelt, eine Art maschinennaher Quelltext. Dies wird auch "Reverse Engineering" genannt. Die von den Malware-Programmierern geschriebenen Quelltexte stehen ja nur selten zur Verfügung.
Der Virenscanner des Open-Source-Projekts Clam AV diente als Hinweisgeber auf die Namen, unter denen die untersuchten Schädlinge bekannt sind. Halvar Flake, Gründer von Sabre Security, nennt in seinem Blog einige Beispiele aus den Ergebnissen der Analysen. Die meisten der etwa 200 untersuchten Schädlinge lassen sich in zwei große und drei kleinere Familien einordnen.
Flake fand, dass etwa die Bots, die Clam AV als "IRCBot-16", "Gobot.R", "Ghostbot.A" und "Delf-35" erkannt werden, trotz ihrer sehr unterschiedlichen Namen recht eng verwandt sein müssen. Die wesentlichen Funktionen sind praktisch identisch. Im Gegensatz dazu sind die Übereinstimmungen zwischen "Sasser.B" und "Sasser.D" mit 69 Prozent deutlich geringer. Auch die Mitglieder der Familien "Padobot" und "Korgo" erweisen sich als so ähnlich, dass sie eigentlich zu einer gemeinsamen Familie gerechnet werden müssten.
Als weiteres Beispiel für die Anwendung ihrer Analyse-Werkzeuge demonstriert ein Shockwave-Video die Suche nach Code-Diebstahl in Software, deren Quelltext nicht vorliegt.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

Telekom Browser 7.0

Telekom Browser 7.0
Jetzt die aktuelle Version 7 mit neuem Design und optimierter Benutzerführung herunterladen!

- Anzeige -
Marktplatz
Amazon

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

UseNext

10 Jahre UseNeXT
Jetzt zur Geburtstagsaktion anmelden und 100 GB abstauben! > mehr

74088
Content Management by InterRed