Malware-Analyse offenbart Verwandtschaften

Donnerstag den 04.05.2006 um 16:44 Uhr

von Frank Ziemann

Ein deutsches Projekt entdeckt Verbindungen zwischen verschiedenen Schädlingsfamilien.
Bekannte digitale Schädlinge werden in immer neuen Versionen in Umlauf gebracht. Antivirus-Hersteller tragen dem zumindest teilweise Rechnung, indem sie Varianten durch einen Suffix kennzeichnen. So sind von etlichen Würmern wie Mytob oder Bagle inzwischen mehr als 100 Varianten bekannt. Die Sabre Security GmbH aus Bochum hat in einem laufenden Projekt weitere Verwandtschaften entdeckt, die sich nicht in den von Antivirus-Herstellern vergebenen Namen widerspiegeln.

Sabre Security entwickelt eigene Programme zur Analyse von Code, mit denen etwa Unterschiede zwischen den Dateien verschiedener Schädlinge oder Schädlingsvarianten untersucht werden können. Ziel des Projekts ist eine automatisierte Klassifikation von Malware. Je nach Verwandtschaftsgrad (Ähnlichkeit) des Codes werden Exemplare einer Familie zugeordnet.

Bei der Untersuchung einiger hundert gesammelter Schädlinge wurden zunächst die komprimierten EXE-Dateien ausgepackt und dann disassembliert. In einem Disassembler wird das ausführbare Programm in Assembler-Code umgewandelt, eine Art maschinennaher Quelltext. Dies wird auch "Reverse Engineering" genannt. Die von den Malware-Programmierern geschriebenen Quelltexte stehen ja nur selten zur Verfügung.

Der Virenscanner des Open-Source-Projekts Clam AV diente als Hinweisgeber auf die Namen, unter denen die untersuchten Schädlinge bekannt sind. Halvar Flake, Gründer von Sabre Security, nennt in seinem Blog einige Beispiele aus den Ergebnissen der Analysen. Die meisten der etwa 200 untersuchten Schädlinge lassen sich in zwei große und drei kleinere Familien einordnen.

Flake fand, dass etwa die Bots, die Clam AV als "IRCBot-16", "Gobot.R", "Ghostbot.A" und "Delf-35" erkannt werden, trotz ihrer sehr unterschiedlichen Namen recht eng verwandt sein müssen. Die wesentlichen Funktionen sind praktisch identisch. Im Gegensatz dazu sind die Übereinstimmungen zwischen "Sasser.B" und "Sasser.D" mit 69 Prozent deutlich geringer. Auch die Mitglieder der Familien "Padobot" und "Korgo" erweisen sich als so ähnlich, dass sie eigentlich zu einer gemeinsamen Familie gerechnet werden müssten.

Als weiteres Beispiel für die Anwendung ihrer Analyse-Werkzeuge demonstriert ein Shockwave-Video die Suche nach Code-Diebstahl in Software, deren Quelltext nicht vorliegt.

Donnerstag den 04.05.2006 um 16:44 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
74088