26.01.2012, 15:51

Frank Ziemann

Malware-Hybride

Virus trifft Wurm

Wird ein Wurm oder ein Trojanisches Pferd mit einem Virus infiziert, kann das unvorhersehbare Folgen haben. Diese Mutationen passieren meist nicht absichtlich, kommen jedoch gar nicht so selten vor, wie eine Untersuchung zeigt.
Schlimm genug, wenn ein Rechner von einem Virus oder einem Wurm befallen ist – doch was passiert, wenn beides zugleich eintritt? Ein Virus infiziert meist Programmdateien, dazu zählt auch die eines Wurms. Infiziert ein Virus einen Wurm, entsteht ein Hybrid, ein Bastard. Das kann unabsehbare Konsequenzen haben, vor allem wenn auch noch ein Antivirusprogramm ins Spiel kommt.
Der Antivirushersteller Bitdefender hat solche Fälle untersucht und in seiner etliche Millionen Dateien umfassenden Malware-Sammlung 40.000 Exemplare solcher Hybride entdeckt. Bitdefender schätzt, dass in freier Wildbahn unter etwa 65 Millionen verschiedener Malware-Varianten bis zu 260.000 derartiger Mischformen existieren. Wie Loredana Botezatu in Bitdefenders Malware City Blog berichtet, passieren derartige Kreuzungen zweier Schädlinge meist nicht geplant sondern zufällig.
Normalerweise infizieren klassische Viren nur Dateien, können sich nur innerhalb eines Rechners fortpflanzen, nicht zum nächsten PC springen. Ein Wurm hingegen infiziert keine Dateien, er befällt einen PC und breitet sich im Netzwerk aus, infiziert jedoch keine vorhandenen Dateien.
Ein mit einem Virus infizierter Wurm verbreitet jedoch nicht nur sich selbst sondern auch den Virus weiter. Landet dieser Hybrid auf einem Rechner mit Antivirusprogramm, ist folgendes Szenario denkbar. Das Schutzprogramm erkennt den Virus und versucht die infizierte Datei zu reparieren. Übrig bleibt der Wurm, der zwar funktionsfähig, jedoch nicht mehr völlig identisch mit seiner ursprünglichen Form ist. Die Desinfektionsroutinen können je nach Art der Virusinfektion das Original einer Programmdatei nur bedingt restaurieren. Löschen wäre hier die bessere Wahl.
Eine mögliche Folge der Reparatur könnte sein, dass der Wurm von Antivirus-Software nicht mehr erkannt wird, da es sich um eine neue Schädlingsvariante handelt. Je nach Antivirusprogramm können bei solchen Reparaturversuchen sogar verschiedene neue Varianten entstehen. Moderne Antivirus-Software verlässt sich allerdings nicht mehr ausschließlich auf statische Virensignaturen, um Schädlinge zu erkennen. Das Werkzeugarsenal umfasst etwa auch heuristische Methoden und Verhaltensanalyse, sodass die Chance besteht die neue Mutation dennoch zu entdecken.
Bitdefender befürchtet, dass Malware-Programmierer in Zukunft zunehmend gezielt solche Mischformen entwickeln könnten. Es gibt sie schon seit etlichen Jahren, meist als Kreuzung aus Wurm und Trojanischem Pferd. Letztere können sich eigentlich nicht selbsttätig verbreiten – mit der Einkreuzung der Wurmeigenschaften erhalten sie diese Fähigkeit. Die klassische Unterteilung der Schädlinge in Viren, Würmer und Trojanische Pferde gilt längst nicht mehr.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

- Anzeige -
PC-WELT Specials
1309178
Content Management by InterRed