Tool erlaubt Aufspüren von Malware über Google
Der Sicherheitsexperte HD Moore hat ein Tool online gestellt, mit dem über Google nach Malware gesucht werden kann. Das ist möglich, weil Google seit einigen Monaten nicht nur Web-Inhalte indexiert, sondern auch ausführbare Programme.
Ein Sicherheitsexperte hat ein Tool veröffentlicht, mit dem Googles Datenbank nach schädlicher Software durchsucht werden kann. Das Unternehmen Websense hatte in der vergangenen Woche die Verfügbarkeit eines ähnlichen Tools verkündet, sich allerdings geweigert, es zu veröffentlichen, mit der Begründung es könnte von Personen missbraucht werden, die eine Attacke starten möchten (wir berichteten).
Der Sicherheitsexperte HD Moore hat sich von der Idee hinter dem Websense-Tool inspirieren lassen und ein eigenes Tool entwickelt, das seit Montag über diese Website verfügbar ist. Zum Einsatz kommt eine Datenbank mit digitalen Fingerabdrücken von bekannter Malware. Moores Tool nutzt die Signaturen, um über Google Würmer und Viren aufzuspüren.
Dass das überhaupt funktioniert, liegt daran, dass Google nicht nur die Inhalte von Websites indexiert, sondern auch die binären Informationen der ausführbaren Dateien, die auf einem Windows-Rechner laufen. Laut Angaben unserer US-Schwesterpublikation PC-World ist nicht bekannt, seit wann die Google-Suchmaschine derartige Informationen erfasst und Google will sich dazu nicht äußern. Sicherheitsexperten waren vor einigen Monaten darauf gestoßen. Google beteuerte lediglich gegenüber unseren US-Kollegen, dass man sich bewusst sei, dass Anwender über Google ausführbare Schädlinge finden können, man aber alles tue, um die Anwender vor Gefahren dieser Codes zu schützen.
Moore hat laut eigenen Angaben das Tool entwickelt, um festzustellen, wie viele Malware die Google-Suche indexiert hat. Sein Tool habe aber gezeigt, dass es nicht viele sind. Er untersuchte 4 GB ausführbaren Codes und fand heraus, dass nur wenige Programme schädlich sind. "Man kann nach Malware suchen, aber es ist kein großes Risiko", so Moore. Von den rund 2500 Stichproben, die er untersuchte, fand er 125 Mal Malware. 90 Prozent davon entpuppten sich als Teil von schädlichen Mails, die in Online-Archiven abgelegt waren und von Google indexiert wurden. Der Rest stammte von Websites, die als Verbreiter von Malware bekannt sind.
Nicht zuletzt wegen seiner Ergebnisse hat Moore auch das Tool online gestellt. Ein Angreifer soll es nicht nutzen könne, um damit neue Quellen von Malware ausfindig machen zu können. Ohnehin hätten solche Personen laut Moore bessere Quellen, um an Schadprogramme zu gelangen. Immerhin könnte man aber Googles Index dafür nutzen, um festzustellen, wer Malware im Internet unter das Volk bringt.
Es gab Anzeichen dafür, dass Google einen eigenen Downloadservice plant und deshalb die ausführbaren Dateien indexiert. So etwas kann Moore allerdings nicht bestätigen, denn dazu sei die Zahl der von Google indexierten Dateien zu gering. Vor drei Monaten lag die Zahl der indexierten Dateien noch bei 30.000. Seitdem ist sie auf rund 112.000 angestiegen. "Wenn man bedenkt, dass es sich um Google handelt, würde man bessere Ergebnisse erwarten. Wenn Sie den Index der ausführbaren Dateien auf ein nützliches Ausmaß erhöhen, dann würde sie wirklich nützlich werden", so Moore. Sollte Google aber tatsächlich einen Downloadservice planen, dann empfiehlt Moore Mechanismen einzuführen, die dafür sorgen, dass der Service nicht für die Verbreitung von Malware genutzt wird. Angreifer könnten sonst Malware als harmlose Downloads tarnen und über Google verbreiten.
