57912

Virus zielt auf Virenforscher

10.07.2006 | 17:15 Uhr |

Ein neuer Virus benutzt ein von Sicherheitsforschern verwendetes Werkzeug, um sich auszubreiten.

Während die meisten Viren und Würmer entweder Windows selbst oder allgemein übliche Windows-Programme als Zielscheibe ihrer Angriffe wählen, nimmt ein neu entdeckter Virus ein Analysewerkzeug von Virenforschern aufs Korn. Der Antivirus-Hersteller Sophos berichtet über den so genannten "Gattman-Virus", der sich des Disassemblers IDA Pro bedient.

Der Interactive Disassembler (IDA) der Firma Data Rescue dient vielen Virenforschern bei Sicherheitsunternehmen zur Analyse von potenziell schädlichen Programmdateien. Mit seiner Hilfe können sie Programme in für Menschen lesbaren Assembler-Code umwandeln. Diese Vorgehensweise bei der Untersuchung von Programmen wird auch als "reverse engineering" bezeichnet.

Der Gattman-Virus infiziert IDC-Dateien von IDA Pro. IDC ist eine Scriptsprache, die ANSI C ähnelt und den Forschern ermöglicht, das Verhalten von IDA Pro zu steuern und anzupassen. IDC-Dateien werden zuweilen unter Virenforschern ausgetauscht, die an ähnlichen Problemstellungen arbeiten.

Infizierte IDC-Scripte erzeugen eine unter Windows lauffähige EXE-Datei, die dann nach weiteren IDC-Dateien sucht und sie infiziert. Diese Scripte erzeugen dann wieder neue EXE-Dateien und so fort. Dabei wird bei jeder Infektion sowohl der Script-Code als auch die erzeugte EXE-Datei verändert. Es handelt sich also um eine Art polymorphen Virus.

Dazu verwendet der Gattman-Virus nach Angaben von Sophos vorhandene Programme, die jedoch auf normalen PCs eher selten zu finden sind. Es handelt sich dabei um verschiedene EXE-Packer, also um Programme, die lauffähige Programmdateien komprimieren und teilweise auch verschlüsseln. Diese Programme, wie etwa UPX, sind auf den Rechnern von Virenforschern häufig zu finden.

Mutmasslich will der Programmierer des Virus, den Sophos in einer der bekannten Malware-Gangs vermutet, unvorsichtige Forscher treffen. In professionellen Antivirus-Labors dürften routinemäßige Sicherheitsmaßnahmen die Ausbreitung des Virus verhindern. Der Virus enthält außer seiner Verbreitungroutine keine Schadensfunktionen.

Der Chefentwickler von IDA Pro, Ilfak Guilfanov, entwickelte im Januar einen inoffiziellen Patch gegen den so genannten WMF-Exploit , bevor Microsoft ein Sicherheits-Update bereits stellte.

0 Kommentare zu diesem Artikel
57912