63328

Win32/NetSky.C: Laufzeitpacker machen den Virenscannern zu schaffen

02.03.2004 | 15:02 Uhr |

Momentan fegt ein noch nicht da gewesener Strom von neuen Wurmvarianten durch das Netz. Gerade ist ein Wurm bei den Anti-Viren-Herstellern fertig analysiert, schon stehen zwei neue Varianten vor der Tür. Dies beschert einen regelrechten Update-Strom durch die Anbieter von Schutzsoftware.

Momentan fegt ein noch nicht da gewesener Strom von neuen Wurmvarianten durch das Netz. Gerade ist ein Wurm bei den Anti-Viren-Herstellern fertig analysiert, schon stehen zwei neue Varianten vor der Tür. Dies beschert einen regelrechten Update-Strom durch die Anbieter von Schutzsoftware.

Während Symantec und Network Associates vor kurzem nur wöchentlich Updates herausbrachten, sind auf Grund der aktuellen Wurmlage nun schon fast tägliche Aktualisierungen daraus geworden. Kaspersky Labs, die sowieso schon mehrfach täglich Updates herausbringen, haben ihren Output sogar auf bis zu 10 Updates am Tag gesteigert. Üblich waren vor kurzem noch drei bis fünf in der gleichen Zeit.

Ganz ohne Makel sind die Updates aber bei weitem nicht: Zum einen kocht jeder Hersteller bei der Namensgebung noch immer sein eigenes Süppchen, so dass wir bei 23 Produkten, die wir momentan im Testfeld haben, auch 23 verschiedene Namen vorfanden. Immerhin taucht der Begriff "NetSky" bei fast jedem Hersteller in irgendeiner Form auf.

Beim Win32/NetSky.C gab es noch einen weiteren interessanten Fakt: Den Wurm gab es nicht nur einmal, sondern gleich in drei verschiedenen Untervarianten, die sich jeweils nur durch das Packformat unterscheiden. Laufzeitpacker wie UPX können EXE-Dateien komprimieren, wobei sie weiter ausführbar bleiben.

Genau das haben die Virenschreiber hier genutzt und drei Subvarianten generiert: Ein Wurm war mit ASPack, der zweite mit Petite und der dritte mit UPX verkleinert. Eigentlich sollte man von jedem AV-Anbieter erwarten können, dass er diese gängigen Formate handhaben kann und so nur maximal ein Update benötigt, um den Win32/NetSky.C-Wurm in allen drei Ausführungen zu erkennen. Denn der Wurm an sich wird durch den Packvorgang nicht verändert. Trotzdem kamen nicht einmal die Hälfte der Scanner mit dieser Besonderheit zurecht.

0 Kommentare zu diesem Artikel
63328