250799

Alte Virentricks neu belebt und im Web

06.05.2008 | 09:00 Uhr |

Malware-Programmierer kramen derzeit im Quellcode alter Viren und finden Tricks, gegen die aktuelle Sicherheits-Software kaum schützt.

Auf der Grundlage alter Tricks entwickeln Malware-Programmierer so unangenehme Schädlinge wie den Wurm W32.Joydotto. Er kopiert sich auf externe Datenträger, etwa USB-Sticks oder Festplatten, benutzt dabei jedoch keinerlei Dateinamen. Vielmehr schreibt er sich direkt auf den Datenträger und markiert die benutzten Sektoren als defekt. Damit dieser Trick funktioniert, bringt der Wurm ein Programm mit, das die Sektoren wieder ausliest. Dieses Ladeprogramm muss nicht besonders groß sein und erscheint ganz harmlos. Das eigentliche Wurmprogramm ist mit drei zufällig erzeugten Schlüsseln chiffriert, die im Ladeprogramm zusammen mit dem genauen Speicherort enthalten sein müssen. Dieses residiert als "L.exe" im Papierkorb des infizierten Laufwerks und wird über "autorun.inf" aufgerufen.

Formatieren hilft

Der Schädling befällt nur Datenträger mit dem Dateisystem FAT. Formatieren des Datenträgers entfernt den Wurm und stellt auch die als defekt markierten Sektoren wieder zur Verfügung. Durch einige Fehler im Wurm-Code kann der Schädling eine Menge Platz verbrauchen, zumal er nicht überprüft, ob er sich schon früher auf einen Datenträger kopiert hat. Deshalb verseucht er den Datenträger bei jedem Einlegen oder Anschließen erneut.

Ein weiteres Beispiel: Auf den Medien einiger digitaler Bilderrahmen verschiedener Anbieter wurden Trojaner entdeckt. Einer der Schädlinge nutzt einen Trick aus der Mottenkiste der Virenprogrammierer.

Startrampe: Debugger

Er trägt sich als Debugger für installierte Programme in der Registry ein. Die Windows-Registry enthält einen Zweig namens "Image File Execution Options", der es erlaubt, für jedes installierte Programm einen Debugger festzulegen. Der Effekt eines solchen Eintrags ist, dass statt des eigentlichen Programms ein anderes gestartet wird, nämlich der angegebene Debugger. Unser Schädling arbeitet sich durch diesen Registry-Zweig und legt entsprechende Debugger-Einträge für Antiviren-Tools an, die er kennt. Windows startet dann den Schädling statt des Virenscanners, da es nicht überprüft, ob es sich um einen Debugger handelt.

Rootkit im MBR

Ebenfalls aus der MS-DOS-Ära stammt die Technik des Bootvirus, der sich im Master Boot Record (MBR) der ersten Festplatte versteckt. Er wird somit noch vor dem Betriebssystem geladen und kann dieses beliebig manipulieren. Bereits im Dezember 2007 wurde ein Rootkit entdeckt, dessen Programmierer diesen Trick wieder entdeckt hat. Die als Trojan.Mebroot bekannt gewordene Tarnkappen-Malware zwingt Windows zum Laden eines Rootkit-Treibers, der den eigentlichen Schädling vor Antivirus-Software verstecken soll. Seit der Entdeckung der ersten Version gibt's immer neue Fassungen. Das Rootkit ist im Grunde nicht zu entdecken, so lange der PC von der infizierten Festplatte gestartet wird. Erst das Booten von einer Antivirus-CD (gibt´s etwa via Avira) nimmt der Malware den Vorteil, vor jedem Virenscanner geladen zu werden.
Die Trickkiste der DOS-Viren hält zweifellos noch weitere Winkelzüge bereit, mit denen heutige Malware das Überraschungsmoment auf ihrer Seite haben wird. Somit ist es noch wichtiger, Windows und Sicherheits-Software immer aktuell zu halten.

0 Kommentare zu diesem Artikel
250799