Tren Micro


Facebook-User Frage:

In meiner täglichen Arbeit ist definitiv klar geworden, dass kein Anti-Malwareprogramm 100%ig sicher ist. Einer der Gründe ist vor allem der, dass viele Schädlinge den Weg über Sicherheitslücken auf das System finden, die ein solches Sicherheitsprogramm nicht überwachen kann. Die meisten hochkarätigen Sicherheits-Suiten liefern ja einen Netzwerkfilter mit. Nun zu meiner Frage: Kann sich eine Malware durch solche Filter durchschummeln oder verstehe ich nur die Arbeitsweise dieser Filter falsch?

Experten-Antwort

Filter gibt es verschiedene. Durch einen “dummen” Paketfilter kann man sich einfach durchschummeln (wobei schummeln hier echt zu viel gesagt ist). Bei einem Filter, der auch den Inhalt scannt ist immer die Frage, ob er den Inhalt als schädlich erkennen kann. Ich kann als Malware Schreiber ja meinen Inhalt sehr einfach in Millionen Permutationen erzeugen … alleine schon durch verschiedene Packer und Co. … von verschiedenen Möglichkeiten ein und die selber Routine durch verschiedenste Kombination von Assemblerbefehlen zu schreiben fangen wir erst gar nicht an. Es geht sogar so weit, dass es im Untergrund “Quality Assurance” Services für Malware gibt. D.h. ich schicke Malware hin, die scannen das Ganze mit 70+ AV Engines und sagen, ob das jemand erkennt oder nicht. Wenn es keiner erkennt kann ich als Malware Schreiber den Müll unters Volk bringen. Erkennt es einer, versuche ich den nächsten Packer (Optionen).

Udo Schneider

Trend Micro Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Fax:  +49 (0) 811 88 99 0 – 799
Internet:  www.trendmicro.de
Blog: http://blog.trendmicro.de