Können Viren ihr Signatur ändern?

...komplette Frage anzeigen

6 Antworten

Ja ein bekannter Trojaner ist der Reverse_Tcp Trojaner welcher seine Struktur ändert und dadurch nicht von einem Antiviren Programn erkannt wird

Bei dem Begriff Signatur im Zusammenhang mit Viren und Virenscanner handelt es sich nicht um eine wohldefinierte Funktion oder Wert.

Mit Signatur ist einfach nur das Portfolio aller Erkennungsmerkmale gemeint, mit der ein Virus erkannt und identifiziert wird.

Bei einfachen Viren ist das in der Tat manchmal sogar wirklich bloß eine bestimmte Byte Folge, die an einer bestimmten Stelle in der Binärdatei gefunden wird.

Aber so doof sind die Virenprogrammierer schon lange nicht mehr.

Ändern kannste da nichts und bringt auch nichts.

TeeTier 06.07.2017, 12:33

Aber so doof sind die Virenprogrammierer schon lange nicht mehr.

Falls du das mal ausprobieren möchtest, schreib dir doch mal ein Skript, welches eine Malware (z. B. aus einer Spammail) in einzelne Teile zerhackt und diese dann einzeln von einer Antivirensoftware prüfen lässt.

Mit diesem "Teilen-und-Herrschen" findet man binnen Sekunden die sog. Signatur. Evtl. danach noch ein paar Bytes davor und danach wegtrimmen und neu testen, bis man die exakte Signatur gefunden hat.

Das sind meist relativ kurze Binärstrings, die oft gar nicht mal sooo eindeutig sind (deshalb auch die vielen False-Positives).

Natürlich gibt es noch mehr Testmethoden, aber Signaturen findet man oft wie oben beschrieben. Und die Stelle in der Datei selbst ist oft auch relativ unwichtig. Vor ca. einem Jahr hat ja mal irgend ein Scherzkeks den EICAR-Testvirus in die Bitcoin-Blockchain "eingearbeitet", woraufhin den Leuten ihre Wallets unterm Hintern von den Antiviren weggerissen wurden. :)

1

eine Signatur ist in der Regel ein hashcode z.B. Crc32, an sich eine berechnete Prüfzahl aus dem Dateiinhalt, oder teilen davon.

Sobald ich auch nur ein Zeichen im Code ändere ändert sich diese. Aus dem Grund gibt es auch eine Verhaltensbasierte Erkennung, welche aber gewaltig viele Fehlalarme produziert

TeeTier 06.07.2017, 10:33

Richtig, das ist auch der Grund dafür, warum man alle paar Wochen von Antivirenprogrammen hört, die wichtige Windows Dateien entfernen oder in die Quarantäne verschieben.

Eine 4-Byte breite Prüfsumme bietet etwas über 4 Milliarden Möglichkeiten. Dass es dabei False-Positives in Massen geben MUSS, bei den Trilliarden an verschiedenen Dateien da draußen, sollte jedem klar sein.

Glücklicherweise werden teilweise längere Prüfsummen eingesetzt, was aber immer noch nicht reicht, wie man ständig sehen kann.

0

klar ... du kannst softwaretechnisch alles machen

wenn man von einer Signatur bei einem Virus redet, meint man sein eindeutiges Verhalten und die Größe seiner Datei(en) und deren Zeitstempel

Du kannst den Virus so programmieren, dass er sich alle paar Tage updatet und sein Verhalten und die Größe seiner Dateien ändert. Das setzt aber voraus, dass jemand den Virus ständig anpasst.

Die Signatur ist die jeweils typische Programmierung der Malware, ein bestimmter Code oder Teile davon, die speziell dieses Programm damit identifizierbar machen.

Ja, es gibt Schadsoftware, die ihre Signatur ändern kann, dann müssen Antivirenprogramme nachziehen.

Die meisten Antivirenprogramme verwenden eine Heuristik, das heißt, sie suchen auch nach Ähnlichkeit. Findet sich ein solches Verhalten oder eine Signatur, löst das Programm eine Warnung oder Alarm aus. Das kann auch eine Fehlerkennung sein.

Aber besser, die Sicherheitssoftware ist moderat zu fleißig, als das sie zu oft schweigt.

TeeTier 06.07.2017, 10:28

Aber besser, die Sicherheitssoftware ist moderat zu fleißig, als das sie zu oft schweigt.

Das kann ich so GAR NICHT unterschreiben! Über 90% der Treffer dieser Pseudo-Heuristik sind False-Positives. Das hat den Effekt, dass ein Anwender nur noch genervt jeden Warnhinweis wegklickt und somit auch die Ausführung von sicheren Treffern erlaubt.

Nebenbei bemerkt ist das ganze Thema "Heuristik" ein Marketing-Gag und jeder Schüler, der sich mal ein bisschen mit Malware-Programmierung beschäftigt hat, kann diese TRIVIAL einfach umgehen.

Antivirensoftware füllt in erster Linie die Portemonnaies der Herstellerfirmen und die meisten Leute wären vermutlich ohne das "falsche Sicherheitsgefühl" deutlich vorsichtiger unterwegs, und damit wirklich besser geschützt.

Ganz zu schweigen von der katastrophal gepfuschten Fehlprogrammierung gängiger Antiviren-Softwaren, die bewusst gängige Schutzmechanismen von Windows komplett abschalten um selber laufen zu können, und damit erst ein System angreifbar machen.

Genau genommen handelt es sich bei Antivirenprogrammen um einen riesigen Betrug, gegen den eigentlich die Verbraucherzentralen aktiv werden müssten. Es ist eine riesige Schweinerei, dass unerfahrenen Benutzern damit so viel Geld aus der Tasche gezogen wird und die Leute im Endeffekt unsicherer unterwegs sind, als ohne.

1
ETaxx 06.07.2017, 13:12
@TeeTier

@TeeTier tausend Daumen hoch. Das kann ich nur so unterstreichen!

1
MatthiasHerz 06.07.2017, 14:52

Das stimmt ja auch alles, deswegen schrieb ich „moderat”.  Im übrigen hat Dein Kommentar keinen Bezug zur Frage.

Da aber Otto- und Anna-Normalnutzer nicht vorsichtig (genug) sind, ist ein nerviges Antivirenprogramm besser als gar keins.

0
TeeTier 07.07.2017, 04:51
@MatthiasHerz

Da aber Otto- und Anna-Normalnutzer nicht vorsichtig (genug) sind, ist ein nerviges Antivirenprogramm besser als gar keins.

Genau das Gegenteil ist der Fall. Lies dir bitte nochmal den zweiten und den vierten Absatz meines Kommentars durch!

Kurzzusammenfassung: Otto- und Anna-Normalnutzer sind vorsichtiger - und damit sicherer -, wenn sie sich nicht "zu 100% geschützt" fühlen.

Wegen den Werbelügen der AV-Hersteller wissen die Leute einfach nicht, dass zwei bis drei von vier aktuell im Umlauf befindlichen Schadprogrammen eben NICHT erkannt und damit auch NICHT unschädlich gemacht werden können.

Jemand, der sich denkt: "Ach, ich hab ja Kaspersky. Bin ja damit sicher und bezahle immerhin ein monatliches Abo.", der denkt, dass ihn diese AV-Software vor schädlichen Mailanhängen ausreichend schützen kann.

Die Betonung liegt hier auf "ausreichend", was vermutlich als 99% - ähnlich wie in den gängigen "Fachzeitschriften" behauptet - missverstanden wird, obwohl es TATSÄCHLICH nur knapp 25% sind.

AV-Software suggeriert falsche - aka "nicht ansatzweise ausreichende" - Sicherheit! *

* das ist eine Irreführung der Verbraucher!

0

Ja, die nennen sich dann "polymorphe" Viren, allerdings gibt es seit fast 10 Jahren keine Computerviren mehr im eigentlichen Sinne, sondern "nur" noch Trojaner, und bei denen ist Polymorphismus extrem selten, bzw. fast gar nicht verbreitet. (Das funktioniert aufgrund der Signaturprüfung auch nur bei DLL-Sideloading, Skripten, o. Ä.)

Allerdings werden häufig gängige Trojaner von Drive-By-Downloads oder in Anhängen von Spam-Mails alle paar Minuten, oder gar Sekunden, extern durch Skripte mutiert und sind dadurch dann ohne Signaturupdates von keiner Antivirensoftware mehr auffindbar. Das ist auch der Grund dafür, warum die Trefferrate bei Mailanhängen bei nur ca. 25% und bei aktueller Malware als Download bei höchstens 45% liegt.

(Außerdem wird Antivirensoftware oft als "Schlangenöl" oder einfach nur "Betrug" bezechnet, wenn z. B. Kaspersky & Co mit Produktnamen wie "Total Security" oder Aussagen wie sinngemäß "bietet 100% Rundumschutz" wirbt.

Tests von Computer-Zeitschriften verwenden auch nur Millionen von Uralt-Malware, was die hohen Trefferraten jenseits von 90% erklärt ... total unrealistisch und ebenfalls als "Betrug" zu bezeichnen. Deshalb bitte NIEMALS auf eine Antivirensoftware verlassen! Aber das nur am Rande ...)

Trotzdem ist "echter Polymorphismus" wie von klassischen Computer-Viren her bekannt, heutzutage fast ausgestorben. :)

Schönen Tag noch! :)

Was möchtest Du wissen?