WIE KANN DAS SEIN?! Antivirus erkennt selbstgemachten KEYLOGGER nicht!
Hey Leute,
ich programmiere seit einiger Zeit, weil es mir spaß macht. Mein neustes Projekt ist ein Keylogger mit Screenshot und Upload-Funktion. Außerdem ist er durch einen ihn unterstützenden Prozess nicht schließbar und beim ersten start vom Desktop aus kopiert er sich in die Regestry autostartpfade. Ich habe ihn rein aus Interesse von meinem AV programm überprüfen lassen - nichts. Anschließend habe ich ihn auf VirusTotal hochgeladen - NICHTS. Wie kann es sein, dass ein AV programm keinen Keylogger erkennt, der offentsichtliche Funktionen benutzt, sich selber in Autostartpfade kopiert, keinerlei verschlüsselt ist und Text- sowie Bilddateien runterlädt. Wie soll so ein Ding dann einen richtigen Virus erkennen?!
7 Antworten
Antivirenprogramme finden nur Schädlinge, die sie bereits kennen, bzw. deren Signaturen in ihre Datenbanken eingetragen wurden.
Deshalb wird kein Antivirenprogramm der Welt einen neuen Virus, Trojaner oder Keylogger entdecken können.
Da die meiste Malware im Umlauf sowieso "neu" ist, und Malwareautoren nur selten veraltete Trojaner einsetzen, entdecken aktuelle Antivirenprogramme auch nur ca. 35% bis 45% aller Schädlinge.
Diese ganzen Tests der Computerfachzeitschriften, bei denen Trefferraten von mehr als 95% die Regel sind, kann man getrost als bezahlte Schleichwerbung abtun. So etwas hat mit der Realität nämlich nichts zu tun. Bei diesen Tests werden Virensammlungen der letzten 30 Jahre getestet und die Funde gezählt.
Da im Internet aber keine 25 Jahre alten DOS Bootsektorviren unterwegs sind, sondern meistens nur wenige Stunden alte Trojaner, die nach kurzer Zeit gegen neuere Versionen ausgetauscht werden, liegen die realistischen Erkennungsraten z. B. für Kaspersky eben nicht bei 99%, sondern im Idealfall höchstens bei 45%. (Wers nicht glaubt, benutzt bitte die Googlesuche ... so ziemlich alle CEO nahmhafter Antivirenhersteller haben das vor ca. einem Jahr in einer öffentlichen Debatte zugegeben. Darunter waren Kaspersky, GData, Avira, AVAST, Bitdefender, und noch viele weitere.)
Mit anderen Worten: Trotz aktuellem Antivirenprogramm wird jeder zweite Trojanerangriff NICHT erkannt werden! Das gilt Herstellerübergreifend für ALLE Antivirenprogramme.
Deshalb bezeichnet man Antivirensoftware auch als "Schlangenöl": Sie suggerieren eine trügerische Sicherheit, durch die sich unerfahrene Anwender unvorsichtig verhalten, weil sie sich gut geschützt fühlen. Würden die meisten Anwender wissen, dass ihr tolles Antivirenprogramm nur weit unter 50% aller Malware entdecken kann, würden sie höchstwahrscheinlich vorsichtiger sein.
Slogans auf den Websites der Antivirenhersteller wie "Garantierte Sicherheit" o. ä. kann man getrost als Betrug einstufen.
Leute mit Ahnung von Rechnern und IT halten im Schnitt auch deutlich weniger von Antivirensoftware als unbedarfte Laien.
Aber schön, dass du mit deinem Experiment hier mal allen vorgeführt hast, wie sinnlos Antivirenprogramme sind! Ich habe auch schon zu Übungszwecken Malware geschrieben ... in C, Assembler, C++, Pascal, etc. und davon wurde nicht EIN einziger bei Virustotal erkannt. Das war mir aber ehrlich gesagt von vornherein klar.
PS: Du solltest aber wissen, dass Virustotal ein Honey-Pot der Antivirenhersteller ist, und dass die hochgeladenen Dateien untersucht werden. Du kannst ja mal spaßenshalber deinen Keylogger in ein paar Tagen erneut hochladen, und erneut untersuchen lassen. Vielleicht haben dann schon einige Hersteller die Signatur deines Programms in ihre DB aufgenommen.
Bei mir war es so, dass nach 2 Monaten nur 5 Hersteller einen selbstgeschriebenen Testtrojaner aufgenommen hatten. Und wenn ich Trojaner aus Spammails dort hochlade, vergehen i. d. R. mehrere Wochen, bis eine nennenswerte Anzahl von Antivirenprogrammen anschlägt.
Es gibt zwar Heuristik, die immer als die ultimative Waffe gegen Malware beworben wird, aber die lässt sich IMMER soooo leicht austricksen, dass man diesen Quatsch ebenfalls als Kundenbetrug einstufen kann.
Kein Malwareautor wird sich von einem Antivirenprogramm abhalten lassen, Rechner von irgendwelchen Leuten zu infizieren!
Zum Schluss möchte ich nochmal erwähnen, dass es natürlich absolut legitim ist, zu Übungszwecken solche Software zu schreiben, und damit rumzuspielen, aber man sollte seine Ergüsse nicht in die freie Wildbahn entlassen! Damit schadet man unbeteiligten Dritten, die eigene Freunde, Familie, Geschwister, Kinder oder Partner sein könnten. Vor allem ältere Menschen tun mir leid, die ihren Computer durch Malware nicht mehr richtig benutzen können.
Vor allem wenn solche Leute durch die falschen Versprechen der Antivirenhersteller eingelullt wurden, und tatsächlich glauben, ihr Rechner sei vor irgend etwas geschützt. (Wie man einen Rechner wirklich absichert, sodass in realistischen Szenarien nichts rein kommt, ist jetzt aber ein anderes Thema ...)
Also: Mit selbstgeschriebener Malware lernen ist perfekt! Das machen alle Programmierer so, die wirklich gut werden wollen. Die Malware verbreiten tun aber nur dumme Kinder oder totale Id**ten! Also denkt an eure Mitmenschen, wenn ihr Malware schreibt!
Ansonsten noch viel Spaß beim Lernen! :)
Vielen dank für diese ausfürliche Antwort! :) PS: Der Keylogger wird nicht verwendet! Alles nur zum lernen :)
Da das ein neu erstellter Keylogger ist, soweit ich weis beruhen alle Viren usw. auf einer Datenbank, desshalb auch immer aktualisierungen und dadurch dass der nicht in der Datenbank liegt kann das Programm nix finden.
Wenn sie nicht in der Datenbank sind, dann können sie gut durchkommen. Aber ich glaube der Virenskanner wenn er verdächtige aktivitäten erkennt, z.B wenn jetzt ein werbevirus auf deinem Pc ist und du bekommst ständig Tonnenweise werbung also auserhalb Normaler Parameter kann der den Schädling auch finde. Also der findet auch manch anderes wenn es gewissen Parametern entspricht die anzeichen von Viren oder anderem sind
Also nicht ganz nutzlos, aber ich denke die könnten noch viel mehr aus einem AV rausholen z.B. Features die AntiCheat-Programme haben.. :D Danke für die Antworten
Die Virenscanner gleichen die gescannten Dateien mit ihrer Datenbank ab. Und nur wenn das Virus in der Datenbank rgeistriert ist, dann wird es auch erkannt.
Wie soll so ein Ding dann einen richtigen Virus erkennen?!
Gar nicht ;) Virenscanner taugen nur etwas, wenn die Schadsoftware bereits bekannt ist, ändert man sie um, "versteckt" sie durch Obfuscatoren etc. oder ist sie wie in deinem Fall komplett neu versagen die Virenscanner.
Deshalb ist brain.exe auch das beste AV-Programm, bei korrekter Verwendung landen >99% der Viren gar nicht erst auf dem Rechner :)
Wo gibts dieses brain.exe? Nein spaß.. :D Also ist ein AV kein intelligentes Programm, welches den Programmcode con Viren/Programmen liest (So wie Ida oder OllyDebug), Auswertet sondern einfach nur ein Programm, welches den MD5/Hashes des Programmes berechnet und diese mit einer großen Datenbank abgleicht?
Theoretisch werden auch (neue) Verhaltensweisen etc. erkannt, praktisch gesehen ist die Erfolgsrate dort aber sehr gering, das hast du ja auch selber gemerkt ;)
Ich verweise normalerweise nicht unbedingt auf die Wikipedia, aber dort ist das in diesem Falle recht gut erklärt falls du das noch etwas detaillierter wissen möchtest: http://de.wikipedia.org/wiki/Antivirenprogramm#Erfolgswahrscheinlichkeit
Welches Virenprogramm?
Hast halt auch ein schlechtes Virenprogramm. Die guten (Norton, Bitdefender und Kaspersky) haben auch proaktive Schutzfunktionen.
Avast, und wahrscheinlich noch die kostenlose Version, nicht. Deswegen sind die auch nicht wirklich empfehlenswert.
Also können Viren, die gezielt auf eine Person zugeschnitten sind nicht gefunden werden? Ich meine AntiCheat programme sowie PunkBuster können doch auch verdächtige Strings auswerten, dessen Funktion verstehen usw..