Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

IT-Sicherheits-Küche

Кухня

Andere Ausgaben dieser Rubrik (15)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Dr.Web ist wachsam!

Gelesen: 21051 Kommentare: 7 Rating: 13

Mittwoch, 27. Mai 2020

Cyberkriminelle haben bereits gelernt, herkömmliche Schutzmechanismen zu umgehen. Dazu können sie zum Beispiel den Schadcode verschleiern und ihn mit einem legitimen Zertifikat signieren.

Quelle

Ich bin Perfektionist und muss gestehen, dass mich die Behauptung „Man umgeht Virenschutzprogramme, indem man den Schadcode verschleiert“ ein bisschen irritiert. So etwas hört man oft. Aber diese Formulierung ist völlig falsch.

Ein Virenscanner könnte Malware aus zwei Gründen übersehen. Der erste Grund: Die Malware wird in den Service integriert, zu dem der Virenscanner keinen Zugang hat (in früheren Zeiten gab es ein Schadprogramm, das einen der Prozessorkerne zwingen konnte, nur seinen Code zu verarbeiten). Der zweite Grund: Ein dem Virenscanner bekanntes Schadprogramm wird modifiziert, sodass sich die neue Signatur von der alten unterscheidet. Dazu können Cyberkriminelle die Datei packen, den Code verschleiern (mischen) etc. – Dies meint man in der Regel mit „Virenschutzsoftware umgehen“.

Dies ist ein Irrtum. Virenscanner erkennen Schadprogramme mit geänderten Signaturen, aber stufen sie nicht als Malware ein. Sie könnten einwenden, dies sei überhaupt nicht wichtig. Wichtig ist, dass die Malware unerkannt bleibt. Doch.

Erstens reicht es nur, Virendatenbanken zu aktualisieren, damit modifizierte Schadprogramme als solche erkannt werden. Dies erfolgt schnell und bleibt von den meisten Nutzern unbemerkt. Bei dem neuen Verfahren hingegen handelt es sich um eine neue Version des Virenschutzprogramms, d. h. um dessen Aktualisierung. Dies haben Nutzer nicht gern (und unterlassen dies oft).

Zweitens bleiben modifizierte Schadprogramme beim Scannen mithilfe von Virendatenbanken zwar unerkannt. Aber nach diesem Scannen überwacht das Virenschutzprogramm die Malware auch weiter und analysiert ihr Verhalten. Dabei handelt es sich um einen Präventivschutz.

Der Präventivschutz basiert nicht auf herkömmlichen Signaturdatenbanken und wird nicht so oft wie Virendatenbanken aktualisiert. Dabei werden Algorithmen des Präventivschutzes und der Verhaltensanalyse sowie Datenbanken der vertrauenswürdigen Anwendungen aktualisiert.

Beim Präventivschutz handelt es sich um Überwachung bestimmter Systembereiche und aller ausgeführten Prozesse, d. h. wie und in welcher Reihenfolge diese ausgeführt werden, wer einen bestimmten Prozess startet, welche übergeordneten und untergeordneten Prozesse ausgeführt werden, von wem und von wo eine bestimmte Datei gestartet wird etc. Dies ist ein komplexer Sicherheitsmechanismus, der zur Verhinderung der Systeminfektion durch einen Schadcode dient, den ein herkömmlicher signaturbasierter Virenscanner nicht erkennen kann.

Detailliertere Informationen kann ich nicht mitteilen. Erstens gehören sie zum Unternehmensgeheimnis. Zweitens gibt es zu viele verhaltensbasierte Algorithmen. Sie alle sind sehr unterschiedlich: Es ist praktisch unmöglich, sie zu beschreiben.

Es gibt einige Nuancen.

Der Virenscanner könnte eine .bat-Datei als harmlos einstufen, wenn Sie die Datei selbst heruntergeladen, gespeichert und als Administrator gestartet haben. Die Reihenfolge der ausgeführten Aktionen zeugt davon, dass der Administrator alle Prozesse selbst initiiert. Der Virenscanner geht also davon aus, dass der Administrator die Herkunft und die Eigenschaften der Datei kennt.

Falls diese .bat-Datei durch eine Aufgabe heruntergeladen und in einem temporären Ordner gespeichert wird, könnte der Virenscanner die Datei beim Ausführungsversuch als gefährlich erkennen. Dieses Verhalten sieht verdächtig aus und kann je nach weiteren Aktionen als böswillig eingestuft werden.

Es ist also nicht nur wichtig, welche Dateien gestartet werden, sondern auch wie sie ausgeführt werden – vom Nutzer oder automatisch mit Systemberechtigungen.

Auszug aus der Antwort eines Spezialisten des technischen Supports von Doctor Web.

Dr.Web hält alles unter Kontrolle. Dr.Web ist wachsam!

#Malware #Dr.Web_Konfiguration #Präventivschutz #Dr.Web_Technologien

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

Sehen Sie davon ab, den Präventivschutz zu deaktivieren – Er bildet eine Art Verteidigungslinie, um Ihr System vor modifizierter Malware zu schützen.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer

Kommentare zu anderen Ausgaben | Meine Kommentare