Abo
  • Services:
Anzeige
Kyle Adams auf der BSides Las Vegas.
Kyle Adams auf der BSides Las Vegas. (Bild: Hanno Böck)

AVG: Viren-Heuristik ausgetrickst

Antiviren-Programme versuchen mittels Emulation, das Verhalten von unbekannten Programmen zu untersuchen und so verdächtigen Dateien auf die Spur zu kommen. Doch die Erkennung lässt sich oft trivial umgehen.

Anzeige

Täglich wird das Internet mit neuer Malware überschwemmt. Früher verließen sich Antiviren-Programme vor allem darauf, bekannte bösartige Programme anhand von Signaturen zu erkennen. Doch diese Methode funktioniert kaum noch. Inzwischen wird daher verstärkt versucht, generisch zu erkennen, ob sich ein Programm wie Malware verhält. Kyle Adams von der Firma Juniper zeigte auf der B-Sides-Konferenz in Las Vegas, wie einfach sich derartige heuristische Mechanismen austricksen lassen.

Adams begann damit, einen trivialen Virus zu schreiben. Als Programmiersprache wählte er Javascript. Unter Windows lassen sich Standalone-Javascript-Programme in sogenannten Windows-Script-Files (Dateiendung WSF) ausführen. Die WSF-Datei wurde mittels des Windows-eigenen Tools IExpress in eine EXE-Datei umgewandelt. IExpress ist in der Lage, selbstentpackende Archive zu erstellen, die beim Aufrufen entpackt und ausgeführt werden.

Verhalten wie typische Malware

Das Beispielprogramm verhielt sich wie typische Malware: Es versuchte, sich in den Autostart-Ordner von Windows einzutragen. Falls es Administrator-Rechte besitzt, sorgt es dafür, dass es auch beim nächsten Systemstart mit entsprechenden Rechten geladen wird. Es lud von einem Kontrollserver Instruktionen, etwa zur Ausführung von weiterem Code, der online nachgeladen wird.

Adams sagte, dass er viele der Mechanismen, die Viren üblicherweise nutzten, in Threads auf gängigen Programmiererforen wie Stackoverflow oder dem Microsoft Developer Network (MSDN) erklärt gefunden habe. Oftmals war kaum zu übersehen, dass die gestellten Fragen sich auf die Programmierung von Malware bezogen.

Dennoch nicht erkannt

Obwohl das Beispielprogramm quasi das Musterbeispiel eines typischen Virus darstellte, erkannten vier getestete Antiviren-Engines - die Tools von Sophos, ESET, Avira und Symantec - das Programm nicht als Malware. Einzig das Programm AVG entdeckte den bösartigen Code.

AVG führte offenbar eine Emulation des Javascript-Codes durch und schlug wegen des verdächtigen Verhaltens Alarm. Doch sonderlich ausgefeilt waren die Methoden dabei nicht: Nach einigen Beobachtungen stellte Adams fest, dass die Emulation offenbar nur eine bestimmte feste Zahl von Instruktionen ausführte. Das simple Einfügen einer Schleife, die 80.000 mal nichts tat, führte schon dazu, dass AVG das Programm wieder für harmlos hielt.

Einfache Methoden hebeln Emulation aus

Obwohl dieser einfache Trick ausreichte, die Heuristik auszuhebeln, suchte Adams nach weiteren Methoden. So war es ihm möglich, mit verschiedenen Funktionen im Virencode zu erkennen, ob der Virus sich gerade in der Emulation befindet, und demnach zu entscheiden, ob verdächtiger Code ausgeführt wird. HTTP-Requests wurden beispielsweise automatisch mit einer korrekten Antwort (HTTP-Code 200) und einer leeren Datei beantwortet. Mit einem Zugriff auf eine nichtexistente Domain ließ sich das abfragen. Schreibzugriffe auf den Windows-Ordner System Volume Information sollten immer einen Zugriffsfehler erzeugen, die Emulation von AVG implementierte aber keinerlei Rechteverwaltung bei Dateisystemzugriffen. Dort ist ein Schreibzugriff immer möglich und erzeugt nie einen Fehler.

Insgesamt fand Adams sieben Möglichkeiten, die Heuristik von AVG auszutricksen. Würden alle sieben auf einmal umgesetzt, könnten wahrscheinlich die meisten oder sogar alle Antiviren-Programme überlistet werden.

Wie drastisch diese Probleme sein könnten, zeigte Adams in einem letzten Beispiel. Diesmal verwendete er nicht Javascript, sondern die Windows-Skriptsprache Visual Basic Script. Er nahm den Code des 14 Jahre alten ILOVEYOU-Virus, einer der am weitesten verbreiteten Computerviren aller Zeiten. Adams fügte lediglich eine Schleife ein, die 80.000 mal nichts tat. Auch dabei scheiterte die Erkennung von AVG.


eye home zur Startseite
nille02 07. Aug 2014

Du solltest bei dem Thema noch mal komplett von vorne anfangen. Aber eine blühende...

Mithrandir 07. Aug 2014

Jeder, der unter Windows für Android entwickelt. Und ja, das sind ein paar Leute.

user unknown 06. Aug 2014

Das hatte ich bislang noch nicht überlegt, aber kam beim Lesen des Artikels drauf: Das...

Destroyer2442 06. Aug 2014

bin gerade beeindruckt, dass es Delphi überhaupt noch gibt, ewig nichts mehr von gehört ^^-

0xDEADC0DE 06. Aug 2014

Heuristik ist nicht deren einziges Geschäftsmodell, muss ich mich nun mit Troll Öl...



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Darmstadt
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München, Frankfurt am Main
  3. Teradata über ACADEMIC WORK, München
  4. Dataport, Hamburg, Altenholz bei Kiel


Anzeige
Spiele-Angebote
  1. (-20%) 39,99€
  2. 16,01€ zzgl. 5€ Versand
  3. 11,99€

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Ms MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Na endlich

    ceysin | 03:03

  2. Re: gestern vdsl50 erstmals getestet

    bombinho | 02:54

  3. Re: Private geben sich selbst Todesstoß

    ve2000 | 02:21

  4. Re: 80 Prozent nutzen die kostenfreien SD-Varianten.

    ve2000 | 02:13

  5. Re: Ich bin auch für die Todesstrafe

    ooKEKSKILLERoo | 01:48


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel