Die Autoren des Trojaners Trojan-PSW.Win32.LdPinch verfolgten die Aktivitäten der Firewall. Wurde eine Warnmitteilung ausgegeben, verbunden mit der Frage, ob die Anwendung zugelassen werden soll oder nicht, so bejaht das trojanische Programm diese Frage automatisch, ohne dass der User davon etwas erfährt.
Mit beneidenswerter Regelmäßigkeit werden als Antivirus-Aktualisierungen getarnte Schadprogramme verschickt, um Sicherheitsunternehmen in Misskredit zu bringen.
Beim Widerstand gegen Schutzprogramme gab es in letzter Zeit keine radikalen Neuerungen. Die bestehenden Möglichkeiten lassen sich in zwei große Gruppen aufteilen:
passiver Widerstand;
aktiver Widerstand.
Passiver Widerstand

Unter passivem Widerstand versteht man Mittel, die die Analyse und/oder das Aufspüren von Schadcodes erschweren. Zu diesem Zweck gibt es eine Vielzahl von Möglichkeiten (unter anderem dynamisch generierender Code und Polymorphismus), doch in der Mehrzahl der Fälle verschwenden die Autoren von Schadprogrammen weder Zeit noch Mittel zur Entwicklung derartiger Mechanismen. Um ihr angestrebtes Ziel zu erreichen, nutzen sie eine sehr viel simplere Lösung, nämlich verschiedene Packer. Diese Tools verschlüsseln Programme mit Hilfe spezieller Algorithmen. Ihre Verwendung erleichtert den Virenautoren ihre Arbeit ungemein: Um zu verhindern, dass das Antivirus-Programm einen schon bekannten Schadcode sofort erkennt, muss der Autor diesen nicht erneut umschreiben, sondern ihn einfach in einen, dem Antivirus-Programm unbekannten Packer legen. Das gewünschte Resultat wird auch so erzielt und die Ausgaben sind sehr viel geringer.

Auf diese Weise werden zumeist ausführbare Dateien verpackt. Stellt man den Anteil der gepackten Schadprogramme im Verhältnis zu der allgemeinen Anzahl neuer Malware grafisch dar, so erhält man folgendes Diagramm:


(Abb. 2. Zunahme des Anteils gepackter Samples (Bestimmungsfehler der mit unbekannten Packern komprimierten Samples unter 1%, Quelle: Kaspersky Lab)

[Vorherige]  1 2 3 4 5 6 7 8 9  [Nächste]