Die unaufhörliche Zunahme des Anteils gepackter Samples im Verhältnis zu neuen, vorher nicht in Erscheinung getretenen Schadprogrammen, ist ein Zeichen für das Vertrauen der Kriminellen in die Effektivität von Packern.

Es ist klar, dass die Verwendung von Packern, die den Antivirus-Herstellern bekannt sind, nicht viel Sinn macht, denn ein originaler ungeschützter Schadcode wird am Ende so oder so vom Antivirus-Programm erkannt werden. Daher nutzen die Übeltäter auch immer häufiger der Gegenseite unbekannte Packer, darunter bereits einsatzbereite Neuentwicklungen, modifizierte oder selbst entwickelte Programme. Der Anstieg der erstmalig in Erscheinung getretenen Schadprogramme, die mit uns unbekannten Packern komprimiert wurden, ist ebenfalls in Abbildung 2 dargestellt.

In letzter Zeit tauchen immer häufiger so genannte „Sandwiches“ auf, bei denen ein Schadprogramm gleich mit mehreren Packern komprimiert wird, in der Hoffnung, dass das eine oder andere – zumindest aber ein einziges – Pack-Programm von der Antivirus-Lösung nicht erkannt wird. Die zunehmende Anzahl solcher „Sandwiches“ im Verhältnis zur allgemeinen Zahl neuer gepackter Schadprogramme sieht so aus:


(Abb. 3. Zunahme von „Sandwiches“ im Verhältnis zu neuen gepackten Samples, Quelle: Kaspersky Lab)

Zur Analyse gepackter Schadcodes haben sich virtuelle Maschinen und Emulatoren als besonders effektiv erwiesen. Sobald dies den Autoren von Schadprogrammen klar wurde, brachten sie immer mehr Malware in Umlauf, die einen Programmcode zur Umgehung dieser Technologien enthielt. Die Antivirus-Hersteller ihrerseits reagierten darauf mit immer ausgefeilteren Schutztechnologien – eine neue Runde in der Konfrontations-Spirale…

Aktiver Widerstand

Als aktiven Widerstand gegen Antivirus-Technologien bezeichnen wir Aktivitäten der Virus-Autoren, die die Funktion der Schutzsysteme beeinträchtigen. Dazu zählen unter anderem die Sabotage von Antivirus-Updates, das Löschen von Schutzprogrammen aus dem Speicher oder von der Festplatte, das Verstecken eines Schadprogramms im System mit Hilfe von Rootkit-Technologien und andere Tricks.

[Vorherige]  1 2 3 4 5 6 7 8 9  [Nächste]