Nicht selten kommt es vor, dass altbekannte oder neuartige Computerviren durch entsprechende Antiviren-Lösungen nicht erkannt werden. Dies liegt am traditionellen Prinzip der besagten Produkte. Diese versuchen durch eine sogenannte Mustererkennung (engl. pattern-matching) verdächtige Codeteile ausfindig zu machen. Zum Beispiel Verwendete der ILOVEYOU-Wurm im Jahr 2000 für den Versand von sich selbst gerne die Betreffzeile ILOVEYOU. Eine simple Antiviren-Lösung kann anhand dieser Zeichenkette ein erstes Indiz für den Infektionsversuch erkennen.

Um ein Muster erkennen zu können, muss es als erstes bekannt sein. Dies bedeutet, dass mit diesem Ansatz eben nur Viren und Würmer entdeckt werden können, die zuvor als solche durch die Antiviren-Hersteller identifiziert, analysiert und in die Pattern-Datenbanken eingepflegt wurden. Ein neuer Virus, der mit seinen eigenen Mustern daherkommt und mit altbekannten Schädlingen deshalb nicht viel gemein hat, lässt sich durch die bisherigen Erkennungsmerkmale nicht ausmachen. Die Antiviren-Hersteller sehen sich mit dem mustebasierten Prinzip deshalb stets im Hintertreffen, können sie denn nur nachträglich (nach den ersten Infektionen) reagieren.

Ein weiteres Problem der Musterkennung sind die etwaigen Falschmeldungen. Unter einer Falschmeldung versteht man eine Identifikationsmeldung, die nicht korrekt ist. Für den Anwender besonders gefährlich sind die False Negatives. Bei diesen „übersieht“ die Antiviren-Lösung einen Schädling. Dies ist dann der Fall, wenn das gesuchte Muster nicht identifiziert werden konnte. Zum Beispiel deswegen, weil der Virenentwickler mittlerweile die altbekannten Muster durch neuere ersetzt hat. Im Fall von ILOVEYOU könnte die neue Betreffzeile einfach ILIKEYOU lauten. Die simplen statischen Prüfungen würden damit ins Leere laufen.

Die Antiviren-Hersteller sind stets darum bemüht, die evolutionären Varianten von bekannten Viren frühstmöglich untersuchen zu können, um auch die neuen Generationen altbekannter Schädlinge erkennen zu können. Werden statische Texte ausgetauscht, wie im zuvor genannten Beispiel, ist diese Analyse nicht mit sonderlich viel Aufwand verbunden. Weitaus schwieriger wird es jedoch, wenn die Hersteller von Computerviren absichtlich Mechanismen einbringen, um eine Untersuchung und Entdeckung zu erschweren.

Ein Dateivirus pflegt sich zum Beispiel stets an der gleichen Stelle zu positionieren. Zum Beispiel zum Beginn oder am Ende einer Wirtsdatei. Jenachdem wird bei der Ausführung der infizierten Datei zuerst der Virus und dann das Wirtsprogramm oder halt eben umgekehrt initiiert. Durch Entry Point Obscuring kann ein Virenprogrammierer versuchen den Eintrittspunkt des Schadcodes zu verschleiern, indem er zum Beispiel dynamische Offsets verwendet. Die Kombination aus Virus und Wirtsprogramm wird sodann wie ein Mosaik zusammengebaut. Antiviren-Lösungen können dann nicht mehr nur mal eben die ersten 100 Bytes einer potentiell infizierten Datei untersuchen, sondern müssen den gesamten Dateiinhalt auf die Virenfragmente hin analysieren. Dies kostet Zeit und Ressourcen.

Eine alternative Technik der Optimierung von Computerviren besteht in der Nutzung von Codierungen bzw. Verschlüsselungen. Code- und Datensegmente werden nicht in ihrer Originalform beschrieben, sondern verwenden eine Encryption-Routine. Vor der Nutzung der Bereiche werden sie zuerst entschlüsselt. Dadurch wird verhindert, dass die Antiviren-Lösung auf Anhieb erkennen kann, ob und inwiefern es sich hier um schädlichen Programmcode handelt. Sie müsste zuerst selbst eine Entschlüsselung anstreben, um die eigentliche Analyse überhaupt durchführen zu können. Jenachdem ist dies ein Ding der Unmöglichkeit.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)