Keine Chance gegen Malware: die schlimmsten Einfallstore

Über die Unzulänglichkeiten der gängigen Sicherheitslösungen ließe sich ein ganzes Buch schreiben. Daher sei hier nur ein aktuelles Beispiel genannt: Der sogenannte VDM-Exploit, der letzte Woche veröffentlicht wurde, und mit dem sich jeder Benutzer sofort durch einen Download sowie einen Mausklick Adminrechte auf allen 32-Bit-Windows-Versionen verschaffen kann, wird spätestens seit dem Wochenende von den gängigen Anti-Malware-Lösungen erkannt.

Es handelt sich jedoch um eine trügerische Sicherheit. Ein ZDNet-Leser stellte am Wochenende fest, dass er sich mithilfe des Exploits auf seinem Rechner nicht zum Administrator machen konnte. Der Grund war schnell gefunden. Der Exploit startet eine Kommandozeile, indem er das Programm C:WindowsSystem32cmd.exe aufruft. Wenn Windows nicht auf der Partition C: installiert ist, schlägt dieser Vorgang fehl.

Fünf zusätzliche Zeilen Code unter Verwendung des API GetSystemDirectory und Neukompilierung lösten das Problem des Lesers. Das führte jedoch dazu, dass der Exploit nicht mehr von der Anti-Malware erkannt wurde. Wenn ein Exploit im Sourcecode vorhanden ist, reicht es in der Regel aus, ihn mit einer anderen Compilerversion oder mit anderen Optimierungsflags zu kompilieren, um den Schädling vor der Antivirenlösung zu verbergen.

Das genannte Beispiel zeigt zwei schwerwiegende Probleme von Anti-Malware-Lösungen: Zum einen funktioniert die verhaltensbasierte Erkennung nicht, zum anderen versuchen die Hersteller einen Schädling möglichst am Dateianfang zu erkennen, damit die Antiviren-Engine schneller läuft.

Bei der verhaltensbasierten Erkennung überprüfen die Programme nur, ob ein Programm auffällig viele Registry-Einträge macht oder verdächtige Internetverbindungen aufbaut. Der VDM-Exploit ließe sich verhaltensbasiert jedoch daran erkennen, dass ein Programm auf dem Standard-Desktop SYSTEM-Account-Rechte besitzt, obwohl der Mutterprozess unter einer normalen User-ID läuft, die das Recht „Replace a process level token“ nicht besitzt. Dazu müsste die Antiviren-Lösungen jedoch auch neuen Code und nicht nur neue Signaturen herunterladen.

Hinzu kommt, dass bei den Herstellern von Antivirenlösungen kaum Know-how über die Funktionsweise von Viren und anderen Schädlingen besteht. Wer einmal einer Einladung in das Forschungslabor eines Herstellers gefolgt ist, wird schnell feststellen, dass man sich dort nur mit Mustern, Signaturen und Tarnmechanismen der Schädlinge beschäftigt.

Zudem müssen die Experten in den Labors auf Performance achten. So scannt der der VDM-Exploit beispielsweise nach einem bestimmten Code-Muster im 16-Bit-Subsystem. Dieses Muster befindet sich auch im Exploit selber. Würde das Antiviren-Programm nach diesem Muster in der EXE- und in der DLL-Datei suchen, könnte es den Schädling auch nach einer Neukompilierung erkennen. Dazu müsste die Datei jedoch fast bis zum Ende durchgescannt werden.