Sicherheit
Hacker entwickeln trojanische Mausfalle
von
Thorsten
Eggeling - 29.10.2012
Symantec ist einem neuen Trojaner auf die Schliche gekommen, der sich besonders gut vor den Analyse-Scannern versteckt. Der Trick: Der Schadcode wird erst aktiv, sobald der Nutzer die Maus bewegt.
Etwa 400 Millionen neue Schädlingsvarianten werden jedes Jahr gezählt. Um dieser Schwemme an Viren und Trojanern nur im Ansatz Herr zu werden, untersuchen meist automatische Systeme die verdächtigen Dateien. Doch das wissen auch die Hacker und so überrascht es nicht, dass sie ständig neue Mittel und Wege suchen, um die Analyse-Systeme zu umgehen. Durch Zufall sind die Sicherheitsexperten von Symantec nun einem solchen Trojaner auf die Schliche gekommen.
Der neu entdeckte Schadcode macht seine Aktivitäten von Maus-Bewegungen abhängig. Wenn die Maus nicht genutzt wird - was auf automatischen Test-Systemen in der Regel der Fall sein dürfte - tritt der Schädling gar nicht erst in Erscheinung. Dieser Schädling schleust sich direkt über die Windows-API-Funktion SetWindowsHookExA in die Message-Handling-Funktionen ein. Sie hat die Aufgabe, die Maus-Ereignisse umzusetzen. Sobald ein Windows-Nutzer die Maus benutzt, löst er damit automatisch den Schadcode im System aus.
Schadsoftware hat auch bisher schon mit den unterschiedlichsten Methoden versucht, sich vor den Analyse-Systemen zu verbergen. Dazu gehören beispielsweise Tests, ob die Software in einer virtuellen Umgebung ausgeführt wird. Der Schadcode wird dann nicht aktiviert und das getestete Programm zeigt keine Auffälligkeiten.
Eine weitere Tarnmethode setzt einfach auf Zeit. Symantec hat Schadsoftware beobachtet, die nach dem Start erst einmal in Wartestellung geht. Nach 20 Minuten erfolgen verdächtige Registry-Zugriffe und erst nach weiteren 20 Minuten kommt es zu Netzwerkaktivitäten. Da die automatischen Analyse-Systeme nur eine bestimmte Zeit lang testen, bleibt der Schädling so unentdeckt.
Mit diesen neuen Methoden sind die Antiviren-Hersteller vor neue Herausforderungen gestellt. Die Test-Systeme müssen realitätsnäher gestalten werden und auch Maus- Tastatur- und andere Benutzeraktivitäten simulieren. Wie allerdings ein Trojaner entdeckt werden soll, der vielleicht erst nach Tagen seine Schadfunktionen zeigt, lässt sich bisher nicht beantworten.
