Forscher der TU Braunschweig und der Universität Göttingen warnen vor einer oft vernachlässigten
Hacker-Methode. Schädliche Signaturen werden in eigentlich harmlose Dateien eingefügt. Der dadurch bewusst ausgelöste Fehlalarm der Security-Suite verhindert so den Empfang der Datei oder löscht sie gar. Manchen Hackern gelingt dadurch auch die Löschung des ganzen Mail-Archivs.
Fast jeder Anwender hat einen Virenscanner im Einsatz, um sich vor schädlicher Software zu schützen. In der Regel arbeiten diese auch zuverlässig. Sie scannen die Signatur jeder neuen Datei und jedes Links nach bekannten Viren-Signaturen. Dazu greifen die Programme auf ständig aktualisierte Datenbanken der Hersteller zurück. Hacker können dieses Vorgehen allerdings auch umgekehrt nutzen. Als schadhaft erkannte Signaturen werden in eigentlich harmlose Dateien integriert, um so einen Fehlalarm der Security-Suite auszulösen. Diese Aktion zielt darauf ab, dass die betroffenen Dateien vom Virenscanner geblockt oder gelöscht werden. Manchmal schafft es die manipulierte Datei sogar, die Löschung des gesamten E-Mail-Archivs zu provozieren.
Ein prominentes Beispiel hierfür ereignete sich 2014. In die Bitcoin Blockchain wurde die Signatur von DOS/STONE-Malware eingefügt. Microsoft Security Essential und andere Virenscanner erkannten dies als Virus-Signatur und löschten das Bitcoin-Log.
Für die
aktuelle Testreihe änderten die Forscher zunächst einzelne Bytes von bekannten Malwares um herauszufinden, worauf genau die Antiviren-Software reagiert. Angriffsziel war unter anderem der Open-Source-Mail-Client Thunderbird von Mozilla. Dieser kodiert zwar Anhänge und binäre Dateien, nicht aber den Textkorpus der eigentlichen Mail. So ist es für Angreifer ein Leichtes, schädliche Signaturen in ungefährliche Dateien einzuschmuggeln. Dazu können zum Beispiel nicht druckbare Zeichen mit ASCII-Erweiterung eingeflochten werden.
Durch dieses Verfahren können verschiedene Geschäftsprozesse empfindlich gestört werden. Zwar gelingt es den Angreifern nicht immer, dass das gesamte Mail-Archiv des Opfers über den Jordan geht. Wichtige Mails nicht empfangen zu können, ist in vielen Fällen trotzdem extrem hinderlich.