Trojaner verschmäht lahme Rechner [Update]

Eine aktuelle Version des Zeus-Trojaners infiziert keine Rechner mit einer Taktfrequenz von weniger als 2 GHz, berichtet der AV-Hersteller F-Secure. Um einer vorzeitigen Entdeckung zu entgehen und die Arbeit von Viren-Analysten zu erschweren, testen viele Schädlinge beim Start zunächst, ob sie gerade analysiert werden. Entdecken sie dabei, dass der Prozess etwa unter der Kontrolle eines Debuggers abläuft, beenden sie sich ohne den Rechner zu infizieren.

Eine Standardmethode die Anwesenheit eines Debuggers zu entdecken, sind Timing-Analysen über den Befehl Read Time-Stamp Counter (RDTSC). Bei der Analyse eines aktuellen ZBots entdeckte ein Viren-Analyst von F-Secure jedoch eine seltsame Variante. Produziert dabei eine Programmpause von 2 Sekunden weniger als 2^32 Updates des Timers, nimmt der Trojaner an, dass die Rechnergeschwindigkeit durch einen Debugger verlangsamt wird und beendet sich sofort. Diese Anforderung erfüllen aber schon in ungebremsten Zustand nur Systeme mit einer Taktfrequenz von mindestens 2 GHz; lahme Enten mit weniger verschmäht der wählerische Bot also. In einer Probe auf's Exempel ließ F-Secure den Schädling auf einem IBM T42 Laptop mit 1.86 GHz los, das auch prompt verschont wurde. Ob das jedoch wirklich so beabsichtigt war oder vielleicht doch nur die Rechenschwäche des Trojaner-Autors demonstriert, bleibt unklar.

Update: Es sieht so aus, als war die Analyse des F-Secure-Analysten etwas schlampig und die Schlussfolgerungen voreilig. Wie eine genauere Betrachtung des Assembler-Codes zeigt, ist es keineswegs so, dass Systeme mit weniger als 2 GHz gar nicht mehr infiziert werden. Es wird nur immer unwahrscheinlicher, je kleiner die Taktfrequenz und Rückgabewert im Register eax beim ersten Aufruf von RDTSC sind. (ju)