Die Rückkehr der Viren
Der Virus Win32.Polipos setzt erfolgreich Techniken ein, die zumindest in freier Wildbahn als nahezu ausgestorben galten: Er infiziert ausführbare Dateien mit seinem Schadcode und verändert diesen dabei selbst.
Der Virus Win32.Polipos setzt erfolgreich Techniken ein, die zumindest in freier Wildbahn als nahezu ausgestorben galten: Er infiziert ausführbare Dateien mit seinem Schadcode und verändert diesen regelmäßig selbst. Die Verbreitung auf neue Systeme erfolgt offenbar vor allem über P2P-Tauschbörsen, Polipos kann dabei jedoch nur Windows-Systeme befallen.
In den letzten Jahren verdrängten Würmer die klassischen Viren aus den Schlagzeilen: Die Verbreitung über Sicherheitslöcher oder E-Mails erwies sich als effizienter als das Infizieren von Dateien, die dann beispielsweise über Disketten auf andere Systeme gelangten. Dabei setzten diese Dinosaurier aus grauen DOS-Zeiten – ähnlich wie jetzt Polipos – bereits in den frühen 90ern ausgefeilte Techniken wie selbstmodifizierenden Code und Polymorphismus ein, um ihr Überleben trotz der aufkommenden Antiviren-Software sicherzustellen: Weil sich der Virus ständig ändert, fällt es schwer, ihn mit Signatur-basierten Verfahren aufzuspüren.
Polipos scheint dies so effizient zu tun, dass er offenbar selbst Antiviren-Spezialisten täuschen kann: Ein Leser berichtete, dass sowohl Avira als auch Kaspersky eingesandte, mit Polipos infizierte Dateien als sauber diagnostizierten. Im heise-Security-Labor zeigten sie ihre Viralität jedoch durchaus. So wuchsen nach dem Start einer infizierten Testdatei eine ganze Reihe ausführbarer Dateien um etwa 70 KByte; nach wenigen Minuten waren bereits Dutzende infiziert, darunter der Internet Explorer und Firefox.
Angesichts der Unfähigkeit, den Virenbefall überhaupt zu diagnostizieren, wundert es auch kaum, dass bisher außer dem Exoten Dr.Web kein einziges der klassischen Antiviren-Programme Polipos erkennt; Fortinet(W32/Polipos.V12), eSafe (Trojan/Worm [100]) und Antivir (W32/Regenig) melden zumindest bei manchen Exemplaren eine Bedrohung.
Der Hersteller von Dr.Web stellt mit CureIT einen Standalone-Scanner bereit, der infizierte Dateien erkennt und auch säubert. In einem Kurztest von heise Security funktionierte dies auch tatsächlich und die gereinigten Dateien waren danach auch weiterhin ausführbar. Grundsätzlich ist es jedoch nach einer Infektion eher zu empfehlen, die wichtigen Daten in Sicherheit zu bringen und das System komplett neu aufzusetzen
Siehe dazu auch: (ju)
- Beschreibung zu Win32.Polipos von Dr.Web
