Antivirensoftware: Keine Chance gegen Stuxnet und Co

Mikko Hypponen, zuständig für Forschung und Entwicklung beim skandinavischen Antivirensoftwarehersteller F-Secure, gesteht ein, dass seine Firma bei Schadsoftware wie Flame oder Stuxnet versagt hat und sucht nach Gründen für diese Fehlleistungen.

Hypponen, der seit 20 Jahren in der Branche tätig ist, räumt in einem Beitrag für ars technica ein, dass F-Secure bereits seit 2010 Muster des gerade in den Schlagzeilen befindlichen Schädlings Flame vorlagen. Dessen Schadfunktionen blieben offenbar trotzdem unbemerkt, weil er lediglich über automatisierte Berichte in die Datenbank gelangte, aber von der hauseigenen Software nicht zur genaueren Begutachtung markiert wurde. Bei anderen Antivirenfirmen fanden sich Flame-Muster sogar schon länger in den Datenbanken, sodass davon ausgegangen werden muss, dass die Malware bereits mehr als zwei Jahren unentdeckt arbeitete.

Hypponen konstatiert ein ähnliches Versagen von Antivirensoftware und deren Herstellern bereits bei Stuxnet und Duqu. Damals nutzte die Malware digital signierte Komponennten, um sie als vertrauenswürdig zu tarnen. Auf den Schutz durch übliche Verschleierungssoftware, die unter Umständen Aufmerksamkeit erregt hätte, verzichtete der Code und verbarg sich einfach, indem er für jeden sichtbar blieb und so nicht beachtet wurde. Bei Flame nutzten die Angreifer außerdem SQLite, SSH, SSL und Lua Libraries, so dass der Code eher wie eine geschäftliche Datenbank wirkte und nicht wie Malware.

Der Virenexperte folgert aus den bisher bekannten Fällen, dass die Antivirenhersteller Ihre Nutzer zwar gegen alltägliche Bedrohungen wie Bank-Trojaner, Key-Logger oder E-Mail-Würmer schützen können, nicht jedoch gegen spezielle Angriffe, die von Staaten mit nahezu unlimitierten Budgets ausgehen. Die Angriffe wurden offenbar zuvor mit allen gängigen Antivirenprogrammen getestet, wohingegen für die Hersteller die Bedrohung absolut neu war. Gegen solch eine Übermacht an Ressourcen und Vorsprung an Wissen sieht sich Hypponen machtlos und räumt ein, dass man da einfach in einer anderen Liga spielt.

Doch die Situation ist eigentlich noch schlimmer. Denn was Hypponen außer Acht lässt: Kriminelle Banden, die Online-Banking-Trojaner wie Zeus und SpyEye bauen, arbeiten durchaus ähnlich, sind genauso motiviert und haben teilweise vergleichbare Ressourcen zur Verfügung wie die Macher von Flame, Duqu und Stuxnet. So testen sie ebenfalls systematisch gegen AV-Software und optimieren so lange, bis ihr Trojaner nicht mehr erkannt wird. Als Resultat konstatiert etwa die Statistik des Projekts Zeus-Tracker eine Erkennungsrate von Antirviren-Software von weniger als 40%; derzeit sind demnach ganze 294 Zeus-Varianten unterwegs, die kein einziges AV-Programm erkennt. Wie heise Security in den FAQs zum Superspion Flame erläutert, ist der wichtigste Unterschied zwischen Flame und Zeus, dass letzterer auf maximale Verbreitung setzt und dabei viel mehr auffällt, als ein Spionage-Programm, das in 2 Jahren weltweit nur 1000 Rechner infiziert. Doch das reicht ganz offensichtlich nicht aus, damit Antiviren-Software Zeus & Co wirklich zuverlässig abwehren könnte – wie nicht zuletzt die Statistiken zum Online-Banking-Betrug deutlich belegen. (ohu)