Schädling versteckt sich hinter der Maus

Schädlinge nutzen immer raffiniertere Tricks, um sich vor der automatisierten Erkennung durch spezielle Analyse-Systeme zu verstecken. Der Antiviren-Hersteller Symantec berichtet von einem Trojaner, der seinen bösartigen Code an die Behandlung von Maus-Aktivitäten koppelt. Und da an den automatisierten Analyse-Systemen niemand die Maus schubst, wird der Code nicht aktiv und der Schädling nicht erkannt.

Angesichts der explosionsartig wachsenden Zahl neuer Schädlingsvarianten – Symantec spricht von circa 1 Million pro Tag – müssen vollständig automatisierte Systeme einen Großteil der Arbeit zur Erstellung von Viren-Signaturen vorab erledigen. Dazu gehören auch Systeme, auf denen ein potentieller Schädling ausgeführt und genau beobachtet wird, was der alles so anstellt. Diese Ergebnisse werden dann ebenfalls weitgehend automatisiert ausgewertet; nur in auffälligen Spezialfällen sieht sich ein Mensch das noch einmal genauer an.

Die einfachste Methode diese Form der Erkennung auszutricksen ist, sich einfach Zeit zu lassen. Denn typischerweise wird die Analyse nach einem bestimmten Zeitraum abgebrochen. Wenn ein verdächtiges Programm jedoch wie von Symantec beobachtet den Schadcode erst nach 5 Minuten entpackt, sich dann nochmal 20 Minuten Zeit lässt, um sich in die Registry einzuklinken und dann erst nach weiteren 20 Minuten die ersten Netzwerkaktivitäten entfaltet, hat es gute Chancen, einer Entdeckung zu entgehen.

In einer noch raffinierteren Version klinkt sich ein Schädling über die Windows-API-Funktion SetWindowsHookExA in die Message-Handling-Funktionen ein, die dafür zuständig sind, Maus-Events zu verarbeiten. Auf einem normalen Windows-System klickt der Anwender früher oder später etwas an und aktiviert damit unwissentlich den Schadcode; auf einem Analysesystem hat der Trojaner gute Chancen, der Entdeckung zu entgehen. Die AV-Hersteller werden jetzt wohl virtualisierte Mausschubser nachrüsten müssen. (ju)