Virenscan mit Google und MSN [Update]

Google indexiert neben HTML-Seiten und PDF-Dateien jetzt sogar EXE-Dateien. Die Suchmaschine analysiert die mit Windows NT eingeführten PE-Header dieser ausführbaren Dateien und zeigt deren Details an. Ähnlich wie bei PDF-Dateien bietet Google die Analyseergebnisse als Link "HTML-Version" bei einer Suchanfrage nach "Signature: 00004550" an. Dieser Wert signalisiert die Lauffähigkeit einer ausführbaren Datei unter Windows NT. MSN beherrscht diese PE-Analyse ebenfalls, auch dort erscheinen gleichartig aufbereitete Ergebnisse.

Die Suchmaschinenbetreiber versuchen erfahrungsgemäß, so viele Daten wie nur irgend möglich aus dem Netz zu ziehen, um diese später gegebenenfalls zu verwerten. Wofür sich Daten aus ausführbaren Dateien verwenden lassen, zeigte das Sicherheitsunternehmen Websense in einem Experiment. Die Forscher der Firma haben die Suchmaschine Google dazu benutzt, nach Schädlingen auf Webseiten zu suchen. Dabei fanden die Forscher des Unternehmens tausende Schädlinge im World Wide Web.

Dazu haben sie eine Anwendung programmiert, die Googles Programmierschnittstelle für binäre Suchanfragen nutzt. Darüber haben sie nicht nur nach der Windows-NT-Signatur gesucht, sondern auch nach Signaturen, die auf schädliche Software hinweisen. Dabei fanden die Analysten zahlreiche Trojaner, Varianten des Bagel- und Mytob-Wurms sowie diverse andere schädliche Dateien. Diese lagerten in Newsgroups, auf Forenseiten, persönlichen Homepages, auf Servern von Bildungseinrichtungen sowie auf kompromittierten und Untergrund-Seiten.

Websense sieht durch die Funde bestätigt, dass Webseiten zunehmend zur Speicherung und Verteilung von Schadsoftware missbraucht werden. Sicherheitsexperten können durch Google Schadsoftware finden, jedoch hat diese Funktion auch für Schadsoftwareautoren Potenzial. Diese könnten zukünftig Zeichenketten als Werbung in ihre Schädlinge einbauen, über die Interessierte auf die Schadsoftware aufmerksam werden: Virenbastler bieten ihre Züchtungen häufiger zum Kauf an.

Gegenüber heise Security erklärte Dan Hubbard, Senior Director of Security and Technology Research bei Websense: "Bei unseren Untersuchungen haben wir tausende Webseiten gefunden, die Schadsoftware verbreiten. Wir verarbeiten jetzt täglich unterschiedliche Suchanfragen und haben inzwischen über 2500 schädliche Dateien gefunden."

Für dieses Experiment habe man nur Googles Binärsuche verwendet. "Wir setzen schon seit Jahren textbasierte Suchanfragen zusammen mit unseren eigenen Crawlern ein und untersuchen dabei 80 Millionen Seiten am Tag. Drive-by-Downloads gibt es reichlich. Die Zahl der Seiten, die Schadsoftware über Drive-by-Downloads installieren wollen, bewegt sich zwischen hunderten und tausenden."

Hubbard ergänzte: "Wir nutzen die Ergebnisse nur intern für unsere Forschung. Hauptsächlich, um unseren Produkten Schutzmaßnahmen hinzuzufügen. Die Webseitenbetreiber zu informieren ist kein einfaches Unterfangen. Wir informieren jedoch große Markenhersteller."

Update:

H.D. Moore, unter anderem bekannt vom Metasploit-Projekt oder seiner Month of the Browser Bugs-Initiative, hat einen Aufsatz für die Suchmaschine entwickelt. Seine Malware-Search-Engine hat Moore bisher mit eindeutigen Kennzeichen von etwa 300 unterschiedlichen Schädlingen gefüttert, er plant jedoch, auf 6000 "PE-Signaturen" aufzurüsten.

Bei seinen Experimenten ist Moore auf wesentlich weniger Schädlinge durch Google-Links gestoßen, als die Zahlen von Websense nahelegen. Eine Beispielanfrage nach Bagle-Samples verdeutlicht dies – hinter den einzelnen Signaturen findet Google insgesamt nur 23 Bagle-Dateien.

Siehe dazu auch: (dmk)

• Mining for malcode with Google, Eintrag im Websense-Blog