Online-Virenscan für Malware-Autoren

Schon seit einigen Jahren gibt es im Internet populäre Online-Virenscan-Services wie etwa VirusTotal oder VirusScan. Diese Dienste geben jedem Anwender die Möglichkeit, verdächtige Dateien direkt online auf schädlichen Code zu überprüfen. Der grundlegende Unterschied zwischen derartigen Services zu den von Antivirus-Herstellern angebotenen Online-Scannern besteht darin, dass die Dateien nicht nur von einem, sondern von einer Vielzahl von Antivirus-Programmen untersucht werden. VirusTotal etwa verwendet zum gegenwärtigen Zeitpunkt für einen Viren-Scan 32 (!!!) Antivirus-Programme.

Doch wie so oft werden nützliche Dinge nicht immer nur zu redlichen Zwecken eingesetzt. In diesem Fall bedeutet das, dass nicht nur rechtschaffene Anwender diese Services nutzen, um ihre Dateien überprüfen zu lassen, sondern auch die Virenschreiber recht schnell den Vorteil von Online-Virenscannern für sich erkannt haben: Sie lassen ihre Machwerke durch die Scanner laufen, und wenn ein neuer Trojaner oder Wurm von populären Antivirus-Programmen erkannt wird, haben sie die Möglichkeit, das jeweilige Schadprogramm so lange zielgerichtet zu bearbeiten, bis kein Antivirus mehr einen Treffer landet.

Als Konsequenz werden solche sorgfältig präparierten Schadprogramme selbst mit Hilfe von heuristischen Analysemethode, die in praktisch allen modernen Antivirus-Programmen verwendet werden, nicht erkannt.

Sowohl VirusTotal und VirusScan als auch andere Services dieser Art senden standardmäßig alle verdächtigen Dateien an die entsprechenden Antivirus-Hersteller. Wird eine Datei beispielsweise von 10 Antivirus-Programmen erkannt, von den verbleibenden 22 aber nicht, so wird die Datei zur weiteren Analyse und zur Ergänzung der Datenbanken an diese 22 Virus-Labs weitergeleitet. Dadurch wird die Reaktionszeit der Antivirus-Produkte im Falle neuer Epidemien entscheidend erhöht und die allgemeine Erkennungsquote verbessert. Ist der Anwender nicht damit einverstanden, dass seine Datei weitergeleitet wird, so muss er die entsprechende Option bei der Überprüfung deaktivieren.

In Virenschreiberkreisen allerdings hält sich hartnäckig das Gerücht, dass jede Datei – unabhängig von den Einstellungen – unweigerlich in einem Virus-Lab landet.

Die Cyberkriminellen haben nun für die Paranoiker unter ihresgleichen ein probates Mittel erdacht und analog zu den legalen Services eigene Online-Virenscanner entwickelt – exklusiv für Malware-Autoren! Um dafür garantieren zu können, dass tatsächlich nicht eine Datei bei den Antivirus-Herstellern landet, ist ein solcher Service allerdings kostenpflichtig.

Ein Beispiel für die Umsetzung dieser Idee findet man unter AvCheck.ru. Die Entwickler dieses Services bieten einen Scan mit Hilfe von 15 Antivirus-Programmen, wobei „die Privatsphäre der Dateien gewährleistet wird“. Dieses Vergnügen kostet natürlich Geld, und zwar einen Dollar pro gescannte Datei.

avcheck1

avcheck2

Wir können den Entwicklern nur zu ihrer Geschäftstüchtigkeit gratulieren, doch wir wollen nicht so weit gehen, ihnen viel Erfolg zu wünschen. Die Site selbst kann von einem Augenblick auf den anderen offline genommen werden, und den Autoren drohen Klagen jedes einzelnen Antivirus-Unternehmens, dessen Produkte sie verwenden – auf Grund eindeutiger Verletzungen jeglicher Lizenz-Vereinbarungen.

avcheck3

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.