H.D. Moore, Vater des Metasploit Frameworks, hat ein neues interessantes Projekt vorgestellt. Mit Hilfe von Google ermöglicht seine Malware Suchmaschine das finden von von ebensolcher Software.

Das Konzept dahinter ist recht simpel, man bedient sich einfach bekannter Fingeprints von bösartiger Software und befragt Google danach. Der Auslöser für diese Idee war nach Herrn Moore’s Aussagen der Versuch von Websense, gleiches mittels SOAP und der Google API zu erreichen. Jedoch ist diese Variante nicht frei zugänglich, und zudem auch lange nicht so mächtig wie einst propagiert.

Warum man nach Viren suchen soll kann viele Gründe haben. Forschung zum Beispiel, oder um die eigene Security Policy zu testen. Doch hier ist Vorsicht geboten. Ist ein Wurm ersteinmal von Google indiziert, kann er mit Sicherheit als alter Hut gelten. Eine darauf basierende Aussage über die Sicherheit der eigenen Anti Viren Lösung dürfte recht wertlos sein.

Security | 1 Kommentar »

Tags: Viren

Trojaner haben es schwer heutzutage. Nicht nur das Anti- Virenprogramme jagd auf sie machen und Firewalls ihre Arbeit behindern, auch neue Funktionen kommender Betriebssystemgenerationen haben es auf die putzigen Schädlinge abgesehen. Und zu allem Übel kommt noch die leidige Konkurrenz hinzu, die ebenfalls die Ressourcen des infizierten Systems für sich beansprucht.
Die Evolution hat gezeigt, das nicht immer der Stärkste überlebt, sondern ab und an auch der Geschickteste, und hin und wieder der Cleverste. Zu den letzteren gehört wohl der Trojaner SpamThru. Wie SecureWorks beschreibt, schlägt er mit den Waffen gegen seine Feinde, welche ihm ans digitale Leder wollen. Die Manipulation der %sysdir%\drivers\etc\hosts Datei dahingehend, das Quellen für Updates von Antivirensoftware nicht mehr gefunden werden, ist ja ein alter Hut, den SpamThru natürlich auch beherrscht.
Neu ist an diesem Trojaner, dass er freiwillig echte Antivirensoftware installiert. Ja, richtig gelesen, mittels einer nach der Infektion nachgeladenen DLL wird eine gecrackte Version des Scanners von Kaspersky heruntergeladen und installiert, selbstredend mit gecracktem Lizenzschlüssel. Der Nutzer merkt davon freilich nichts, sehr wohl aber die parasitären Konkurrenten von SpamThru, welche sauber von der Platte geputzt werden. Es kann halt nur einen geben… und es darf einen geben, den freilich lässt Kaspersky seinen Meister in Ruhe, schließlich beißt keiner die fütternde Hand (oder das türöffnende Holzpferd).

Fraglich ist, ob der Benutzer sich einer Lizenzverletzung schuldig macht, doch das wird sicher geklärt, wenn das Beispiel Schule macht. Denn wenn die Evolution noch etwas gelehrt hat, dan den Erolg derer, die am besten kopieren können.

Security | 2 Kommentare »

Tags: Viren