IT-Sicherheitsforscher behaupten, einen Angriff entwickelt zu haben, der die meisten populären Virenscanner - darunter Scanner von McAfee, Trend Micro, AVG und BitDefender - umgehen kann.
http://free-hack.com/
http://kapital.gulli.com/www/delivery/avw.php?zoneid=4&cb=INSERT_RANDOM_NUMBER_HERE&n=a9d947c5 (http://kapital.gulli.com/www/delivery/ck.php?n=a9d947c5&cb=INSERT_RANDOM_NUMBER_HERE)
Der Angriff nutzt die Kerneltreiber der Sicherheitssoftware aus. Vereinfacht gesagt funktioniert der Angriff, indem dem Scanner (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08#) harmloser Quellcode vorgelegt wird, der dann direkt vor dem Ausführen durch den Schadcode ersetzt wird. Aufgrund des benötigten extrem genauen Timings funktioniert der Angriff am zuverlässigsten auf Multicore-Systemen, da die parallel ablaufenden Threads oftmals nicht miteinander synchronisiert sind.
Anfällig sind alle Produkte, die SSDT- (System Service Descriptor Table-)Kernel-Hooks verwenden. Dies sind fast alle gebräuchlichen Antivirus-Produkte.
Der Angriff funktioniert auch auf Benutzer-Accounts ohne Administrator-Rechte. Er erfordert allerdings das Laden großer Quellcode-Mengen und ist daher umständlich auszuführen, was die Einsatzmöglichkeiten einschränkt. Am effektivsten, so die Einschätzung der Forscher, wäre dieser Angriff in Kombination mit dem Ausnutzen von Sicherheitslücken in anderen Programmen. "Realistisches Szenario: jemand benutzt McAfee oder ein anderes betroffenes Produkt, um seinen Rechner abzusichern. Ein Malware-Entwickler missbraucht diese 'Race Condition (http://exit.gulli.com/url/http://de.wikipedia.org/wiki/Race_Condition)', um die Kernel-Hooks zu umgehen und der Malware zu erlauben, sich selbst zu installieren und McAfee zu deinstallieren. In dem Fall ist der ganze 'Schutz', den das Produkt bietet, im Grunde irrelevant," erklärt H D Moore, CSO des Metasploit-Projekts.
Der komplette Bericht der beteiligten Forscher ist im Internet einsehbar (http://exit.gulli.com/url/http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php).
Quelle: The Register (http://exit.gulli.com/url/http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/)
Bild: "Hacker" by Sigmus @ DeviantArt (http://exit.gulli.com/url/http://Sigmus.deviantart.com/art/Hacker-18417605)
Quelle: Gulli.com (http://www.gulli.com/news/neuer-angriff-umgeht-fast-alle-virenscanner-2010-05-08)



MfG, DocD00

manchmal bin ich schon froh Mac User zu sein,
aber interessante Info

Interessant o.o'
Da sieht man mal wie toll die heutigen AV's sind =D

Die werden trotzdem bald wieder was finden womit sie das stoppen können..

Das klingt ja wirklich hart xD

Naja irgendwo finde ich es cool, dass es immer wieder Wege gibt etwas zu umgehen, aber dennoch hoffe ich auch, dass die AVs nachrüsten und diese "Sicherheitslücke" bald beheben. :)

Gruß VariableX

Solange dein System mit 1en & 0en läuft wird es immer eine möglichkeit geben etwas auszuhebeln.

Das Problem das besteht ist ja nicht das dass es immer merh Maleware gibt sondern das die Entwickler von Sicherheitssoftware nur Reagieren können, will heisen wo nichts vorliegt kann auch nichts dagegen unternommen werden.

Grüße

Die meisten AV's arbeiten eh die Schwarzelisten. Und etwas das du nicht kennst, kannst du auch nicht auf die Schwarzeliste setzen. ^^

Intressant.. da kommt wieder der Spruch
no system is perfectly safe

Fail. Waren es in diesem Fall nicht IT-Sicherheitsforscher, die Aktion und nicht Reaktion gezeigt haben? Genau. ;)

Die beste Sicherheit die man allen bieten kann.. "Computer ausschalten" dann kann eigentlich nichts passieren.

Wie schon gesagt, die Leute werden einfach immer raffinierter..

Ich seh's kommen.. "1-Klick Tool" und der PC, ist gescannt.

Nur eine Frage der Zeit.. Und lohnt sich das überhaupt son Dreck Kaspersky für 40 EUR zu kaufen? Wenn ich mir die Frage so stelle..?

Solange dein System mit 1en & 0en läuft wird es immer eine möglichkeit geben etwas auszuhebeln.

Das Problem das besteht ist ja nicht das dass es immer merh Maleware gibt sondern das die Entwickler von Sicherheitssoftware nur Reagieren können, will heisen wo nichts vorliegt kann auch nichts dagegen unternommen werden.

Grüße

so ungefähr. solange menschen etwas entwickeln wird es fehler haben.

und die tatsache das jemand einen fehler erkennt ist gut.. deswegen gibts ja hacker...

lol so erhalten die auch ihre eigenen Arbeitsplätze, stellt euch mal vor wie viele Viren wohl wirklich auch aus der Feder von Sicherheitsprofis stammen. Wie eine Feuerwehr, die selber Feuer legt um ausrücken zu können.

Machen ja auch viele Exploit coder so, wenn ein neues Sicherheitsupdate raus kommt, erst mal den Patch genau unter die Lupe nehmen und für die gestopfte Lücke erst mal noch einen Exploit zu schreiben. Ungepatchte Systeme wird es in den ersten Tagen nach dem update wohl immer massig geben ... .

Hat echt was von Guerillia tacktick, den ohne das die es wollen, werden so ja viele Vulns erst Pub und es brauch nur noch ein paar Zeilen Code um diese auszunutzen. Je mehr Anstrengungen unternommen werden um die Systeme sicherer zu machen umso mehr Exploits tauchen auf, der Feind versorgt einen quasi mit den Waffen :D

Uhh sehr geil ^^ <3

Hachja^^ Endlich müssen sich die LEute bei McAffee und Co. auch mal wieder richtig in die Arbeit stürzen

Das ist ja mal richtig interessant.
Wenn mir die Zeit noch reicht, werde ich das in mein Paper miteinbauen ;)