Neuer Angriff umgeht fast alle Virenscanner

[DocD00]

IT-Sicherheitsforscher behaupten, einen Angriff entwickelt zu haben, der die meisten populären Virenscanner - darunter Scanner von McAfee, Trend Micro, AVG und BitDefender - umgehen kann.

Der Angriff nutzt die Kerneltreiber der Sicherheitssoftware aus. Vereinfacht gesagt funktioniert der Angriff, indem dem Scanner harmloser Quellcode vorgelegt wird, der dann direkt vor dem Ausführen durch den Schadcode ersetzt wird. Aufgrund des benötigten extrem genauen Timings funktioniert der Angriff am zuverlässigsten auf Multicore-Systemen, da die parallel ablaufenden Threads oftmals nicht miteinander synchronisiert sind.
Anfällig sind alle Produkte, die SSDT- (System Service Descriptor Table-)Kernel-Hooks verwenden. Dies sind fast alle gebräuchlichen Antivirus-Produkte.
Der Angriff funktioniert auch auf Benutzer-Accounts ohne Administrator-Rechte. Er erfordert allerdings das Laden großer Quellcode-Mengen und ist daher umständlich auszuführen, was die Einsatzmöglichkeiten einschränkt. Am effektivsten, so die Einschätzung der Forscher, wäre dieser Angriff in Kombination mit dem Ausnutzen von Sicherheitslücken in anderen Programmen. "Realistisches Szenario: jemand benutzt McAfee oder ein anderes betroffenes Produkt, um seinen Rechner abzusichern. Ein Malware-Entwickler missbraucht diese 'Race Condition', um die Kernel-Hooks zu umgehen und der Malware zu erlauben, sich selbst zu installieren und McAfee zu deinstallieren. In dem Fall ist der ganze 'Schutz', den das Produkt bietet, im Grunde irrelevant," erklärt H D Moore, CSO des Metasploit-Projekts.
Der komplette Bericht der beteiligten Forscher ist im Internet einsehbar.
Quelle: The Register
Bild: "Hacker" by Sigmus @ DeviantArt

Quelle: Gulli.com



MfG, DocD00

[m4aimer]

manchmal bin ich schon froh Mac User zu sein,
aber interessante Info

[Oreagel]

Interessant o.o'
Da sieht man mal wie toll die heutigen AV's sind =D

Die werden trotzdem bald wieder was finden womit sie das stoppen können..

[Variable X]

Das klingt ja wirklich hart xD

Naja irgendwo finde ich es cool, dass es immer wieder Wege gibt etwas zu umgehen, aber dennoch hoffe ich auch, dass die AVs nachrüsten und diese "Sicherheitslücke" bald beheben.

Gruß VariableX

[Digifree]

Solange dein System mit 1en & 0en läuft wird es immer eine möglichkeit geben etwas auszuhebeln.

Das Problem das besteht ist ja nicht das dass es immer merh Maleware gibt sondern das die Entwickler von Sicherheitssoftware nur Reagieren können, will heisen wo nichts vorliegt kann auch nichts dagegen unternommen werden.

Grüße

[Gamok]

Die meisten AV's arbeiten eh die Schwarzelisten. Und etwas das du nicht kennst, kannst du auch nicht auf die Schwarzeliste setzen. ^^

[n3dm4nn]

Intressant.. da kommt wieder der Spruch

no system is perfectly safe

[l0dsb]

Fail. Waren es in diesem Fall nicht IT-Sicherheitsforscher, die Aktion und nicht Reaktion gezeigt haben? Genau.

[blackcat]

Die beste Sicherheit die man allen bieten kann.. "Computer ausschalten" dann kann eigentlich nichts passieren.

Wie schon gesagt, die Leute werden einfach immer raffinierter..

Ich seh's kommen.. "1-Klick Tool" und der PC, ist gescannt.

Nur eine Frage der Zeit.. Und lohnt sich das überhaupt son Dreck Kaspersky für 40 EUR zu kaufen? Wenn ich mir die Frage so stelle..?

[echoslider]

Solange dein System mit 1en & 0en läuft wird es immer eine möglichkeit geben etwas auszuhebeln.

Das Problem das besteht ist ja nicht das dass es immer merh Maleware gibt sondern das die Entwickler von Sicherheitssoftware nur Reagieren können, will heisen wo nichts vorliegt kann auch nichts dagegen unternommen werden.

Grüße

so ungefähr. solange menschen etwas entwickeln wird es fehler haben.

und die tatsache das jemand einen fehler erkennt ist gut.. deswegen gibts ja hacker...