News
05.08.2008, 08:13 Uhr
Exklusiv: Aus dem Leben eines Virenjägers
Bei Antiviren-Software-Herstellern untersuchen Spezialisten täglich verdächtige Dateien auf Malware. Unsere Schwesterzeitschrift Computerworld erhielt bei Symantec die Gelegenheit, einem Virenjäger bei seiner täglichen Arbeit über die Schulter zu schauen.
200000 verdächtige Files erhält die IT-Security-Spezialistin Symantec täglich, sei es von Anwendern, sei es automatisch gesammelt von eigenen, rund um den Globus verteilten Netzwerkgeräten. Um diese zu analysieren vertraut die Firma zum einen auf Filterprogramme. Was nicht automatisch aussortiert wird, muss von Virenjägern genauer unter die Lupe genommen werden.
Ka Chun Leung an Symantecs Security Response Center in der Nähe von Dublin ist einer von ihnen. Äusserlich wirkt er überhaupt nicht wie jemand, der mit Adrenalin vollgepumpt den Hackern und Virenschreibern dieser Welt hinterherjagt. Vielmehr geht er äusserst ruhig, überlegt und methodisch vor. So schaut er sich die verdächtige, ausführbare Datei, die es zu analysieren gilt, erst einmal mit einem Hex-Editor an. Dieses Tool stellt jede Datei, also auch ein Exe-File, als Folge von Hexadezimalzahlen dar. «Dadurch erhalten wir nicht sehr viele Infos, aber immerhin eine strukturierte Ansicht auf die Datei. Dies im Gegensatz zu einem Text-Editor, mit dem ein Programm wie ein Haufen Zeichenmüll aussieht», erklärt Leung. Bei der Betrachtung im Hex-Editor fällt ihm auf, dass das zu untersuchende Programm mit einem Packprogramm komprimiert wurde. «Virenschreiber verwenden die Packer aber nicht, weil sie die Dateien komprimieren wollen. Vielmehr dient dies der Verschleierung. So merkt man nicht so schnell, dass es sich bei dem File um eine ausführbare Datei handelt», so Leung.
Entpacken lässt sich die Datei nicht auf Anhieb. Doch dies hält den Virenjäger nicht sonderlich auf. Er greift zu einem Tool, das analysiert, was die Datei während der Ausführung macht. Vor allem interessiert dabei Leung, was sie für Änderungen am Betriebssystem vornehmen will. Dass sie eine DLL erstellt und sich ins Windows-System-Directory kopiert, lässt ihn aufmerksam werden. Genauere Analyse ist somit ratsam. Das Problem dabei: Malware-Programme werden in der Regel erst aktiv, wenn eine bestimmte Aktion des Users diese auslöst. Leung erstellt daher einen Dump des Programms. Das bedeutet, dass er ein Bild des Programms zieht, wenn es in den Zwischenspeicher geladen wird. Denn dazu muss die Applikation sich in der Regel entpacken. Und tatsächlich: Leung erhält eine dekomprimierte Version, in der bei näherem Hinsehen einzelne Passagen verschlüsselt sind. Zudem fallen ihm bestimmte portugiesische Begriffe auf, die auf eine Abfrage nach Kartennummer und Passwort schliessen lassen. «Das heisst aber noch nicht, dass es sich um eine bösartige Applikation handelt», erklärt Leung. Es gebe viele Programme, die hiernach fragten.
Er ändert aber seine Meinung, nachdem er die verschlüsselten Passagen decodiert, und zwar mit Code, den er mit Hilfe des Hex-Editors er in der Nähe der verschlüsselten Nachricht findet. Bei diesen handelt es sich um URL von brasilianischen Banken und von weiteren Internetservern, womöglich jenen der Hacker.
Stutzig macht den Virenjäger ebenfalls die starke Vergrösserung des Programms. War es gepackt ein MByte gross, beansprucht es im Speicher sieben MByte. Mit einem weiteren Werkzeug untersucht Leung daher das File darauf, ob es weitere Dateien enthält. Und tatsächlich: Leung bringt diverse Bitmap-Files an die Oberfläche. Es sind Screenshots von Fehlermeldungen und von Aufforderungen im Internet Explorer. Für den Virenjäger ist somit klar: Bei der vor wenigen Minuten unbekannten Datei handelt es sich um eine Phishing-Malware, die erst dann ausgeführt wird, wenn ein Surfer in einem brasilianischen Geldinstitut Online-Bankgeschäfte erledigen möchte.
Ka Chun Leung an Symantecs Security Response Center in der Nähe von Dublin ist einer von ihnen. Äusserlich wirkt er überhaupt nicht wie jemand, der mit Adrenalin vollgepumpt den Hackern und Virenschreibern dieser Welt hinterherjagt. Vielmehr geht er äusserst ruhig, überlegt und methodisch vor. So schaut er sich die verdächtige, ausführbare Datei, die es zu analysieren gilt, erst einmal mit einem Hex-Editor an. Dieses Tool stellt jede Datei, also auch ein Exe-File, als Folge von Hexadezimalzahlen dar. «Dadurch erhalten wir nicht sehr viele Infos, aber immerhin eine strukturierte Ansicht auf die Datei. Dies im Gegensatz zu einem Text-Editor, mit dem ein Programm wie ein Haufen Zeichenmüll aussieht», erklärt Leung. Bei der Betrachtung im Hex-Editor fällt ihm auf, dass das zu untersuchende Programm mit einem Packprogramm komprimiert wurde. «Virenschreiber verwenden die Packer aber nicht, weil sie die Dateien komprimieren wollen. Vielmehr dient dies der Verschleierung. So merkt man nicht so schnell, dass es sich bei dem File um eine ausführbare Datei handelt», so Leung.
Entpacken lässt sich die Datei nicht auf Anhieb. Doch dies hält den Virenjäger nicht sonderlich auf. Er greift zu einem Tool, das analysiert, was die Datei während der Ausführung macht. Vor allem interessiert dabei Leung, was sie für Änderungen am Betriebssystem vornehmen will. Dass sie eine DLL erstellt und sich ins Windows-System-Directory kopiert, lässt ihn aufmerksam werden. Genauere Analyse ist somit ratsam. Das Problem dabei: Malware-Programme werden in der Regel erst aktiv, wenn eine bestimmte Aktion des Users diese auslöst. Leung erstellt daher einen Dump des Programms. Das bedeutet, dass er ein Bild des Programms zieht, wenn es in den Zwischenspeicher geladen wird. Denn dazu muss die Applikation sich in der Regel entpacken. Und tatsächlich: Leung erhält eine dekomprimierte Version, in der bei näherem Hinsehen einzelne Passagen verschlüsselt sind. Zudem fallen ihm bestimmte portugiesische Begriffe auf, die auf eine Abfrage nach Kartennummer und Passwort schliessen lassen. «Das heisst aber noch nicht, dass es sich um eine bösartige Applikation handelt», erklärt Leung. Es gebe viele Programme, die hiernach fragten.
Er ändert aber seine Meinung, nachdem er die verschlüsselten Passagen decodiert, und zwar mit Code, den er mit Hilfe des Hex-Editors er in der Nähe der verschlüsselten Nachricht findet. Bei diesen handelt es sich um URL von brasilianischen Banken und von weiteren Internetservern, womöglich jenen der Hacker.
Stutzig macht den Virenjäger ebenfalls die starke Vergrösserung des Programms. War es gepackt ein MByte gross, beansprucht es im Speicher sieben MByte. Mit einem weiteren Werkzeug untersucht Leung daher das File darauf, ob es weitere Dateien enthält. Und tatsächlich: Leung bringt diverse Bitmap-Files an die Oberfläche. Es sind Screenshots von Fehlermeldungen und von Aufforderungen im Internet Explorer. Für den Virenjäger ist somit klar: Bei der vor wenigen Minuten unbekannten Datei handelt es sich um eine Phishing-Malware, die erst dann ausgeführt wird, wenn ein Surfer in einem brasilianischen Geldinstitut Online-Bankgeschäfte erledigen möchte.
05.08.2008
05.08.2008
05.08.2008