Skip to content

Digitale Schutzimpfung

Heise Security hat festgestellt, dass einige Virenscanner bei der Erkennung eines minimal manipulierten Staatstrojaners versagen und die Erkennungsleistung auch sonst zu wünschen übrig lässt. Wundert das irgend jemanden?

Virenscanner - gut beim Erkennen bekannter Viren

Virenscanner sind exzellent, wenn es darum geht, ihnen bekannte Schädlinge zu erkennen. Entsprechend gut sind die Ergebnisse, wenn sie mit "in the wild" auftretenden Viren, Würmern und Trojanern getestet werden. Je nachdem, wie gut die Erkennungsroutinen sind, erkennen sie auch noch mehr oder weniger weit geänderte Versionen ihnen bekannter Schädlinge.

Bei der Erkennung ihnen bisher unbekannter Schädlinge sieht es dann deutlich schlechter aus. Denn auch die dabei verwendeten Heuristiken gehen ja von bekannten Mustern aus. Hält sich ein Schädling einfach nicht daran, hat er gute Chancen, unerkannt zu bleiben. Nehmen wie mal die Onlinebanking-Trojaner wie z.B. Zeus, die sich i.A. in den Webbrowser einklinken, also entsprechenden Code enthalten müssen. Verzichten sie darauf (was sie kaum können, schließlich sollen sie ja das Onlinebanking im Browser manipulieren), fehlt der entsprechende Code und damit eine Möglichkeit, sie zu erkennen.

Genauso sieht es bei der "letzten Bastion" aus, der Verhaltenserkennung. Erkannt wird nur, was als "böse" bekannt ist. Hält sich ein Schädling nicht an diese bekannten Verhaltensmuster, kann er auch nicht erkannt werden.

"Grippeimpfung wirkt nicht gegen Fußpilz"

Ich vergleiche Virenscanner daher gerne mit der Grippeimpfung (Leser mit medizinischen Kenntnissen sollten diesen Absatz besser überspringen!): Die wirkt auch nur gegen die i.A. drei Erreger, die als wahrscheinlichste Varianten ausgemacht wurden und gegen die der jeweilige Impfstoff entwickelt wurde. Kommt ein anderer Erreger zum Zuge, ist die Impfung mehr oder weniger nutzlos. Und gegen eine normale Erkältung wirkt sie gar nicht, auch wenn die als "grippaler Infekt" bezeichnet wird. Von sowas wie z.B. Fußpilz ganz zu schweigen, das ist eine ganz andere Baustelle, nicht nur örtlich sondern auch Schädlings-mäßig.

Und genau so ist es beim Virenscanner: Die ihm bekannten Viren erkennt er natürlich, Varianten davon vielleicht auch noch, bei allem anderen muss er mehr oder weniger raten. Das wissen natürlich auch die Autoren der Schadsoftware, und beim Wettstreit zwischen Viren- und Antiviren-Autoren geht es zwar munter hin und her, aber wenn jemand Wert darauf legt, dass seine Schadsoftware nicht erkannt wird, dann wird er sein Ziel auch erreichen. Er darf seinen Schädling dann nur nicht weiträumig verbreiten, damit er nicht zufällig in die Hände der Virenscanner-Hersteller gelangt. Besonders dumm wäre es, den neuen Schädling z.B. von Virustotal testen zu lassen, denn alle dort vorgelegten und bisher unbekannten Schädlinge werden an die beteiligten Hersteller weitergeleitet. Das steht so auch ausdrücklich im Reiter "Important Notes" unter About VT:

"Hispasec is rather tired of repeating that VirusTotal was not designed as a tool to perform AV comparative analyses, but as a tool that checks suspicious samples with several AV programs and helps AV labs by forwarding them the malware they failed to detect."
[Hervorhebung von mir]

Die Entwickler des Staatstrojaners scheinen das nicht gewusst und auch nicht gelesen zu haben, denn sie haben ihren "Dropper" zu Installation des Trojaners dort getestet. Einen Kommentar spare ich mir, ebenso wie zum Rest der Staatstrojaner-Geschichte. Da warte ich lieber erst mal das Ende ab.

Virenscanner - ja oder nein?

Wenn die Virenscanner nutzlos sind, was nutzt man dann? Erst mal sind sie ja nicht völlig nutzlos, sie erkennen einen Großteil der bekannten Schädlinge, die im Netz und außerhalb (z.B. auf USB-Sticks) unterwegs sind. Ihre Einstufung als "Snake Oil" wie z.B. durch Fefe finde ich auch etwas hart. Obwohl sie natürlich verdammt nah dran sind. Darüber, ob ihr Nutzen die Nachteile einer Installation rechtfertigen oder nicht, kann man wunderbar streiten. Immerhin reißen sie ja auch gerne mal ein Loch ins System, in der Hinsicht erinnern sie mich immer an den alten Witz über das Haushaltsbuch: Nach dem Kauf des Haushaltsbuchs hat man die gleichen Ausgaben wie vorher, plus den Kosten fürs Haushaltsbuch. Nach der Installation des Virenscanners hat der Rechner die gleichen Schwachstellen wie vorher, plus denen, die der Virenscanner mitbringt.

Bei der Abwehr gezielter Angriffe mit speziell entwickelter oder angepasster Schadsoftware sind die Scanner nutzlos, und auch gegen 0-Day-Exploits ist ihre Wirkung minimal. Neue Schadsoftware erkennen sie nur, wenn die sich durch ihre Funktionen oder ihr Verhalten verrät. So tauchen 0-Day-Exploits teilweise in Kombination mit bereits bekanntem Schadcode auf, so dass dann zwar nicht der 0-Day-Exploit, aber die bereits den Scannern bekannten Codeteile erkannt werden. Ohne dieses "Hinweisschild" haben die Scanner kaum eine Chance.

Kein Virenscanner - was dann?

Wie kommt eigentlich die Schadsoftware auf die Rechner? Passenderweise hat Microsoft gerade seinen Security Intelligence Report für das erste Halbjahr 2011 veröffentlicht, und der enthält einige aufschlussreiche Informationen über die Verbreitung von Schadsoftware:

  • 44,8% aller Infektionen erfolgen durch Aktionen der Benutzer.
  • 26,0% aller Infektionen erfolgen durch die AutoRun-Funktion für USB-Sticks etc.,
    17,2% durch die AutoRun-Funktion im Netzwerk.
  • 4,4% aller Infektionen erfolgen durch File-Infector-Schädlinge, also die altbekannten Viren.
  • 3,2% aller Infektionen erfolgen über Schwachstellen, für die es seit mindestens einem Jahr Patches gibt,
    2,4% über Schwachstellen, für die es seit weniger als einem Jahr Patches gibt.
  • 1,7% aller Infektionen erfolgen über Brute-Force-Angriffe auf Passwörter.
  • 0,3% aller Infektionen erfolgen über Office-Macros.
  • Noch weniger Schadsoftware verbreitet sich über 0-Day-Schwachstellen: 0,12%.

Gegen einen Großteil der Infektionswege kann man also etwas tun, ohne auf einen Virenscanner zurückgreifen zu müssen:

  • Bei der Abwehr von Angriffen über den Benutzer sind Sie als Benutzer direkt gefragt: Für Sie gilt: "Erst denken, dann klicken!", auch möchte ich wieder einmal auf Brian Krebs drei Tipps verweisen, auf die ich bereits eingegangen bin. Außerdem gilt es, bei per Mail zugesandten Dateien aller Art misstrauisch zu sein und sie nicht unbedacht zu öffnen.
  • Die AutoRun-Funktion für USB-Sticks etc. gab es nur bis einschließlich Windows Vista, und auch darin wurde sie von Microsoft schon vor einiger Zeit lahm gelegt. Falls Sie auf Ihrem Rechner noch funktioniert, haben Sie ein Update nicht installiert und müssen das nur nachholen, um dieses Einfallstor zu schließen.
  • Damit die AutoRun-Funktion im Netzwerk eine Gefahr dar stellt, muss der Schädling erst mal auf ein Netzwerklaufwerk gelangen. Dahin kommt er kaum von allein, sondern z.B. weil ihn jemand eingeschleppt hat. Und dagegen lässt sich ja was machen...
  • Damit kommen wir zu den File-Infector-Schädlingen, gegen die in der Tat nur ein Virenscanner hilft - wenn denn eine infizierte Datei auf Ihren Rechner gelangt und dort ausgeführt wird. Womit wir im Grunde wieder beim ersten Punkt angelangt sind.
  • Exploits für Schwachstellen, für die es bereits Patches gibt, laufen auf Ihrem System ja wohl hoffentlich in Leere, weil alle Patches und Updates installiert sind, oder? Wenn nicht, wissen Sie ja wohl, was sie als nächstes tun sollten. Denn sonst laufen Sie Gefahr, z.B. Opfer einer Drive-by-Infektion zu werden.
  • Brute-Force-Angriffen wird Ihr Passwort doch sicher widerstehen, oder?
  • Office-Macros? Ja, sind wir denn in den 90ern des letztes Jahrhunderts? Die Ausführung von Macros schalten Sie doch hoffentlich aus, wenn sie fremde Dateien öffnen, oder?
  • Und damit kommen wir zu den 0-Day-Exploits... gegen die gibt es kein Gegenmittel: Virenscanner erkennen sie im Ernstfall nicht, einen Patch gibt es definitionsgemäß nicht. Wie gross ist denn die Gefahr, so einem Exploit zum Opfer zu fallen? Immerhin muss der ja erst mal ihren Rechner erreichen, und je nachdem, was für eine Schwachstelle ausgenutzt wird, kommt dabei oft auch einer der anderen Angriffswege zum Einsatz. Und die haben Sie ja gerade unpassierbar gemacht.

Also besteht eigentlich keine Notwendigkeit für einen Virenscanner.

Grippeimpfung und Virenscanner für gefährdete Personen

Eigentlich, denn leider gibt es zu viele Benutzer, die auf die Tricks der Cyberkriminellen reinfallen und unwissentlich Schadsoftware, z.B. als angeblich benötigten Video-Codec, installieren. Die schützt ein Virenscanner, der wenigstens verhindert, dass bereits bekannter Schadcode überhaupt erst den Client-Rechner erreicht. Für diesen Zweck eignen sich z.B. die Unified-Thread-Management-Appliances, von denen man nur nicht zu viel erwarten darf. Denn für die darauf laufenden Virenscanner gilt das gleiche wie für alle anderen auch, mit der zusätzlichen Einschränkung, dass die Verhaltensanalyse i.A. nicht zum Zuge kommt, da ja kein Code ausgeführt wird. Hier gilt also noch mehr als für Virenscanner auf dem Desktop: Erkannt wird nur, was bereits bekannt ist. Was aber z.B. zur Abwehr der meisten Drive-by-Infektion ausreicht, da die i.A. auf einer Hand voll Exploit-Kits mit immer den gleichen Exploits basieren.

Das gleiche gilt sinngemäß für Virenfilter auf dem Mail-Server: Auch die erkennen nur, was sie bereits kennen. Halten damit aber den Anteil bekannter Schädlinge zurück, der nicht schon vom Spamfilter als unerwünscht erkannt und ausgefiltert wurde. Wobei ich zugeben muss, dass ich schon seit einer gefühlten halben Ewigkeit keinen Schädling mehr in der Mail hatte, der nicht bereits als Spam markiert war. Was allerdings keinen Schutz bietet, wenn die Spam-Mail samt Schadsoftware aus dem Spam-Ordner geholt wird, wie man am Beispiel RSA gut sehen konnte. Allerdings hätte in dem Fall sehr wahrscheinlich auch kein Virenscanner Alarm geschlagen, da die per Mail eingeschleuste Schadsoftware sehr wahrscheinlich speziell für diesen Angriff entwickelt bzw. angepasst wurde.

Mit dem Virenscanner ist es also wie mit der Grippeimpfung: Für gefährdete Personen kann seine Installation hilfreich sein.

Fazit

Schützen Sie ihre Rechner ordentlich, dann brauchen Sie im Grunde keinen Virenscanner. Der sollte als zusätzlicher (und nicht einziger!) Schutz unbedarfter Benutzer vor bereits bekannten Schädlingen angesehen werden. Diesen Job erledigt er aber i.A. sehr zuverlässig. Was kein Wunder ist, werden die Scanner doch meist mit einer mehr oder weniger langen Liste "in the wild" vorkommender Schädlinge getestet, und diese Tests sollen die Scanner ja bestehen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Das RAT, das aus dem Stuxnet kam

Vorschau anzeigen
Mehrere Antiviren-Hersteller haben einen neuen Schädling entdeckt, der teilweise als Stuxnet-Ableger bezeichnet wird. Da ist aber zumindest etwas irreführend. Der Duqu genannte neue Schädling weist einige Parallelen zu Stuxnet auf,

Dipl.-Inform. Carsten Eilers am : Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Vorschau anzeigen
Microsoft hat ein Security Advisory zur von Duqu ausgenutzten 0-Day-Schwachstelle im Kernel veröffentlicht. Gefährliche oder weniger gefährliche Schwachstelle? Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich i

Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - Was ist ein DNS-Changer?

Vorschau anzeigen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem DNS-Changer mit dem Namen "DNS-Changer". Aber was ist das eigentlich, ein DNS-Changer? Betrachten wir erst mal die erste Hälfte des Begriffs: Was ist d

Dipl.-Inform. Carsten Eilers am : Macs im Visier

Vorschau anzeigen
Mac OS X wird immer beliebter. Auch bei den Cyberkriminellen. Und dann gibt es da wohl auch noch mindestens einen Staat, der es auf Mac-Benutzer abgesehen hat. Aber fangen wir mit den normalen Cyberkriminellen an. Flashback - Erstinfektion ohn

Dipl.-Inform. Carsten Eilers am : Warum man Schadcode nie ungefragt durch harmlosen Code ersetzen sollte

Vorschau anzeigen
Wie angekündigt geht es heute um die Frage, wieso es eine schlechte Idee ist, nach der Übernahme eines Botnets den Schadcode auf den einzelnen Bots durch harmlosen Code zu ersetzen. Mal abgesehen davon, dass so eine Manipulation fremder

Dipl.-Inform. Carsten Eilers am : Das Flashback-Botnet und Apples Langsamkeit

Vorschau anzeigen
Der Mac wird bei den Cyberkriminellen immer beliebter, und inzwischen haben sie ca. 1% aller Macs in einem Botnet versammelt. Wirklich? Und was macht Apple dagegen? Das Flashback-Botnet - 550.000, 600.000, wer bietet mehr? Es gibt ein r

Dipl.-Inform. Carsten Eilers am : Macs und Schadsoftware, in allen möglichen Varianten

Vorschau anzeigen
Heute gibt es mal wieder ein Sammelsurium an Kommentaren zu verschiedenen Themen, die aber alle eins miteinander verbindet: Sie haben etwas mit Schadsoftware auf dem Mac zu tun, zumindest indirekt. Windows-Schädlinge auf Macs Sophos b

Dipl.-Inform. Carsten Eilers am : Reaktionen

Vorschau anzeigen
Heute geht es um verschiedene Reaktionen, die aber alle in der einen oder anderen Form etwas mit IT-Sicherheit zu tun haben. Hase und Igel bei Drive-by-Infektion Am 23. April wurde ich auf eine neue Drive-by-Infektion aufmerksam gemacht un

Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?

Vorschau anzeigen
Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

www.ceilers-news.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Noch einige Infos zu Flame, und dann auf zur #ipc12

Vorschau anzeigen
Da ich das Wochenende mit letzten Vorbereitungen für die International PHP Conference 2012, Spring Edition verbringe, um Montag früh nach Berlin zu fahren, gibt es diesmal statt des "Standpunkts" nur Werbung für die Konferenz und einig

Dipl.-Inform. Carsten Eilers am : Kommentare zu einen gehackten iCloud-Account und mehr

Vorschau anzeigen
Ein gehackter iCloud-Account zeigt, wie gefährlich es sein kann, wenn man zu sehr von der Cloud abhängig ist. Und auf Wired wurde ein interessantes Profil von Eugene Kaspersky veröffentlicht. iCloud-Desaster Nutzen Sie die

Dipl.-Inform. Carsten Eilers am : Links mit etwas Senf

Vorschau anzeigen
Mein Standpunkt heute: Ich nähere mich meinen Schmelzpunkt, und darum fällt der übliche Standpunkt heute aus. Stattdessen gibt es eine kommentierte Linkliste. Brian Krebs: ‘Booter Shells’ Turn Web Sites into Weapons

Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem...

Vorschau anzeigen
Auch heute gibt es "nur" Kurzkommentare zu jeder Menge Links. Los geht es mit bösartiger Google-Werbung. Oder wie sonst soll man Anzeigen bezeichnen, die wie ein Download-Button aussehen und auf Download-Seiten eingeblendet werden? Google, yo

Dipl.-Inform. Carsten Eilers am : Kommentare zur Selbsterkenntnis eines Virenscanners, PINs und mehr

Vorschau anzeigen
Heute gibt es mal wieder Kommentare zu einer ganzen Reihe neuer Entwicklungen: Zur Selbsterkenntnis eines Virenscanners, einer statistischen Analyse von PINs, Spam für Cyberkriminelle, sicherer Entwicklung, gekürzten Hotmail-Passwörter

Dipl.-Inform. Carsten Eilers am : Kommentare zu einem neuen Java-Exploit, Exploit-Kits und mehr

Vorschau anzeigen
Heute gibt es Kommentare und Neuigkeiten... ... zu einem Java-Exploit Brian Krebs berichtet, dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte Schwachstelle in Java angeboten wird. Vermutlich dürften die Entwick

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits?

Vorschau anzeigen
Wir haben gerade mal den 11. Februar und schon die x-te 0-Day-Schwachstelle. Wobei man sich über den Wert von x streiten kann. Aber selbst im günstigsten Fall ist der drei: Erst die 0-Day-Schwachstelle in Java und nun zwei im Flash Playe

Dipl.-Inform. Carsten Eilers am : Ein Kommentar zu Mac-Virenscannern, und ein paar Links

Vorschau anzeigen
Es gibt einen Test von Mac-Virenscannern. Auch wenn es immer noch keine Viren für Mac OS X gibt. Dass musste ich einfach kommentieren. Außerdem gibt es noch ein paar interessante Links, die diesmal aber ohne Kommentar. Schadsoftwa

Dipl.-Inform. Carsten Eilers am : 2013 - Das Jahr der 0-Day-Exploits

Vorschau anzeigen
Das Jahr ist bald vorbei, in einer Woche ist Weihnachten, in zwei Wochen ist Sylvester. Wenn nichts dazwischen kommt (also diese Woche nicht zum Beispiel ein weiterer 0-Day-Exploit auftaucht) wird dies der letzte "Standpunkt" für 2013 sein. Da

Dipl.-Inform. Carsten Eilers am : Antivirus-Software ist tot? Klar, schon seit langem!

Vorschau anzeigen
Antivirus-Software, Virenscanner, Antiviren - egal wie man sie nennt, wirklich funktioniert haben sie schon seit langem nicht mehr richtig. Das hatte ich zum Beispiel schon 2011 geschrieben, und selbst damals war das schon ein alter Hut. Neu ist

Dipl.-Inform. Carsten Eilers am : Vor Weihnachten ist noch einiges zu tun...

Vorschau anzeigen
Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, w

Dipl.-Inform. Carsten Eilers am : Virenscanner und Co. - Pro und Contra

Vorschau anzeigen
Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr f&uu