PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : MD5 hash von Viren und Trojanern: Bald sinnlos?!



shadow1982
23.05.05, 13:51
Bisher verwenden einige Virenscanner und einige Erkennungssysteme eine Md5 Prüfsumme der Datei.
Sprich man erstellt MD5 Werte aller Dateien auf der Platte und vergleicht diese nun mit einer Liste die z.B. Viren und ähnliches enthält.

Nun ist es jedoch so, das sich selbst verändernde "Programme" stark im kommen sind. Das würde jedoch dazu führen, dass System die auf einem MD5 hash aufbauen nicht mehr funktionieren würden, da sich ja z.B. ein Bit ändert.

Meine Fragen nun:

Wie könnte man dem Abhilfe schaffen?
Was wäre eine effektive Methode um diese Dateien/Viren/Programme trotzdem eindeutig zu identifizieren?
Was wird dann sein?
Werden dann alle MS Systeme mit Viren und Würmern verseucht werden, da die Scanner nicht mehr richtig arbeiten?

alFX
23.05.05, 14:23
[a]Wie könnte man dem Abhilfe schaffen?

Analysieren des Verhaltens von Viren/Trojanern
Prüfen auf Codefragmente

[b]Was wäre eine effektive Methode um diese Dateien/Viren/Programme trotzdem
eindeutig zu identifizieren?

siehe Punkt a...

[c]Was wird dann sein?

Meinst Du was sein wird, wenn die Viren/Trojaner sich selbst verändern?
Dann siehe Punkt d...

[d]Werden dann alle MS Systeme mit Viren und Würmern verseucht werden, da
die Scanner nicht mehr richtig arbeiten?

Im Prinzip ist es doch schon so. Es gibt bereits viele Viren die ihre eigenen Files
ändern und sich weiterverbreiten.

shadow1982
23.05.05, 16:15
Hm, ich dachte ich hätte mal im Zusammenhang mit einer Gruppe hl7 was der Name glaube ich gehört, dass sie eine möglichkeit hätten eine "eindeutige" Signatur einer Datei zu erstellen.

War dann wohl ne Fehlinformation.

Multe
23.05.05, 16:36
Hallo,

unter Linux sind doch Rootkits das wahre Übel.
Rootkits verändern die Dateien die ggf. auf Prozesse und Dateien zeigen könnten.
Also z.B. ls, netstat, ps, etc.

Diese sind aber im Urzustand statisch, daher passt ein Hash immer.
Ändert sich dieser Hash, bedeutet es, das ein Kit, Virus, Trojaner das Programm geändert hat (oder ggf. der Admin der ein Update gemacht hat).
Mir isses dann wurscht welcher Virus das war, sondern zu erstmal die Tatsache das was verändert wurde.
Also Daten sichern, Neuaufsetzen und später untersuchen und rausfinden wie er reingekommen ist.

Wenn Du dynamische Daten wie Mailanhänge oder Webserveruploads meinst mag das stimmen, aber da sollte der Schaden durch die Rechteverwaltung in Grenzen gehalten werden. Vorausgesetzt, dieses File nutzt keine Lücke in einem Dienst/Prozess. Höchstens wird es nicht möglich sein auf Mailservern die Anhänge zu filtern....

Wenn ich falsch liege bitte aufklären.

Gruß Malte

shadow1982
23.05.05, 16:54
Nö da hast du recht. Nur wenn du jetzt mit einer Transparenten Linux Brücke vor einem Windows Netz hängst, kannst du halt schön auf Grundlage von Hash-Werten Eindringlinge Filtern und so ein Windows Netz schützen.
Da jedoch immer mehr Viren und Würme ihre Größen verändern, ist dass halt nicht mehr 100% möglich.
-> Ich suche nach einer Möglichkeit Daten trotzdem eindeutig zu identifizieren.

kl47
25.05.05, 13:56
Einige Programme schauen sich soweit ich weiß auch den Bytecode an, also einmal so allgemeine Sachen wie "sende E-Mail", "kopiere die eigene Datei", "hänge dich selbst an eine andere Datei an" oder sowas, weil solche Sachen relativ häufig bei Viren auftauchen. Dazu wird dann eben noch der wichtigste Bytecode von den bekannten Viren gespeichert, und den kann man auch nicht ohne weiteres verändern, weil der Virus dann ja nicht mehr das tut was er soll. Wie gesagt, "nicht ohne weiteres", gehen wird das aber trotzdem...

Apoll
25.05.05, 14:35
Ich glaube, die wenigsten Virenscanner (falls überhaupt einer) verlassen sich auf eine einzige Maßnahme, um schädliche Software ausfindig zu machen - wie eben die MD5-Summen.
Meistens sind doch mehrere Funktionen implementiert, um Viren zu erkennen. Schließlich sind polymorphe Viren keine Neuerfindung und auch schon in der Vergangenheit oftmals anzutreffen.