Signatur von Bundestrojaner ändern
05.05.2012 um 14:29Einzelne Bits und Bytes am Ende des compilierten Programms zu ändern führt zwar zu einer neuen Signatur, allerdings lassen sich moderne Anti-Viren Programme nicht mehr so leicht austricksen.
Es gibt aber noch eine andere Möglichkeit. Undzwar kann ein Angreifer einen Plaintext Trojaner/Virus umschreiben, sodass eine neue, unbekannte Signatur entsteht. Dieser Trojaner/Virus wird dann an das Opfer übergeben. Sobald dieser die ausführbare Datei öffnet, könnte der Virus/Trojaner einen identischen Trojaner/Virus zur Laufzeit kompilieren (mit geändertem Quellcode) und diesen an alle Leute im Addressbuch schicken. Hierdurch hätte jeder Infizierte User einen neuen Trojaner/Virus kompiliert mit jeweils neuer Signatur. Relativ umständlich sowas zu schreiben...
Allerdings hat auch diese Sache einen Haken: AntiViren Software prüft mittlerweile nicht nur die Signatur, sondern auch die Funktionen eines Programms. Sollte also ein Stück Software versuchen deine E-Mail Kontakte zu lesen und allen eine E-Mail zu schreiben, schlägt das AntiViren Programm alarm. Das gleiche gilt, wenn der Virus versucht Dinge zu tun, die normale Programme nicht tun (kompilieren, ständige Anfragen senden usw...).
Wenn man sich mehr mit der Materie beschäftigen will, kann man sich ja in der Bucht den release vom Symantech AntiViren Programm runterladen und den Quellcode studieren (dieser wurde irgendwann illegalerweise geleaked). Dort sieht man dann, wie solche Programme arbeiten.
Es gibt aber noch eine andere Möglichkeit. Undzwar kann ein Angreifer einen Plaintext Trojaner/Virus umschreiben, sodass eine neue, unbekannte Signatur entsteht. Dieser Trojaner/Virus wird dann an das Opfer übergeben. Sobald dieser die ausführbare Datei öffnet, könnte der Virus/Trojaner einen identischen Trojaner/Virus zur Laufzeit kompilieren (mit geändertem Quellcode) und diesen an alle Leute im Addressbuch schicken. Hierdurch hätte jeder Infizierte User einen neuen Trojaner/Virus kompiliert mit jeweils neuer Signatur. Relativ umständlich sowas zu schreiben...
Allerdings hat auch diese Sache einen Haken: AntiViren Software prüft mittlerweile nicht nur die Signatur, sondern auch die Funktionen eines Programms. Sollte also ein Stück Software versuchen deine E-Mail Kontakte zu lesen und allen eine E-Mail zu schreiben, schlägt das AntiViren Programm alarm. Das gleiche gilt, wenn der Virus versucht Dinge zu tun, die normale Programme nicht tun (kompilieren, ständige Anfragen senden usw...).
Wenn man sich mehr mit der Materie beschäftigen will, kann man sich ja in der Bucht den release vom Symantech AntiViren Programm runterladen und den Quellcode studieren (dieser wurde irgendwann illegalerweise geleaked). Dort sieht man dann, wie solche Programme arbeiten.