AV-Software war chancenlos gegen Flame und Stuxnet
Mikko Hypponen, leitender Mitarbeiter des Antivirensoftwareherstellers F-Secure hat in ars technica zugegeben, dass F-Secure schon 2010 Muster von Flame gefunden hat, ohne die Gefahr zu entdecken. Auch andere Antivirenhersteller erkannten die Schadfunktionen von Flame nicht, sodass dieser wahrscheinlich mehr als zwei Jahre unbemerkt aktiv sein konnte. Die Muster landeten zwar als automatisierte Berichte in der Datenbank, wurden aber nicht von der hauseigenen Software für eine genauere Überprüfung markiert.
Der Virenexperte vergleicht Flame mit Stuxnet und Duqu. Alle Schädlinge tarnten sich als digital signierte Komponenten und verzichteten auf den sonst üblichen Schutz durch Verschleierungssoftware. Damit blieben sie für jeden Scan sichtbar und damit unverdächtig. Die Entwickler von Flame setzten zudem auf SQLite, SSH, SSL und LUA Libraries, um dem Code den Anschein einer geschäftlichen Datenbank zu verpassen. Außerdem haben die Angreifer Flame vor dem Einsatz offenbar auch noch mit allen gängigen Antivirenprogrammen getestet. So konnte gewährleistet sein, dass die Bedrohung durch den Schädling für die AV-Hersteller völlig neu war.
Hypponen zieht aus diesen Erkenntnissen eine ernüchternde Bilanz: Antivirenhersteller sind in der Lage gegen alltägliche Bedrohungen wie Bank-Trojaner, Key-Logger oder E-Mail-Würmer vorzugehen. Aber Schädlinge wie Flame, Stuxnet und Duqu spielen in einer anderen Liga. Sie wurden von Staaten entwickelt, die über fast unbegrenzte finanzielle Ressourcen und deutlichem Vorsprung an Wissen verfügen. Damit sind sie herkömmlichen Antivirenherstellern immer mehrere Schritte voraus.
Quelle:
IRON67
Conqueror
