BERICHT

Eine neue Generation von Computerviren

Wir stehen vor neuen komplexen Herausforderungen: Eine neue Entwicklung erstaunt, schockiert und verwundert. Es geht um eine neue Generation Cornputerviren, oder - genauer ausgedrckf- eine neue Art, wie diese sich vor Antivirus-Programmen effizient verstecken knnen. Die Rede ist hier von Viren, welche normale Homecomputer befallen, nicht von extra angefertigten Spionageviren (2.8. Stuxnet).

Einem einfachen normalen PC-Heimanwender empfiehlt man, eine Antivirenlsung zu installieren und alle Programme auf dem aktuellen Stand zu halten. In Firmenumgebungen kommen dabei oft Antivienlsungen von zwei unterschiedlichen Firmen zum Einsatz. Das bringt den Vorteil, dass man eine Datei von zwei unterschiedlichen Virenscanner berprfen lassen kann, als extra Sicherheit.
Von Kay

Stutz

sammenklicke.Zw Beispiel soll der Trojaner

alle Passwr-

Die neue Generation Computerviren

Leider helfen dies Massnahmen nichtgegen die neue Generation von Computerviren. Das Zauberwort hat drei Buchstaben, ,,FUD" diese Abkrzung das steht fr,,Fully Undetectable" heisst bersetzt so riel wie komplett unerkennhar. . Ein Schdling, den man in der Fachsprache als FUD bezeichnet wird von zwanzig, dreissig oder sogar vierzig verschiedenen Antivirusprogrammen nicht als Solcher erkannt; sprich von keiner gngigen Antivirus Software. Ietzt denkt man sich vielleicht: Ja klar, solche Schdlinge existieren, sind aber schwierig herzustellen und man trifft sie selten in der freien Wildbahn des Internets an. Das sind dedizierte Viren fr Firmenspionage oder das Eindringen in Systeme von Atomanlagen. In Wirklichkeit ist es aber relativ einfach, einen bestehenden Virus ,,FUD", also gnzlich unerkennbar fr Antivirensoftware, zu schreiben. Dies geschieht ber einen sogenannten FUD Crypter. Ein FUD Crlpter nimmt einen bestehenden ComputerSchdling, z.B. einen Trojaner und verschlsselt ihn so, dass er nicht mehr von aktuellen Antivirensoftware erkannt wird (siehe Grafik). Das heisst konkret, man kann einen fr die eigenen Zwecke,, etablierten" Schdling zum Einsatz bringen, welche ohne einen FUD Crypter sofort von der Antivirus Software erkarnt werden wrde.

te die eingegeben werden, mitschneiden inklusive der Kreditkartendaten. Diesen Trojaner lsst man nun durch einen FUD Crypter verschlsseln. Anschliessend testet man, ob diese Datei von den gngigen Antivirensoftwareprogrammen erkannt wird. Dies geschieht indem man den FUD versch-lsselten Schdling aufeine Prfseite hoch ldt. Eine bekannte Seite dafiir ist www.virustotal.com. Dort hat man die MgIichkeit, eine Datei hochzuladen, ohne sich anzumelden. Diese wird anschliessend von mehreren Antivirenprogrmmen berprft. Man erhlt dan als Ergebnis zum Beispiel .ol4z". Somit wird der FUD Crypted Trojaner von keinem der 4z Antivirenprogrammen als Schdling erkannt. Die Gefahr, dass dieser Trojaner erkannt wird, ist praktisch null und man bezeichnet ihn als FUD, Fully Undetectable. Gefahr duch die einfache Verfgbarkeit Gibt man in Google ,,FUD Crypter" ein, erhlt man eie halbe Million Ergebnisse, und erstaunlich viele Youtube Videos, welche den FUD Crypter von dem jeweiligen Hersteller positiv prsentieren. Auch finden sich zahlreiche Anleitung zu den einzelnen Produkten. Es ist ein richtiger Markt entstanden, es gibt gratis FUD Crypter und kostenpflichtige. Es existieren ffentliche und nicht fentliche FUD Crypter. Und whrend frher dies alles in verborgenen Internet Schwarzmrkten angeboten wurde, ist es heute auch jemanden ohne Kenntnisse von Programmiersprachen oder Kontakten zu diesen Schwarzmrkten mglich, sich mit FUD Crypter und
entsprechenden Schdlingen einzudecken.

Qualitt, VerfiEbarkeit und Preise von FUD Cryptern

Bisher hat sich herauskristallisiert, dass diekostenlosen, weit verbreiteten FUD Crypter zwar ar Anfang funktionieren, aber die Dateien dann nach relativ kurzer Zeif dochvon Antivirenherstellern erkannt werden. Das hat verschiedene Grnde. Unter anderem hat es damit zu tun, dass virustotal.com

Einsatzbeispiel Es gibt sogenannte Trojanerbaukasten, dort kann man ganz einfach mit einer grafrschen Oberflche einen Trojaner zu-

JOURNAL CRIMINALISTIQUE SUISSE

r! : DBCBMBR! 2o1r

BERICHT

Stufe 1: I nfiziert
letzten Stufe
3

Verschlisselt
z

Stufe 3: "Stub" hinzugefgt

DieStuferzeigteineinfizierteDatei(Schdling),zumBeispieleinenTrojaner.
wird eine sogenannte" Stub" Datei ber die Datei von Stufe

DieserwirdinderStufezverschlsselt.AndiesemPunktkann
gelegt, welche die Aufgabe hat, die Datei zu entschlsseln und

er weder vom Betriebssystem noch von der Antivirensoftware gelesen werden. Es ist eine passwortgeschtzte und verschlsselte Datei. ln der

lesbar zu machen. Er agiert als Dolmetscher zwischen der veschlsselten Datei in Stufe 2 und dem Betriebssystem. Diese Stub Datei kann sich

dann im Betrebssystem ausfhren und der Antivirusscanner kann sie berprfen, sieht dabei aber nur die Signatur der Stub Datei und nicht
mehr was die ursprngliche Datei in der Stufe r war.

sich das Recht nimmt, alle Dateien die ihm zur Verfgung gestellt werden, an die Antivirushersteller weiterzuleiten. Das wissen natrlich nicht alle, die solche Produkte einsetzen. Das fhrt dazu, dass kostenlose FUD Crypter meist nach kurzer Zeitihren FUD Status verlieren und von immer mehr Antivirenprogrammen erkannt werden. Die kostenpflichtigen FUD Crypter variieren zwischen ro-5o$ pro Stck. Man erhlt je
nach Hersteller dann auch eine Garantie, dass der Crypter

sehr gut fern. Aber auch Programme, welche dem Hersteller nicht,,passen'. Im App Store kosystem funktioniert das bisher gut bezglich Schdlingen. Auch fr das Betriebssystem Mac OS X gibt es inzwischen einen App Store und Microsoft

fr

eine gewisse Zeit rco% FUD bleibt. Die Verkufer ermahnen

ihre Kufer natrlich dazu, die Datei nicht auf Virustotal.com hochzuladen. Der Preis von FUD Cryptern Preis ist deshalb so niedrig, weil es zwischen sehr viele Programmierer gibt, welche solche Software programmieren knnen. Denn aus Sicht der Programmierer ist das ein super Geschft. Er programmiert nur die Software. Und mit den anderen illegalen Geschften,

wie Eindringen in fremde Systeme und Klauen von Kreditkartendaten hat er nichts mehr zu tun. Aber trotzdem wird er natrlich indirekt von diesen Gewinnen bezahlt. Es ist aber
schwer, ihm eine Straftat nachzuweisen.

hat ziemlich schnell ein quivalent den Windows Market rausgebracht. Diese Stores fr den Computer verfgen aber ber keine Exklusivitt, d.h. man kann auch Programme ausserhalb dieser Stores, herunterladen und installieren. Es existieren einige Modelle, wie man die Authentizitt von Programmen berprfen kann. Doch ist es mglich, eine beliebige ausfhrare Datei zu ffnen oder einen Treiber zu installieren, auch wenn sie nicht von Microsoft signiert wurde oder aus einer nicht vertrauenswrdigen Quelle kommt. Grundstzlich msste man die Ausfhrung von Dateien blockieren. Doch daran sind die Antivirenhersteller vorlufig nicht interessiert, Denn ihr Geschft wrde durch eine solche Lsung zum Teil einbrechen. Man darf aber nie vergessen, die IT Branche wandelt sich schnell und sehr wahrscheinlich
werden die Betriebssysteme der verschiedenen Gerteklassen verschmelzen. Denn was sich auf den Tablets und Smartphones bewhrt hat, wird frher oder spter auch Einzug in den Desktop PC Bereich finden. Dabei ist eine der grssten Herausforderungen die Balance zwischen einem freien System

Diese FUD Crypter bringen auch fr die Programmierer von komplexer Schadsoftware grosse Vorteile. Sie knnen ihr Produkt stndig weiterentwickeln und verbessern und mssen sich nicht mehr verndern, falls eine Antivirensoftware ihre Definitionen im System gespeichert hat.

und einem sicheren System zu finden.

Je

frher man diese

Bedrohungen erkennt, umso besser kann man darauf reagie-

T
Mglicher Lsungsansatz: Whitelist anstatt Blacklist
Die Lsung ist einfach, knnte man jetzt sagen. Anstatt alle schdliche Software zu verbieten, knnte man nur die <gute> Software zulassen. Das ist nicht einfach, aber durchaus machbar. Ein, fr viele zu restriktives Beispiel, dafr wre der App Store auf iOS Gerten von Apple, Man berprft alle Applikationen nach entsprechenden Richtlinien und lsst nur die zu, welche diesen Richtlinien entsprechen. Viren hlt man sich so

Staatsanwaltschaft Basel-Stadt
Kay Stutz

IT-Ermittlungen
Tel: +4r 61 267 7j 48

kastutz@stawa.bs.ch

SCHWETZBR KRIMINALISTIKJOURNAL

T5 _ DEZEMBER

2O11