Was ist polymorphe Malware?

Eine der größten Herausforderungen für Malware-Entwickler ist die Entwicklung von Dateien, die von gängigen Antiviren-Engines nicht erkannt werden.

Antivirenprodukte verfügen über Datenbanken mit zuvor entdeckten Malware-Signaturen. Wenn eine Datei als Übereinstimmung gefunden wird, wird sie gelöscht, bevor sie Schaden anrichten kann.

Eine beliebte Lösung für dieses Problem ist Polymorphismus, bei dem kleine Änderungen an Malware-Dateien vorgenommen werden, um eine Erkennung zu vermeiden.

Was genau ist polymorphe Malware und wie können Sie Ihren Computer davor schützen? Werfen wir einen Blick.

Was ist Polymorphismus?

Der Begriff "Polymorphismus" wurde ursprünglich in der Biologie eingeführt. Es wird als der Zustand definiert, der in mehreren verschiedenen Formen auftritt.

Es ist heute ein wichtiges Konzept in der Informatik. Wann in der Programmierung verwendet, bedeutet dies die Bereitstellung einer einzigen Schnittstelle für mehrere verschiedene Typen.

Was ist polymorphe Malware?

Polymorphe Malware verwendet das Konzept des Polymorphismus nicht aus Gründen der Effizienz, sondern um der Erkennung zu entgehen.

Die Idee hinter polymorpher Malware ist, dass, wenn ein bestimmter Malware-Stamm für bestimmte Eigenschaften bekannt ist, neue Versionen dieser Malware die Erkennung vermeiden können, wenn geringfügige Änderungen vorgenommen werden.

Dadurch können endlose Malware-Dateien, die alle dieselbe Funktion erfüllen, so eindeutig erscheinen, dass sie nicht als Malware erkannt werden.

Polymorphe Malware ist kein neues Konzept. Es soll in den 1980er Jahren erfunden worden sein. Trotzdem wird es heute stark genutzt – und die meisten Malware-Stämme weisen ein polymorphes Verhalten auf.

Der Grund für seine anhaltende Popularität ist einfach: Es bleibt effektiv, obwohl sich der Schutz vor Malware verbessert hat. Solange Antivirensoftware weiterhin Malware anhand von Signaturen erkennt, wird Polymorphismus als Tarnung verwendet.

Es ist auch nicht auf eine bestimmte Art von Malware beschränkt. Polymorpher Code wurde in Trojanern, Rootkits, Ransomware und Keyloggern gefunden.

Wie funktioniert polymorphe Malware?

Polymorpher Code wird normalerweise verwendet, um Malware zu erzeugen, die viel schneller mutiert, als Antiviren-Engines sie identifizieren können. Einige der schnellsten Beispiele ändern sich alle 15-20 Sekunden.

Das bedeutet, dass es egal ist, wie viele Antiviren-Engines eine bestimmte Datei aufzeichnen. Wenn sie mit der Blockierung beginnen, werden neue Beispiele derselben Datei nicht mehr gekennzeichnet.

Während normale Malware gelöscht oder in Quarantäne verschoben würde, darf stattdessen polymorphe Malware ausgeführt werden.

Wenn die Person, die den infizierten Computer verwendet, die Anzeichen einer Malware-Infektion nicht erkennt, wird die Malware auf unbestimmte Zeit ausgeführt.

Die Begriffe polymorphe und metamorphe Malware werden oft synonym verwendet. Dies liegt daran, dass beide Mutationen verwenden, um eine Erkennung durch signaturbasiertes Antivirus zu vermeiden.

Es gibt jedoch einen wichtigen Unterschied zwischen den beiden. Während polymorphe Malware jedes Mal, wenn sie kopiert wird, einen Teil ihres Codes ändert, ändert metamorphe Malware ihren gesamten Code. Dies macht metaphorische Malware deutlich effektiver.

Der Haken daran ist, dass es auch wesentlich schwieriger zu erstellen ist, da es auf so viele verschiedene Transformationstechniken angewiesen ist.

Wer wird von polymorpher Malware angegriffen?

Die ausgefeiltesten Hacking-Versuche sind in der Regel Unternehmen und anderen hochwertigen Zielen vorbehalten.

Polymorphe Malware ist schwieriger zu entwickeln als herkömmliche Malware, aber dennoch kostengünstig in der Einführung. Dies bedeutet, dass Unternehmen zwar besonders besorgt sein sollten, jedoch polymorphe Malware verwendet wird, um alle Computerbenutzer anzugreifen.

Was macht polymorphe Malware?

Polymorpher Code wurde in allen Arten von Malware gefunden. Dies bedeutet, dass es verwendet werden kann für:

• Ransomware, die Ihre Dateien verschlüsselt und für deren Rückgabe eine Lösegeldzahlung verlangt.
• Keylogger, die Ihre Tastenanschläge aufzeichnen, um Ihre Passwörter zu stehlen.
• Rootkits, die Fernzugriff auf Ihren Computer ermöglichen.
• Browsermanipulation, die Ihren Browser auf bösartige Websites umleitet.
• Adware, die Ihren Computer verlangsamt und für fragwürdige Produkte wirbt.

So schützen Sie sich vor polymorpher Malware

Polymorphe Malware ist deutlich besser darin, die Erkennung von Virenschutzprogrammen zu vermeiden. Trotz dieser Tatsache, viele Antivirus-Produkte erkennen sie immer noch – und selbst wenn sie es nicht tun, gibt es andere Möglichkeiten, sich davor zu schützen. Nachfolgend einige Beispiele.

Heuristisches Antivirus verwenden

Heuristischer Antivirus verwendet Signaturen, um Malware zu erkennen, aber anstatt nach Dateien zu suchen, die mit bekannten Malware-Beispielen übereinstimmen, sucht es nach Dateien, die ähnliche Komponenten wie bekannte Malware aufweisen. Dadurch kann es Malware-Dateien auch nach erheblichen Änderungen an deren Struktur erkennen.

Behavioral Antivirus verwenden

Einige Antivirenprodukte, aber nicht alle, überwachen Ihren Computer und identifizieren Malware, indem Sie beobachten, wie sich Programme verhalten. Wenn beispielsweise ein Programm mit der Aufzeichnung Ihrer Tastenanschläge beginnt, handelt es sich wahrscheinlich um einen Keylogger, unabhängig davon, ob es eine bekannte Malware-Signatur hat oder nicht. Diese Art von Antivirus erkennt normalerweise polymorphe Malware.

Halten Sie Ihre Software auf dem neuesten Stand

Viele Arten von Malware wurden entwickelt, um bekannte Schwachstellen in beliebten Softwareprodukten auszunutzen. Diese Schwachstellen können durch regelmäßige Software-Updates aus den Programmen auf Ihrem Computer entfernt werden. Das bedeutet, dass polymorphe Malware auf Ihrem Computer nicht so viel Schaden anrichten kann.

Malware selbst erkennen

Unabhängig davon, wie Malware entwickelt wird, führt dies häufig dazu, dass sich Ihr Computer auf bestimmte Weise verhält. Zum Beispiel könnten Sie Folgendes bemerken:

• Ihr Computer ist merklich langsamer.
• Sie sehen einen plötzlichen Anstieg der Werbung.
• Ihr Browser beginnt, Sie zu Seiten zu leiten, die Sie nicht angefordert haben.
• Ihr Computer beginnt mit der Anzeige ungewöhnlicher Meldungen.

Wenn Sie feststellen, dass eines dieser Dinge auf Ihrem Computer passiert, sollten Sie Malware vermuten und Schritte unternehmen, um es zu entfernen.

Verantwortungsvoller Umgang mit dem Internet

Alle Malware, einschließlich polymorpher Malware, infiziert einen Computer nur, wenn die Person, die diesen Computer verwendet, etwas falsch macht. Wenn Sie sich über polymorphe Malware Sorgen machen, können Sie dies am einfachsten verhindern, indem Sie darauf achten, welche Websites Sie besuchen, welche E-Mail-Anhänge Sie öffnen und welche Dateien Sie herunterladen.

Ist polymorphe Malware ein Problem?

Polymorphe Malware ist eine ständige Bedrohung der Cybersicherheit. Auch wenn es nichts Neues daran ist, bleibt es eine beliebte Anti-Erkennungstechnik. Dies wird sich auch wahrscheinlich nicht ändern, vorausgesetzt, die AV-Software verwendet weiterhin die signaturbasierte Erkennung.

Der einfachste Weg, sich vor polymorpher Malware zu schützen, besteht darin, eine verhaltensbasierte Antivirensoftware zu verwenden und das Internet verantwortungsbewusst zu nutzen, um das Herunterladen dieser Software von vornherein zu verhindern.

Was ist Malware und wie funktioniert sie?

Malware ist weit verbreitet. Erfahren Sie, wie es funktioniert und wie Sie einer Ansteckung vorbeugen können.

Weiter lesen

Über den Autor