C
Skippy schrieb:
prinizpbedingt kann eine Antivieren Software dein System komplett vom Übeltäter befreien. Es gibt halt nunmal nur zwei möglichkeiten ein System zu "infiltrieren" entweder in guter alter Assembler-manier an irgend nem Programm hinten dran hängen und ein paar kleinen Header veränderungen. einziges problem beim entfernen der Schädlinge es kann passieren das die infizierte datei unbrauchbar wird z.b. aufgrund von checksummenfehler. Aber das wichtigste der Schadcode wurde entfernt
Die zweite heut weitaus gebräuchlichere Methode ist verwendung von Bereitgestellten Schnittstellen sei es Pluginsysteme, APIs, Hooks, Registry usw.
Die Welt wäre so einfach, wenn es nur diese Methoden gäbe und diese so leicht zu identifizieren sind.
Das fängt schon bei einfachen Viren an: Wenn der Virenscanner auf dem infizierten System läuft, liefert keine Library-Funktion mehr vertrauenswürdige Daten. Bei komplizierteren Viren sind sogar zahlreiche API-Funktionen "gefiltert". Auf ein "Entfernen" darf man sich hier gar keine Hoffnungen machen, in solchen Fällen ist es bereits schwierig genug, die Kompromittierung im ersten Schritt zu entdecken. Das könnte etwa durch Inkonsistenzen zwischen unterschiedlichen API-Aufrufen geschehen, verursacht durch Unachtsamkeit des Virenprogrammierers. Prüfsummen kann man natürlich vergessen, wenn readfile u.ä. gefiltert werden, was bestimmt einer ersten Schritte eines Virus ist.
Den springenden Punkt hat aber Fincki gerade erwähnt:
Heutige Viren laden andere Programme nach. Ein Virus installiert z.B. im Hintergrund einen ganz normalen ssh-Server. So etwas kann ein Virenscanner gar nicht als Virus melden, wenn er nicht ständig false positives erzeugen will. Trotzdem fällt so ein ungewollter ssh-Server wohl eindeutig unter "Backdoor".
