Kriminelle nutzen Google-Service, um Schadcode zu tarnen

3. September 2014, 12:24
18 Postings

Überprüfen mit Virustotal, ob ihre Malware von Antivirenprogrammen erkannt wird - Teilweise seit Jahren

Mit Virustotal hat Google einen für Computernutzer sehr nützlichen Dienst im Angebot: Wer sich bei einer Datei nicht sicher, ist, ob sie mit Malware infiziert ist, kann diese hochladen und von dem Service durchchecken lassen. Um eine möglichst hohe Treffsicherheit zu gewährleisten, wird dabei jede Datei durch die Engines mehrerer Antivirenhersteller gejagt.

Trickreich

Wie sich nun herausstellt, hat Virustotal aber auch Fans in einer Zielgruppe gefunden, die Google wohl kaum anvisieren wollte. So zeigt die Analyse eines Sicherheitsforschers, dass Malware-Autoren den Service aktiv nutzen, um ihre Schadsoftware vor Entdeckung zu schützen. Dabei wird die Malware einfach so lange verändert bis sie sämtliche Checks ohne Alarm durchlaufen hat.

Vertreter

Laut dem Bericht sollen auch professionelle agierende Gruppierungen wie die chinesischen Regierungshacker APT1 sowie die Akteure hinter der Phishing-Kampagne NetTraveler diesen Service nutzen. Dies zum Teil bereit seit dem Jahr 2009 - also noch vor der Übernahme von Virustotal durch Google, die 2012 erfolgte.

Analyse

Möglich wird diese Entdeckung dadurch, dass Virustotal zahlenden Kunden Zugriff auf Teile des vom Service generierte Datenmaterial gibt. Der Sicherheitsforscher konnte damit herausfinden, von wo wann welche Malware hochgeladen wurde, was in der Masse wiederum eine recht exakte Trennung zwischen "normalen" Opfern von Schadsoftware und Sicherheitsforschern bzw. Malware-Autoren zulässt. (red, derStandard.at, 3.9.2014)

  • Virustotal ist offenbar nicht nur für Betroffene von Schadsoftware nützlich.
    screenshot: derstandard.at

    Virustotal ist offenbar nicht nur für Betroffene von Schadsoftware nützlich.

Share if you care.