• Testversionen & Downloads
  • Privatanwender-/Home Office-Produkte
  • Produkte für Unternehmen aller Größenordnungen
  • Malware Cleaner
  • Installer
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Über Norman
  • Vision und Werte
  • Management Team
  • Unsere Technologie
  • Auszeichnungen und Zertifizierungen
  • Kunden-Fallstudien
  • Pressezentrum
  • Veranstaltungen
  • Offene Stellen
  • Mailing-Listen
  • Kontakt

Sicherheits-Center

Malware in Anwendungen – ein spezielles Problem

2009-08-28 [Betrachtung zu Malware, Trends & Prognosen, Verbreitungsmechanismen]

   Week 16, 2009

Einführung

Vor Kurzem hat in unserem Sicherheitsblog Snorre Fagerland, Senior Virus Analyst bei Norman, über die Malware W32/Induc.A geschrieben. Es handelt sich dabei um einen Virus, der die Programmiersprache Delphi infiziert. Anwendungen, die in einer infizierten Delphi-Umgebung erstellt wurden, sind folglich auch selbst infiziert. Dies hat, wie wir sehen werden, interessante Auswirkungen.

Berichtete Infektionen

Norman erhielt vor Kurzem mehrere Berichte über Dateien, die mit der Induc.A-Malware infiziert sind.

Delphi ist eine beliebte Programmiersprache, und man kann davon ausgehen, dass eine ganze Reihe benutzerdefinierter (und geschäftlicher) Anwendungen in Umlauf sind. Wenn ein Unternehmen eine Anwendung von seinem Händler erhält oder ein Computerprogramm von einem vertrauenswürdigen Partner erwirbt, ist das Sicherheitsbewusstsein oft geringer, als wenn ein Programm in einer nicht angeforderten E-Mail eingeht oder aus dem Internet heruntergeladen wird.

In diesem besonderen Fall stellt dies ganz offensichtlich eine Gefahr dar.

Eine interessante und beunruhigende Beobachtung

Ein weitaus faszinierenderer Effekt dieser speziellen Malware hat mit sogenannten „falsch-positiven Meldungen“ zu tun. Dieses Thema wurde bereits in früheren Sicherheitsartikeln besprochen, z. B. im Artikel Ein Sicherheitsproblem? Oh, war doch keines! aus diesem Jahr.

Mehrere Kunden haben uns Dateien geschickt, die mit Induc.A infiziert waren, und haben diese als falsch-positiv bezeichnet. Dies bekräftigt die oben gemachte Aussage: Programme, die aus „vertrauenswürdigen Quellen“ stammen, werden vom Empfänger von vornherein als sicher eingestuft. Und wenn eine Sicherheitsanwendung diese Programme als infiziert einstuft, dann wird das Sicherheitsprogramm als fehlerhaft angesehen.

Dies ist natürlich nicht nur eine irreführende Annahme. Für die Anbieter von Sicherheitssoftware ist es geradezu widersinnig, dass falsch-positive Meldungen so häufig geworden sind, und dass sogar infizierte Dateien als solche deklariert werden.

Es ist mehr zu erwarten

Glücklicherweise ist Induc.A keine gefährliche Malware, da sie keine Schadfunktion beinhaltet.

Angesichts des „Erfolgs“ dieser Malware in Bezug auf Verbreitung und gelungene Infektionen kann man aber davon ausgehen, dass andere Malware-Programmierer bald dieselbe Technik einsetzen werden. Neue Malware, die diesen Verbreitungsvektor nutzt, kann dann weitaus gefährlicher sein.

• Impressum
• Datenschutzrichtlinie
• Lizenzvereinbarung
• AGB
• Marken
• Site-Übersicht
• Kontakt

© Norman ASA