Start Empfohlen DensityScout erschnüffelt Malware in komprimierten Dateien

DensityScout erschnüffelt Malware in komprimierten Dateien

64
0


Sie glauben, dass Ihr PC mit etwas Gefährlichem infiziert ist, aber Ihr reguläres Antivirenpaket hat keine Warnungen ausgelöst. So was nun?

Dies ist eine Frage, die wir hier ziemlich oft behandeln. Erst letzte Woche haben wir über die neueste Version von Mandiant Redline berichtet, die die ausführbaren Dateien Ihres Systems scannt und diejenigen hervorhebt, die am wahrscheinlichsten Malware sind. Nun hat sich CERT (Computer Emergency Response Team) Austria einen weiteren kleinen Beitrag einfallen lassen in DichteScout; Es ist nichts für PC-Neulinge, aber wenn Sie ein erfahrener Computerbenutzer sind, können Sie das Programm in der Tat sehr hilfreich finden.

Was DensityScout im Wesentlichen versucht, ist, Dateien in einem bestimmten Ordnerpfad zu identifizieren, die gepackt wurden. Dies ist eine Technik, die häufig von Malware verwendet wird, um ihren Inhalt zu verschleiern oder zu verschlüsseln, wodurch es für normale Scanner schwieriger wird, die Bedrohung zu identifizieren (obwohl sie auch von vielen legitimen Programmen verwendet wird, daher müssen Sie bei der Interpretation der Ergebnisse vorsichtig sein).

Und das Programm verwendet eine einfache mathematische Idee, um dies herauszufinden. Standardmäßig entpackte ausführbare Dateien weisen eine ungleichmäßige Verteilung von Bytes auf; das heißt, einige Bytemuster treten aufgrund von Strukturen in der Datei häufiger auf als andere. Aber der Packprozess bedeutet, dass Sie eine viel gleichmäßigere Verteilung der Byte-Nutzung in der Datei haben, also durch die Berechnung und Auswertung der Dichte einer Datei (die nach Angaben des Autors der Entropie ähnelt, obwohl wir noch auf die genauen Details warten .) ), können Sie mögliche Malware leichter finden.

Was bedeutet das? Der Autor empfiehlt, das Programm mit einer Zeile wie dieser zu starten:

densityscout -s cpl,exe,dll,ocx,sys,scr -p 0.1 -o results.txt c:WindowsSystem32

(Lesen Sie unbedingt seine SANS-Blogpost auf DensityScout für die vollständigen Details.)

Das bedeutet im Wesentlichen, dass Sie alle ausführbaren Dateien im Windows System32-Ordner scannen und die Daten in der results.txt speichern. Diese Ergebnisse werden dann in eine Reihenfolge gebracht, wobei die niedrigsten und die verdächtigsten Werte ganz oben stehen. Was auf unserem Test-Windows 7-System so begann:

(0.02417) | c:WindowsSystem32FlashPlayerInstaller.exe
(0,16460) | c:WindowsSystem32DivX.dll
(0.22350) | c:WindowsSystem32iglhsip32.dll
(0,28759) | c:WindowsSystem32AuthFWGP.dll

Das ist gar nicht schlimm. Das Programm hat sofort einige Nicht-Systemdateien im Ordner WindowsSystem32 hervorgehoben (und es gab weitere Beispiele weiter unten in der Liste).

Aber es veranschaulicht auch das Problem mit DensityScout: Auch legitime Dateien können gepackt sein, daher müssen Sie diese Ergebnisse mit Vorsicht interpretieren. Und Sie können sicherlich nicht ein ganzes System scannen und brauchbare Ergebnisse erwarten (wenigstens dauert es zu lange; das Programm muss jedes Byte in den gescannten Dateitypen zählen, ist also nicht zu schnell).

Trotzdem waren wir beeindruckt von DensityScouts Möglichkeit, gepackte Dateien in unseren Windows-Ordnern hervorzuheben. Und sie sind ein häufiger Zielbereich für Malware. Selbst wenn Sie das Programm nie für etwas anderes verwenden, kann die Möglichkeit, diese Speicherorte zu überprüfen, sehr nützlich sein. Stellen Sie nur sicher, dass Sie alle Dateien, die es auslöst, sehr sorgfältig recherchieren, denn gepackt zu sein bedeutet nicht unbedingt, dass ein Programm böswillige Absichten hat.

Bildnachweis: Infografik/Shutterstock



Vorheriger ArtikelDer Markt für Sicherheitssoftware wächst stetig, da Bedrohungen explodieren
Nächster ArtikelWelches Timing, avast! Free Antivirus for Mac beendet Beta, da Sicherheitsbedenken bei OS X eskalieren

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein