Was sind polymorphe Viren?
Erkennung und Best Practices

alejandro.villavicencio - Januar 17, 2023

Was sind Polymorphe Viren?

Polymorphe Viren, die manchmal auch als metamorphe Viren bezeichnet werden, sind eine Art von Malware, die ihre Erscheinung oder Signaturdateien durch neue Entschlüsselungsroutinen immer wieder verändert bzw mutiert. Dadurch können herkömmliche Cybersicherheitstools wie Viren- und Malware-Schutzlösungen, die signaturbasierte Erkennungen verwenden, die Bedrohung nicht erkennen und blockieren.

EXPERTEN-TIPP

Wie können sich polymorphe Viren weiterentwickeln?

Änderung von Dateinamen | Komprimierung | Verschlüsselung

Wie oft entwickeln sich polymorphe Viren weiter?

Etwa alle 10 Minuten

Wie häufig kommen polymorphe Viren vor?

Fast alle Malware-Angriffe nutzen in irgendeiner Form polymorphe Techniken

Wie Läuft ein Angriff mit Polymorphen Viren ab?

Polymorphe Angriffe laufen in der Regel nach dem folgenden Schema ab:

  1. Die Cyberkriminellen verbergen den schädlichen Code durch Verschlüsselung und umgehen damit die meisten herkömmlichen Sicherheitstools.
  2. Das Virus wird auf einem Endgerät installiert und die infizierte Datei wird heruntergeladen und entschlüsselt.
  3. Danach erstellt ein Mutationsmodul eine neue Entschlüsselungsroutine, die mit dem Virus verbunden ist, sodass es wie eine andere Datei aussieht und somit von Sicherheitstools nicht erkannt wird – selbst wenn eine frühere Version des Virus erkannt und auf eine Blockierliste gesetzt wurde.

Polymorphe Viren verändern zwar Namen, Größe und Speicherort ihrer Dateien, doch Funktion, Vorgehensweise und Ziel der Malware bleiben gleich. So wird sich beispielsweise ein Trojaner mit polymorphen Eigenschaften immer wie ein Trojaner verhalten, auch wenn sich die Dateisignatur ändert.

Beispiele für polymorphe Viren

Polymorphe Viren tauchten das erste Mal in den 1990ern im Rahmen eines Forschungsprogramms auf, das die Grenzen bestehender Virenschutzscanner aufzeigen sollte. Das allererste polymorphe Virus mit dem Namen „1260“ (bzw. „V2PX“) sollte Internetnutzern als Warnung dienen, hat jedoch unabsichtlich zu einer Welle an Kriminalität geführt, bei der die Fähigkeiten des Virus ausgenutzt wurden. In den darauf folgenden Jahrzehnten entstanden zahllose polymorphe Viren. Heute wird bei nahezu jeder Malware-Infektion eine Form des Polymorphismus genutzt.

Dies sind einige der bekanntesten Beispiele für polymorphe Viren und Malware:

  1. The Storm Worm: The Storm Worm ist ein mehrschichtiger Angriff, bei dem Benutzer mittels Social-Engineering-Techniken dazu gebracht wurden, einen Trojaner herunterzuladen, der dann den Rechner infizierte und das betroffene System in einen Bot verwandelte. Bei der Kampagne wurden über 1 Million Endgeräte infiziert und die Internetverbindung hunderttausender Benutzer gestört.
  2. VirLock: VirLock gilt als erstes Beispiel einer polymorphen Ransomware und verbreitete sich über gemeinsam genutzte Anwendungen und Cloud-Speicher. Sie verhielt sich wie eine typische Ransomware und sperrte den Zugriff auf die Dateien des betroffenen Endgeräts, bis das Opfer ein Lösegeld zahlte.
  3. Beebone: Beebone ist eine hochentwickelte polymorphe Malware und übernahm tausende von Rechnern weltweit, um daraus ein Botnet zu bilden, das Bankgeschäfte mithilfe von Ransomware und Spyware stören sollte.

Obwohl der Begriff „polymorphe Viren“ in der Cybersicherheitswelt weit verbreitet ist, handelt es sich nicht bei allen polymorphen Angriffen auch um Viren. Bei einigen werden andere Malware-Typen (z. B. Trojaner, Keylogger, Bots, Spyware und Ransomware) verwendet, die mit einem Mutationsmodul ausgestattet sind. Streng genommen nutzen diese Angriffe polymorphe Malware oder metamorphe Malware.

Wie können Sie polymorphe Viren erkennen?

Polymorphe Viren – und alle Arten von Malware, die polymorphe Techniken enthalten – können wegen ihrer hochentwickelten Mutationsfähigkeit mit herkömmlichen Erkennungsmethoden nur schwer erkannt werden.

Einfach ausgedrückt suchen herkömmliche Viren- und Malware-Schutzprogramme nach Signaturen oder Heuristik, also Code-Sequenzen in einer Datei. Wird eine Bedrohung neu verschlüsselt, können diese Tools sie nicht mehr erkennen. Dies gilt selbst dann, wenn ein anderes Endgerät im selben Netzwerk bereits mit einem polymorphen Virus infiziert und das Virus in der Blockierliste erfasst wurde.

Um polymorphe Viren zu erkennen, müssen Unternehmen hochentwickelte Cybersicherheitstools einsetzen, die signaturlosen Malware-Schutz bieten.

Signaturloser Malware-Schutz bestimmt anhand von Machine Learning-Algorithmen (ML), mit welcher Wahrscheinlichkeit eine Datei schädlich ist. Dies erfolgt durch die Analyse des Kontexts und die Extrahierung sogenannter „Features“ der analysierten Dateien. Dabei handelt es sich um allgemeine Merkmale, die die Struktur der Datei in Zahlen ausdrücken. Das ML-Modell kann zum Beispiel nach der Menge an Zufällen in verschiedenen Bereichen der Datei sowie nach Bildern, Symbolen und Vorlagen für die Benutzeroberfläche oder String-Tabellen suchen. Zudem kann das Tool den Code auf numerische Weise zerlegen und darstellen, damit dieser in einen ML-Klassifizierer eingespeist werden kann.

Den effektivsten Schutz vor polymorphen Viren bietet die Implementierung einer robusten Virenschutz der nächsten Generation (NGAV), die Schutz sowohl vor bekannten als auch vor unbekannten Bedrohungen (z. B. dateilose und signaturlose Angriffe) bietet, malwarelose Angriffe abwehrt und sich in Bedrohungsanalyse-Tools integrieren lässt.

Weitere Informationen finden Sie in unserem Artikel Was ist Virenschutz der nächsten Generation (NGAV)?

Best Practices zur Abwehr polymorpher Viren

Die meisten Angriffe mit polymorphen Viren beginnen mit der Kompromittierung von Benutzern. Deshalb ist es wichtig, dass alle Internetnutzer auf Angriffsindikatoren achten und sich verantwortungsbewusst verhalten.

Folgende Tipps können dabei helfen:

  • Installieren Sie vertrauenswürdigen Virenschutz der nächsten Generation, vorzugsweise eine cloudnative Sicherheitslösung, und aktualisieren Sie sie regelmäßig.
  • Halten Sie Ihre Betriebssysteme und Anwendungen immer auf dem neuesten Stand.
  • Verwenden Sie einen Popup-Blocker und klicken Sie nicht auf Popup-Werbung.
  • Öffnen Sie niemals unaufgefordert zugesendete oder verdächtige E-Mail-Anhänge von nicht verifizierten Absendern.
  • Nutzen Sie niemals ungesicherte WLAN-Verbindungen.
  • Rufen Sie nur Links auf, deren URLs mit HTTPS beginnen.
  • Seien Sie vorsichtig bei kostenloser Software und lesen Sie sorgfältig die Nutzungsbedingungen.
  • Richten Sie auf Ihrem Smartphone einen Sperrbildschirm ein.
  • Nutzen Sie auf allen Geräten starke Kennwörter.
  • Aktivieren Sie Multifaktor-Authentifizierung für alle Geräte und Anwendungen.
  • Überprüfen Sie sorgfältig die erteilten Berechtigungen bei der Installation von Anwendungen.
  • Seien Sie vorsichtig, wenn Sie Cookies auf Webseiten zustimmen.

Tauschen Sie Ihre veraltete Virenschutzlösung aus

CrowdStrike Falcon® Prevent™ ist der neue Standard für Prävention und erstklassigen Schutz vor Malware, Exploits, malwarelosen Eindringungen und hochentwickelten hartnäckigen Bedrohungen. Unternehmen erhalten einen bisher unübertroffenen Überblick über Angriffsversuche. Der leicht verständliche Prozessbaum liefert die notwendigen Details und Kontextinformationen, damit Sie genau nachvollziehen können, was auf dem Endgerät vor sich geht und wie Sie effektiv handeln können.

CrowdStrike Falcon® Prevent bietet hochmodernen Schutz:

  • Machine Learning und künstliche Intelligenz erkennen bekannte und unbekannte Malware sowie Ransomware.
  • Verhaltensbasierte Angriffsindikatoren (IOAs) verhindern komplexe datei- und malwarelose Angriffe wie Ransomware.
  • Exploit-Blockierung stoppt die Ausführung und Verbreitung von Ransomware über nicht gepatchte Schwachstellen.
  • Die Erkennung und Isolierung bei Schreibzugriffen stoppt und isoliert schädliche Dateien, wenn sie zum ersten Mal auf einem Host gefunden werden.
  • Branchenführende Bedrohungsanalysen sind in die CrowdStrike Security Cloud integriert, um schädliche Aktivitäten aktiv zu blockieren.
  • Automatisierte IOA-Behebung entfernt bekannte Artefakte blockierter schädlicher Aktivitäten.

Im Video unten erfahren Sie, wie die NGAV-Lösung von CrowdStrike hervorragenden Schutz gewährleistet und Sicherheitsverletzungen verhindert:

 

INFORMATIONEN ZUM AUTOR