Virenscanner erkennen Angriff auf hosts-Datei nicht

Alex Eckelberry berichtet in einem Blog der Firma Sunbelt Software über einen von ihm programmierten Trojaner, der eine Veränderung an der hosts-Datei vornimmt. Einige bekannte Virenschutzprogramme konnten den Trojaner bei einem Versuch nicht als Schadprogramm entdecken und unschädlich machen.

Mit Hilfe eines solchen Programms ist es möglich, die Zuordnung einer Internet-Adresse zu einer bestimmten IP-Nummer zu verändern. Der Nutzer gibt ganz normal in der Adressezeile seines Browsers die Adresse seiner Bank ein. Statt auf der Seite der Bank zu landen, wird er auf eine gefälschte Website gelenkt.

Der Autor hat seinen Trojaner bei virustotal.com von mehreren Antivirenprogrammen testen lassen. Dabei wurde das Programm von einigen Schutzprogrammen als Schadsoftware erkannt. Einige der bekannten Virenschutzprogrammen meldeten jedoch lediglich: " No virus found".

Mit darunter war z.B. die sehr verbreiteten Produkte von Symantec, McAfee und Sophos. Bei den Produkten von Kaspersky und AntiVir verlief die Suche hingegen erfolgreich.

Den komplett bebilderten und mit einem Video dokumentierten Angriff finden sie unter:

http://sunbeltblog.blogspot.com/2006/01/anatomy-of-malicious-host-file-hijack.html 

Arbeitsgruppe Identitätsschutz im Internet e.V.

Schreibe einen Kommentar