Unterschiede Sober A bis XY

Internet Internet Sicherheit
#1

Salü Zusammen

Heute stellt sich mir mal eine grundsätzliche Frage (inspiriert durch die immer wieder neuen Variationen von Sober).

Also wie sieht das genau aus? Worin unterscheiden sich die verschiedenen Sobervarianten programmiertechnisch gesehen? Verschiedene Hauptalgorithmen? Wenn ja, warum sind es dann doch Variationen von Sober und nicht „neue“ Viren? Wenn nein, müsste dann ein Virenscanner der Sober A erkannt hat auch Sober XY erkennen? Zur Präzision nochmals, mir geht es nicht um die verschiedenen Wirkungen von Sober sondern mich interessiert nur warum die aktuellen Viren Sober-Varianten sind und keine völlig neuen Viren.

Grüsse
Andrea

#2

[…]

müsste dann ein Virenscanner der Sober A erkannt hat auch
Sober XY erkennen?

Nein. Der Quellcode mag ähnlich oder fast ununterscheidbar sein, das kompilierte Programm mag ähnlich oder fast ununterscheidbar sein, sobald das Programm aber, wie beim Sober üblich, ins ‚portable executable‘-Format (PE) komprimiert wird (ein klein bisschen was ähnliches wie ein selbstenpackendes Archiv), reicht jede Änderung eines Bits im Original, um dem Ergebnis ein völlig anderes Aussehen zu verpassen.

'Ähhmm, warum entpackt der Virenscanner das Programm dann nicht, dann sieht er doch wieder, womit er’s zu tun hat?"

Weil er zu blöd dazu ist! Virenscanner können mit dem PE-Format nichts anfangen. Der gleiche Virus, zwei mal unter verschiedenen Bedingungen gepackt, wird daher notwendigerweise unter zwei versch. Varianten geführt.

Hierzu ein Auszug aus http://www.finjan.com/SecurityLab/KnowledgeCenter/Se…

Anti-virus vendors want you to think that they can protect you. They all claim to support various compression algorithms. This is only half-true. The compression types that anti-virus vendors support are not true executable compressors. Anti-virus vendors only handle archiving compression tools (e.g., WinZip) where the original compressed file is simply extracted to its original state and size before it is executed. These tools can be used to compress any file, not just executables. The fact that they may self-extract does not make them true PE (portable executable)-compressors. True PE-compressors actually change the executable itself and do not extract the original file to its previous state before the file executes. The only way that anti-virus vendors can detect a hostile executable compressed in such a manner is to add its signature into their virus definition database.

Gruss
Schorsch

#3

Super, danke schön
Salü Schorsch

Super Auskunft, danke schön.

Grüsse
Andrea