How Cybercriminals Try to Combat & Bypass Antivirus Protection

For at inficere en computer med ondsindet software skal cyberkriminelle enten:

• Lokke brugeren til at åbne en inficeret fil eller
• Forsøge at trænge ind i ofrets computer – via en sårbarhed i operativsystemet eller en programsoftware, der kører på maskinen

Samtidig forsøger de mere professionelle cyberkriminelle at få deres malware til at undvige antivirussoftware, der kører på ofrets computer.

Teknikker, der anvendes til at bekæmpe antivirussoftware

For at øge sandsynligheden for at nå deres mål, har de cyberkriminelle udviklet en række teknikker til at bekæmpe aktiviteter i antivirussoftware, herunder:

• Kodepakning og -kryptering
  De fleste orme og trojanske vira pakkes og krypteres. Hackere udvikler også specielle hjælpeprogrammer til pakning og kryptering. Alle internetfiler, som er blevet bearbejdet vha. CryptExe, Exeref, PolyCrypt og nogle andre hjælpeværktøjer, har vist sig at være ondsindede.
  
  For at detektere pakkede og krypterede orme og trojanere skal antivirusprogrammet enten tilføje nye udpaknings- og afkodningsmetoder eller tilføje nye signaturer for hvert eksempel på et ondsindet program.
• Kodemutation
  Ved at blande kode- og "spam"-instruktioner fra en trojansk virus – så koden får et andet udseende, selv om trojaneren bevarer sin oprindelige funktion – forsøger cyberkriminelle at forklæde deres ondsindede software. Nogle gange forekommer kodemutation i realtid – i alle, eller næsten alle, tilfælde, hvor trojaneren downloades fra et inficeret websted. Warezov-mailormen benyttede denne teknik og forårsagede nogle alvorlige epidemier.
• Stealth-teknikker
  Rootkit-teknologier – som generelt anvendes af trojanske vira – kan opsnappe og erstatte systemers funktioner og gøre den inficerede fil usynlig for operativsystemet og antivirusprogrammer. Undertiden er selv registreringsdatabaserne – hvor trojaneren er registreret – og andre systemfiler skjulte. HacDef-bagdørstrojaneren er et eksempel på ondsindet kode, som benytter disse teknikker.
• Blokering af antivirusprogrammer og antivirusdatabaseopdateringer
  Mange trojanske vira og netværksorme søger aktivt efter antivirusprogrammer på listen over aktive programmer på ofrets computer. Malwaren forsøger derefter at:
  • Blokere for antivirussoftwaren
  • Ødelægge antivirusdatabaserne
  • Forhindre antivirussoftwarens opdateringsprocesser i at fungere korrekt
  For at bekæmpe malwaren skal antivirusprogrammet forsvare sig ved at kontrollere integriteten af dets databaser og skjule dets processer fra trojaneren.
• Maskering af koden på et websted
  Antivirusfirmaer finder hurtigt ud af, hvilke webstedsadresser, der indeholder trojanske virusfiler – og deres virusanalytikere kan derefter undersøge indholdet af disse websteder og føje den nye malware til deres databaser. Men i forsøget på at bekæmpe antivirusscanning kan et websted ændres – dvs. når anmodningerne sendes af et antivirusfirma, downloades en ikke-trojansk fil i stedet for en trojaner.
• "Storoffensiv"
  I en storoffensiv udsendes et stort antal nye versioner af trojanere på internettet inden for et meget kort tidsrum. Det betyder, at antivirusfirmaer modtager et enormt antal nye eksempler til analyse. Den cyberkriminelle håber derved, at den tid, der bruges på at analysere hvert eksempel, giver vedkommendes ondsindede kode en chance for at trænge ind på brugernes computere.