Spyware entwickelt sich weiter – simple Techniken, die
mal funktioniert haben, sind das Abändern von Namen an Dateianhängen
und Platzierung, so dass es wie ein normaler Systemprozess aussieht (z.B. cwindowssystem32svc
host.exe).
Im letzten Jahr benutzten kreativere Arten von Spyware die folgenden Techniken,
um der Aufdeckung und Entfernung zu entgehen: .dll (dynamic-link library)
• Einfügung, Verschlüsselung und Eigentumsverschlüsselungsalgorithmen,
die sich selbst als Ableger oder Threats in Grundprozesse des Systems eingeben.
Zum Beispiel führen diese .dll-Einfügungen einen Anhang mit sich,
der eine .dll-Datei in einen laufenden Prozess einfügt. Dieser legt seinen
Code in der Memory ab und ermöglicht dem Anhang, bestimmte Funktionen auszuführen;
dies kann beispielsweise erreicht werden, indem die Windows API’s benutzt
werden.
• Eine andere Technik, die Spyware praktiziert, ist das Verändern
von Registry Einträgen bei Grundausführungen des Systems, was Windows
dazu bringt, fälschlicherweise zu glauben, dass die Spyware benötigt
wird, um Basisausführungen laufen zu lassen. Im Wesentlichen erklärt
Windows die Spyware zu einer gültigen und notwendigen Datei und macht damit
die Entfernung schwierig. Zusätzlich ist Spyware jetzt in der Lage eine
Ausführung auf Ihrer Festplatte abzuändern und platziert seinen eigenen
bösartigen Code an den Beginn einer Datei, so dass der bösartige Code
vor dem normalen Code der Ausführung läuft.
In letzter Zeit verschlüsselt die Mehrheit der Spyware
Entwickler Algorithmen oder Packer UPX, Aspack, FSG, oder ihre eigenen Besitzeralgorithmen,
die vorherige Entdeckungstechniken wirkungslos machen.
Spyware entwickelt sich weiter.
Die Top Spyware in diesem Quartal sind nicht nur die zahlenmäßig
weitverbreitetsten, sondern auch die komplexesten. Während der letzten
sechs Monate ist Spyware in seiner Komplexität angewachsen; der Gebrauch
von Packing und Verschlüsselungsalgorithmen ist jetzt sehr gebräuchlich.
Spyware, die auf Trojanercodes, Vireninstallationsprozeduren und polymorphischen
Routinen beruht, hat neue Aufdeckungs- und Entfernungsmethoden hervorgebracht,
um mit den Spywaresignaturen mithalten zu können
die folgenden Techniken,
um der Aufdeckung und Entfernung zu entgehen: .dll (dynamic-link library)
