Hacker schnüffeln Virtualisierung der Security-Firmen aus

Üblicherweise sind Antiviren-Labs mit Virtualisierung ausgestattet, um leichter Viren und Trojaner zu finden – die IT-Kriminellen drehen jetzt genau deshalb den Spieß um.

Sie haben einen Weg gefunden, Virenprogramme oder Trojaner-Code neben den zerstörerischen Eigenschaften auch mit einer Virtualisierungs-Erkennungstechnik auszustatten. Damit wollen sie die Technik der Virensucher aufspüren, bevor diese die Viren entdecken können.

Wie das SANS Institute Internet Storm Center (ISC) mitteilte, richtet sich die Aufmerksamkeit der Hacker dabei vor allem gegen Virtualisierung von VMware. Diese wird oft eingesetzt, um die Szenarien durchzuspielen, wie sich bestimmte Viren ausbreiten könnten, beispielsweise werden Viren gegen verschiedene Betriebssysteme getestet oder Schutzmechanismen ausprobiert. In den Laboratorien ist dies eine unverzichtbare Maßnahme, um die Gefährlichkeit eines bestimmten Virus zu bestimmen.

Letzthin stellten die Forscher aber eine zunehmende Anzahl von Viren fest, die gegen die VMware-Virtualisierung resistent schienen. Sie seien in der Lage, die in der Hardware und Software abgelegten und ausführbaren Funktionen zu erkennen, die für Prozesse in VMware typisch sind. Eine besondere Rolle spiele dabei die zentrale Virtual Machine, heißt es. Aber die ISC-Forscher Tom Liston und Ed Skoudis geben Rat, wie die neuste Masche der Kriminellen zu umgehen ist.