Bislang konnte F-Secure noch keine reellen Matousec-basierten Angriffe verzeichnen

F-Secure stuft Khobe nicht als "hoch" ein

(19.05.10) - Die mit dem Arbeitstitel bekannte Software "Kobe - 8.0 earthquake for Windows desktop security software" sorgt seit geraumer Zeit für Aufsehen in der Presse. Mit dieser Software haben tschechische Sicherheitsforscher von Matousec herausgefunden, wie Sicherheitsmechanis-men von nahezu allen aktuellen Antivirenprogrammen umgehen werden können.

Die Forscher setzen dabei die eigens entwickelte Software Khobe (Kernel HOok Bypassing Engine) ein. Mittels sogenannten "Hooks" integriert sich Khobe dabei in den Kernel des Systems und macht die Sicherheitslösung unwirksam. Alles, was Khobe dazu verwendet, ist die SSDT (System Service Descriptor Table) auszutauschen, die jedoch von einem Großteil der Antivirensoftware benötigt wird. Damit kann - zumindest einer von vielen - Sicherheitsmechanismen ausgehebelt werden.

"Es handelt sich in der Tat um ein schwerwiegendes Problem und die technischen Befunde von Matousec sind soweit richtig. Aber diese Angriffsmöglichkeit hebelt nicht alle Antivirensysteme für immer aus. Weit gefehlt", sagt Mikko Hyppönen, Chief Research Officer, im F-Secure Weblog. "Erstens wird jegliche Malware, die unsere Antivirenlösung erkennt, auch nach wie vor geblockt. Das Problem betrifft also nur neue, unbekannte Malware, für die keine Signaturerkennung vorliegt. Um unsere Kunden vor unbekannter Malware zu schützen, haben wir mehrere Ebenen von Sicherheitssensoren und generische Engines zur Malware-Erkennung implementiert. Das, was Matousec beschreibt, kann nur einige wenige dieser Sensoren umgehen."

Bislang konnte das F-Secure Labs noch keine reellen Matousec-basierten Angriffe verzeichnen. (F-Secure: ma)