Anti-Viren Software zum Absturz bringen

Ich habe mir überlegt, dass ein Anti-Viren Programm ja alle Dateien durchsucht, weshalb ich mir überlegt habe, was denn wäre wenn es eine richtige Flood Erstellung von solchen Dateien geben würde, bzw. was dann mit dem Anti-Viren Programm passiert. Hier erzähle ich davon. Ein gutes Anti-Viren Programm durchforstet neben Ordnern auch erstellte Dateien, bzw, neue Dateien und dass kann von einem Angreifer ausgenutzt werden! Klar macht es Sinn, dass ein AntiViren Programm neu erstellte Dateien prüft, schliesslich konnte es sich ja um einen reproduzierenden Virus handeln, der immer wieder eine Kopie von sich erstellt. interressant ist dabei auch, dass auch andere Programme die Dateien überprüfen gefährdet sind. Aber auch ein Explorer oder Finder kann sich selber "aufhängen", wenn enorm viele Dateien erstellt und bewegt werden. Denn bei einer grossen Überlastung des CPUS, bzw. bei vielen Datei Bewegungen, hilft nicht mal mehr der CPU interne Cache und der RAM weiter, denn bei kleineren Überlastungen können Daten bevor sie geschrieben werden noch eine weile im RAM "verweilen".

 

Kann ich selber ein Anti-Viren Programm zum Absturz bringen?

Um den Versuch durchzuführen habe ich selber ein Programm geschrieben, dass immer wieder eine mehrere GB grosse Datei kopiert hat und ihr auch andere Namen gegeben hat. Denn wen die Kopie immer den gleichen Namen gehabt hätte wäre es für ein Anti-Viren Programm sehr leicht, zu erkennen, dass es sich um Spam handelt. Um zu schauen ob bei einem Download das auch passieren könnte, habe ich die EICAR Testvirus Datei mehrere viele Male heruntergeladen (in sehr kurzer Zeit).

Der Download-Test:

Zuerst ging es noch recht flott, als ich die Datei aber dann mittels einem Bot (ps: Habe den Testvirus auf meinem Homeserver gespeichert) immer wieder heruntergeladen habe, war bereits nach 1 Sekunde Schluss. Das Programm ist zwar in diesem Fall nicht abgestürzt, hat aber die heruntergeladenen Dateien nicht mehr einzeln erkannt und nach einer IF Abfrage, kam wohl das Resultat, dass es sich um eine Datei handelt und es nur ein Problem mit dem Log sei. Dies hat vielleicht auch deshalb so gut funktioniert, weil die Dateien kontinuierlich mit dem gleichen Namen, in den gleichen Ordner gelegt wurden. 

Nun zum eigentlichen Versuch:

Bis zu 8 Kopien von den je 4 GB grossen Dateien wurden erkannt, danach gab es einige Probleme. Das Anti-Viren Programm stürzte zwar nicht komplett ab, aber der Scanner-Prozess stürzte aufgrund des maximal Laufzeit und Reaktionszeit Tags ab, so kam es, dass nach den 8 Kopien einige Dateien nicht erkannt wurden. Zum Schluss kann ich dazu sagen, dass im Fall der Fälle auf jeden, Schadende hätte hineingeschmuggelt werden können. Neben den Problemen bei dem Anti-Viren Programm gab es natürlich Probleme mit anderen Programmen. So viel das Dateisystemübersichtstool aus und die Bildschirmaufnahme stockte. Ein weitere Problem war hierbei der RAM, denn das Anti-Viren Programm holte sich zwar immer wieder ein RAM Dump, doch das brachte auch nichts, denn weil der RAM so voll war, gab es sogar Probleme beim Auslesen des Dumps.

 

Wie gross ist die Gefahr

Die Gefahr ist gerade bei Servern nicht zu unterschätzen, da dort eine grosse Menge an Daten transportiert wird, auf jeden Fall sollte man die öffentlichen Ordner abkapseln, denn diese sind im Falle eines Angriffs sowieso nicht zu halten.

 

Wie man sich schützen kann

 

1.Halte auf deinem Server immer eine gewisse Reserve an Rechenleistung für den Fall der Fälle übrig.

2.Kapsle die öffentlichen Ordner ab.

3.Begrenze die Zahl an Uploads die ein Nutzer in einer Stunde machen darf.

 

Was tun wen es akut passiert?

Ich denke, es macht Sinn den RAM zu leeren und das Gerät neu zu starten.

 

Hier unten findest du eine Liste mit Viren die diese Methode nutzen:



KONTAKT

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.


Bloglinks.biz

Hey! Thats me!

Severin Kämpfer Bremgarten bei Bern

16 years old trekkie.

Persönliche Webseite:

https://www.severin-kaempfer.ch


*: Bedeutet, dass KKTVCAM das Produkt/die Seite getestet hat und nun Affiliate der betreffenden Firma ist.

Made with ♥ in Bern (Switzerland)!

KKTVCAM ÜBERNIMMT KEINE HAFTUNG FÜR ALLE ANGABEN AUF DIESER SEITE.