Wie kann ich mir eine Virensignatur vorstellen?

LucieLuu · 12. November 2019 um 07:22

Hallo allerseits! Ich schreibe eine Facharbeit über Antivirenscanner und wollte die Methode, Viren (oder in meinem Fall, einen Wurm) über Virensignaturen zu entlarven, anschaulich mithilfe einer solchen Signatur darstellen. Dabei kann ich mir nicht so ganz vorstellen,was das ist, sprich ob mein Vorhaben überhaupt machbar ist! Also meine Fragen hier ganz konkret: Kann man eine Virensignatur analysieren und wenn ja, woher bekomme ich die Signatur zum „Loveletter“ Wurm?
Vielen Dank schonmal im Vorraus!

Hokulea_b27307 · 12. November 2019 um 07:22

Schon einmal darüber nachgedacht Dich dirkt bei den deutschen Vertretungen der AV Software zu erkundigen?

Im übrigen ist es kurz vor CeBit … da sind alle großen Hersteller vertreten und werden sicherlich auch die richtigen Ansprchpartner für dich finden.

Komm da aber nicht in Schlabberjeans an, sondern im Anzug.

Anonym_028940377b35 · 12. November 2019 um 07:23

Hallo

Lies Dir mal die Artikel auf dieser Seite durch:
http://home.arcor.de/scheinsicherheit/einleitung.htm
Ist zwar ein paar Jahre alt, gilt aber immer noch.

Zitat daraus:

_1. Signaturbasiertes Scannen

AV/AT Scanner erkennen einen Trojaner oder sonstige Malware üblicherweise, indem sie - stark vereinfacht ausgedrückt - die verdächtige Datei nach bestimmten Zeichenketten durchsuchen („scannen“) und mit den in der jeweiligen Signaturdatenbank des Scanners enthaltenen Signaturen vergleichen._

Lies Dir auch mal das hier durch:
http://de.wikipedia.org/wiki/Virensignatur

Du findest dort auch einen Link zum Artikel über das Eicar-Testvirus, was als Anschauungsbeispiel geeignet ist. Und es hat einen Link auf ein PDF, wo die Erstellung einer Virensignatur erläutert wird.

CU
Peter

Stefan_Schustereit · 12. November 2019 um 07:23

Komm da aber nicht in Schlabberjeans an, sondern im Anzug.

Es ist meist keine Frage der Krawattenfarbe, sondern der Visitenkarte.

Stefan

Hokulea_b27307 · 12. November 2019 um 07:25

Dir nütze die tolltste Visitenkarte nichts, wenn Du schon vorher nicht Ernst genommen wirst.

Ich geh set der ersten CeBit, vorher hannover Messe, dorst hin. Davon war ich u.a. 8 Jahre auf dem Standdienst bei einem großen Hersteller.

Mit Jeans, darfst Du dich mit den Promotoren unterhalten, das sind meistens Studenten. In die Lauch zum Kekse knabbern und frei Kafffe, kommst Du damit nicht und ob sich einer von den Profis Zeit nimmt, das kannse ja mal überlegen. So schnell kommen die nicht von den Keksen weg.

Man gut, das Ich die richtigen Visitenkarten habe, einen schicken Anzug und viel Kontakte auf den Ständen habe …

Die Karten bleiben meistens in der Tasche, die brauche ich nur um mir die Prospekte zuschicken zu lassen.

Chewpapa_22ca98 · 12. November 2019 um 07:25

Hi,

woher bekomme ich die Signatur zum „Loveletter“ Wurm?

ist das der alte ‚I Love You‘ Virus? Den habe ich gedruckt im ‚Hackers Blackbook‘ gab/gibts zu kaufen. Inzwischen gibt es das auch als PDF.
http://www.scribd.com/doc/3253459/German-Hackers-Bla…

Hab’ ich gerade durchgesehen und finde im PDF den Virus nicht. Im Buch ist er abgedruckt. ‚I love You‘ steht da im Code, ist leicht zu finden.

Die ganze alten Viren und Würmer verdanken ihre Namen der Eitelkeit ihrer Programmierer, die den Namen im Programm untergebracht haben. Mir fällt da noch einer der Ersten ein: ‚Lamer‘ auf dem Amiga. Der hat den Anwender damit ‚geärgert‘ ihn als Lamer (Anfänger) zu beschimpfen. Da muss das Wort ‚Lamer‘ auch im Code enthalten sein.

Gruß Rainer

LucieLuu · 12. November 2019 um 07:28

Vielen Dank für die vielen Antworten!
Und Chewpapa, erinnerst du dich noch an das Kapitel, in dem die Virensignatur steht? Würde mir ein Teil Arbeit ersparen ^^ Und wenn nicht, trotzdem Danke für die Literatur und die Mühe!

Chewpapa_22ca98 · 12. November 2019 um 07:28

Hallo,

Und Chewpapa, erinnerst du dich noch an das Kapitel, in dem
die Virensignatur steht? Würde mir ein Teil Arbeit ersparen ^^
Und wenn nicht, trotzdem Danke für die Literatur und die Mühe!

Du meinst vom I Love You Virus?

Hackers Blackbook Seite 118.

001 rem barock -loveletter(vbe)
_002 rem by: spyder / [email protected] / @GRAMMERSoft Group / Manila,Philippines

So sehen die ersten beiden Zeilen aus.

Gruß Rainer_

Hokulea_b27307 · 12. November 2019 um 07:28

Das ist eine orginal McAfee Signatur.

74 178 150 178 77 51 202 214 99 86 255 218 110 29 217 193
108 18 235 214 58 10 236 209 57 7 189 135 56 0 89 187
13 143 137 179 13 143 137 179 242 50 249 76 30 191 156 179
243 74 38 247 9 96 68 110 167 5 48 65 205 83 113 95
0 177 136 179 13 51 140 179 25 125 138
6329 256 16452 779 Generic.Tra!fe79ab440453

LucieLuu · 12. November 2019 um 07:31

Vielen, vielen Dank für die präzise Antwort! Nur leider sieht es so aus, als könnte ich die Virensignatur nicht analysieren… Zumindest verstehe ich nicht, was diese Zahlenfolge genau bewirkt.

Hokulea_b27307 · 12. November 2019 um 07:32

Das dürfte ein Hash Wert in der Datenstruktur sein.
Hast Du schon einmal versucht die (Geschäfts) Hotline der AV Hersteller zu befragen? (Ich armer Informatik Student/Schüler, brauch Info für ein Referat…etc)

Vielen, vielen Dank für die präzise Antwort! Nur leider sieht
es so aus, als könnte ich die Virensignatur nicht
analysieren… Zumindest verstehe ich nicht, was diese
Zahlenfolge genau bewirkt.