Heuristik, Verhaltensanalyse und Sandbox-Tests finden unbekannte Malware

Aktive Ansätze für intelligente Anti-Virus-Software im Vergleich

13.07.2007 | Autor / Redakteur: Stefan Angerer / Stephan Augsten

Klassische Antiviren-Software ist vergleichbar mit einem Polizisten, der Einbrecher nur anhand von Fahndungsfotos identifizieren kann. Liegt kein Bild vor, bleiben sogar die finstersten Gestalten auf freiem Fuß. Etwa 50 Prozent aller aktiven Computerviren sind nicht in den Datenbanken der klassischen Antiviren-Programme registriert. Darum werden dringend Lösungen benötigt, die auch unbekannte Schadprogramme unschädlich machen.

Nahezu alle Antiviren-Software-Anbieter beschäftigen sich seit geraumer Zeit mit so genannten „proaktiven“ Technologien. Damit lassen sich auch Schadprogramme erkennen und stoppen, von denen noch keine eindeutige Signatur vorliegt.

Heuristische Methoden erkennen einen Einbrecher sozusagen schon am Brecheisen – sie vergleichen den Code verdächtiger Programme mit Code-Stücken, die typisch sind für schädliche Routinen. Enthält ein Programm einen Code-Abschnitt, der wie ein Brecheisen aussieht, wird das Programm als gefährlich eingestuft.

Da es aber eine Vielzahl unterschiedlicher Angriffsmöglichkeiten und sehr viele Untervarianten der unterschiedlichen Attacken gibt, ist es für die Schutzprogramme nicht immer einfach, das Einbruchswerkzeug auch gleich als solches zu identifizieren. Gegen neue Angriffsmethoden sind sie nicht gewappnet.

Virenfang mit Verhaltensanalyse

Eine weitere Gruppe proaktiver Verfahren analysiert das Verhalten verdächtiger Programme. In einer kontrollierten Umgebung dürfen diese versuchen, ihre Befehle auszuführen. Sollten sie wirklich ein schädliches Verhalten an den Tag legen, werden sie vom Schutzprogramm gestoppt.

Um bei der Einbrecher-Analogie zu bleiben: Verdächtige Personen werden ins Wohnzimmer gelassen und beobachtet. Schiebt ein „Gast“ einen silbernen Löffel in die Tasche, geht der Alarm los. Hoffentlich. Wenn er es geschickt anstellt, bleibt die Straftat vielleicht unentdeckt und der Täter entkommt mit der Beute, was für den Besitzer im besten Falle ärgerlich ist.

Virentest in geschützter Umgebung

Das kann nicht passieren, wenn sich potenzielle Schadprogramme in einer virtuellen Umgebung austoben dürfen. Auf diesem Ansatz basiert beispielsweise die Sandbox-Software von Norman (www.norman.com/de). Anstatt in ein echtes Wohnzimmer werden Verdächtige in ein virtuelles gelotst. Enttarnen sie sich dort durch ihr Verhalten, können sie dennoch keinen realen Schaden anrichten.

Um Schadprogrammen auch komplexe Schadroutinen zu entlocken, simuliert die Software dabei nicht nur virtuelle Einzelrechner, sondern kann auch Rechnernetze oder P2P-Tauschbörsen imitieren. Schadprogramme können sich also beispielsweise sogar virtuell weiterverbreiten. Entscheidet das Tool anhand der ausgeführten Routinen des Gastprogramms, dass sich hier ein Wurm oder Virus eingenistet hat, wird der Eindringling unschädlich gemacht und die Falle schnappt zu.

Stefan Angerer ist Geschäftsführer der Norman Data Defense Systems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006082 / Malware)