Internet-Sicherheit zunehmend durch Cyber-Verbrecher bedroht

Antivirus-Hersteller auf der Jagd nach raffinierter Malware

04.08.2008 | Autor / Redakteur: Andreas Beuthner / Stephan Augsten

Illustration: Alexis Puentes - FOTOLIA
Illustration: Alexis Puentes - FOTOLIA

Wettlauf gegen die Zeit

Kaspersky unterhält in Moskau ein zentrales Forschungslabor in dem rund um die Uhr ein Team von zwölf Mitarbeitern potenzielle Schadprogramme analysiert und Signaturen für die eigene Antiviren-Software erstellt. Dazu kommen kleinere Analystenteams, die lokal in den zehn Länderniederlassungen sitzen und den eintreffenden Hinweisen auf neue Virenvarianten, Bots, Rootkits oder E-Mail-Würmer nachgehen.

Dabei geht es hauptsächlich darum, möglichst schnell Schadcode zu entdecken und Signaturen für bekannte Malware-Versionen zu erstellen. Selbstverordnetes Ziel: Spätestens zwei Stunden nach Entdecken einer neuen Malware sollte das Gegenmittel der Antiviren-Engine von Kaspersky-Kunden zur Verfügung stehen.

Mehr als 250.000 identifizierte Schädlinge liegen in der Moskauer Datenbank von Kaspersky. Und es werden ständig mehr.

In einer Stunde zählte Analyst Kalkuhl 14 identifizierte Trojaner und modifizierte Formen bekannter Viren. Pro Tag registrieren die Malware-Jäger zwischen 250 und 300 bedenklichen oder gefährlichen Programmcode, darunter auch die über Trojaner eingeschleusten Backdoor-Varianten, die ein Computer-Login ohne Passwort durchführen.

Mit dem „Bluthund“ auf der Jagd

Richtig gefordert werden die Fachleute bei Programmcode, der bei der signaturbasierten Prüfung nicht auffällt und dessen schädliche Funktionen auf den ersten Blick gar nicht offenkundig sind. Das Kunststück besteht darin, unbekannten Schadcode aufzuspüren. Dafür unterziehen die Antiviren-Spezialisten von Kaspersky die verdächtige Datei einer codebasierten Heuristik. Diese Technik sucht Codezeile für Codezeile nach virentypischen Befehlen.

Sobald die Anzahl von verdächtigen Befehlen ein vorher festgelegtes Maß überschreitet, wird die entsprechende Datei als potenziell gefährlich markiert und weiteren Analysen unterzogen. „Dieses Verfahren hat schon viel dazu beigetragen, neue Bedrohungen zu entdecken“, unterstreicht Eugene Kaspersky, Leiter der Kaspersky Lab Antiviren-Forschung in Moskau.

Verhaltensbasierte Analyse

Um die Entdeckungsrate zu erhöhen kommt zusätzlich eine verhaltensbasierte Analyse zum Einsatz. Versucht ein vermeintlich harmloses Programm plötzlich kostenpflichtige Telefonnummern anzuwählen, schrillen die Alarmglocken. Die Schutzmechanismen der Antiviren-Software sind so ausgelegt, dass vor der Anwahl der Anwender gefragt wird, ob er damit überhaupt einverstanden ist.

Laut Kalkuhl erfasst die Software ein breites Spektrum von Ereignissen im System und protokolliert das Verhalten aller gestarteten Prozesse einschließlich aller Veränderungen im Dateisystem und in der Registry. Sogar gefährlichen Rootkits, die sich vor den Erkennungsalgorithmen verstecken, kommen speziell entwickelte Schutzmechanismen in vielen Fällen auf die Schliche.

Nur wenige Chancen haben die Virenjäger, wenn die Angreifer in die psychologische Trickkiste greifen. Das auch als Social Engineering bekannte Verfahren beruht darauf, dass per E-Mail fingierte Rechnungen von Serviceprovidern oder Möbelhäusern, vermeintlich seriöse Abmahnaktionen von Rechtsanwälten oder als sicher geltende, verschlüsselte Nachrichten im Postfach des Anwenders eintrudeln.

Den Kaspersky-Analysten sind viele Fälle bekannt, bei dem Social Engineering eine Rolle spielt: Harmlose Nachrichten enthalten als PDF-Datei getarnte „Trojan-Downloader“, die Trojanern den Weg in den Rechnern ebnen. „Es gibt sogar Programme, die vorgeben schädliche Funktionen abzuwenden und dabei nur infizierenden Code verbreiten“, weiß Kalkuhl. Einmal im System verankert, gibt es nur einen Ausweg: Den Computer akribisch überprüfen und hoffen, dass die Virenscanner mit den neuesten Signaturen den Schädling dingfest machen.

Seite 5: Heimlicher Zusammenschluss

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2006639 / Mobile- und Web-Apps)