Web-Bedrohungen erfordern zeitgemäße Malware-Erkennung - Teil 2

Neue Antivirus-Lösungen identifizieren auch die Malware von morgen

17.10.2008 | Autor / Redakteur: Candid Wüest von Symantec / Stephan Augsten

Verhaltensbasierte Analyse

Ein gängiger Ansatz, der von einigen Sicherheitssoftware-Herstellern bereits verfolgt wird, ist das Analysieren von Verhalten. Hierzu wird eine potenzielle Schadsoftware nicht mit einer Kartei von bekannten Schädlingen verglichen.

Stattdessen wird die Datei ausgeführt und anschließend überwacht, was sie tun möchte. Anhand dessen wird dann entschieden, ob sie ungefährlich ist oder nicht. Beispielsweise könnte eine legitime Applikation Tastatureingaben protokollieren. Wenn sie aber gleichzeitig kein sichtbares Fenster oder einen Eintrag im Softwareverzeichnis besitzt, dann ist sie höchst verdächtig.

Geht man nach dieser Methode vor, kann man auch bis dahin unbekannte Schadsoftware erkennen, die noch nicht in der Signaturdatenbank erfasst ist. Dieser Ansatz hat noch einen weiteren Vorteil: Er erschwert es dem Angreifer, die Schadsoftware für den Scanner unsichtbar zu machen. Denn ein reines Verschleiern mit einem Runtime Packer wird zwar das Aussehen, aber nicht das Verhalten ändern.

Dieser Ansatz sollte nicht mit verhaltensbasierten NIDS (Network-based Intrusion Detection System) verwechselt werden, da diese eine Abweichung zu einem Normalzustand messen. Verhaltensbasierte Anti-Viren-Lösungen hingegen validieren verschiedene Verhaltensmuster und bewerten diese mit Attributen wie „gut“ oder „böse“. Schlussendlich entscheidet dann die Summe aller Attribute über das Ergebnis.

Einschränkungen und Nachteile

Das Überführen kann je nach Schädling einige Zeit dauern. Ein Trojaner könnte zum Beispiel nach dem Ausführen zunächst eine Stunde lang nichts tun und dann seine Schadroutine starten.

Solange kein bösartiges Verhalten gezeigt wird, löst der Sicherheitsscanner keinen Alarm aus, denn bis dahin ist ja nichts Abnormales ersichtlich. Um mögliche Systemveränderungen wieder rückgängig zu machen, muss die Sicherheitssoftware jedoch Änderungen von unbekannten Programmen protokollieren und bei einer späteren Überführung rückgängig machen.

Ein Nachteil der verhaltensbasierten Erkennung ist, dass auch gutartige Software teils ungewöhnliche Programmroutinen besitzt und es deshalb zu False Positives (Fehlalarmen) kommen kann. Deshalb hier der Hinweis: Ein False Positive kann für den Nutzer ähnlich schwerwiegende Folgen haben wie ein tatsächlicher Virenbefall.

Im schlimmsten Fall wird das System durch das ungewollte Löschen von Systemkomponenten unwiderruflich instabil. Hier bleibt für den Benutzer meist nur noch der Weg über die Backups oder eine Neuinstallation. Deshalb ist eine hohe Erkennung bei geringer False-Positive-Rate erstrebenswert.

Seite 3: Whitelisting

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2017231 / Malware)