Security

von Sophos

Vaterschaftstest bei Viren - die Genotyp-Technologie

04.09.2007
Viele Würmer und Viren sind miteinander verwandt, diese familiären Beziehungen aufzukläre verspricht Sophos mit der eigen entwickelten Vaterschaftstest bei Viren: die Sophos Genotyp-Technologie.
Getarnt als überhöhte Rechnung der Gebühreneinzugszentrale (GEZ) verbreitet sich der Trojaner Troj/DwnLdr-FYH besonders stark im deutschsprachigen Raum. Quelle: Sophos
Getarnt als überhöhte Rechnung der Gebühreneinzugszentrale (GEZ) verbreitet sich der Trojaner Troj/DwnLdr-FYH besonders stark im deutschsprachigen Raum. Quelle: Sophos
Foto:

Cyberkriminelle verbreiten in immer kürzeren Abständen Viren, Würmer und Spyware, um Unternehmen und PC-Anwender zu attackieren. Viele davon haben es dabei auf vertrauliche Daten von Unternehmen, Organisationen und Behörden abgesehen, wie die jüngste Spionage-Attacke chinesischer Hacker gegen die deutsche Bundesregierung zeigt.

Vielfach bringen Cyberkriminelle innerhalb kürzester Zeit hunderte Varianten ein und desselben Schadprogramms in Umlauf. Ihr Ziel ist es, so Antiviren- und Antispam-Programme zu umgehen, die nur bereits bekannte Viren und Spam erkennen. Um sich vor solchen Angriffen zu schützen, bedarf es präventiver Gegenmaßnahmen.

Sophos hat hierfür die sogenannte "Genotyp"-Technologie entwickelt, die bereits in Produkten des Antivirenherstellers enthalten ist. Mithilfe dieser Technologie soll es möglich sein, neue Varianten bereits bekannter Schädlings-Familien und Spam-Kampagnen zu erkennen und zu blocken, noch bevor die dazu passenden Updates überhaupt entwickelt wurden.

Der Begriff "Genotyp" hat seinen Ursprung in der Biologie und umschreibt den genetischen Aufbau eines Organismus. Genotyp steht - allgemein gesprochen - für die Erbinformationen, die von Elternorganismen auf ihre Nachkommen vererbt werden. Sophos` Genotyp-Technologie versucht dementsprechend die 'Erbinformationen' neuer Viren oder Spam-Mails zu charakterisieren. Hierfür wird der Genotyp einer Datei extrahiert und mithilfe eines fein abgestimmten Auswertungssystems mit dem Genotyp bestehender Schadprogramme verglichen.

Jeder Schadcode hat seinen eigenen Genotyp - so unterscheiden sich die Genotypen einer Programm-Familie erheblich von denen einer anderen. Beispielsweise können die Merkmale eines Internet-Wurms seine Fähigkeiten sein, sich über Schwachstellen im Betriebssystem zu verbreiten oder die lokale Festplatte eines Rechners nach E-Mail-Adressen zu durchsuchen. Stimmt der Genotyp einer untersuchten Datei mit dem einer bekannten Malware-Familie, wie zum Beispiel Netsky, überein, meldet Sophos Anti-Virus den neuen Wurm als Schadprogramm mit der Endung ".gen" und verhindert dessen Ausführung auf dem PC. (rw)

Zur Startseite