Enthält beispielsweise ein per E-Mail empfangenes Programm eine Funktion zur Suche nach einer .wab-Datei, ein Format, in dem auch Outlook-Adressdaten weiterverarbeitet werden, so wird es als verdächtig eingestuft und entsprechend behandelt. Bei diesen Verfahren stellt sich allerdings die Frage, in wie weit die Schutzsoftware Modifikationen an schädlichen Funktionen im Programm-Code erkennen kann. Ähnlich wie in Signaturdatenbanken eine riesige Anzahl von Signaturen vorgehalten werden müssen, werden auch bei heuristischen Verfahren umfangreiche Sammlungen vielfältiger Variationen abzugleichender Code-Bestandteile benötigt. Diese werden wohl nie wirklich vollständig sein.
Verhaltensbasierte Methoden
Foto: Norman
Ein weiterer proaktiver Ansatz geht davon aus, dass Schadprogramme an ihrem Verhalten erkannt werden können. Grundsätzlich funktionieren Viren, Trojanisch Pferde und sonstige Malware zum Beispiel nach folgendem Muster: Sie versuchen, sich selbst weiterzuverbreiten, funktionieren den Rechner in ein Mail-Relay um, laden weitere Programme aus dem Internet nach oder schicken Datenpakete mit gesammelten, vertraulichen Informationen nach draußen. Verhaltensbasierte Antiviren-Software beobachtet die Handlungen verdächtiger Software genau, meldet verdächtiges Verhalten an den Nutzer oder unterbindet es.
Absolute Sicherheit können diese Programme nicht garantieren, denn gegen konzeptionell völlig neue Attacken sind auch verhaltensbasierten Lösungen nicht gewappnet. Es empfiehlt sich deshalb nicht, ein verdächtiges Programm direkt auf den eigenen Rechner zu lassen und dort bei der Ausführung seiner Routinen zu beobachten. Unbemerkt könnte es doch Schaden anrichten.
Stattdessen sollte eventuell gefährliche Anwendung aussortiert und in einer komplett virtuellen Umgebung evaluiert werden. Diese sollte dem potentiellen Virus vorgaukeln, er befinde sich auf einem "echten" Rechner. Fall es sich tatsächlich um Malware handelt, richtet diese dort keinen Schaden an. Dennoch lässt sich auf diese Weise das geprüfte Programm als vertrauenswürdig oder als gefährlich einstufen.
Derartige Methoden schaffen TÜV-zertifizierte Erkennungsraten von bis zu 70 Prozent. Deshalb kommen sie als Standalone-Lösung nicht in Frage. Wie alle derzeit angebotenen proaktiven Verfahren, sind auch verhaltensbasierte Schutzmaßnahmen nur in Kombination mit einem klassischen, signaturbasierten Virenscanner einzusetzen. Sie sorgen für ein zusätzliches Maß an Sicherheit, das letztendlich den Ausschlag geben kann.