Virtuelle Virenfalle

26.04.2007
Von Stefan Angerer
Traditionelle Antivirenprogramme haben eine Schwachstelle: Liegt keine Signatur vor, ist der Rechner ungeschützt. Hier braucht es neue Technologien. Wie das genau funktioniert, erklärt Stefan Angerer, Geschäftsführer bei Norman Data.

Das Verbreiten von Schadprogrammen wie Trojanern, Spyware oder Viren ist längst zu einem lukrativen Geschäft geworden und wird von einer professionalisierten Szene betrieben. Schon seit einiger Zeit hat keine Schadsoftware mehr den Bekanntheitsstatus erreicht wie damals I-Love-You oder MyDoom. Auch diese Entwicklung zeigt, dass es Crackern nicht mehr um zweifelhaften Ruhm, sondern vielmehr um den finanziellen Vorteil geht.

Mehrere hunderttausend neue Viren

Die Öffentlichkeit wiegt sich mangels Schlagzeilen in Sicherheit, während die Cracker schlimmer als je zuvor aus allen Rohren feuern: Mehrere hunderttausend neue Viren haben Sicherheitsexperten im letzten Jahr gezählt. Diese Zahl wirkt umso bedrohlicher, wenn man weiß, dass von etwa der Hälfte aller aktiven Schadprogramme keine Signatur in den Datenbanken der Virenbekämpfer existiert.

Diese ist jedoch zur Identifikation der digitalen Schädlinge nötig. Antiviren-Hersteller arbeiten fieberhaft an den Updates ihrer Signaturdatenbanken und sind inzwischen in der Lage, stündliche Aktualisierungen anzubieten. Leider sind viele Schadprogramme noch schneller. Ist ein Virus endlich identifiziert und katalogisiert, verbreiten sich schon Dutzende Mutationen mit neuen Signaturen weiter.

Heuristische Verfahren

Allen Antivirenherstellern ist klar, dass eine effiziente Lösung zur Identifikation und Neutralisation unbekannter Malware dringend benötigt wird. Einige Hersteller setzten in diesem Zusammenhang auf sogenannte "heuristische" Verfahren. Dieser Ansatz basiert darauf, Schadprogramme an auffälligen Code-Abschnitten zu erkennen.

Enthält beispielsweise ein per E-Mail empfangenes Programm eine Funktion zur Suche nach einer .wab-Datei, ein Format, in dem auch Outlook-Adressdaten weiterverarbeitet werden, so wird es als verdächtig eingestuft und entsprechend behandelt. Bei diesen Verfahren stellt sich allerdings die Frage, inwieweit die Schutzsoftware Modifikationen an schädlichen Funktionen im Programm-Code erkennen kann. Ähnlich wie in Signaturdatenbanken eine riesige Anzahl von Signaturen vorgehalten werden müssen, werden auch bei heuristischen Verfahren umfangreiche Sammlungen vielfältiger Variationen abzugleichender Code-Bestandteile benötigt. Diese werden wohl nie wirklich vollständig sein.

Ein weiterer proaktiver Ansatz geht davon aus, dass Schadprogramme an ihrem Verhalten erkannt werden können. Grundsätzlich funktionieren Viren, Trojanische Pferde und sonstige Malware zum Beispiel nach folgendem Muster: Sie versuchen, sich selbst weiterzuverbreiten, funktionieren den Rechner in ein Mail-Relay um, laden weitere Programme aus dem Internet nach oder schicken Datenpakete mit gesammelten, vertraulichen Informationen nach draußen. Verhaltensbasierte Antiviren-Software beobachtet die Handlungen verdächtiger Software genau, meldet verdächtiges Verhalten an den Nutzer oder unterbindet es.

Absolute Sicherheit können diese Programme nicht garantieren, denn gegen konzeptionell völlig neue Attacken sind auch verhaltensbasierten Lösungen nicht gewappnet. Es empfiehlt sich deshalb nicht, ein verdächtiges Programm direkt auf den eigenen Rechner zu lassen und dort bei der Ausführung seiner Routinen zu beobachten. Unbemerkt könnte es doch Schaden anrichten.

Stattdessen sollte eventuell gefährliche Anwendungen aussortiert und in einer komplett virtuellen Umgebung evaluiert werden. Diese sollte dem potenziellen Virus vorgaukeln, er befinde sich auf einem "echten" Rechner. Falls es sich tatsächlich um Malware handelt, richtet diese dort keinen Schaden an. Dennoch lässt sich auf diese Weise das geprüfte Programm als vertrauenswürdig oder als gefährlich einstufen.

Derartige Methoden schaffen TÜV-zertifizierte Erkennungsraten von bis zu 70 Prozent. Deshalb kommen sie als Stand-alone-Lösung nicht in Frage. Wie alle derzeit angebotenen proaktiven Verfahren, sind auch verhaltensbasierte Schutzmaßnahmen nur in Kombination mit einem klassischen, signaturbasierten Virenscanner einzusetzen. Sie sorgen für ein zusätzliches Maß an Sicherheit, das letztendlich den Ausschlag geben kann.

Zur Startseite