Heuristiken in Virenscannern
Gegen die unbekannte Bedrohung

Christian Lanzerath,
SicherheitSicherheitsmanagementVirus

Das Böse ist einen Schritt voraus

Heuristiken in Virenscannern

Der Kampf zwischen Virenschreibern und Antiviren-Herstellern kommt dem Rennen zwischen Hase und Igel gleich: Die Programmierer bösartiger Software sind den Security-Spezialisten immer mindestens einen Schritt voraus. Der Grund: Die Hauptarbeit bei der Virenerkennung erledigen immer noch die Signaturen. Signatur-Updates gibt es aber erst, wenn die Malware im Labor unter die Lupe genommen wurde. Der aktuelle Test von PC Professionell zeigt, dass in der Praxis bis dahin ein halber Tag vergehen kann. Für Würmer und andere Schädlinge reichen aber bereits wenige Minuten, um sich dank Internet weltweit zu verbreiten und Schaden anzurichten. Deshalb ist eine neue Strategie von den Antiviren-Herstellern gefordert. Statt nur reaktiv die heute bekannte Malware zu bekämpfen, versuchen sie verstärkt mit proaktiven Verfahren auch zukünftige Würmer und Trojaner zu erkennen.

Suche nach Übereinstimmungen

Heuristiken in Virenscannern

Meist bauen sich Virenschreiber neue Malware aus Codefragmenten bekannter Schädlinge zusammen und ändern nur wenige Zeilen ab. Mehrere Vertreter einer Virenfamilie stimmen so in großen Teilen überein. So genannte generische Signaturen enthalten eben diese Übereinstimmungen, so dass nur eine Signatur verschiedene Varianten findet. So bleibt zum einen die Größe der Signaturdatenbank kompakt und die Scandauer verringert sich. Zum anderen werden dadurch aber auch viele neue Varianten erkannt, die auf den gleichen Programmkern aufsetzen.

Ein weiterer Trick der Hacker sind Laufzeitpacker: Sie komprimieren einen bekannten Schädling mit einem oder mehreren EXE-Packern, so dass dessen typische Signatur von außen nicht mehr sichtbar ist. Doch das nützt den Virenschreibern nichts. Denn alle Programme im Test bemühen zunächst unterschiedlichste Entpacker, bevor sie mit der Analyse beginnen.

Heuristische Früherkennung

Heuristiken in Virenscannern

Gegen echte Neukreationen versuchen Antiviren-Hersteller verstärkt mit heuristischen Erkennungsmethoden anzugehen. Das Problem: Solange ein Virus nicht zur Analyse im Labor war, fehlt die Signatur, also der Fingerabdruck, um ihn aufzuspüren. Deshalb fahndet die Heuristik der AV-Tools mithilfe eines Täterprofils. Dazu untersucht sie den Code des Virus nach verdächtigen Merkmalen, ohne ihn jedoch auszuführen. Enthält der Virus etwa den Befehl, das Adressbuch von Outlook zu öffnen, Registry-Keys zu erstellen oder ausführbare Dateien zu manipulieren, kann dies auf bösartige Software hinweisen. Ähnlich wie ein inhaltebasierter Spamfilter vergibt die Heuristik für jede verdächtige Eigenschaft eine gewisse Punktzahl. Überschreitet dieser Wert eine definierte Grenze, meldet der Scanner einen möglichen Befall.

Analysemethode kombiniert

Heuristiken in Virenscannern

Besonders polymorphe Schädlinge, die sich von Generation zu Generation ständig neu verschlüsseln, können auf diese Weise aber nur schwer erkannt werden. Die statische Codeanalyse ergänzen die meisten Virenscanner daher noch um eine dynamische Analyse (siehe Grafik rechts). So setzt Bitdefenders B-HAVE-Technik die statische Analyse nur als Filter ein. Zeigt dieser, dass es sich um Malware handeln könnte, wird nicht gleich Alarm geschlagen.

Stattdessen wandert der potentielle Schädling in eine Sandbox. Diese virtuelle Umgebung bildet ein Betriebssystem oder Teile davon nach und führt den Virus dort aus. Keine Angst: Alles, was in einer Sandbox passiert, hat keine Auswirkungen auf das eigentliche System. Wird also bösartiger Code ausgeführt, ist Windows davon nicht betroffen. Dafür weiß aber der Virenscanner, was die entsprechend Datei mit einem richtigen System anstellen würde und kann aufgrund dieser verhaltensbasierten Analyse eine verlässlichere Entscheidung zwischen gut- und bösartig treffen.

Neben Softwin nutzen weitere Hersteller wie F-Secure und Kaspersky diese Kombination, um einen Kompromiss zwischen der Ungenauigkeit der statischen und dem hohen Ressourcenverbrauch der dynamischen Analyse zu finden. Aber auch die Sandbox-Technik ist nicht perfekt: Malware, die ihre Schadensroutinen abhängig von einem bestimmten Trigger ausführt, kann eine Sandbox an der Nase herumführen. So könnte sich ein Wurm erst nach drei Tagen auf dem System weiter verbreiten oder nur alle zehn Aufrufe aktiv werden.

Malware geblockt

Heuristiken in Virenscannern

Einen Schritt weiter geht das Behaviour Blocking. Hier beobachtet der On-Access-Wächter alle laufenden Prozesse im System und kontrolliert verdächtige Vorgänge ? zum Beispiel Änderungen an der Registry oder am Internet Explorer. Anders als etwa ein HIPS (Host Based Intrusion Prevention System) blockt er aber nicht einzelne Befehle wie den Zugriff auf bestimmte Systembereiche. Vielmehr wird das gesamte Verhalten eines Prozesses beobachtet und erst bei einem verdächtigen Gesamtverhalten Alarm geschlagen. Dann können Funktionen geblockt oder bereits durchgeführte Aktionen mittels einer Rollback-Funktion wieder zurückgenommen werden. Gravierender Nachteil gegenüber einer Sandbox: Die potentielle Malware läuft in der realen Umgebung, mit allen möglichen Nebenwirkungen. Daher arbeiten Behaviour Blocker meist mit sehr aggressiven Regeln, um Viren frühzeitig zu erkennen. Dies kann zu vielen Fehlalarmen führen, und unerfahrene Anwender werden mit Warnmeldungen überschüttet, die sie nicht verstehen. Ziel der Antiviren-Hersteller ist es deshalb die künstliche Intelligenz der Software weiter zu entwickeln. Im Idealfall sollen die Virenscanner selber entscheiden, ob Prozesse eine verdächtige Aktion ausführen dürfen oder nicht.

Verbreitungsanalyse statt Inhaltsanalyse

Heuristiken in Virenscannern

Eine ganz andere Methode nutzt G Data neben der Heuristik der beiden integrierten Virenengines, um unbekannte Schädlinge aufzuspüren: Das so genannte Outbreak Shield macht sich dabei zu nutze, dass die meisten Viren per E-Mail ihren Weg auf den Rechner finden. Nachrichten mit Spam oder Malware weisen dabei typische Verbreitungsmuster auf: Sei es, dass sie plötzlich massenhaft auftreten oder alle aus dem gleichen Botnetz stammen. G Data reduziert alle eintreffenden E-Mails auf eine wenige Byte lange Prüfsumme und vergleicht diese mit den Prüfsummen bekannter Malware- und Werbemails. Diese Informationen stammen vom Sicherheitsdienstleister Commtouch, der weltweit 35 Millionen Postfächer überwacht. Nach eigenen Angaben dauert es etwa eine halbe bis zwei Minuten, bis eine Mail als Spam oder infiziert aussortiert wird. PCpro-Tests bestätigten die Wirksamkeit von Outbreak Shield bei der Erkennung von Spam-und Phishing-Mails (siehe PC Professionell 09/2006)

Proaktiv kein Ersatz für Signaturen

Heuristiken in Virenscannern

Viele AV-Hersteller preisen ihre proaktiven Verfahren als Wunderwaffe gegen unbekannte Bedrohungen an. Der Test von PC Professionell zeigt jedoch, dass sich Anwender keineswegs darauf verlassen können. Mit lediglich sieben bis neun Treffern erkennen Bitdefender, F-Secure und Kaspersky noch die meisten der elf neuen Testsamples. Am unteren Ende der Skala rangieren McAfee und Symantec mit je einem sowie G Data und Panda mit je zwei erkannten Dateien. Im Vergleich zur signaturbasierten Erkennungsrate ist die Erfolgsquote hier erschreckend gering. Heuristiken als Allheilmittel gegen Malware zu bewerben ist nicht nur realitätsfern, sondern auch fahrlässig. Nach wie vor stellen Signaturen die Basis jedes ernstzunehmenden Antiviren-Tools dar. Ohne regelmäßige, tägliche Updates sind die Türen für Viren und Würmer we
it geöffnet.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus