Report: Die Virenjäger
Zu Besuch in den Security Labs von G Data

Virenalarm!

Es ist ruhig in den Backsteingebäuden von G Data im Bochumer Süden. Das muss es auch, denn die Arbeit der Entwickler und Malware-Analytiker erfordert höchste Konzentration. Man sieht es nicht, aber von hier aus haben Ralf Benzmüller und seine Leute ein weltweites Netz an Honeypots, Virenfallen und Malware-Sensoren aufgespannt, das alle paar Sekunden einen neuen Schädling aus dem Internet fischt. So wurden auf dem ganzen Globus Tausende von E-Mail-Adressen angelegt, die nur dazu dienen, Spam und Schad-Mails anzulocken. Auch die hier schon beschriebene Wurmfalle Nepenthes setzt Benzmüller ein. »Wir wollen den bösen Jungs das Leben möglichst schwer machen«, fasst der sympathische Mittvierziger seine Mission zusammen. Damit das gelingt, wird in Bochum Sicherheitssoftware entwickelt wie zum Beispiel die kürzlich hier getestete Internet Security Suite. Und jede neue Version muss sich an der stetig wachsenden Virensammlung bewähren, die inzwischen über vier Millionen Exemplare umfasst

Hat schon vier Millionen Computerviren gesammelt und fängt täglich neue: Ralf Benzmüller, Chef des G Data Security Labs.

Auch am 24. November 2008 geht alles seinen üblichen Gang bei G Data. Die automatischen Web-Crawler surfen die Links in verdächtigen Mails an und laden alle verdächtigen Skripte herunter. Im Fünf-Sekunden-Takt werden neue Computerviren automatisch analysiert, in einer Datenbank registriert, statistisch erfasst und gespeichert. Business as usual.

Doch gegen ein Uhr mittags plötzlich unterbricht ein Alarm die Routine. Kein Blaulicht, keine Sirenen, nur ein Popup-Fenster auf dem Monitor des Malware-Analytikers Werner Klier. Trotzdem zögert Klier keine Sekunde. Ein Statistik-Modul hat angeschlagen, weil einer der Viren plötzlich in viel größeren Stückzahlen auftaucht als noch wenige Minuten zuvor. Klier beginnt sofort mit der Analyse des Schädlings. Ein Blick auf die automatisch generierten Reports, und er weiß: Dieses Sample muss genauer geprüft werden. Er startet den Virus auf einem Sandbox-Rechner. Hier kann der Virus frei agieren, wird dabei aber detailliert überwacht: Ändert er Registry-Schlüssel? Legt die Malware Dateien an? Startet oder beendet sie Programme? All das und mehr speichert die Sandbox einige Sekunden später in einem umfangreichen XML-Protokoll.

Das Sandbox-Protokoll verrät den Virenjägern detailliert, welchen Schaden eine Malware anrichtet.

Wenige gezielte Mausklicks genügen, und schon hat Klier im komplizierten Sandbox-Protokoll die entscheidenden Zeilen gefunden. Mit geübtem Auge stellt er fest, dass die Schadsoftware einen Trojaner auf dem Zielsystem installiert und startet. Zudem missbrauchen die Cyberkriminellen die echte Absenderadresse der Bielefelder Firma Regel Inkasso. Klier zieht seinen Chef Ralf Benzmüller hinzu. Der entscheidet sofort: Die Anwender müssen gewarnt werden. Er alarmiert Thorsten Urbanski, der neben den Pressemeldungen des Unternehmens auch die Sicherheitswarnungen verfasst.

Urbanskis Aufgabe: Er muss die Meldung so formulieren, dass sie nicht in der Mail-Flut untergeht sondern gelesen und verstanden wird. »Das ist das Schwierigste«, finden die G Data-Leute übereinstimmend. Während Benzmüller und Urbanski beraten, startet Klier den Virus auf einem weiteren Testsystem, um einen Screenshot zu speichern. »Warnmeldungen mit Screenshot werden mehr gelesen«, erläutert Pressesprecher Urbanski. Das Testsystem wird Klier später mit Hilfe einer Image-Datei wieder in den virenfreien Ausgangszustand zurück versetzen. Der Screenshot datiert von 13:03 Uhr.

»Wie funktioniert der Schädling? Wie formulieren wir die Warnmeldung?« Ralf Benzmüller und Thorsten Urbanski beraten sich im G Data Security Lab.

Schutz vor unbekannten Schädlingen

Als nächstes ruft Klier bei Regel Inkasso an, um die Firma über den Missbrauch ihrer Absenderdaten zu informieren. Dort laufen schon die Telefone heiß, denn die Virenmail schockt die Empfänger mit der Ankündigung, die Firma würde einen vierstelligen Betrag vom Konto abbuchen. Tausende von empörten Mails, Faxen und Anrufen blockieren den Geschäftsbetrieb. Geschäftsführer Thomas Regel stellt persönlich Anzeige auf dem Bielefelder Polizeipräsidium. Während Richard Topp von der Kripo Bielefeld noch auf der Suche nach einem Exemplar des Virus ist, liegt bei G Data schon die Analyse des Schädlings vor. Doch das nützt dem Kripo-Mann wenig: »Wir müssen uns als Behörde an das BSI wenden«, erklärt Topp. Vorschrift. Um 15:54 Uhr warnt die Polizei Bielefeld per Pressemeldung vor den Mails, die ein »noch unbekanntes Schadprogramm« enthalten. Wenig später, um 16:12 Uhr, erscheint die Warnmeldung von G Data, in der die Funktionsweise des Schädlings genau beschrieben ist.

»Dabei haben die meisten unserer Kunden diesen Virus gar nicht bekommen«, behauptet Ralf Benzmüller selbstbewusst. Solche Virenausbrüche entstehen, weil viele Nutzer immer noch ungeschützt ins Internet gehen oder ihr Virenschutz zu langsam reagiert. Und Benzmüller erklärt auch gleich, warum G Data schneller schützt: »Unser Outbreak Shield reagiert innerhalb von wenigen Minuten auf unbekannte Schadprogramme allein aufgrund ihres Verbreitungsmusters im Internet.« Online-Server des Technologie-Partners Commtouch überwachen 35 Millionen E-Mail-Konten in Echtzeit. Sie erkennen sofort, ob eine Massenmail von einem einzelnen Spam-Server stammt, aus einem Bot-Netz oder sich als Mail-Wurm verbreitet. Damit wird das Übel an der Wurzel gepackt: Egal, ob in einer Mail Text, Bilder oder gar Töne verschickt werden, das typische Verbreitungsmuster von Spam- und Virenmails bleibt gleich. Und wenn ein von G Data geschützter Client-Rechner online geht, werden diese Mails automatisch blockiert.

Anhand der Verbreitungsmuster können Spam- und Malware-Ausbrüche schneller gestoppt werden als mit Signatur-basierten Verfahren.

Dieser Schutz greift schon, bevor ein Schadprogramm analysiert wurde und eine Signatur vorliegt. Der eigentliche signaturbasierte Virenscanner bildet die zweite Verteidigungslinie. Und die ist bei G Data gleich doppelt vorhanden: Die Bochumer kombinieren zwei Scan-Engines, die sie von Partnern lizensieren. Und auch dabei hilft ihre gigantische Virensammlung: Im Security Lab laufen immer wieder Tests, bei denen sich verschiedene Virenscanner an den vier Millionen Schadprogrammen abarbeiten. Die zwei besten werden ins Produkt eingebaut. »Die Heuristik, bei der Schadprogramme aufgrund von ‘Faustregeln’ entdeckt werden, bildet dann die letzte Verteidigungslinie«, erläutert Benzmüller. Und fragt kurz vor Feierabend noch die Virensamples des Tages an seiner Datenbank ab: 21.540 waren es heute.