Bereits heute vor Viren von morgen schützen Täglich tauchen tausende neuer Schädlinge und neue Varianten bekannter Malware im Internet auf. Kein Wunder: Der Versand von Viren, Trojanern, SPAM und Schadsoftware ist ein profitables Geschäft für die Virenautoren geworden.

Doch die Cyberkriminellen setzen nicht nur auf Masse – ihre „Erfindungen“ werden immer gefährlicher und trickreicher. Und dies setzt Antiviren-Hersteller unter Zugzwang. Neue, innovative Sicherheitstechnologien müssen her, um diese Bedrohungen erfolgreich bekämpfen zu können.

Das Problem:
Klassische Virenscanner halten der Malwareflut kaum noch Stand

Die unheilvolle Mischung aus der Vielzahl neuer Schädlinge, die immer gefährlicher sind und dazu in immer kürzeren Abstanden verschickt werden, setzt die Hersteller von Antivirensoftware unter gewaltigen Druck. In kürzester Zeit müssen deren Virenlabors immer mehr wirksame Gegenmittel, die so genannten Virensignaturen, entwickeln und den Anwendern zur Verfügung stellen. Experten sind sich einig, dass die klassische Malware-Bekämpfung mit Virensignaturen in der jetzigen Form nicht mehr ausreicht. Neue Technologien sind dringend vonnöten.

Die Sicherheitslücke:
Mangelhafter Schutz zwischen Virenausbruch und Signaturupdate

Viren, Würmer, Trojaner und andere Schädlinge werden permanent weiter entwickelt, damit sie die von PC-Anwendern eingesetzten Sicherheitslösungen überlisten können. Dabei halten die Virenautoren einen entscheidenden Trumpf in der Hand: Zwischen dem Versand ihrer Malware und dem Bereitstellen von Virensignaturupdates vergehen mitunter Stunden. In diesen ist der PC oder das Netzwerk besonders verwundbar. Genau hier liegt das Manko klassischer Virenscanner auf Basis von Virensignaturen. Ihr Schutz ist lediglich reaktiv und benötigt permanente Aktualisierungen - brandgefährliche „zero-day“ Attacken lassen heute jedoch kaum Zeit, ein Update abzuwarten.

Ein erster Ansatz:
Cloud Computing minimiert das kritische Zeitfenster

Die Hersteller von Antivirenlösungen sind sich dessen natürlich bewusst. Fieberhaft suchen sie nach neuen Technologien, um das kritische Zeitfenster zu minimieren. Einige Hersteller setzen deshalb auf das so genannte „Cloud-Computung“. Hierbei werden Teile der Malware-Erkennung über das Internet auf die Rechner des Antivirenherstellers ausgelagert. Voraussetzung für Cloud-Computing, ist allerdings eine aktive Internet-Verbindung – am besten eine DSL-Flatrate - um Informationen über verdächtige Dateien mit den Cloud-Servern auszutauschen.
 
Tatsächlich werden die Reaktionszeiten auf neue Schädlinge verkürzt. Letztlich basiert dies aber immer noch auf der klassischen Signaturerkennung und verliert seine Wirkung, wenn keine Internetverbindung vorhanden ist.

Einen Schritt weiter:
Moderne Heuristiken schlagen zwei Fliegen mit einer Klappe

Andere Anbieter, wie beispielsweise die slowakische ESET, setzen auf moderne heuristische Verfahren. So lassen sich auch Schädlinge entdecken, für die es noch keine Virensignaturen gibt. Dadurch wird das zeitliche Sicherheitsleck geschlossen und gleichzeitig die Abhängigkeit von Signaturen minimiert.
Die heuristische Analyse benutzt einen regelbasierten Ansatz zum Erkennen einer potenziell gefährlichen Datei (oder Nachricht im Fall der Spam-Analyse). Während die Analyse-Einheit ihre Regeln abarbeitet und die Datei mit Merkmalen möglicher Schadsoftware vergleicht, vergibt sie Punktwerte für jeden Treffer. Erreichen oder überschreiten die Punkte einen Schwellwert, wird die Datei als verdächtig markiert und entsprechend weiter verarbeitet.

Der Trick ist also, dass Malware anhand ungewöhnlicher Programmcodes entdeckt wird. Vereinfacht gesagt löschen „normale“ Programme beispielsweise keine Daten, formatieren nicht die Festplatte oder verändern keinesfalls ungefragt die Registry. Auch der Einsatz von verdächtigen Laufzeitpackern lässt Böses erahnen.

Die so genannte „Generische Virensuche“ ergänzt die heuristischen Verfahren. Der Virenscanner wird dabei mit den typischen Merkmalen bekannter Virenfamilien ausgestattet. Dies können beispielsweise häufig verwendete Funktionen oder typischen Zeichenketten sein. Der Virenscanner erkennt also mit einem Datensatz eine gesamte Malware-Familie – auch neue, bislang unbekannte Varianten.

Eine aktuelle Lösung:
Proaktive Malware-Bekämpfung am Beispiel von ESET NOD32

Proaktive Sicherheitstechnologien sind im Kommen. Sie bieten permanenten Schutz vor Malware – ohne Zeitverzögerung („zero-hour-protection“) wie bei Signatur-basierten Lösungen - und vor allem auch gegen unbekannte Malware.
 
Am Beispiel von ESET NOD32 Antivirus, einer der Vorreiter in Sachen proaktive Erkennung, lässt sich die Architektur einer modernen Sicherheitslösung am besten verdeutlichen.

Um vor neuen Bedrohungen von Beginn an Schutz zu bieten, hat ESET die „ThreatSense-Engine“ entwickelt. Die Kombination aus reaktiver und proaktiver Scan-Technologie verbindet die Vorteile beider Technologien und garantiert so hohe Malware-Erkennung, Geschwindigkeit und Stabilität.

Für die meisten bekannten Viren verfügt ThreatSense über traditionelle Signaturen. Um neue Varianten bekannter Malware-Familien proaktiv zu erkennen, nutzt ThreatSense generische Signaturen.

Moderne heuristische Methoden ermöglichen das Erkennen von bestimmten Makro- und Script-Viren. Bei komplexer Malware setzt ThreatSense auf die eingebaute „Advanced Heuristics“. Diese ist in der Lage, ausführbare Programme in einer abgesicherten Umgebung proaktiv zu decodieren und analysieren. Eine Vielzahl neuer Win32-Würmer, Backdoor-Programme, Trojaner und Rootkits können auf diese Weise von Anfang an gestoppt werden.
 
Mit Archivieren und Packen versuchen Malware-Autoren traditionelle, Signatur-basierende Scanmethoden auszutricksen. ThreatSense enthält für diesen Fall generische Unpacking- und Emulationstechnologien, um so praktisch jede versteckte Malware in laufzeitkomprimierten Paketdateien ausfindig zu machen.

Fazit
Je ausgefeilter und variantenreicher proaktiv funktionierende Produkte entwickelt werden, desto besser werden sie auch gegen zukünftige Bedrohungen schützen können. Signatur-basierte Sicherheitslösungen werden nicht durch proaktive Lösungen ersetzt, sondern erweitert. So lassen sich die Vorteile beider Technologien optimal ausnutzen.