Herkömmliche Virenscanner reagieren meist auf Codesequenzen, die für einen bestimmten Virus charakteristisch sind. Heuristische Systeme suchen dagegen nach einer bestimmten Anzahl von Merkmalen, die das Infektionsverhalten mit sich bringt. Dabei ist jedoch die Fehlalarmquote sehr hoch, da eine Analyse des Virus fehlt und auch reguläre Dateien virenähnliche Aktionen ausführen können.

Dies soll die Sandbox vermeiden. In einer virtuellen Umgebung werden verdächtige Files in einer Art Quarantänestation gefahrlos getestet. Repliziert sich ein File in der Sandbox und ist das entstandene Duplikat wieder infektiös, handelt es sich um einen Virus. In diesem Fall wird die Datei nicht an das reale System weitergeleitet.

Gerade bei der Analyse hybrider Viren wie Code Red oder Nimda ist das Verfahren sehr aufwändig, denn es muss zum Beispiel ein komplettes Netz simuliert werden. Der Aufwand rentiere sich nicht bei jedem Virenverdacht, sagen Experten. Somit eignen sich Sandboxen in erster Linie als Ergänzung zu herkömmlichen Scannern.

Mehr zum Thema Sicherheit lesen Sie auf www.computerwoche.de in der Rubrik "Produkte + Technologien". (lex)