Nach dem Prinzip des klassischen Virenschutzes werden Proben digitaler Schädlinge gesammelt, analysiert und Muster beziehungsweise Signaturen generiert, die es möglichst schnell an die Benutzer zu verteilen gilt. Ein großes Problem, mit dem die Antiviren-Industrie (AV) in diesem Kontext zu kämpfen hat, ist die immer rasanter steigende Zahl von Schadprogrammen wie Trojanern, Würmern und Viren. "Hatten wir es vor einigen Jahren noch mit ein paar hundert Malware-Samples pro Monat zu tun, die analysiert werden mussten, tauchen heute monatlich oft 150.000 bis 200.000 neue Dateien auf", weiß Andreas Marx, Geschäftsführer der AV-Test GmbH, zu berichten. Das Unternehmen testet Sicherheitslösungen auf ihre Effektivität bei der Malware-Erkennung.

Nicht nur mit immer neuen, teils automatisiert generierten Schädlingsvarianten, sondern auch durch Komprimierung und Verschlüsselung wollen Malware-Autoren zu verhindern, dass signaturbasierende Virenscanner ihren Schadcode erkennen und eliminieren. Im Bemühen, mit den multiplen Malware-Varianten Schritt zu halten, versuchen die AV-Anbieter, mit einer breit gefassten Signatur möglichst viele davon abzudecken. Doch durch den Einsatz bestimmter Compiler werden die Schädlingsvarianten oft so verändert, dass sie jeweils ein eigenes Pattern erfordern. Raimund Genes, CTO von Trend Micro, kann davon ein Lied singen: "Bei uns sind das an manchen Tagen 2000 neue Signaturen."

Dieser Frequenz und Vielfalt ist das klassische AV-Verfahren kaum noch gewachsen. "Allein mit signaturbasierendem AV laufen wir Gefahr, immer hinterherzuhinken – man muss ja stets warten, bis etwas kommt", bringt es Candid Wüst, Security Response Engineer bei Symantec, auf den Punkt. Der komplette Verzicht auf Malware-Patterns kommt für die Sicherheitsanbieter allerdings nicht in Frage: Nicht nur als Grundschutz gegen bekannten Schadcode, auch für die nach einer Infektion erforderliche Systemsäuberung werden Pattern-basierende Verfahren den Anbietern zufolge stets eine wichtige Rolle spielen. "Das ist die einzige Technik, mit der man Malware sauber identifizieren und Systeme wieder bereinigen kann", so Toralv Dirro, Security Strategist Emea bei McAfee.

Neue Bedrohungen erfordern neue Gegenwehr

Konsens herrscht aber auch über die Notwendigkeit, das Signaturprinzip durch neue vorbeugende Schutzmaßnahmen zu ergänzen. Aus diesem Grund konzentriert sich die AV-Branche seit einiger Zeit darauf, ihr Anti-Malware-Portfolio um proaktive Verfahren aufzurüsten, um auch unbekannte, noch nicht registrierte Schädlinge entlarven und abwehren zu können.

Als Vorreiter gilt hier Norman Data Defense Systems. Der norwegische Sicherheitsanbieter hat bereits vor rund vier Jahren mit seiner "Sandbox" eine Technik entwickelt, die - der signaturbasierenden Erkennung nachgeschaltet - eine komplette Kommunikationsumgebung in einem virtuellen Prozess darstellt. Dabei werden PC-Systeme, aber auch Rechner- oder Peer-to-Peer-Netze und sogar Tauschbörsen simuliert. "Kann die signaturbasierende Erkennung keine Zuordnung ‚gut/böse’ liefern, darf sich die unbekannte Datei in diesen virtuellen Umgebungen austoben", erläutert Stefan Angerer, Geschäftsführer bei Norman Deutschland, das Prinzip. Anhand der dort ausgeführten Routinen trifft das System, das eine Erkennungsrate zwischen 60 und 70 Prozent leisten soll, eine Wahrscheinlichkeitsentscheidung: Zeigt die Datei Malware-verdächtiges Verhalten, indem sie etwa Registry-Einträge modifiziert, Kommunikationsports öffnet oder Adressbücher ausliest, wird sie vom Rechner des Benutzers ferngehalten.

Neu ist die auf der Sandbox basierende, seit Juni erhältliche Software "Norman Network Protection" (NNP), die den Datenverkehr in Firmennetzen nahezu ohne Latenz auf Malware scannen soll. Technisch handelt es sich Angerer zufolge dabei um eine auf Layer 2 laufende Bridge, die sich von dort bis auf Applikationsebene hocharbeitet und alles inspiziert. Anders als Proxy-Lösungen hält die Software hierzu nicht den gesamten Datenstrom, sondern lediglich die für den Schadcode-Check erforderlichen Daten zurück. Das Linux-basierende NNP lässt sich an der Grenze zum Internet einsetzen, aber auch zwischen einzelne Netzbereiche schalten. Daher sei es möglich, etwa auch die Produktionsumgebung Malware-frei zu halten, so Angerer.

Laut Righard Zwienenberg, Chief Research Officer bei Norman, beschäftigt sich der Hersteller zudem mit einer neuen Technik namens "Raw Cable Scanning". "Dabei wird das Internet-Kabel in eine Box geführt, die die gesamte Kommunikation – unabhängig vom Protokoll – nahtlos und vom Endanwender unbemerkt auf Schadcode scannt", so der Sicherheitsforscher.

Auch Symantec arbeitet seit geraumer Zeit an Verfahren zur Analyse von Applikationsverhalten und Netzkommunikation, um potenzielle Angriffe bereits im Vorfeld erkennen und abwehren zu können. Als Beispiel führt Guido Sanchidrian, Manager Produkt-Marketing AV bei Symantec, die unter anderem in die für diesen Herbst angekündigte Sicherheitssuite Endpoint Protection 11.0 integrierte Technik "Generic Exploit Blocking" (GEB) auf. Die schwachstellenbasierende, auf Netzebene integrierte IPS-Technik (Intrusion Prevention System) soll das Ausnutzen von Sicherheitslücken verhindern, bevor darüber Schadcode in Systeme eindringen kann. "Die Technik blockt also generell das Ausnutzen einer Schwachstelle – egal wodurch", so Sanchidrian. Die von WholeSecurity übernommene Symantec-Technik "Proaktive Threat Scan" wiederum soll bösartigen Code ohne Signaturen erkennen und blockieren und so einem Virenausbruch vorbauen.

Ein Beispiel für die proaktiven Bemühungen von Seiten des Mitbewerbers Sophos stellt das Host-basierende Intrusion-Prevention-System (HIPS) "Behavioral Genotype Protection" dar. Im Gegensatz zu anderen HIPS-Lösungen, die laufenden Code überwachen und Programme, die verdächtige Verhaltensmuster aufweisen, erst nach ihrem Auftreten unterbrechen, soll die Sophos-Technik von vornherein verhindern, dass Schadprogramme auf dem PC ausgeführt werden. Laut Hersteller kann das System digitale Schädlinge sowohl am Gateway als auch auf File-Servern identifizieren und löschen, ehe sie auf den Endpunkt gelangen und dort Schaden anrichten. Um False Positives zu vermeiden, gleicht das System seine Regelverzeichnisse gegen eine umfassende Datenbank mit erlaubtem Code ab.

Direct-Action-Trojaner

Eine künftige Bedrohung – insbesondere angesichts der neuen Schutzmechanismen in Vista – sieht Dirro von McAfee in Angriffen, bei denen so genannte "Direct Action Trojaner" nicht mehr versuchen, sich auf dem System einzunisten oder dieses zu modifizieren, sondern lediglich die Daten, auf die der Benutzer zugreifen muss, abgreifen und verschicken. "Solche direkten Attacken erfordern dann auch keine großartigen Exploits mehr", so Dirro. Entsprechend wichtig seien proaktive Techniken, die verhinderten, dass Daten und geschützte Dokumente etwa per E-Mail oder Peer-to-Peer das System verlassen. Hohe Bedeutung misst der Sicherheitsstratege in diesem Kontext dem Bereich Data Loss Prevention (DLP) bei., einem Bereich, in dem der Security-Anbieter bereits sehr aktiv ist.

Eine interessante neue Technik, die sich ähnlich der Sandbox auf Virtualisierung stützt, stellt das an der University of Washington entwickelte Tool "SpyProxy" dar. Als virtuelle Maschine zwischen dem Browser des Endnutzers und einer Web-Seite soll das System jede Applikation, die der Browser ansteuert, herunterladen und testen, um potenzielle Angriffe zu verhindern. Den Entwicklern zufolge kann SpyProxy jede Art von Web-Seite innerhalb von Sekunden auf Malware-verdächtige Attribute untersuchen und im Ernstfall blocken.

Kein Ende des Wettrüstens in Sicht

Ein Ende des "Wettrüstens" zwischen Cyberkriminellen und der AV-Industrie ist Experten zufolge allerdings nicht abzusehen. Analog zu den AV-Programmen entwickeln sich auch die Selbstschutzmechanismen von Malware rasant weiter. So erwartet Kaspersky Lab, dass sich etwa Rootkit-Techniken zur Tarnung von im System agierenden Schadprogrammen mittels Virtualisierung intensiv weiterentwickeln. Verschleierung und Verschlüsselung als Mittel, die Code-Analyse zu erschweren, werden nach Einschätzung der Sicherheitsforscher ebenfalls aktuell bleiben. Zudem rechnet Kaspersky mit verstärktem Widerstand gegen auf Verhaltensanalysen basierende Schutzlösungen. Dort seien neue Techniken zu befürchten, da die derzeit verwendeten Ansätze – etwa zielgerichtete Angriffe auf AV-Programme – nicht wirksam genug sind. Dabei könnte es sich um Methoden zur Erkennung virtueller Umgebungen oder auch das Verschlüsseln von Verhaltensmustern handeln.