An der Enttarnung unbekannter Viren beißen sich herkömmliche Antivirenscanner heute noch die Zähne aus. Sie reagieren meist auf Codesequenzen, die für einen bestimmten Virus charakteristisch sind. Einen zweiten Ansatz stellen heuristische Systeme dar: Sie suchen nach einer bestimmten Anzahl von Merkmalen, die das Infektionsverhalten mit sich bringt - zum Beispiel: eine Datei öffnet eine andere und trägt etwas ein. Das kann aber auch eine ganz reguläre Datei sein. "Die Fehlalarmquote ist deshalb sehr hoch, eine Analyse des Virus fehlt", erklärt daher Volker Krause, Geschäftsführer von Norman Data Defense, die Schwäche der meisten Verfahren.
Quarantäne für Viren
Die ebenfalls heuristische Methode der Sandbox-Systeme soll hier Abhilfe schaffen. Eine Sandbox ist eine virtuelle Umgebung, in der verdächtige Files gefahrlos getestet werden können. Sie stellt eine Art Quarantänestation für eingehende Dateien dar. Die Grundidee ist einfach: Repliziert sich ein File in der Sandbox, und ist das entstandene Duplikat wieder infektiös, handelt es sich um einen Virus. In diesem Fall wird das File nicht an das reale System weitergeleitet.
Das Verfahren ist sicher, weil nichts physisch auf die Platte gespeichert wird, selbst wenn das Muster es versucht. Die Testumgebung muss Speichermedien, Input-Output-Manager, ROM, RAM, CPU und den Benutzer (Tastatureingaben etc.) simulieren. Der Teufel steckt jedoch im Detail: Auch wenn eine virtuelle Welt viele Aspekte abdeckt, fehlt immer irgendetwas, eine bestimmte API etwa oder ein Service. Daran können Viren unter Umständen bemerken, dass sie sich in einer virtuellen Welt befinden. Manche Erreger sind zudem wählerisch bezüglich ihrer Ziel-Files und wann sie etwas tun. Daher muss auch die Auswahl der Zieldateien in der Sandbox gut überlegt werden.
Bei hybriden Viren wie Code Red oder Nimda ergeben sich weitere Schwierigkeiten. "Hybrid" bedeutet in diesem Zusammenhang, die Viren verwenden auch klassische Hacker-Methoden zum Angriff. Sie nutzen Sicherheitslücken aus und verbreiten sich über E-Mail und Netzzugriffe. Um einem solchen Virus die Möglichkeit zur Verbreitung zu geben, muss die Simulationsumgebung diese Optionen offen lassen. Die grundlegende Frage ist also: Wie simuliert man ein Netz? Zum Glück werden nicht mehrere emulierte PCs benötigt, im Prinzip genügt ein Computer für eine LAN-Simulation. Eine Nachbildung der Schnittstellen und APIs ist allerdings erforderlich. Insbesondere muss der emulierte PC über Schreibzugriff auf geteilte Ressourcen verfügen sowie über die Option, mit einem simulierten SMTP-Server zu kommunizieren (E-Mail-Verkehr). Daraus ergeben sich verschiedene Fragen und Komplikationen. An der Umsetzung dieser Ideen arbeitet Norman Data Defense.
Für viele Anwender ist jedoch ein anderes Handicap entscheidend: Will der Anwender überprüfen, ob das Programm etwas anstellt, müsse er dabei zugucken, legt Gernot Hacker, Senior Technical Consultant bei Sophos in Nieder-Olm, den Finger in die Wunde. "Das ist weit davon entfernt, bequem zu sein oder gar praktikabel in der täglichen Anwendung." Daher schränkt auch Krause ein: "Eine solche Emulation macht man nicht für jede Datei." Der Zeit- und Rechenaufwand wäre einfach zu groß.
Ergänzende Maßnahme
Das Verfahren eignet sich somit in erster Linie als ergänzende Maßnahme zu herkömmlichen Scannern. Beim On Access Scanning, einer ständigen Überprüfung auf Viren, die im Hintergrund läuft, kommt es nicht in Frage. Aber an Mail-Gateways, wo oft mehrere Antivirenprodukte parallel eingesetzt werden, ist ein kleiner Zeitverzug akzeptabel.
Zwischen den Herstellern herrscht allerdings ein Dissens darüber, was eine Sandbox wirklich ist. "Wir sind die Einzigen, die in dieser Form eine Sandbox haben", beansprucht Krause die Technik für Norman Data Defense. Die Sandboxen anderer Hersteller seien oft regelbasierende Systeme. Dem widerspricht Hacker von Sophos: "In gewissem Umfang nutzt jeder Hersteller eine Sandbox", glaubt er. Ein Anbieter von Virenschutz-Tools simuliere beispielsweise ein Windows-Betriebssystem und überprüfe dabei lediglich, ob eine Datei versucht, E-Mails nach draußen zu schicken.
Komprimierte Dateien
Auch Sophos verwendet die Grundidee der Technik, aber auf eine noch speziellere Art und Weise. Viele Viren verstecken sich in verschlüsselten oder komprimierten Dateien, die sich erst entpacken, kurz bevor sie ausgeführt werden. Die Software "Code Emulator" erkennt, welche Dekompressionsroutine läuft. Die führt sie aus und spiegelt der Datei vor, sie sei das Betriebssystem. An dem weiteren Verhalten der Datei erkennt das Programm dann, ob es sich um einen Virus handelt. Der Vorzug dieser Spezialisierungen liegt in einer merklichen Beschleunigung des Verfahrens. "Grundsätzlich handelt es sich schon um eine gute Idee, nur eben ein bisschen Performance-hungrig", wertet Hacker abschließend und argumentiert, dass sich viele Dinge mittlerweile auch mit einer Personal Firewall in den Griff bekommen ließen.