An der Enttarnung unbekannter Viren beißen sich herkömmliche Antivirenscanner heute noch die Zähne aus. Sie reagieren meist auf Codesequenzen, die für einen bestimmten Virus charakteristisch sind. Einen zweiten Ansatz stellen heuristische Systeme dar: Sie suchen nach einer bestimmten Anzahl von Merkmalen, die das Infektionsverhalten mit sich bringt - zum Beispiel: eine Datei öffnet eine andere und trägt etwas ein. Das kann aber auch eine ganz reguläre Datei sein. „Die Fehlalarmquote ist deshalb sehr hoch, eine Analyse des Virus fehlt“, erklärt daher Volker Krause, Geschäftsführer von Norman Data Defense, die Schwäche der meisten Verfahren.
Foto: IBM
Quarantäne für Viren
Die ebenfalls heuristische Methode der Sandbox-Systeme soll hier Abhilfe schaffen. Eine Sandbox ist eine virtuelle Umgebung, in der verdächtige Files gefahrlos getestet werden können. Sie stellt eine Art Quarantänestation für eingehende Dateien dar. Die Grundidee ist einfach: Repliziert sich ein File in der Sandbox, und ist das entstandene Duplikat wieder infektiös, handelt es sich um einen Virus. In diesem Fall wird das File nicht an das reale System weitergeleitet.