computerwoche.de

Security

Malware: Vorbeugen statt heilen

23.08.2007
Angesichts der rasant steigenden Zahl digitaler Schädlinge stoßen die traditionellen Methoden der Malware-Erkennung an ihre Grenzen. Künftige Schutzkonzepte sollen Angriffe früher abwehren.

Nach dem Prinzip des klassischen Virenschutzes werden Proben digitaler Schädlinge gesammelt, analysiert und Muster beziehungsweise Signaturen generiert, die es möglichst schnell an die Benutzer zu verteilen gilt. Ein großes Problem, mit dem die Antiviren-Industrie (AV) in diesem Kontext zu kämpfen hat, ist die immer rasanter steigende Zahl von Schadprogrammen wie Trojanern, Würmern und Viren. "Hatten wir es vor einigen Jahren noch mit ein paar hundert Malware-Samples pro Monat zu tun, die analysiert werden mussten, tauchen heute monatlich oft 150.000 bis 200.000 neue Dateien auf", weiß Andreas Marx, Geschäftsführer der AV-Test GmbH, zu berichten. Das Unternehmen testet Sicherheitslösungen auf ihre Effektivität bei der Malware-Erkennung.

Hier lesen Sie

  • wo die herkömmlichen Verfahren der Malware-Erkennung schwächeln;

  • warum zusätzliche Gegenwehr erforderlich wird;

  • welche Pfeile die AV-Industrie im Köcher hat.

Die Zahl der bei der AV-Test GmbH eingegangenen neuen, einzigartigen Malware-Samples ist seit Ende 2004 von monatlich 10 000 auf rund 225 000 Exemplare gestiegen - das entspricht nahezu 7500 Samples pro Tag.
Die Zahl der bei der AV-Test GmbH eingegangenen neuen, einzigartigen Malware-Samples ist seit Ende 2004 von monatlich 10 000 auf rund 225 000 Exemplare gestiegen - das entspricht nahezu 7500 Samples pro Tag.

Nicht nur mit immer neuen, teils automatisiert generierten Schädlingsvarianten, sondern auch durch Komprimierung und Verschlüsselung wollen Malware-Autoren zu verhindern, dass signaturbasierende Virenscanner ihren Schadcode erkennen und eliminieren. Im Bemühen, mit den multiplen Malware-Varianten Schritt zu halten, versuchen die AV-Anbieter, mit einer breit gefassten Signatur möglichst viele davon abzudecken. Doch durch den Einsatz bestimmter Compiler werden die Schädlingsvarianten oft so verändert, dass sie jeweils ein eigenes Pattern erfordern. Raimund Genes, CTO von Trend Micro, kann davon ein Lied singen: "Bei uns sind das an manchen Tagen 2000 neue Signaturen."

Dieser Frequenz und Vielfalt ist das klassische AV-Verfahren kaum noch gewachsen. "Allein mit signaturbasierendem AV laufen wir Gefahr, immer hinterherzuhinken – man muss ja stets warten, bis etwas kommt", bringt es Candid Wüst, Security Response Engineer bei Symantec, auf den Punkt. Der komplette Verzicht auf Malware-Patterns kommt für die Sicherheitsanbieter allerdings nicht in Frage: Nicht nur als Grundschutz gegen bekannten Schadcode, auch für die nach einer Infektion erforderliche Systemsäuberung werden Pattern-basierende Verfahren den Anbietern zufolge stets eine wichtige Rolle spielen. "Das ist die einzige Technik, mit der man Malware sauber identifizieren und Systeme wieder bereinigen kann", so Toralv Dirro, Security Strategist Emea bei McAfee.