Arbeitsweise von Antivirenprogrammen

Antivirenprogramme arbeitsweise
Virenscanner Technik
Neben dem steigenden Gesamtschaden durch Virenangriffe ist heute eine der wichtigsten Tendenzen die schon mehr als 15 Jahre unaufhörlich wachsende Zahl der schädlichen Programme. Es gibt immer mehr Schädlinge und diese selbst sind viel gefährlicher geworden. Logischerweise war eine entsprechende Reaktion seitens der Antiviren-Industrie zu erwarten, die tatsächlich eine Reihe neuer Herangehensweisen an den Schutz vor Virenangriffen vorschlug. Zu ihnen gehören die so genannten proaktiven Technologien, eine erhöhte Reaktionsgeschwindigkeit auf das Erscheinen besonders gefährlicher Schädlinge, aber auch häufigere Updates der Antiviren-Datenbanken. In diesem Artikel wird die proaktive Technik detailliert betrachtet, die von manchen Herstellern als Allheilmittel für alle existierenden und überhaupt möglichen Viren gepriesen wird. In modernen Antivirus-Programmen werden zwei grundlegende Vorgehensweisen zum Entdecken von Schädlingen genutzt – Signaturen und die proaktive/heuristische Methode.

Signaturen Analyse

Das Arbeitsprinzip der ersten Methode ist relativ einfach: Die auf dem Computer des Nutzers zu überprüfenden Objekte werden mit Schablonen (Signaturen) bekannter Viren verglichen. Diese Technologie setzt die ununterbrochene Entdeckung neuer Schädlinge, ihre Beschreibung und Aufnahme in die Signaturen-Datenbank voraus. Bei der Antiviren-Firma müssen also der Erkennungsdienst und die Analyse schädlicher Codes (das heißt das Virenlabor) effektiv arbeiten. Wichtig sind schnelle Reaktion auf neue Gefahren, häufige Updates sowie die schnelle und vollständige Entdeckung neuer Schädlinge.

Die Signaturenmethode hat aber auch eine Reihe von Unzulänglichkeiten. Die wichtigste ist eine gewisse Verzögerung bei der Reaktion auf neue Gefahren. Signaturen erscheinen immer etwas später als ein Virus. Sie sind ihrem Wesen nach reaktiv, moderne gefährliche Codes aber sind in der Lage, innerhalb sehr kurzer Zeit Millionen von PCs zu verseuchen.

In diesem Zusammenhang werden proaktive/heuristische Methoden zur Entdeckung von Viren immer bekannter. Dieses Verfahren erfordert keine Veröffentlichung von Signaturen, denn das Antiviren-Programm analysiert den Code des zu überprüfenden Objektes und/oder das Verhalten der gestarteten Anwendung und entscheidet auf Grundlage festgelegter Regeln, ob die vorliegende Software als gefährlich einzustufen ist. Im Prinzip gestattet es diese Technologie, noch unbekannte gefährliche Programme zu entdecken.

Es existieren einige Herangehensweisen an den proaktiven Schutz, wir betrachten die zwei populärsten: heuristische Analysatoren und Verhaltensblocker.

Heuristische Analyse

Der heuristische Analysator ist ein Programm, das den Code des überprüften Objekts auf schädliche Merkmale analysiert. Dabei kann der heuristische Analysator im Unterschied zur Signaturmethode bekannte wie auch bisher unbekannte Viren erkennen. Die Arbeit des Analysators beginnt in der Regel mit der Suche nach gefährlichen Merkmalen (Programmbefehlen) im Code, die für Malware charakteristisch sind. Diese Methode bezeichnet man als statische Analyse. Viele gefährliche Codes suchen zum Beispiel ausführende Programme, öffnen die entdeckten Dateien und verändern sie. Die Heuristik untersucht den Code der Anwendung und erhöht, wenn er auf ein verdächtiges Kommando stößt, den „Verdachtszähler“ für diese Anwendung. Wenn der Zähler nach der Untersuchung des gesamten Codes den vorgegebenen Schwellwert übersteigt, wird das Objekt als schädlich eingestuft. Der Vorteil dieser Methode liegt in der Einfachheit der Reaktion und der hohen Arbeitsgeschwindigkeit. Jedoch bleibt die Entdeckungsrate neuer schädlicher Codes relativ niedrig und die Wahrscheinlichkeit von Fehlermeldungen hoch.

Bei den modernen Antiviren-Programmen wird deshalb die statische Analyse gemeinsam mit der dynamischen genutzt. Die kombinierte Herangehensweise emuliert den Start einer Anwendung vor dem eigentlichen Start in einer ungefährlichen virtuellen Umgebung, die auch als Emulationspuffer oder Sandbox bezeichnet wird. In Marketingmaterialien der Hersteller wird auch der Begriff "Emulation eines virtuellen Computers im Computer" verwendet.

Der dynamische heuristische Analysator liest einen Teil des Anwendungscodes im Emulationspuffer und emuliert mit Hilfe spezieller Tricks seine Ausführung. Wenn dabei irgendwelche verdächtigen Aktionen entdeckt werden, wird das Objekt als schädlich eingestuft und sein Start auf dem Computer des Anwenders blockiert.

Im Unterschied zur statischen Methode stellt die dynamische höhere Anforderungen an den PC-Speicher, da zur Analyse ein ungefährlicher virtueller Raum genutzt werden muss, der eigentliche Start der Anwendung auf dem PC jedoch für den Zeitraum der Analyse unterbrochen wird. Dennoch ist das Niveau der Schädlingsentdeckung bei der dynamischen Methode bedeutend höher als bei der statischen, die Wahrscheinlichkeit von Fehlermeldungen wesentlich geringer. Abschließend müssen wir auch sagen, dass die ersten heuristischen Analysatoren in Antiviren-Programmen schon vor ziemlich langer Zeit erschienen und heutzutage als mehr oder weniger vollkommene Heuristiken in allen Antiviren-Lösungen realisiert sind.

Verhaltensblocker

Der Verhaltensblocker ist ein Programm, das das Verhalten der gestarteten Anwendung analysiert und beliebige gefährliche Aktionen blockiert. Im Unterschied zu heuristischen Analysatoren, die verdächtige Handlungen im Emulationsmodus (dynamische Heuristik) untersuchen, arbeiten Verhaltensblocker unter realen Bedingungen.

Das Wirkungsprinzip der ersten Verhaltensblocker war einfach: Bei der Entdeckung einer potenziell gefährlichen Aktion wurde dem Nutzer die Frage "Diese Aktion zulassen oder verbieten?" gestellt. In vielen Fällen klappte diese Vorgehensweise, aber auch legitime Programme (bis hin zum Betriebssystem) führten "verdächtige" Aktionen aus. Deshalb riefen die Fragen des Antiviren-Programms Unverständnis hervor, wenn der Nutzer nicht über die notwendige Qualifikation verfügte. Die neue Generation von Verhaltensblockern analysiert nicht nur einzelne Aktionen, sondern die Abfolge von Handlungen. Mit anderen Worten: Die Schlussfolgerung über die Gefährlichkeit einer Anwendung erfolgt auf der Basis einer komplizierteren Analyse. So gelingt es, die Anzahl der Nachfragen beim Nutzer bedeutend zu verringern und die Zuverlässigkeit zu erhöhen.

Moderne Verhaltensblocker sind in der Lage, ein breites Spektrum von Ereignissen im System zu kontrollieren: Vor allem potentiell gefährlicher Aktivitäten (Verhaltensanalyse aller gestarteten Prozesse, Speicherung aller Veränderungen im Dateisystem und in der Registry).

Wird eine verdächtige Aktion gestartet, erhält der Nutzer eine Warnung über dessen Gefährlichkeit. Zudem erfasst der Blocker auch das Eindringen des schädlichen Programmcodes in fremde Prozesse und entdeckt alle so genannten Rootkits, also Programme, die die Arbeit des schädlichen Codes in Dateien, Ordnern und der Registry verbergen sowie gestartete Programme, Systemdienste, Treiber und Netzverbindungen verstecken.

Besonders hervorzuheben bei Verhaltensblockern ist die Integritätskontrolle von Anwendungen und Systemregistry. Im zweiten Fall kontrolliert der Blocker die Veränderung der Registry-Schlüssel und gestattet es, Zugangsregeln für verschiedene Anwendungen aufzustellen. Dadurch können gefährliche Veränderungen nach der Erkennung rückgängig gemacht werden. Auf diese Weise kann das System sogar nach schädlichen Aktionen unbekannter Programme wiederhergestellt und in den nichtinfizierten Zustand zurückgeführt werden.

Zusammengefasst kann man sagen: Ein Verhaltensblocker kann die Verbreitung sowohl bekannter als auch unbekannter Viren verhindern, was unbestritten einen Vorteil dieser Verteidigungsmethode darstellt. Wichtigster Nachteil von Verhaltensblockern: Oft erkennen sie auch Aktionen legitimer Programme als Gefahr. Zusätzlich ist zur endgültigen Einstufung über die Gefährlichkeit einer Anwendung eine Entscheidung des Nutzers erforderlich, was eine ausreichende Qualifikation voraussetzt.

Der proaktive Schutz und Lücken in der Software

In Werbe- und Marketingmaterialien von Antiviren-Herstellern findet man oft die Erklärung, dass der proaktive/heuristische Schutz das Allheilmittel bei allen neuen Gefahren sei, kein Update benötige und folglich immer bereit sei zur Abwehr von Angriffen. Darüber hinaus ist in Broschüren und Faltblättern oft die Rede so genannten Zero-Day-Gefahren. Die Entwickler garantieren also, dass ihre proaktiven Technologien in der Lage sind, sogar jene schädlichen Codes zu stoppen, die bisher unbekannte Sicherheitslücken ausnutzen, für die noch kein entsprechender Patch herausgegeben wurde.

Leider ist diese Darstellung nicht ganz richtig. Denn oft ist der Kampf gegen gefährliche Codes dargestellt als Kampf zwischen Virenschreibern und automatischen Gegen-Methoden (proaktiv und heuristisch). In Wirklichkeit tobt der Kampf zwischen den Personen: Virenschreibern und Antiviren-Experten.

Wir haben bereits verschiedene Methoden des proaktiven Schutzes betrachtet: Heuristik und Verhaltensblocker. Ihnen zugrunde liegt das Wissen über verdächtige Aktionen, die Malware üblicherweise kennzeichnen. Die Wahrheit ist jedoch, dass dieses Wissen durch die Analyse des Verhaltens bereits bekannter Viren gewonnen und von den Antiviren-Experten in den Programmen hinterlegt wird. Somit sind proaktive Technologien trotzdem hilflos gegenüber neuen Schädlingen, die neue Infektions-Methoden ausnutzen. Das sind die typischen Zero-Day-Gefahren. Außerdem finden die Virenschreiber zielgerichtet neue Möglichkeiten, existierende Verhaltensregeln in den Antiviren-Programmen zu umgehen, was zusätzlich die Effektivität proaktiver Methoden bedeutend verringert.

Zusammenfassend ist festzustellen, dass die Antiviren-Entwickler gezwungen sind, die Sammlung von Verhaltensregeln ständig zu erneuern und die Heuristik der Programme zu aktualisieren, um auf neue Gefahren effektiv reagieren zu können. Zweifellos erfolgt diese Aktualisierung seltener als die gewöhnlichen Signaturen-Updates. Dennoch erfolgt sie regelmäßig und durch die laufend steigende Zahl neuer Gefahren werden Heuristik-Updates in Zukunft immer öfter erscheinen. Im Ergebnis ist also auch das eine Art Signaturmethode, nur dass aus Signaturen Verhaltensmuster werden.

Durch das Verschweigen dieses Fakts, führen einige Antiviren-Hersteller sowohl ihre Kooperationspartner als auch Anwender und Presse in die Irre. So wird eine nicht ganz wahre Vorstellung von den Möglichkeiten des Antiviren-Schutzes geschaffen.