Wie Virusjäger den Schurken das Handwerk legen (Teil 3)

Sie wissen jetzt, wie Avira von neuen Malware-Arten erfährt und wie wir ein Gegenmittel entwickeln. Aber wie werden Malware, Keylogger und Identitätsdiebstahl denn auf Ihrem Computer oder Mobilgerät tatsächlich gestoppt? Das ist die Aufgabe von Aviras Software-Agenten – den Sie am roten Regenschirm-Logo auf Ihren Geräten erkennen können.

Während der Datenverkehr in Ihr Gerät hinein und wieder hinaus strömt, prüfen wir ihn – die E-Mail-Dateien, die Sie empfangen und senden, die Webseiten, die Ihr Browser aufruft und alle externen IP-Adressen, die Zugriff auf Ihre Ports fordern. Aber keine Sorge: Für unsere Maschinen ist dieser Datenverkehr nur eine Ansammlung von verschlüsselten 1en und 0en, also ist Ihre Privatsphäre sicher. Unsere Suchengines in Ihrem Avira Agenten verwenden drei grundlegende Verfahren, um Gefahren zu entdecken und zu verhindern, dass Ihr Gerät Schaden nimmt:

  1. Sie scannen den Datenverkehr und überprüfen ihn auf Signaturen, die zu einer Datenbank mit bereits bekannten Viren und Trojanern passen;
  2. Sie überwachen Programme auf Ihrem Gerät, die anfangen, verdächtiges Verhalten zu zeigen, z. B. Änderungen an der Registry oder Entpacken von zusätzlicher kodierter Malware;
  3. Sie analysieren den Programmcode (manchmal auch als disassemblieren bezeichnet), um nach schädlichen Elementen zu suchen. Diese Analyse ist oft sehr komplex und wird normalerweise auf unseren Hochleistungsservern in der Cloud erledigt, wobei die Ergebnisse unverzüglich an Ihr Gerät zurückgesendet werden.

All diese oben beschriebenen Vorgänge geschehen auf Ihrem Computer in Millisekunden, was ziemlich faszinierend ist, wenn man genauer darüber nachdenkt.

Ich habe oben einige Schlüsselbegriffe unterstrichen, da viele Menschen, die etwas über Antivirus- und Sicherheitssoftware gelesen haben, sie schon einmal gehört haben. Wenn Sie interessiert sind, werde ich nun auf jeden dieser Begriffe etwas genauer eingehen.

Die signaturbasierte Erkennung ist das am häufigsten verwendete Antivirus-Verfahren. Jede Malware hat einen einzigartigen Fingerabdruck – dabei kann es sich um eine bestimmte Abfolge von Bytes im Code handeln, einen kryptographischen Hash der Datei oder ein anderes identifizierbares Element – und dieser Fingerabdruck kann mit einer Datenbank von bereits bekannten Viren und Trojanern abgeglichen werden. Der Vorteil der signaturbasierten Erkennungsmethode ist, dass sie bei bekannter Malware schnell und zu 100 % wirksam ist. Der Nachteil ist, dass sie keine Viren oder Malware aufhalten wird, die noch unbekannt sind – und die Schurken sind gut darin, ihre Exploits zu manipulieren, um so der Erkennung zu entgehen aber die Funktionalität trotzdem beizubehalten. Die signaturbasierte Erkennung ist also eine effiziente erste Hürde, aber sie muss zusammen mit anderen Erkennungsmethoden verwendet werden.

Die verhaltensbasierte Erkennung (manchmal auch als heuristische Erkennung bezeichnet) identifiziert Malware, indem sie verdächtiges Verhalten erkennt – wie z. B. Versuche, die hosts-Datei zu ändern oder Verbindungsdaten an dubiose IP-Adressen zu senden. Heuristische Erkennung bedeutet im technischen Sinne, Dateien ohne eine genaue Signatur-Übereinstimmung statistisch zu untersuchen. Obwohl ein einzelnes Verhaltensmuster oder eine Beobachtung nicht ausreichen, um eine Datei als Malware zu identifizieren, kann das Zusammenspiel von heuristischer und verhaltensbasierter Erkennung Dateien kennzeichnen und Werte addieren. Durch das Erstellen von Schwellwerten und dem Beenden allen ausführbaren Codes, die diese Grenzen überschreiten, kann das Antivirus-Tool das Vorhandensein bisher unbekannter Malware oder Viren erkennen und so Ihr System geschützt zu halten.

Die Cloud-basierte Erkennung sammelt potenzielle Malware-Beispiele von Ihrem Computer und sendet sie zur Analyse an Aviras Hochleistungsserver. Dieses Verfahren minimiert die Belastung Ihres Avira Software-Agenten, sodass Ihr Computer schneller läuft. Aviras Cloud-Engine kann Muster beobachten und mit den Daten von Millionen anderer Avira Nutzer in Beziehung setzen. Das bedeutet, dass jeder einzelne Nutzer von Avira Antivirus von den gemeinsamen Erfahrungen der gesamten Avira Community profitiert. Ein weiterer Vorteil davon, manche Analysen an die Cloud zu senden ist, dass es für die Schurken schwieriger wird, ihre Malware zurückzuentwickeln und an unseren Scan-Engines zu testen, ohne sich zu identifizieren.

In der Praxis kommen all diese Verfahren in einem „mehrschichtigen“ Ansatz gemeinsam zum Einsatz, durch den Avira laut den unabhängigen Tests von AV-Comparatives von März 2014 eine beinahe perfekte Erkennungsrate von 99,8 % vorweisen kann.

Dieser Artikel ist auch verfügbar in: Englisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.