Outbreak: Der tägliche Kampf gegen neue Viren
(21.12.2004) zurück
Virenautoren und Antivirenhersteller spielen täglich Katz und Maus miteinander. Rund 1.500 bis 1.700 neue Schädlinge („Malware“) werden derzeit pro Monat isoliert und bekämpft. Die COMPUTERWELT.at hat mit dem Cheftechniker des Österreichischen Antivirenherstellers Ikarus, Thomas Mandl, darüber gesprochen, was im Falle des Falles hinter den Kulissen abläuft.


STUNDE NULL: NEUER Virus SCHLÄGT ZU
Antivirenhersteller betreiben stets ein Frühwarnnetz mit zahlreichen Sensoren und weitläufig verbreiteten E-Mail Adressen. Trifft auf einer dieser Adressen ein Schädling ein, dann wird er als erstes im Ikarus Virencenter durch vier verschiedene Scanner gejagt. Laut Thomas Mandl, dem CTO von Ikarus, handelt es sich dabei auch um Scan-Engines von Mitbewerbern, denn „vier Scanner sehen mehr als einer“. Zudem habe jeder Hersteller unterschiedliche Schwerpunkte – amerikanische würden etwa keine schädliche Dialer filtern. Schafft es ein Virus, trotzdem durch den starken Filter zu kommen, erhalten ihn die Techniker als Mail: und schon klingelt es im Outlook. Normalerweise klingelt es alle 30 Minuten. Kommt es aber tatsächlich zu einem Outbreak, dem Eintreffen eines unbekannten Virus, klingelt es im Sekundentakt: Tausende Mails pro Stunde durchschlagen die Filter, wie zum letzten Mal bei Sober-I am 16. Dezember 2004. Nun heißt es Alarm: Die User sind ungeschützt.

NULL PLUS 10 MINUTEN: ANALYSE BEGINNT
Nach zehn Minuten kann man aufgrund der Menge der Sensor-Mails erkennen, ob es sich um einen neuen Virus handelt. Nun beginnt die Analysearbeit für die herbeigelaufenen Techniker. Mandl: „Dabei geht es aber nicht darum, den Virus zu verstehen, sondern sofort ein Gegenmittel zu finden, das auch wirkt“. Doubletten-Mails werden gelöscht, und Absender-Adressen, Subjects und Textinhalte gesammelt. Aus dem vorhandenen Material wird eine Signatur erstellt, sprich „eine eindeutige Abfolge von Bytes, die den Virus ausmacht“. Die Signatur ist in etwa mit einer Checksum zu vergleichen, aber nicht über die ganze Länge, sondern nur über einen Teil der Mail . Normale „Frischviren“ lassen sich in 30-60 Minuten fixen. Für polymorphe oder verschlüsselte Viren kann es jedoch weit länger dauern. Dann müssen heuristische Analysen gemacht werden, bzw. wird das Verhalten des Virus auf einem Testsystem beobachtet, bis seine Vorgehensweise ganz verstanden wurde. Laut Mandl kommt dies in etwa zehn Prozent der Fälle vor. Für ganz ausgebuffte Viren sitzen die Hersteller mitunter Wochen, bis es eine treffende Signatur gibt. Denn diese erkennen und reagieren mitunter selbst auf virtuelle Testumgebungen der Antivirenhersteller (VM-Ware).

NULL PLUS 60 MINUTEN: SIGNATUR ISOLIERT
Haben die Techniker eine Signatur gefunden, wird diese erst einmal getestet. Dazu wird sie auf eine starke Multiprozessor-Maschine gebracht, welche ein riesiges Referenz-Set an unterschiedlichen Computer-Konfigurationen enthält. Ist die Signatur nämlich zufällig dieselbe wie eine Abfolge ZB unter Word 2003 auf Windows XP, muss nachgebessert werden. Erst wenn der Replikations-Test erfolgreich bestanden wurde – was nicht länger als zwei Minuten dauert - gilt die Signatur als OK.

Die Hersteller von Antivirensoftware sehen den Run auf die erste funktionierende Signatur durchaus als sportlichen Wettbewerb. Mandl: „Wer als erster die Signatur hat, hängt mitunter allerdings auch von der Zeitzone ab. Wenn er in Asien als erstes auftritt, haben ihn auch die dortigen Virenscanner als erstes.“

NULL PLUS 70 MINUTEN: Scanner WERDEN GEIMPFT
Als erster erhält das webbasierte MyMailWall-System das wichtige Signatur-Update. Zahlreiche Provider, unter anderem auch die Telekom Austria, binden den Mailverkehr von tausenden Kunden über ein Premium-Service darüber an. Sie sind somit automatisch geschützt. Wenig später stehen die Updates dann auch auf der Homepage und den Update-Servern zum Download bereit. Die Ikarus-Clients der Homeuser holen sich die neuen Signaturen dann je nach Einstellung zehn Minuten bis einen Tag später.

Mit freundlicher Genehmigung von Computerwelt.at
Alle Meldungen zum Thema
Sicherheit/Datensicherheit
> Bei JPG kommt der Alarm zu spät

> Die digitale Signatur - Einführung

> Die sieben Security-Todsünden am Computerarbeitsplatz - Checkliste

> Digitale Signatur

> Digitale Signatur

> Ein Spürhund für geklaute Laptops

> Entwickler der Internet-Würmer

> Filtermethoden für Spam

> Firmen trauen Microsoft's Service Pack 2 nicht

> Handyviren: Reale Gefahr oder Panikmache?

> Hochkritische Sicherheitslücke in Acrobat und Adobe Reader

> Internet Explorer büßt für seine Sicherheitslücken

> Leichter Rückgang bei Spam und Viren

> Leitfaden zu rechtlichen Pflichten in Sachen IT-Sicherheit

> Mehr Sicherheit im Internet durch Websiteerstellung ohne aktive Inhalte

> Outbreak: Der tägliche Kampf gegen neue Viren

> Schutzschild für Wireless-LANs

> Security-Check für Unternehmen

> Security-Tipps: So machen Sie das WLAN „dicht“

> Sicherheit beim Online-Banking

> Sicherheitsbedenken bremsen weitere VoIP-Verbreitung

> Sicherheitslücken in Firefox geschlossen

> Skype gefährdet Unternehmensnetze

> Spammer missbrauchen Anti-Spam-Tools

> Spuren im Cyberspace

> Tipps zur sicheren Nutzung von VoIP

> Trojaner schleicht sich über JPG-Bilder auf PCs

> Virenbekämpfung aus der Ferne mit McAfee

> Welche Internet-Bedrohungen kommen auf uns zu?

> WLAN-Sicherheitsrisiko WEP

 
innovation marketing manfred eibl, A-8054 Graz, Ferdinand-Prirsch-Straße 46, administration@innovation-marketing.at, T (+43 316) 225 725-0, F (+43 316) 225 725-16

  created with ed-it.® 4.0-p2-20120123