Malware-Erkennung ohne Signaturen-Updates
 

Hallo,

ich möchte an dieser Stelle das neue IDS-System von a-squared Personal vorstellen, mit dessen Hilfe es möglich wird, ohne ständige Referenz-Updates auch neue Malware zu erkennen.

Es handelt sich dabei jedoch nicht um eine Heuristik im klassischen Sinne, die nach bekannten Mustern in den Dateien sucht, sondern um eine Verhaltensanalyse.

Das heißt, daß der Wächter live das Verhalten aller aktiven Programme überwacht. Sobald ein Programm ein Malware ähnliches Verhalten zeigt, wird es gestoppt. Der Benutzer entscheidet dann, ob er dem Programm vertrauen will oder es lieber beenden oder löschen möchte.

Eine ähnliche Technologie gibt es bisweilen nur in Panda TruPrevent, jedoch arbeitet a-squared wesentlich effizienter bei der Erkennung von Trojanern, Würmern, Dialern und Spyware.

Diese Technik kann zwar nicht sagen, welcher Trojaner, Dialer, etc. es ist, aber es kann sagen, DASS es ein Trojaner, Dialer, etc. ist.

Da vereinzelt gutartige Programme sehr stark Malware ähnliches Verhalten aufweisen, sind die Warnungen natürlich nie 100%ig. Jedoch läßt das IDS dafür auch sonst nichts durch, das von einem Virenscanner mit Signaturen-Scan nicht erkannt wird. Die Software ist somit als Zwischending zwischen Firewall und Virenscanner anzusehen. Man definiert Regeln welche Programme gestartet werden dürfen bzw. nicht, ähnlich einer Firewall. Und man kann Malware direkt erkennen, wie es eine Antiviren-Software kann. Jedoch wesentlich sicherer.

Kostenloser Download der Testversion unter www.emsisoft.de

Was ist Eure Meinung dazu?

Hallo Christian,

die Idee ist ja ansich nicht neu und wurde auch schon von securepc project angepriesen.

Eben und das ist das Problem. Entweder ist ONU fahrlässig und bestätigt selbst mit OK oder die Malware übernimmt es für 'ihn' oder das aufspringende Fenster wird durch die Malware unterbunden oder gänzlich deaktiviert.
ONUs die diese Software (Desktop Firewall usw.) oder Euer 'Zwischending' einsetzen, kennen sich mit der Materie nicht aus und die die sich auskennen, brauchen es nicht.;)

Das soll keineswegs Eure Leistung schmälern, aber es bleibt abzuwarten, ob sich dies bestätigt.

Gruß
Cidre

Ohne dieses Projekt genauer zu kennen, wage ich zu behaupten, daß es lediglich an der Oberfläche der Thematik kratzt.

Soweit der Homepage zu entnehmen ist, prüft es anhand von Datei-Heuristiken, ob sich eine EXE an eine andere draufgepatcht hat. Bei der Scriptvirus-Erkennung wird offenbar nur in der Datei nachgesehen, ob einzelne APIs verwendet werden.

Die Tatsache, daß es auf dem .NET Framework aufbaut, spricht auch nicht gerade für das Produkt. ;)

a-squared setzt sich quasi zwischen das Betriebssystem und den aktiven Programmen und überwacht live alle potenziell gefährlichen Aktionen der laufenden Prozesse. Es ist auf das Verhalten von verschiedenen Malware-Typen trainiert: Email Würmer, Backdoors, Trojan Downloader, Spyware/Adware, HiJacker, Dialer, Keylogger sowie Rootkits.

Da es wesentlich tiefer eingreift, kann es außerdem folgende Aktionen abfangen:
- Installation von Treibern und Diensten
- Setzen von Autostart Einträgen (statt nachträgliches Entfernen!)
- Code Injektion von Prozessen in andere Prozesse

Wenn ein Trojan-Downloader oder Spyware-Alert während des Surfens im Web auftaucht, dürfte selbst ein DAU kapieren, daß die Anwendung nicht rechtens ist. ;)

Wenn z.B. während der normalen Büro Arbeit ein Treiber oder ein Backdoor installiert wird, dürfte auch jeder aufmerksam werden.

Gegen ein fremdes OK-Bestätigen oder Abschalten des Systems kann man sich schützen. ;)

Du kannst deinen PC vor Attacken durch neue Exploits für (noch) ungepatchte Sicherheitslücken im System also schützen? Wie machst du das?

Mag sein, daß das die Anforderungen an den Benutzer durch a-squared erhöht sind, aber ich denke das ist alles nur eine Frage der Darstellung wie man die Thematik rüber bringt. ;)