Computerviren entwickeln ein erhebliches Schadenspotential: Sie können Dateien zerstören,
wichtige Daten verschwinden lassen, Leute an der Arbeit hindern und sogar ganze Netzwerke
lahmlegen. Virenschutzlösungen schützen Netze an diversen Einfalltoren vor bekannten und
unbekannten Viren.
Computerviren sind schon seit Jahren eine ständige Gefahr für die Unternehmensdaten. Laut einem
Bericht der US-Zeitschrift Computer Week sind die durch Viren verursachten Kosten in
amerikanischen Unternehmen im ersten Quartal 1999 auf über 15 Milliarden DM angestiegen. Diese
Verluste setzen sich aus Rechner- und Netzwerkausfall und verlorener Arbeitszeit zusammen. Die
Bedrohung durch Viren steigt in Unternehmen von Jahr zu Jahr weiter an. Die Zahl der
eingesandten "verdächtigen Dateien" nahm im Symantec Antivirus Research Center (SARC) von ersten
zum vierten Quartal 1999 um 260% zu.
Egal ob es sich um einen Virus, einen Wurm oder ein Trojanisches Pferd handelt, um ein
aggressives Java-Applet oder ein ActiveX-Control, es wurde wahrscheinlich mit Werkzeugen und
Techniken erstellt, die ursprünglich für ganz andere, völlig legitime Zwecke entwickelt wurden.
Eine Reihe von Programmierern beschäftigen sich damit, die Schwachstellen von Betriebssystemen und Anwendungen zu ermitteln. Die zu diesem Zwecke geschaffenen Werkzeuge können ihrerseits Tore für Angriffe öffnen. Werden solche Schwächen bekannt, können sie von Virenprogrammierern ausgenutzt werden. Auch wenn die Hersteller diese Probleme mit dem nächsten Update wieder beseitigen, bleiben Rechner verwundbar, solange dieses Update noch nicht eingespielt wurde. Die DoS-Angriffe (Denial of Service) gegen einige bekannte Web-Server im Februar 2000, die eine hohe öffentliche Aufmerksamkeit erregt haben, sind womöglich erst durch Software realisierbar geworden, die ursprünglich zur Abwehr solcher Angriffe geschrieben wurde.
Eine Reihe von Programmierern beschäftigen sich damit, die Schwachstellen von Betriebssystemen und Anwendungen zu ermitteln. Die zu diesem Zwecke geschaffenen Werkzeuge können ihrerseits Tore für Angriffe öffnen. Werden solche Schwächen bekannt, können sie von Virenprogrammierern ausgenutzt werden. Auch wenn die Hersteller diese Probleme mit dem nächsten Update wieder beseitigen, bleiben Rechner verwundbar, solange dieses Update noch nicht eingespielt wurde. Die DoS-Angriffe (Denial of Service) gegen einige bekannte Web-Server im Februar 2000, die eine hohe öffentliche Aufmerksamkeit erregt haben, sind womöglich erst durch Software realisierbar geworden, die ursprünglich zur Abwehr solcher Angriffe geschrieben wurde.
Antivirus-Experten verwenden verschiedene Methoden, um Viren zur erkennen:
Die Suche nach bestimmten, charakteristischen Zeichenketten (Signatursuche) im vermuteten
Viruscode stellt die Grundlage für die meisten Antivirusprogramme dar.
Die Algorhythmische Suche findet typische Eigenarten infizierter Dateien und entscheidet anhand dieser, ob eine Datei infiziert ist.
Die so genannte Impfung von Dateien speichert ein eindeutiges Abbild der Originaldatei (Prüfsumme) und vergleicht eine Datei später mit dieser gespeicherten Information. Werden dabei Änderungen an der Datei festgestellt, kann dies einen Hinweis auf eine Virusinfektion darstellen.
So genannte Investigative Methoden untersuchen Viren auf ihre Infektionsfähigkeiten. Die Methoden sind eher geeignet, unbekannte Viren im Arbeitsspeicher zu finden, die mit den bisher genannten Methoden nicht erkannt werden können.
Die Anti-Tarnkappen-Methode hindert Anwendungen an der Manipulation von Systemressourcen, indem sie das System überprüfen, bevor ein Programm den Originalcode verändern kann. Diese Methode kann nur angewendet werden, wenn ein Virus aktiv ist. Sie unterbindet dann den Einfluss des Virus auf das System.
Die Algorhythmische Suche findet typische Eigenarten infizierter Dateien und entscheidet anhand dieser, ob eine Datei infiziert ist.
Die so genannte Impfung von Dateien speichert ein eindeutiges Abbild der Originaldatei (Prüfsumme) und vergleicht eine Datei später mit dieser gespeicherten Information. Werden dabei Änderungen an der Datei festgestellt, kann dies einen Hinweis auf eine Virusinfektion darstellen.
So genannte Investigative Methoden untersuchen Viren auf ihre Infektionsfähigkeiten. Die Methoden sind eher geeignet, unbekannte Viren im Arbeitsspeicher zu finden, die mit den bisher genannten Methoden nicht erkannt werden können.
Die Anti-Tarnkappen-Methode hindert Anwendungen an der Manipulation von Systemressourcen, indem sie das System überprüfen, bevor ein Programm den Originalcode verändern kann. Diese Methode kann nur angewendet werden, wenn ein Virus aktiv ist. Sie unterbindet dann den Einfluss des Virus auf das System.
Wenn ein Virus entdeckt wird, gibt es eine Reihe von Techniken, dieses zu bekämpfen:
Die Heuristische Entschlüsselung verwendet einen Satz von Regeln, mit dem ungewöhnliches Verhalten entdeckt werden kann, um Viren von harmlosen Programmen zu unterscheiden. Antivirussoftware, die solche Verfahren einsetzt, lässt ein verdächtiges Programm in einer so genannten Sandbox (einem virtuellen Computer, der im Speicher simuliert wird) verlangsamt ablaufen. Das möglicherweise infizierte Programm erhält genug Zeit, um sich zu entschlüsseln und den Virus freizusetzen. Im Gegensatz zur Erkennung mit Zeichenkettenvergleich benötigt die Antivirussoftware bei dieser Verhaltensanalyse keine exakte Übereinstimmung, um einen Virus zu entlarven. Dadurch kann es auch Abweichungen von bekannten Verhaltensmustern erkennen. Diese Abwehrmethode erfordert jedoch eine ständige Aktualisierung der Verhaltensdatenbanken, um auch die neuesten Verhaltensmuster zu erkennen.
Die Virus-Profilbildung prüft nach für jeden Virus spezifischen Regeln. Diese Technik erstellt ein Profil charakteristischer Merkmale bekannter Baukästen für polymorphe und selbst verändernde Viren und versucht so viele wie möglich mit diesen Regeln zu erfassen. Virenverhalten wird katalogisiert und während ein verdächtiges Programm in der Sandbox läuft, werden diejenigen Profile abgehakt, die nicht auf das beobachtete Verhalten passen. Dieser Vergleich wird fortgesetzt bis alle Profile abhakt sind und damit keine Viren mehr in Betracht kommen. Dadurch entsteht ein schnelleres und effizienteres Prüfverfahren, das die Systemleistung so wenig wie möglich belastet, da saubere Dateien sehr schnell überprüft werden.
Automatische Virenanalyse und Gegenmittelverteilung sind die neuesten Werkzeuge, mit denen unsere Antivirus-Experten Viren bekämpfen. Bei diesem neuartigen Verfahren wird im Falle einer Vireninfektion die infizierte Datei unter Quarantäne gestellt und an ein Virenlabor geschickt. Dieses untersucht die Datei, erstellt und testet ein Gegenmittel und versendet dieses in Form einer Virendefinitionsdatei per E-Mail an den Absender der Probe. Mit diesem automatisierten Prozess wird das Virenschutz-Management vereinfacht, Gegenmittel sehr schnell bereit gestellt und die Ausfallzeiten deutlich reduziert.
Ein automatisiertes Viren-Immunsystem baut auf einer automatischen Virenanalyse auf, um ein zentral verwaltetes System von Virenschutzwerkzeugen zu erschaffen. Nach der Reproduktion der infizierten Proben werden automatisch Gegenmittel gefunden, indem aus den Proben Fingerabdrücke (Signaturen) gewonnen werden. Deren Vorkommen in den Proben wird zwecks Verifizierung erfasst und schliesslich die zur Entfernung des Virus nötigen Informationen erzeugt. Antiviruslösungen werden zentral verwaltet, so dass die schnelle Verteilung der Gegenmittel kein Problem darstellt.
Die Heuristische Entschlüsselung verwendet einen Satz von Regeln, mit dem ungewöhnliches Verhalten entdeckt werden kann, um Viren von harmlosen Programmen zu unterscheiden. Antivirussoftware, die solche Verfahren einsetzt, lässt ein verdächtiges Programm in einer so genannten Sandbox (einem virtuellen Computer, der im Speicher simuliert wird) verlangsamt ablaufen. Das möglicherweise infizierte Programm erhält genug Zeit, um sich zu entschlüsseln und den Virus freizusetzen. Im Gegensatz zur Erkennung mit Zeichenkettenvergleich benötigt die Antivirussoftware bei dieser Verhaltensanalyse keine exakte Übereinstimmung, um einen Virus zu entlarven. Dadurch kann es auch Abweichungen von bekannten Verhaltensmustern erkennen. Diese Abwehrmethode erfordert jedoch eine ständige Aktualisierung der Verhaltensdatenbanken, um auch die neuesten Verhaltensmuster zu erkennen.
Die Virus-Profilbildung prüft nach für jeden Virus spezifischen Regeln. Diese Technik erstellt ein Profil charakteristischer Merkmale bekannter Baukästen für polymorphe und selbst verändernde Viren und versucht so viele wie möglich mit diesen Regeln zu erfassen. Virenverhalten wird katalogisiert und während ein verdächtiges Programm in der Sandbox läuft, werden diejenigen Profile abgehakt, die nicht auf das beobachtete Verhalten passen. Dieser Vergleich wird fortgesetzt bis alle Profile abhakt sind und damit keine Viren mehr in Betracht kommen. Dadurch entsteht ein schnelleres und effizienteres Prüfverfahren, das die Systemleistung so wenig wie möglich belastet, da saubere Dateien sehr schnell überprüft werden.
Automatische Virenanalyse und Gegenmittelverteilung sind die neuesten Werkzeuge, mit denen unsere Antivirus-Experten Viren bekämpfen. Bei diesem neuartigen Verfahren wird im Falle einer Vireninfektion die infizierte Datei unter Quarantäne gestellt und an ein Virenlabor geschickt. Dieses untersucht die Datei, erstellt und testet ein Gegenmittel und versendet dieses in Form einer Virendefinitionsdatei per E-Mail an den Absender der Probe. Mit diesem automatisierten Prozess wird das Virenschutz-Management vereinfacht, Gegenmittel sehr schnell bereit gestellt und die Ausfallzeiten deutlich reduziert.
Ein automatisiertes Viren-Immunsystem baut auf einer automatischen Virenanalyse auf, um ein zentral verwaltetes System von Virenschutzwerkzeugen zu erschaffen. Nach der Reproduktion der infizierten Proben werden automatisch Gegenmittel gefunden, indem aus den Proben Fingerabdrücke (Signaturen) gewonnen werden. Deren Vorkommen in den Proben wird zwecks Verifizierung erfasst und schliesslich die zur Entfernung des Virus nötigen Informationen erzeugt. Antiviruslösungen werden zentral verwaltet, so dass die schnelle Verteilung der Gegenmittel kein Problem darstellt.
Mit der zunehmenden Komplexität und Ausbreitungsgeschwindigkeit von Viren steigen auch die
Anforderungen an die EDV-Abteilungen. Anbieter von Virenschutzlösungen verfeinern die Werkzeuge
und Techniken, um der EDV zu helfen, diese Herausforderung zu bestehen. Antiviruslösungen, die
auf Systemrichtlinien basieren, ermöglichen es den Administratoren, an die jeweiligen
Anforderungen angepasste Konfigurationen zu erstellen - für verschiedene Plattformen, Server,
Arbeitsplatzrechner und Benutzergruppen. Zentral verwaltete und zunehmend automatisierte
Lösungen vereinfachen die Handhabung und beschleunigen die Verteilung der Updates.
Wie bei den meisten Sicherheitsproblemen sind auch hier kurze Reaktionszeiten der Schlüssel zur Begrenzung des Schadens und der Kosten eines Virenbefalls. Antivirusfirmen müssen ihre Techniken immer weiter entwickeln, um Viren noch schneller bekämpfen zu können und gleichzeitig die Systemadministratoren auf aktuelle Bedrohungen aufmerksam machen, um Ausfallzeiten zu minimieren. Somit ist die Zusammenarbeit zwischen Antivirusfirmen und ihren Kunden der Schlüssel zum Erfolg.
Da der Schutz vor diversen Angriffen aus dem Internet, einschließlich Viren, Würmern und Hackern, für die Sicherheit von Unternehmen überlebenswichtig geworden ist, halten diese nach Anbietern Ausschau, die einen umfassenden Schutz und durchgängigen Support liefern können. Zentralisierte, auf Richtlinien basierende Lösungen bieten besseren Schutz von Netzwerken bei geringerem Zeitaufwand für dessen Verwaltung.
Wie bei den meisten Sicherheitsproblemen sind auch hier kurze Reaktionszeiten der Schlüssel zur Begrenzung des Schadens und der Kosten eines Virenbefalls. Antivirusfirmen müssen ihre Techniken immer weiter entwickeln, um Viren noch schneller bekämpfen zu können und gleichzeitig die Systemadministratoren auf aktuelle Bedrohungen aufmerksam machen, um Ausfallzeiten zu minimieren. Somit ist die Zusammenarbeit zwischen Antivirusfirmen und ihren Kunden der Schlüssel zum Erfolg.
Da der Schutz vor diversen Angriffen aus dem Internet, einschließlich Viren, Würmern und Hackern, für die Sicherheit von Unternehmen überlebenswichtig geworden ist, halten diese nach Anbietern Ausschau, die einen umfassenden Schutz und durchgängigen Support liefern können. Zentralisierte, auf Richtlinien basierende Lösungen bieten besseren Schutz von Netzwerken bei geringerem Zeitaufwand für dessen Verwaltung.