Reverse Engineering findet Malware

Thomas Dullien, Gründer der Reverse Engineering Firma Sabre Security, verlässt sich beim Finden der Malware auf automatisierte Klassifizierung. Damit, so sagte er, sei die Identifizierung um einiges leichter und sicherer, als wenn Menschen die Gruppierung von Viren und ähnlichem vornehmen.

Bereits während dem Studium hat Dullien an grafischer Darstellung von Fehlern in Software gearbeitet. Er fand im Nachgang der jüngsten Virenepidemien heraus, dass beispielsweise die Variante Sasser.D mit den Viren der Sasser-Familie nur 69 Prozent Übereinstimmung aufweist, dagegen mit Bot-Software wie Gobot viel mehr gemeinsam hat. Er sagte, diese von Menschen gemachte Klassifizierung sei genauso, wie “Esel und Hasen zusammenzufassen, nur weil beide lange Ohren haben”.

Dullien und Kollegen verfolgen den Ansatz, mithilfe von Reverse Engineering den unbekannten Code eines Virus zu finden und somit mehr Informationen über ihn zu bekommen, etwa vergleichbar der Suche nach dem “Genom des Virus”. Bei dieser Methode würden die von mehreren Viren gemeinsam genutzten Libraries entfernt, bis der Code oder etwas, was sehr nahe daran ist, zuverlässige Schlüsse über die Kategorisierung zulasse.

Mit seinem Satz an automatisierten Werkzeugen will der junge Unternehmer Ansätze großer Hersteller wie Microsoft hinter sich lassen. Ferner, so heißt es von Sabre, könne so eine Methode für mehr Klarheit im Namen-Dschungel für Viren sorgen. Schließlich versteht die Fachwelt unter den Viren ‘Blackmal’, ‘Nyxem’, ‘MyWife’, ‘KamaSutra’, ‘Blackworm’, ‘Tearec’ und ‘Worm_Grew’ ein und denselben Virus.