Malware-Flut: Anti-Group formiert sich
Auf einer Fachkonferenz in Seoul hat sich die ‘Anti-Malware Testing Working Group’ formiert.
Das erklärte Ziel sind einheitliche, zeitgemäße Tests für Sicherheitssoftware. “Die klassischen Ansätze von Antivirensoftware – Signaturen und Heuristiken – haben immer größere Probleme auf die aktuelle Flut von Malware zu reagieren”, erklärt Andreas Marx, Geschäftsführer beim Testunternehmen AV-Test, den Hintergrund.
Hersteller müssten täglich tausende Dateien analysieren, um Signaturen bereitzustellen. Das bedeutet einen großen Zeitaufwand. Abhilfe schaffen können proaktive Schutzansätze, die unter dem Namen ‘Dynamic Detection’ zusammengefasst werden. “Hierbei wird Malware an Hand ihres Verhaltens erkannt”, so Marx. Von Software gesetzte und versuchte Aktionen werden durch dynamische Erkennungsmechanismen analysiert. Wird ihr Verhalten als bösartig eingestuft, werden versuchte Aktionen geblockt und das System von der Malware bereinigt.
Solche Schutzmaßnahmen erfordern natürlich geeignete Tests, Marx hat für die Anti-Malware Testing Working Group entsprechende Entwürfe gemacht. Das Grundprinzip erklärt er so: “Ein PC mit installierter Antimalwaresoftware wird einem Schädling ausgesetzt. Dabei werden sowohl die Aktionen der Malware wie auch der Antimalwaresoftware beobachtet und festgehalten. Schließlich wird bestimmt, ob sich die Malware installieren und Schaden anrichten konnte oder ob die Malware beziehungsweise ihre Aktionen erfolgreich geblockt und angelegte Komponenten entfernt wurden.”
Was sich zunächst einfach anhört, ist aber ein vielschichtiges Problem. Eine Test-Malware muss den getesteten Schutzprogrammen wirklich unbekannt sein. Dazu müssen eventuell Signaturen oder Heuristiken deaktiviert werden, da die Hersteller bestrebt sind, diese für neue Bedrohungen möglichst schnell anzubieten. Die Test-Malware sollte möglichst verbreitet und auch wirklich lauffähig sein – also nicht längst geschlossene Sicherheitslücken ausnützen. Ein besonders großes Problem ist die Vergleichbarkeit und Reproduzierbarkeit entsprechender Tests. “Jedes Produkt sollte mit den gleichen Malwareaktionen konfrontiert werden. Malware verändert ihr Verhalten abhängig von vielen Variablen”, erläutert Marx. Gerade, wenn Malware unter realistischen Testbedingungen aus dem Internet nachladen kann, ist Reproduzierbarkeit schwer zu erreichen. Außerdem muss dabei besonders auf die sichere Durchführung geachtet werden.
Wenn Sicherheitssoftware bei entsprechenden Tests Malware ausgezeichnet erkennt, zeigt das allein noch nicht, dass sie wirklich gut ist. “Manche Ansätze zeigen sich in den Tests als sehr sensitiv, was sehr gute Erkennungsraten bringt. Dafür warnen sie auch vor an sich völlig harmlosen Programmen”, so Marx. Auch die Zahl solcher Fehlalarme ist ein Kriterium für die Qualität von Schutzprogrammen.
An einheitlichen Standards für Tests dynamischer Erkennungsmechanismen scheinen Anbieter auf dem umkämpften Sicherheitssoftware-Markt tatsächlich großes Interesse zu haben. AV-Test bestätigt, dass Symantec, F-Secure, Panda Security, Kaspersky Lab, Avira, Eset und PC-Tools bereits an entsprechenden Geprächen teilnehmen. Auch weitere Unternehmen haben Interesse bekundet – darunter angeblich McAfee, Sophos und CA – oder zumindest angedeutet – darunter Microsoft, BitDefender, G Data, ZoneAlarm und Trend Micro.