:: NORMAN :: Antivirus | Firewall

Startseite

News

Produkte und Dienstleistungen

Viren und Sicherheit

Support

Download

Partner

Kaufen

Land auswählen

Produkt auswählen

Viren und Sicherheit » Sicherheitsinformationen » 2006 » Veränderte Strategien der Malware-Autoren – neue Herausforderungen an Schutzprogramme

Veränderte Strategien der Malware-Autoren – neue Herausforderungen an Schutzprogramme

Zu meinen Norman Favoriten hinzufügen

Sicherheitshinweis, Woche 40, 2006

Security Information

Einführung

Bei bösartigen Internetaktivitäten im Allgemeinen und bei Malware im Besonderen ist in den letzten beiden Jahren eine deutliche Veränderung zu verzeichnen. In der Vergangenheit wurde die Internetgemeinschaft mehrmals bei weltweiten Ausbrüchen von Schad-Software heimgesucht - mit entsprechender Aufmerksamkeit der Medien. Dieser Trend ist fast vollständig zum Erliegen gekommen. Wie Sie anhand unserer Viruswarnungen rechts ersehen können, sind viele der dort aufgeführten Malware-Programme relativ alt. Es wird nämlich kaum neue Malware in Umlauf gebracht, die ein größeres Infektionsrisiko für die Benutzer darstelltals die bereits bekannten alten Programme.

Im Sicherheitshinweis der Woche 11 dieses Jahres wurde die Trendänderung bei der Malware-Aktivität im Hinblick auf die Rolle der Medien bei der Risikoeinschätzung genauer betrachtet. In diesem Beitrag soll die Problematik in einem anderen Licht analysiert werden.

Weniger professionelle Malware - geringeres Infektionsrisiko?

Der gelegentliche Internetbenutzer mag geneigt sein zu glauben, dass das Risiko durch bösartige Software heute geringer ist, da in den Medien keine Berichte über globale "Pandemien" mit Computerviren wie Melissa, LoveLetter, Sobig.F und anderen die Runde machen.
Leider sieht die Wirklichkeit ganz anders aus!

Obwohl schädliche Software heute weniger weit verbreitet wird, ist dies (natürlich?) kein Maßstab dafür, welches Risiko im Allgemeinen besteht. Das Risiko wird vielmehr durch die Gesamtmenge an Malware bestimmt, die weltweit im Umlauf ist. Um festzustellen, ob heute ein geringeres Risiko besteht als noch vor ein paar Jahren, ist die Anzahl der bösartigen Programme weitaus entscheidender als die Aufmerksamkeit, die bestimmte Malware-Anwendungen in den Medien erhalten.

Anhand der Virenerkennungsdateien von Norman erhält man einen Eindruck davon, wie viel verschiedene Malware vorhanden ist. Benutzer, die unsere Software schon seit längerer Zeit verwenden, werden bemerkt haben, dass die Virendefinitionsdateien in den letzten Jahren und Monaten deutlich umfangreicher geworden sind. Heutzutage werden täglich mehr als 1000 neue Signaturen hinzugefügt. Selbst die Erweiterung um mehrere Tausend neue Signaturen ist nicht ungewöhnlich. Auch bei den Signaturdateien anderer Hersteller von Antivirenprodukten ist eine solche Zunahme zu verzeichnen.

Schon allein die Anzahl der Malware-Programme stellt die Antiviren- und Sicherheitsindustrie vor das Problem, geeignete Namen für die bösartigen Anwendungen festzulegen. Eine kürzlich aufgetretene Familie von Würmern, die von Norman mit Stration bezeichnet wurde, erhielt bei anderen Herstellern von Antivirenprodukten die Bezeichnung Email-Worm.Win32.Warezov oder W32/Spamta.worm. Diese unterschiedliche Namensgebung erschwert es der Öffentlichkeit und den Medien weiter, die tatsächliche Bedrohung realistisch einzuschätzen.

Was hat sich geändert?

Bevor näher darauf eingegangen werden soll, welche Auswirkungen diese Veränderung für die Hersteller von Schutzprogrammen und Ihre Nutzung des Internets hat, möchten wir kurz die Gründe für die Verlagerung im Malware-Bereich beleuchten:

Die Autoren der schädlichen Anwendungen sind weniger „Skriptkiddies“, sondern Personen oder gar Organisationen mit kriminellem Hintergrund, die über entsprechende Ressourcen verfügen. Während Malware früher darauf ausgelegt war, Schaden anzurichten, rückt heute die wirtschaftliche Bedeutung in den Vordergrund.
Zwischen den verschiedenen Arten von Malware (Viren, Würmer, Keylogger, Trojaner, Spyware und Adware) zeichnet sich eine Konvergenz ab. Diese verschiedenen Typen werden häufig zu einem schädlichen „Cocktail“ verbunden, wodurch ihre Beseitigung in infizierten System erschwert wird.
Die Autoren bösartiger Software nutzen oft Day-Zero-Sicherheitslücken in Betriebssystemen und Anwendungen. Die Malware existiert daher einige Zeit unbehelligt, bis vom Hersteller der betroffenen Anwendung ein Schutz oder eine Gegenmaßnahme entwickelt wird.
Die schädlichen Programme sind nur für eine kurze Lebenszeit konzipiert. Neue Varianten greifen jedoch mit rasender Geschwindigkeit um sich. (Für neue Varianten sind auch neue Virensignaturen erforderlich.) Die Autoren nutzen oft ausgeklügelte Strategien, um die Ähnlichkeit zwischen einer neuen und einer alten Variante zu verschleiern. Dies erschwert es den Herstellern von Antivirenprogrammen, eine bestimmte Malware-Familie auf generische Weise zu erkennen.
Die Schadprogramme richten sich häufig nur an eine bestimmte Organisation oder eine Gruppe von Organisationen. Dadurch wird es schwieriger, solche Malware zu erkennen und die Signaturdateien entsprechend zu ergänzen.

Das Sicherheitsschema

Die Situation normaler Benutzer

Die geschilderte Situation stellt in mancher Hinsicht eine neue Herausforderung für die Antivirenbranche dar. Die Analyse neuer Malware und die Erstellung neuer Signaturdateien werden immer zeitaufwändiger und anspruchsvoller.

Bug

Eine Sicherheitssoftware, die weniger von signaturbasierten Technologien abhängig ist, wird immer wichtiger. Dementsprechend haben verschiedene Hersteller von Antivirenprogrammen zu diesem Zweck bereits eigene Tools entwickelt. Die Norman SandBox Technologie, die in allen Antivirenprodukten von Norman integriert ist, gehört zu den fortschrittlichsten proaktiven Sicherheits-Tools. Weitere Informationen zur SandBox Technologie finden Sie hier. (Inhalt wird in einem neuen Browserfenster angezeigt.)

Benutzer verwenden außerdem oftmals verschiedene Arten von Sicherheitssoftware, um einen möglichst umfassenden Schutz zu erzielen. (Dem liegt die Überlegung zugrunde, dass Malware möglicherweise von einer anderen Sicherheitsanwendung erkannt wird, falls sie von einer Anwendung nicht identifiziert werden kann.)

Risikogruppen für gezielte Angriffe

Wie bereits erwähnt, sind bestimmte Organisationen immer häufiger das Ziel solcher bösartigen Angriffe. Werden diese Angriffe mithilfe von Malware durchgeführt, können sich die Organisationen nur schwer dagegen schützen, da die Anwendungen so wenig verbreitet sind, dass sie normalerweise nicht in den Signaturdateien von Antivirenprodukten berücksichtigt werden.

Beispiele für Organisationen, die besonders gefährdet sind:

Unternehmen des Bank- und Versicherungswesens
Hightech-Unternehmen, die Technologien entwickelt haben, welche als strategisch wichtig für andere Firmen und Organisationen (oder Länder) betrachtet werden
Sicherheitsorganisationen aller Art

Solche potenziellen Ziele verfügen meist über ein eigenes Arsenal an Sicherheitssoftware, die intern oder von Drittherstellern speziell entwickelt wurde. Norman hat kürzlich eine Reihe von Tools entwickelt, die insbesondere für diese Organisationen von Nutzen sind: die SandBox Malware Analyzer-Produkte. Weitere Informationen dazu finden Sie hier. (Inhalt wird in einem neuen Browserfenster angezeigt.)

VIRUSWARNUNGEN

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Neueste Virensignaturen

>>	2009-01-07

Sicherheitsinfo

>>	Summing up 2008 and predictions for 2009
>>	Weihnachten – Zeit der Freude UND der Sorge

Sicherheitshinweise

>>	Unscheduled update for Microsoft Internet Explorer
>>	Sechs wichtige Updates für Microsoft-Betriebssysteme im Dezember 2008

Norman zählt weltweit zu den führenden Herstellern von Daten- und Netzwerksicherheits-Lösungen. Mit Produkten zum Schutz vor Viren, Spyware, Adware, Phishing und Spam spielt das Unternehmen eine entscheidende Rolle in der Datenindustrie.