Menü
Security

Zahl der entdeckten Schädlinge explodiert

Von
vorlesen Drucken Kommentare lesen 314 Beiträge

Die Virenexperten von AV-Test haben eine Statistik über die von ihnen gesammelten Schädlinge veröffentlicht. Erschreckendes Ergebnis: Die Zahl wächst rasant an, im vergangenen Jahr haben sie mehr als fünfmal so viele Schädlinge wie im Jahr 2006 gefunden – fast fünfeinhalb Millionen Stück.

Zahl der efundenen Schädlinge
Die Zahl der gefundenen Schädlinge wächst rasant an (Graph ist logarithmisch skaliert). Vergrößern

Laut Andreas Marx von AV-Test haben die Spezialisten sämtliche unterschiedliche Dateien gezählt, bei denen sich der Fingerabdruck (MD5-Hash) von den anderen Funden unterscheidet. Dazu zählen auch Schädlinge, die mit einem anderen Laufzeitpacker gepackt oder anders verschlüsselt wurden. Ab 2004 scheint das Wachstum zu explodieren:

Jahr Entdeckte Schädlinge
2008 117480 (nur die ersten 7 Tage)
2007 5490960
2006 972606
2005 333425
2004 142321
2003 178825
2002 199049
2001 155528
2000 176329
1999 98428
1998 177615
1997 137716
1996 36816
1995 15988
1994 28613
1993 12287
1992 36822
1991 18384
1990 9044
1989 2604
1988 1738
1987 1389
1986 910
1985 564

Die Zahlen verdeutlichen, dass der signaturbasierte Ansatz aktueller Virenscanner nicht mehr zeitgemäß ist. Eugene Kaspersky orakelte vergangenes Jahr zur CeBIT bereits angesichts solcher Zahlen, dass die Antivirenhersteller den Kampf gegen die Virenbastler verlieren könnten. Die Antivirenhersteller versuchen zwar, mit generischen Erkennungen anhand einer Signatur gleich eine Vielzahl von Varianten von Schädlingen zu erkennen, doch die Erstellung solcher generischen Signaturen geschieht durch Programmierer, kostet Zeit und ist fehleranfällig – avast und Gdata hatten heute mit einem Fehlalarm bei einer wichtigen Systemdatei durch so eine Signatur zu kämpfen.

Als Lösungsansatz kommen sogenannte Behavioral Blocker infrage, die die auf dem System laufende Software überwachen und deren Verhalten analysieren und bewerten. Häufen sich verdächtige Verhaltensweisen, beispielsweise das Verankern einer neu angelegten Datei als Autostart, Mitprotokollieren von Tastaturanschlägen sowie der Aufbau von Verbindungen mit IRC-Servern, können die bewerteten Verhaltensweisen einen Schwellwert überschreiten, bei dem der Behavioral Blocker Alarm schlägt und das potenziell gefährliche Programm stoppen und die vorgenommenen Änderungen rückgängig machen kann.

Im letzten c't-Virenscannertest (c't 1/08) enthielten nur wenige Antivirenlösungen bereits einen Behavioral Blocker. Zahlreiche Hersteller arbeiten inzwischen an entsprechenden Erweiterungen für ihre Antivirensoftware.

Siehe dazu auch: