27.07.2012 Online-Viren-Scanner VirusTotal jetzt auch mit Verhaltensanalyse
Die Entwickler des Online-Viren-Scanners VirusTotal testen derzeit eine Sandboxfunktion. Darin werden Programme gestartet und auf schädliches Verhalten hin untersucht. Das soll die Erkennungsleistung verbessern.
VirusTotal ist ein kostenloser Dienst im Internet, über den sich Dateien mit etwa 40 Virenscanner untersuchen lassen. Jeder kann Dateien hochladen und erhält dann einen Untersuchungsbericht. Allerdings prüft VirusTotal bisher die Dateien nur über Virensignaturen. Bei noch unbekannter Schadsoftware schlagen die Scanner daher nicht an. Umgekehrt kommt es aber immer wieder zu Fehlalarmen, wenn zusätzlich eine heuristische Analyse zum Einsatz kommt. Sie ist daran zu erkennen, dass in den Protokollen Worte wie „Heur“, „Generic“ beziehungsweise „Suspicious“ zu lesen sind. Damit kann ein Anwender in der Regel wenig anfangen, weil nicht sicher sein kann, inwieweit tatsächlich eine Bedrohung besteht.
Die Erkennungsquote lässt sich durch eine verhaltensbasierende Analyse deutlich verbessern und zudem die Fehler-Rate reduzieren. Dabei wird ein Programm auf verdächtige Aktionen hin untersucht. Bei Schadsoftware gibt es typische Funktionen, über die beispielsweise die Registry manipuliert oder auf das Dateisystem zugegriffen wird. VirusTotal hat jetzt - vorerst nur probehalber - seinem Dienst eine verhaltensbasierende Analyse spendiert.
Laut Emiliano Martinez von VirusTotal steht die Verhaltensanalyse noch ziemlich am Anfang. Deshalb kann das Unternehmen auch keine Garantie dafür geben, dass möglicherweise schädliche Dateien tatsächlich in dem neuen Prüfdurchgang landen. Die maximale Dateigrösse ist bisher auf 8 MByte beschränkt. Für die Verhaltensanalyse werden die hochgeladenen Programme in einer abgeschotteten Umgebung ausgeführt. Dabei kommt die quelloffene Cuckoo Sandbox zum Einsatz. Die Ergebnisse erfahren die Nutzer schliesslich in einem Karteireiter namens „Behavioural information“. Ein Beispiel ist unter dieser Adresse zu sehen. (ph/com!)
