24.10.2007 | Autor / Redakteur: Peter Riedlberger / Peter Schmitz
Für Viren-Analysten gehören virtuelle Maschinen zu den wichtigsten Werkzeugen. Doch auch die Gegenseite schläft nicht. Immer mehr Malware Programme merken, dass sie sich in der Matrix befinden und verstecken sich dann geschickt vor möglichen Analysen.
Es gibt zahllose Einsatzmöglichkeiten für Virtualisierer wie VMware. Eine davon ist es, eine abgesicherte Plattform für die Analyse von Viren und anderen Schädlingen zur Verfügung zu stellen.
Ohne sich über etwaige Folgen Sorgen machen zu müssen, kann der Security-Spezialist das Verhalten von Viren wie im Labor studieren. Denn normalerweise ist es praktisch nicht möglich, einen Schädling einfach zu disassemblieren und sozusagen seine Bauanleitung zu studieren. Daher bleibt nur der praktische Check.
Solche Analysen sind nicht nur aus akademischen Gründen interessant. Nur so können die Spezialisten in Erfahrung bringen, welche Schadensroutinen die Malware zur Ausführung bringen will. Möglicherweise können so neue Angriffsformen aufgedeckt werden, mit denen bislang gar nicht gerechnet wurde. Noch wichtiger ist eine genaue Kenntnis der Aktivität einer Malware: Wenn man beispielsweise weiß, welche API-Funktionen genau aufgerufen werden, kann man diese Erkenntnis in die Heuristikfunktion der eigenen Anti-Virus-Applikationen überführen.
Auch wer nicht zum Forschungsteam eines Anti-Virus-Herstellers gehört, hat dank des CWSandbox-Projekts der Universität Mannheim die Möglichkeit, einzelne Malware-Programme zu analysieren. Auf der Projekt-Website können verdächtige EXEs hochgeladen werden. Das Online-System führt das übermittelte Programm in einer virtualisierten Windows-Umgebung aus und schickt dann einen Bericht über Dateiveränderungen, Registry-Veränderungen, Netzwerk-Aktivitäten u.a. zurück. Das Projekt bietet auch einen solchen Beispielbericht, sodass sich der Interessierte ein typisches Ergebnis anzeigen lassen kann, auch wenn er gerade kein Virus zur Hand hat.
So nützlich die Analyse ist, sie ist dennoch auf zweifache Weise mit Vorsicht zu genießen. Erstens wird die Malware nur eine kurze Zeit ausgeführt. Da bestimmte Virenscanner ausführbare Programme kurz in einer Sandbox laufen lassen, ehe diese „live“ gehen dürfen, ergreifen immer mehr Virenautoren die Vorsichtsmaßnahme, ihren Schädling erst nach einer gewissen Frist aktiv werden zu lassen.
»1 »2 nächste Seite
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008532)
