Cyberkriminelle verbreiten in immer kürzeren Abständen Viren, Würmer und Spyware, um Unternehmen und PC-Anwender zu attackieren. Viele davon haben es dabei auf vertrauliche Daten von Unternehmen, Organisationen und Behörden abgesehen, wie die jüngste Spionageattacke chinesischer Hacker gegen die deutsche Bundesregierung zeigt.
Vielfach bringen Cyberkriminelle innerhalb kürzester Zeit Hunderte Varianten ein und desselben Schadprogramms in Umlauf. Ihr Ziel ist es, so Antiviren- und Antispam-Programme zu umgehen, die nur bereits bekannte Viren und Spam erkennen. Um sich vor solchen Angriffen zu schützen, bedarf es präventiver Gegenmaßnahmen.
Sophos hat hierfür die so genannte "Genotyp"-Technologie entwickelt, die bereits in Produkten des Antivirenherstellers enthalten ist. Mit Hilfe dieser Technologie soll es möglich sein, neue Varianten bereits bekannter Schädlingsfamilien und Spam-Kampagnen zu erkennen und zu blocken, noch bevor die dazu passenden Updates überhaupt entwickelt wurden.
Jeder Schadcode hat seinen eigenen Genotyp
Der Begriff "Genotyp" hat seinen Ursprung in der Biologie und umschreibt den genetischen Aufbau eines Organismus. Genotyp steht - allgemein gesprochen - für die Erbinformationen, die von Elternorganismen auf ihre Nachkommen vererbt werden. Die Sophos-Genotyp-Technologie versucht, dementsprechend die „Erbinformationen“ neuer Viren oder Spam-Mails zu charakterisieren. Hierfür wird der Genotyp einer Datei extrahiert und mit Hilfe eines fein abgestimmten Auswertungssystems mit dem Genotyp bestehender Schadprogramme verglichen.
Jeder Schadcode hat seinen eigenen Genotyp. So unterscheiden sich die Genotypen einer Programmfamilie erheblich von denen einer anderen. Beispielsweise können die Merkmale eines Internetwurms seine Fähigkeiten sein, sich über Schwachstellen im Betriebssystem zu verbreiten oder die lokale Festplatte eines Rechners nach E-Mail-Adressen zu durchsuchen. Stimmt der Genotyp einer untersuchten Datei mit dem einer bekannten Malware-Familie, wie zum Beispiel Netsky, überein, meldet Sophos Anti-Virus den neuen Wurm als Schadprogramm mit der Endung ".gen" und verhindert dessen Ausführung auf dem PC. (Channelpartner/mje)