Adobe versucht sich an der Erkennung von Windows-Viren

Der Malware Classifier soll Schädlinge mit Hilfe des maschinellen Lernens als bösartig einstufen. Das Python-Skript misst lediglich 30 KByte.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Der von Adobe entwickelte Malware Classifier geht bei der Erkennung von Windows-Schadsoftware ungewöhnliche Wege: Das nur 30 KByte große Python-Skript vergleicht sieben Daten aus dem PE-Header der zu überprüfenden Datei mit Durchschnittswerten, die bei der Untersuchung von über 100.000 bekanntermaßen gut- oder bösartigen Dateien entstanden sind. Das soll vor allem die Erkennung bislang unbekannter Schädlingsmutationen verbessern.

Zu den untersuchten Werten zählt das Feld VirtualAdress (IatRVA), das einen Speicherbereich angibt, in den importierte Funktionen geladen werden sollen. Die Vergleichswerte wurden zuvor mittels verschiedener Algorithmen des maschinellen Lernens (machine-learning) erhoben. Laut Adobe habe man so ermittelt, bei welcher Kombination eine Datei wahrscheinlich bösartig ist. So ist etwa der IatRVA bei den meisten harmlosen Dateien 4096, wohingegen er den meisten bösartigen Dateien 0 beträgt oder sehr groß ausfällt.

Der verantwortliche Entwickler hat seine Erkenntnisse jüngst auf der InfoSec Southwest in Austin, Texas, präsentiert. Das Tool ist weit davon entfernt, einen ausgewachsenen Virenscanner zu ersetzen. Es soll Sicherheitsexperten, Malware-Forscher und Admins dabei unterstützen, sich einen ersten Eindruck über die Absichten einer unbekannten Datei zu verschaffen. Es ist denkbar, dass diese Form der Analyse künftig als weiteres Kriterium in kommerzielle Antivirenprodukte einfließt. (rei)