Metadaten gegen Viren-Fehlerkennungen

Die IEEE hat eine Datenbank für Metadaten von Binaries gestartet. Sie liefert Informationen, über die ein Virenscanner eindeutig feststellen kann, ob eine Datei gutartig ist.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Ein Beispiel für die erfassten Metainformationen

(Bild: IEEE-SA)

Der Clean File Metadata eXchange (CMX) getaufte Dienst erfasst unter anderem Datei-Hashes, Pfade, Versionsinformationen und digitale Signaturen von Programmen. Diese Daten sollen zum einen von den jeweiligen Software-Anbietern eingereicht werden, zum anderen aber auch von Dritten, die von der IEEE zuvor überprüft werden.

CMX nutzt Metadaten statt Binärdateien – das hat auch rechtliche Gründe.

(Bild: IEEE-SA)

Anschließend kann man anhand der Meta-Informationen zweifelsfrei feststellen, ob es sich bei einem Binary tatsächlich exakt und die Datei handelt, die der Hersteller herausgegeben hat, oder ob sie zwischenzeitlich manipuliert wurde. Für die Nutzung der Daten wird Berichten zufolge eine Jahresgebühr von 8000 US-Dollar fällig. Technisch umgesetzt wurde der CMX von der deutschen Antivirenfirma Avira.

Ebenfalls neu ist das Taggant System der IEEE, das sich an die Hersteller von Binary-Packern und Obfuscation-Tools richtet. Online-Ganoven nutzen diese Programme gerne, um bereits vorhandene Schädlinge so lange zu modifizieren, bis sie nicht mehr von den Virenscanner erkannt werden. Durch das Taggant System können die Entwickler der Tools, für die es durchaus legitime Einsatzzwecke gibt, dafür sorgen, dass die erzeugten Binaries ein eindeutiges kryptografisches Merkmal aufweisen.

Dieses lässt Rückschlüsse auf die Seriennummer zu, mit der das Obfuscation-Tools oder der Packer lizensiert wurde. Wird eine Seriennummer häufiger zur Vorbereitung von Malware missbraucht, können Antivirenhersteller auch alle weiteren Binaries, die mit dieser Installation des Tools Kontakt hatten, als verdächtig einstufen. (rei)