Sophos jetzt auch mit Behaviour Blocking

Sophos hat seine Produkte mit einer so genannten Behavioral-Genotype-Protection-Erweiterung ausgestattet. Damit sollen Applikationen erkannt werden, die verdächtiges Verhalten an den Tag legen, also beispielsweise Autostart-Keys in der Registry anlegen und einen Port im Listening-Modus öffnen.

Anders als bei Konkurrenzprodukten wird der Code dabei jedoch nicht ausgeführt; das Behavioural Blocking ist eine reine Erweiterung der Scan-Engine und arbeitet größtenteils signaturbasiert. Laut Senior Technology Consultant Jens Freitag findet dabei auch eine statische Codeanalyse statt, die charakteristische Aktivitäten wie das Anlegen eines Registry-Keys erkennt und bewertet. Es ähnelt damit der ebenfalls statischen Bloodhound-Technik (PDF) von Symantec. Andere Hersteller wie Norman führen im Rahmen von Behaviour Blocking den fragwürdigen Code in einer so genannten Sandbox aus, um sein Verhalten zu analysieren. Wieder andere wie Bitdefender und Kaspersky überwachen das Live-System und schlagen Alarm, wenn ihnen das Verhalten eines Programms verdächtig erscheint.

Sophos Behavioral Genotype Protection ist somit eigentlich eher der klassischen Heuristik zuzuordnen und dürfte sich wie alle signaturbasierten Verfahren vergleichsweise einfach austricksen lassen. In ersten Stichprobentests von heise Security konnte es allerdings neue Schädlinge, für die noch keine eigene Signatur vorlag, identifizieren und versah sie mit Kennungen wie "Mal/Behav-007". Ob sich die Erkennungsraten damit langfristig verbessern, werden erst systematische Tests zeigen. Sophos liefert die Erweiterung Behavioral Genotype Protection durch den regulären Update-Mechanismus für alle Sophos-Scan-Engines aus. Ab Scan-Engine 2.38.2 und Threat-DB-Version 4.10 ist sie automatisch aktiv. (ju)