Zahl der entdeckten Schädlinge explodiert
Die Virenforscher von AV-Test haben im vergangenen Jahr fast fünfeinhalb Millionen Schädlinge gesammelt.
Die Virenexperten von AV-Test haben eine Statistik über die von ihnen gesammelten Schädlinge veröffentlicht. Erschreckendes Ergebnis: Die Zahl wächst rasant an, im vergangenen Jahr haben sie mehr als fünfmal so viele Schädlinge wie im Jahr 2006 gefunden – fast fünfeinhalb Millionen Stück.
Die Zahl der gefundenen Schädlinge wächst rasant an (Graph ist logarithmisch skaliert).
Laut Andreas Marx von AV-Test haben die Spezialisten sämtliche unterschiedliche Dateien gezählt, bei denen sich der Fingerabdruck (MD5-Hash) von den anderen Funden unterscheidet. Dazu zählen auch Schädlinge, die mit einem anderen Laufzeitpacker gepackt oder anders verschlüsselt wurden. Ab 2004 scheint das Wachstum zu explodieren:
| Jahr | Entdeckte Schädlinge |
|---|---|
| 2008 | 117480 (nur die ersten 7 Tage) |
| 2007 | 5490960 |
| 2006 | 972606 |
| 2005 | 333425 |
| 2004 | 142321 |
| 2003 | 178825 |
| 2002 | 199049 |
| 2001 | 155528 |
| 2000 | 176329 |
| 1999 | 98428 |
| 1998 | 177615 |
| 1997 | 137716 |
| 1996 | 36816 |
| 1995 | 15988 |
| 1994 | 28613 |
| 1993 | 12287 |
| 1992 | 36822 |
| 1991 | 18384 |
| 1990 | 9044 |
| 1989 | 2604 |
| 1988 | 1738 |
| 1987 | 1389 |
| 1986 | 910 |
| 1985 | 564 |
Die Zahlen verdeutlichen, dass der signaturbasierte Ansatz aktueller Virenscanner nicht mehr zeitgemäß ist. Eugene Kaspersky orakelte vergangenes Jahr zur CeBIT bereits angesichts solcher Zahlen, dass die Antivirenhersteller den Kampf gegen die Virenbastler verlieren könnten. Die Antivirenhersteller versuchen zwar, mit generischen Erkennungen anhand einer Signatur gleich eine Vielzahl von Varianten von Schädlingen zu erkennen, doch die Erstellung solcher generischen Signaturen geschieht durch Programmierer, kostet Zeit und ist fehleranfällig – avast und Gdata hatten heute mit einem Fehlalarm bei einer wichtigen Systemdatei durch so eine Signatur zu kämpfen.
Als Lösungsansatz kommen sogenannte Behavioral Blocker infrage, die die auf dem System laufende Software überwachen und deren Verhalten analysieren und bewerten. Häufen sich verdächtige Verhaltensweisen, beispielsweise das Verankern einer neu angelegten Datei als Autostart, Mitprotokollieren von Tastaturanschlägen sowie der Aufbau von Verbindungen mit IRC-Servern, können die bewerteten Verhaltensweisen einen Schwellwert überschreiten, bei dem der Behavioral Blocker Alarm schlägt und das potenziell gefährliche Programm stoppen und die vorgenommenen Änderungen rückgängig machen kann.
Im letzten c't-Virenscannertest (c't 1/08) enthielten nur wenige Antivirenlösungen bereits einen Behavioral Blocker. Zahlreiche Hersteller arbeiten inzwischen an entsprechenden Erweiterungen für ihre Antivirensoftware.
Siehe dazu auch:
- Falscher Alarm von avast und Gdata in user32.dll, Meldung von heise Security
- Kaspersky: Sicherheitssoftware-Anbieter könnten Kampf verlieren, Meldung auf heise Security
- Auf der Pirsch,17 Antivirenlösungen unter Windows Vista und XP, Artikel in c't 01/08
