Virenschutz: So erweitern Sie den Open Threat Scanner von Desinfec’t 2020
Ein eigener Antiviren-Scanner kann helfen, schneller auf Bedrohungen aus dem Netz zu reagieren. Mit Desinfec't 2020 bauen Sie ihn ganz leicht selbst.
- Mattias Schlenker
Am 2. Advent 2019 wurde die Justus-Liebig-Universität Gießen von einer Emotet-Welle überrollt. Das Rechenzentrum beschloss daraufhin, alle vernetzten Windows-Systeme herunterzufahren und erst nach einer Prüfung auf Infektionen wieder ins Netzwerk zu lassen.
Doch wie erkennt man eine Malware, die für Virenscanner noch unbekannt ist? Bei diesem Katz-und-Maus-Spiel hinken Hersteller von AV-Software stets hinterher: Sie müssen die passenden Signaturen erst erstellen und an die AV-Clients ausliefern – das kostet wertvolle Zeit. In Gießen identifizierte AV-Software die Schädlingsdateien erst fünf Tage nach der Entdeckung des Angriffs.
Hier kommt der universelle Yara-Scanner ins Spiel, den man mit eigenen Malware-Erkennungsregeln füttern kann. Das sind beispielsweise Muster wie Textstrings oder Prüfsummen. Darüber hinaus kann man die Untersuchung auf bestimmte Dateitypen oder auf Teile einer Datei beschränken. Das ist effizient und spart Zeit.
Das war die Leseprobe unseres heise-Plus-Artikels "Virenschutz: So erweitern Sie den Open Threat Scanner von Desinfec’t 2020 ". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.