Am 2. Advent 2019 wurde die Justus-Liebig-Universität Gießen von einer Emotet-Welle überrollt. Das Rechenzentrum beschloss daraufhin, alle vernetzten Windows-Systeme herunterzufahren und erst nach einer Prüfung auf Infektionen wieder ins Netzwerk zu lassen.
Doch wie erkennt man eine Malware, die für Virenscanner noch unbekannt ist? Bei diesem Katz-und-Maus-Spiel hinken Hersteller von AV-Software stets hinterher: Sie müssen die passenden Signaturen erst erstellen und an die AV-Clients ausliefern – das kostet wertvolle Zeit. In Gießen identifizierte AV-Software die Schädlingsdateien erst fünf Tage nach der Entdeckung des Angriffs.
Hier kommt der universelle Yara-Scanner ins Spiel, den man mit eigenen Malware-Erkennungsregeln füttern kann. Das sind beispielsweise Muster wie Textstrings oder Prüfsummen. Darüber hinaus kann man die Untersuchung auf bestimmte Dateitypen oder auf Teile einer Datei beschränken. Das ist effizient und spart Zeit.
Immer mehr Wissen. Das digitale Abo für IT und Technik.
Als junger Leser heise+ mit 50 % Rabatt lesen. Exklusive Tests, Ratgeber & Hintergründe. Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.Sichern Sie sich jetzt als junger Leser heise+ mit 50 % Rabatt. Exklusive Tests, Ratgeber & Hintergründe. Unbegrenzter Zugriff auf alle heise+ Beiträge inkl. allen Digital-Magazinen.