Bitdefender Antivirus Plus im Überblick - Seite 2

Heuristik: Bedrohungen von morgen schon heute erkennen

Wie bereits erwähnt, stellt das exponentiell steigende Malware-Volumen die Sicherheitsanbieter vor echte Herausforderungen: Wie man sich wahrscheinlich vorstellen kann, ist es alles andere als einfach, sicherzustellen, dass rechtzeitig auf jede neue und unterschiedliche Art von Malware reagiert wird. Und doch ist es absolut kritisch, dass die Reaktion zeitnah erfolgt. Da sich Malware so schnell verbreitet, kann eine langsame oder verzögerte Reaktion dazu führen, dass eine enorme Anzahl von Computern kompromittiert wird.
Das eigentliche Problem ist jedoch, dass unabhängig davon, wie schnell Anbieter reagieren, zwischen dem Zeitpunkt, zu dem eine neue Bedrohung auftaucht, und dem Zeitpunkt, zu dem die Computer zuhause oder im Büro über das Internet gegen diese Bedrohung durch neue Virensignaturen „immunisiert“ werden, immer eine Lücke besteht. Diese Lücke repräsentiert ein Zeitfenster, in dem Systeme anfällig bleiben – und mit mehr als einer halben Million neuen und unterschiedlichen Arten von Malware, die jeden Monat auftauchen, werden die Zeitfenster immer mehr!

Bitdefender Antivirus Plus Schutz

Heuristik ist eine Form der proaktiven Erkennung, die die Zeitfenster, in dem Computer anfällig sind, gar nicht mehr öffnet. Die konventionelle Erkennung basiert auf Virensignaturen. Diese Signaturen sind Codeschnipsel, die aus tatsächlichen Malware-Beispielen extrahiert wurden und von Antivirenprogrammen verwendet werden, um Mustererkennung durchzuführen.
Das Problem bei dieser Methode besteht darin, dass die Erstellung der Signatur einige Zeit in Anspruch nimmt: Antivirenanbieter müssen die Malware untersuchen, eine Signatur entwickeln und diese Signatur dann an die Benutzer verteilen. Dies ist das oben genannte Zeitfenster.

Die heuristische Erkennung basiert ebenfalls auf Signaturen. Diese Signaturen sind jedoch keine einfachen Fingerabdrücke, sondern geben reale Verhaltensweisen an, die möglicherweise darauf hinweisen, dass eine Anwendung bösartig ist. Dies funktioniert, weil Schadprogramme unweigerlich versuchen, Aktionen auszuführen, die legitime Anwendungen normalerweise nicht verwenden. Beispiele für verdächtiges Verhalten sind der Versuch, Dateien zu löschen, Prozesse zu verschleiern, Replikation oder Ausführen von Code im Speicher eines anderen Prozesses. Da heuristische Scanner nach Verhaltensmerkmalen suchen anstatt sich auf einfache Mustererkennung zu verlassen, können sie neue und aufkommende Bedrohungen erkennen und blockieren, für die noch keine Signatur freigegeben wurde.

Bitdefender Antivirus Plus Privatsphäre

Um Computer zu schützen, verzögern die meisten heuristischen Scanner wie die Bitdefender B-HAVE Engine vorübergehend den Start von Anwendungen, während der Code in einer virtuellen Umgebung ausgeführt wird, die vollständig vom realen Computer isoliert oder in einer sogenannten Sandbox gespeichert ist. Wenn kein verdächtiges Verhalten festgestellt wird, wird der Computer angewiesen, die Anwendung normal zu starten.
Wenn andererseits verdächtiges Verhalten beobachtet wird, wird der Computer angewiesen, das Programm zu blockieren. Der gesamte Prozess erfolgt in Bruchteilen von Sekunden und soll daher praktisch keinen Einfluss auf den Nutzer oder die Leistung haben.

Dieser Ansatz erhöht zwar die Sicherheit erheblich, weist jedoch einige Mängel auf. Erstens können Programme nur für kurze Zeit in der virtuellen Umgebung ausgeführt werden, da es offensichtlich nicht akzeptabel wäre, den Start um einen erheblichen Zeitraum zu verzögern. Dies bedeutet, dass Malware die Erkennung vermeiden kann, indem sie die Ausführung böswilliger Aktionen verzögert. Zweitens kann ein Programm, das bereits überprüft wurde (und daher als vertrauenswürdig eingestuft wird), während der Ausführung im Arbeitsspeicher entweder geändert oder zum Starten eines Malware-Prozesses mit eigenen Anmeldeinformationen verwendet werden.
Um diese Probleme zu beheben, hat Bitdefender in seiner Produktlinie schon vor einigen Jahren eine neue Technologie eingeführt: “Bitdefender Active Virus Control”.