Viren und Antivirenprogramme

Die ersten Viren und die ersten Antivirenprogramme

Die ersten Viren waren noch relativ simpel in ihrer Funktionsweise und hinsichtlich der Exploits die sie nutzen, um Computersysteme zu kompromittieren.  Viren und andere Schadsoftware hatten zu dieser Zeit eine im Vergleich zu heute sehr lange Lebensdauer. Erste Antivirenprogramme funktionierten damals auf Signaturenbasis, das heißt

man erstellt eine "Signatur", einen Hash (wie zum Beispiel MD5) von einer Datei, oder einem Teil einer Datei (dem Virua-Teil, dem Schadcode der den Schaden anrichtet) und vergleicht einfach jede einzelne Datei die auf dem Rechner geladen wird mit dieser Signatur. Das hat leidlich gut funktioniert, allerdings sind die Autoren und Programmieren von Viren und Schadsoftware meist auch nicht blöd.

Viren der nächsten Generation: Tarnen und täuschen

Als Reaktion auf die Erkennung von Viren und Schadsoftware durch Antivirus Programme mittels Abgleich bekannter Signaturen fingen die Viren-Entwickler an, Gegenmaßnahmen zu implementieren. Viren wurden neu verpackt, der Schadcode wurde verschlüsselt und erst bei der Ausführung des Programs entpackt. Diese Pack- und Verschlüsselungsroutinen wurden dann irgendwann auch von Antivirenprogrammen erkannt, und auch wenn sie nicht mehr ihre Signaturen auf den Schadcode direkt anwenden können, so können Antivirenprogramme doch fundiert vermuten dass Software, die Code zur Laufzeit entpacken und entschlüsseln möchte, in den meisten Fällen nichts gutes oder von Administrator und Anwender Gewünschtes vor hat. Hat soweit leidlich funktioniert, aber jede Menge false positives erzeugt. Viele Programme werden komprimiert ausgeliefert und dann vom Installer entpackt, und so weiter und so fort.

Moderne Viren sind eine Herausforderung für Virenscanner

Moderne Viren können von Virenscannern kaum noch erkannt und identifiziert werden. Moderne Viren sind komplett anders aufgebaut. Der Autor legt fest, was der jeweilige Virus den er als Entwickler programmiert tun soll, und ein Code Generator erzeugt anschließend völlig verschiedenen Code der jedoch im Endeffekt genau das gleiche Ergebnis erzielt - jedoch für einen Virenscanner völlig anders aussieht und deswegen nicht via Signatur-Abgleich erkannt werden kann. Jeder derart erzeugte Virus ist somit ein Unikat. Signaturen sind hier völlig nutzlos. Um diesen Problemen zu begegnen, haben Antiviren-Software Hersteller das Konzept der Erkennung von Schadsoftware und Viren durch "Heuristik" Algorithmen ersonnen. Dabei beobachtet man das Verhalten eines Programms, und versucht anhand seiner Beobachtungen darauf zu schließen ob es schädlich ist, beziehungsweise mit welcher Wahrscheinlichkeit schädliches Verhalten erwartet werden kann.

Das Problem bei diesen heuristischen Verfahren ist, dass Software oft unglaublich komplex ist. Wenn man sich einmal anschaut wie Forensiker im IT- und EDV-Bereich arbeiten, die teilweise Tage und Wochen lang analysieren, nur um herauszufinden was ein Virus tut, dann wird einem langsam klar, dass ein automatisiertes Antivirenprogramm, welches diese Aufgabe dynamisch in Echtzeit lösen soll, nicht sehr erfolgreich darin sein kann - sonst gäbe es zum Beispiel gar keine der erwähnten hochbezahlten Forensiker.

Antivirenprogramme haben das Wettrüsten mit den Entwicklern von Viren verloren

Entwickler von Antivirus Software haben dieses stetige Wettrüsten mit den Programmierern von Schadsoftware und Viren inzwischen nachhaltig verloren, jetzt und für alle Zukunft, da beißt die Maus keinen Faden ab.

Was im Prinzip einfach nur heißt: Antivirenprogramme haben das Wettrüsten verloren, für Virenauthoren ist es trivial Schadsoftware zu entwickeln die unentdeckt bleibt, während es für Antivirenprogramme nahezu unmöglich ist, zuverlässig Viren zu finden. False Positives sind hier auch sehr wichtig. Schon einige wenige Falschmeldungen sorgen dafür das der Nutzer jedes Vertrauen in die Software verliert, und nervt Nutzer auch schnell soweit das sie einfach alles wegklicken. Das bedeutet, das Geschäftsmodell "Antivirenprogramm" ist rein technisch eigentlich nicht mehr haltbar, man lebt nur noch davon das Menschen glauben sowas zu brauchen. Die "Lösung" für Schadsoftware besteht in der Nutzung von möglichst sicher konzipierter Software, und Sicherheitslücken müssen von den Autoren dieser Software gestopft werden.

Antivirensoftware kann keinen nützlichen Beitrag dazu liefern einen Rechner abzusichern. Es gibt geringe Ausnahmen, z.B. gab es früher öfter mal schlecht Konfigurierte Dinge wie gewisse Dienste im Betriebsystem, die man mit einem kleinen Tool abschalten oder ändern konnte. Sowas kann heute hier und da auch noch sinnvoll sein, generell muss man aber sagen das gerade Microsoft in Sachen Sicherheit bei Windows dramatische Fortschritte gemacht hat. Was Mitigations angeht liegt man immer noch deutlich vor Linux, da kann man sich mal Theo de Raadts Vorträge und Interviews anschauen, BSD ist oft Vorreiter für solche Techniken.