Beruf: Was macht ein Virenanalyst?
Donnerstag, 4. August 2022
Virenanalysten analysieren Schadprogramme. Ihre Aufgabe besteht nicht nur darin, erkannte Bedrohungen zu untersuchen, sondern auch darin, vorherzusehen, welche Bedrohungen entwickelt werden könnten. Sie müssen sich in beliebigen von Hackern geschriebenen Codes detailliert auskennen. Dazu müssten sie sich in das Verhalten von Cyberkriminellen hineinversetzen. Dies erfordert bestimmte psychologische Kenntnisse.
Die ersten Computerviren wurden in den 70er Jahren entwickelt. In den 80er Jahren brachen die ersten Computervirenepidemien aus.
Heutzutage gibt es eine ganze Industrie zur Bekämpfung von Computerviren, in der Virenanalysten beschäftigt sind. Diese Spezialisten analysieren die Ursachen virenbedingter Computervorfälle und deren Folgen und erarbeiten Methoden zur Verhinderung und Neutralisierung von Virenangriffen.
Aufgaben eines Virenanalysten
Täglich gehen beim Virenlabor von Doctor Web 500.000 bis 900.000 Codemuster ein. Sie kommen aus verschiedenen Quellen. Unter anderem erhalten wir neue Virenproben über Multiscanner (wie VirusTotal), andere Anbieter von Antivirenlösungen, Honeypots, Spamfallen und unsere eigenen Telemetriesysteme.
Wie stellen Virenanalysten fest, dass eine Datei bösartig ist? Sie verwenden besondere Testverfahren und überwachen das Verhalten der verdächtigen Datei. Nicht alle Proben, die bei unserem Virenlabor eingehen, sind bösartig. Um sicherzustellen, dass eine Datei harmlos ist, müssen wir diese analysieren.
Bis zu 95% aller Proben werden automatisch mithilfe spezieller Tools untersucht. Doctor Web ist einer der wenigen Anbieter von Antivirenlösungen, die über hauseigene Technologien zur Erkennung und Neutralisierung von Malware verfügen.
Wenn die automatische Analyse kein eindeutiges Urteil über die Harmlosigkeit der Datei abgeben kann, analysieren wir die Datei manuell. Ein erfahrener Virenanalyst braucht etwa 5 Minuten, um eine verdächtige Datei zu bearbeiten, deren Code zu analysieren und deren Status festzustellen.
Wenn Virenanalysten ein kompliziert aufgebautes oder neues Schadprogramm erkennen, führen sie eine detaillierte Untersuchung durch und erstellen eine technische Beschreibung der Bedrohung. Im Virenlabor von Doctor Web werden solche Untersuchungen in einer Sandbox, die auf Basis von Dr.Web vxCube funktioniert, sowie auf virtuellen Maschinen und Emulatoren durchgeführt.
Einige Schadprogramme werden mehrere Monate lang von unseren Spezialisten überwacht, da sie sich in der sogenannten Hibernation befinden und erst später aktiv werden könnten.
Gescannte Dateien, die als bösartig eingestuft wurden, werden in die Virendatenbank des Virenschutzprogramms eingetragen. Unsere Virendatenbanken werden stündlich aktualisiert. Dadurch kann unser Antivirus Bedrohungen umgehend erkennen und neutralisieren.
Fertigkeiten und Kompetenzen eines Virenanalysten
Bei Doctor Web gibt es drei Gruppen zur Virenanalyse. Die Front-Line-Spezialisten entwickeln Tools zur automatischen Analyse, Honeypots, Spamfallen und Dr.Web vxCube. Hier werden alle Proben analysiert, die nicht automatisch analysiert werden konnten. Außerdem bearbeiten die Spezialisten dieser Gruppe die Benutzeranfragen, die vom technischen Support weitergeleitet werden. Die Virenanalysten dieser Gruppe benötigen folgende Kenntnisse:
- Assembler x86
- Tools OllyDBG, Hiew und IDA
- Architektur von Windows und PE-Dateien
- Englischkenntnisse
Die zweite Gruppe ist für die Untersuchung und Analyse komplizierter Bedrohungen zuständig. Diese Spezialisten erforschen neue und/oder komplizierte Bedrohungen, Botnetze und Cyberangriffe. Die Virenanalysten dieser Gruppe entschlüsseln durch Ransomware verschlüsselte Dateien und untersuchen virenbedingte Vorfälle. Neben den oben genannten Kenntnissen müssen sie sich in der Verschlüsselung und Entschlüsselung von Dateien auskennen und Erfahrung im Angreifen von Hacker-Servern haben. Sie untersuchen Sicherheitslücken, Schwachstellen und komplizierte Viren und schreiben Artikel darüber.
Die dritte Gruppe analysiert bösartige Apps für Mobilgeräte. Die Spezialisten dieser Gruppe müssen folgende Kompetenzen besitzen:
- Android- und Java-Kentnisse
- Kenntnisse über die Funktion von ausführbaren ELF/DEX-Dateien, grundlegende Programmieralgorithmen und Kenntnisse in Python/C/C++
- Erfahrung mit DEX-Dekompilierern und Linux-Systemen
„Die komplette Wahrheit über Viren & Co.“ empfiehlt
Wie kann man Virenanalyst werden?
Es gibt nur einen sicheren Weg, Virenanalyst zu werden – viel lernen.
Universitäten und Hochschulen weltweit bieten entsprechende Fachrichtungen an: Informationsanalyse, Informationssicherheit, Informationstechnologien etc.
Aber die wichtigste Wissensquelle für einen Virenanalysten ist eine lebenslange Selbstbildung. Wer sich in Viren auskennen möchte, muss viel lesen, studieren und forschen.
Möchten Sie mehr Informationen zu diesem Thema erfahren? Unsere Virenanalysten antworten gern auf Ihre Fragen und teilen ihre „Berufsgeheimnisse“ mit unseren Lesern. Stellen Sie Ihre Fragen in den Kommentaren.
Ihre Meinung ist uns wichtig
Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.