Die komplette Wahrheit über Viren & Co.

Freitag, 4. Juni 2021

Dass die regelmäßige Aktualisierung der Virendatenbanken eine der wichtigsten Voraussetzungen für die effektive Arbeit eines Virenschutzprogramms ist, ist bekannt. Je mehr Signaturen (digitale „Abdrücke“ von Bedrohungen) die Virendatenbank eines Antivirenprogramms enthält, desto weniger Chancen haben Schadprogramme, beim Eindringen in das geschützte Gerät unerkannt zu bleiben. Für einen sicheren Schutz muss der Zeitraum zwischen der Erscheinung und der Eintragung neuer Bedrohungen in die Virendatenbank möglichst kurz sein. Daher werden die Virendatenbanken von Dr.Web stündlich aktualisiert. Ein solcher Rhythmus erfordert viel Arbeit: Neue Schadprogramme erscheinen ständig. Täglich erhält das Virenlabor von Doctor Web knapp 1 Mio. Muster zur Analyse!

In dieser Ausgabe möchten wir unsere Leser mit den Hütern der Sicherheit bekannt machen, die immer an vorderster Front im Kampf gegen Computerbedrohungen stehen und ohne die kein Virenschutzprodukt funktionieren könnte – unsere Virenanalysten.

Zunächst ein bisschen Statistik. Wie oben erwähnt, werden täglich knapp 1 Mio. Proben vermutlicher Schadprogramme an unser Virenlabor gesendet. „Wie ist es möglich, so viele Daten zu verarbeiten?“ – fragen Sie sich. Nicht alle eingehenden Proben sind auch tatsächlich bösartig. Aber sie alle sind potenziell bösartig und müssen daher analysiert werden. Für Android-Geräte werden z.B. etwa 40.000 neue Bedrohungen täglich erkannt.

Ohne automatisierte Systeme wäre dies natürlich unmöglich. 93 bis 95% aller Proben werden automatisch von einem speziellen Programm analysiert, das von unseren Spezialisten entwickelt wurde. Die restlichen Proben werden manuell von unseren Virenanalysten bearbeitet.

Das Virenlaborteam besteht aus 4 Gruppen, die für bestimmte Aufgabenbereiche verantwortlich sind.

1. Interne Entwicklung und Analyseautomatisierung.

   Diese Gruppe entwickelt die Infrastruktur für die automatische Analyse, Honeypots und das Produkt Dr.Web vxCube.

2. Verarbeitung eingehender Benutzeranfragen und Unterstützung des Support-Teams.

   Diese Gruppe ist für die Bearbeitung eingehender Proben verantwortlich, die nicht automatisch bearbeitet werden können. Außerdem unterstützt die Gruppe unsere Support-Spezialisten.

3. Untersuchung und Analyse komplizierter Bedrohungen.

   Diese Gruppe analysiert komplizierte und unbekannte Bedrohungen, Botnets und Cyberangriffe. Außerdem dekodieren die Spezialisten der Gruppe die von Ransomware betroffenen Dateien und untersuchen virenbedingte Vorfälle.

4. Analyse von Bedrohungen für Mobilgeräte

   Die Spezialisten dieser Gruppe analysieren Bedrohungen für Mobilgeräte.

Es gibt zwei Verfahren zur Analyse von Bedrohungen. Beim ersten Verfahren handelt es sich um die sogenannte Sandbox, die auf Dr.Web vxCube basiert und an unsere Aufgaben und Bedürfnisse angepasst ist. Das zweite Verfahren basiert auf manuellen Tests mithilfe virtueller Workstations und Emulatoren.

Wie viel Zeit nehmen manuelle Tests in Anspruch? Um herauszufinden, ob eine Software bösartig ist, sind dynamische Tests nicht immer erforderlich. Ein erfahrener Virenanalyst braucht etwa 5 Minuten, um eine verdächtige Datei zu bearbeiten, ihren Code zu analysieren und ihren Status festzustellen. Bösartige Dateien werden von den Virenanalysten in die Virendatenbank eingetragen.

Bei detaillierten Untersuchungen komplizierter Bedrohungen und deren Funktionsweise kann die Analyse der Probe und die Erstellung einer technischen Beschreibung der Bedrohung für den internen Gebrauch, je nach Umfang des zu analysierenden Codes, bis zu einer Woche in Anspruch nehmen.

Alle Proben werden mithilfe verschiedener Algorithmen analysiert. Wenn das Virenlabor etwas ganz Neues (z.B. eine neue Trojaner-Familie) zur Analyse erhält, führen die Analysten eine umfassende Untersuchung durch.

Wo kommen die Proben eigentlich her? Es gibt einige Quellen. Z.B. Virenaggregatoren, Honeypots, Spamfallen, unsere eigene Telemetrie und Benutzeranfragen. Außerdem tauschen wir regelmäßig Virenproben mit anderen Virenschutzherstellern aus.

#Antivirus #Malware #Dr.Web_Technologien