Verhaltensbasierte Schädlingsüberwachung erkennt Trojaner, Würmer und Viren

Sicherheitssoftware enthält keinen Festplatten-Scanner - Alle Aktivitäten werden rein aufgrund ihres Verhaltens beurteilt

(28.11.07) - Emsi Software veröffentlichte das neue IT-Sicherheits-Tool "Mamutu 1.0". Mamutu konzentriert sich rein auf die verhaltensbasierte Schädlingsüberwachung, gehört zur Gattung der "Behaviour Blocker" (HIPS) und basiert auf der Kerntechnologie "Malware Intrusion Detection System" von Emsi Software: Die Sicherheitssoftware enthält keinen Festplatten-Scanner, alle Aktivitäten auf dem Rechner werden rein aufgrund ihres Verhaltens beurteilt. Verhält sich ein Programm suspekt, schlägt Mamutu Alarm.

Mamutu fährt eine andere Strategie als traditionelle Sicherheitsprodukte: ohne tägliche Signaturen-Updates erkennt es neue und unbekannte Trojaner, Würmer oder Viren, sogenannte Zero-Day-Attacken, alleine aufgrund potentiell gefährlicher Verhaltensweisen. Mamutu ist eine Ergänzung zum herkömmlichen Virenscanner: Es schützt genau in dem Zeitraum, der sonst für das Erstellen und Verteilen der passenden Signatur für den jeweiligen Schädling benötigt wird. Das Programm ist laut Herstellerangaben klein und ressourcenschonend.

Zusätzlich ist die verhaltensbasierte Malware-Erkennung die einzige effiziente Möglichkeit mit kleinen Schädlingsmengen umzugehen, die in den großen Virenlaboren aufgrund ihrer Anzahl untergehen oder erst sehr verzögert bearbeitet werden: Zum Beispiel im Bereich der Industrie-spionage wird Malware gezielt für ein Unternehmen programmiert, da sind dann eventuell nur mehrere hundert Rechner betroffen.

Mamutu ist standardmäßig sehr "scharf" eingestellt und meldet alle gefährlichen Verhaltensweisen potentieller Schädlinge. Emsi Software setzt hier beim Anwender ein gutes technisches Grund-verständnis voraus, aber auch Anfänger werden nicht unwissend zurückgelassen: Denn das Sicherheits-Tool informiert in der Alarmmeldung ausführlich, was genau gefunden wurde und wie der User am besten reagiert. Dieser kann das gemeldete Programm erlauben, blockieren oder in Quarantäne geben, um es endgültig zu löschen. Außerdem besteht die Möglichkeit, nur bestimmte Verhaltensweisen einer Anwendung zu erlauben. Möglich für Anfänger: Wird die Option "Intelligente Alarm-Reduktion" manuell aktiviert, hält sich das Sicherheitstool dezent im Hintergrund und alarmiert nur bei eindeutigen Gefahren.

Gegenüber der "a-squared"-Produktreihe werden jetzt auch die Änderungen der Browser- Einstellungen und Debugger-Installationen überwacht. In der Benutzeroberfläche ist die Prozessübersicht die wichtigste Neuerung: Einzelne Prozesse können gleich verboten oder eine spezifische Überwachung definiert werden.

Mamutu erkennt und meldet folgende Verhaltensweisen:

· Backdoor ähnliches Verhalten

· Spyware ähnliches Verhalten

· HiJacker ähnliches Verhalten

· Wurm ähnliches Verhalten

· Dialer ähnliches Verhalten

· Keylogger ähnliches Verhalten

· Trojan-Downloader ähnliches Verhalten

· Einschleusen von Code in andere Programme

· Manipulation von Programmen (patchen)

· Unsichtbare Software-Installationen

· Unsichtbare Rootkit-Prozesse

· Installation von Diensten und Treibern

· Erstellung von Autostart- Einträgen

· Manipulationen der Hosts-Datei

· Änderungen der Browser-Einstellungen

· Installation von Debuggern im System

(Emsi: ra)