Durch die Verbreitung gleich mehrerer Varianten neuer Schädlinge innerhalb von wenigen Stunden versuchen Virenschreiber jetzt, traditionelle Maßnahmen zum Virenschutz auszuhebeln, warnt der Security Service Provider BlackSpider Technologies. Bei der jüngsten Welle des Bagle-Wurms habe das Unternehmen bereits innerhalb der ersten 3 Stunden drei verschiedene Varianten identifiziert, so Günter Fuhrmann, General Manager Deutschland von BlackSpider. In den folgenden Stunden seien noch drei weitere Varianten hinzu gekommen.
"Wir sehen hier ein neues Muster, mit dem die installierte Antivirensoftware überwunden werden soll", so Fuhrmann. "Die Virenschreiber setzen darauf, dass die Hersteller dieser Software mit der Pattern-Entwicklung einfach nicht mehr hinterherkommen und so zumindest für einige der gleichzeitig freigesetzten Varianten das Einfallstor möglichst lange offen bleibt." Innerhalb dieses verlängerten "Window of Exposure" haben solche Varianten dann die Möglichkeit, sich über Botnets massiv zu verbreiten.
Gegen solche Attacken mit mehreren Wellen leicht modifizierter Schädlinge seien herkömmliche Maßnahmen gegen Viren weitgehend machtlos, so Fuhrmann. Trotz immer kürzerer Reaktionszeiten seitens der Hersteller dauere es immer noch mehrere Stunden, bis sie neue Signaturen bereitstellen könnten. So hat BlackSpider über seine heuristischen Verfahren bereits zwei Varianten von Bagle erkannt und geblockt, bevor überhaupt die ersten Updates zur Verfügung standen; auch alle weiteren Variationen wurden zunächst über die Heuristik in Quarantäne genommen, da noch keine Signaturen verfügbar waren.
"Die Welle am 1. März war sicher nur der Anfang", schließt Fuhrmann. "Wir gehen davon aus, dass wir mehr und mehr Angriffe nach diesem Muster sehen werden."
"Wir sehen hier ein neues Muster, mit dem die installierte Antivirensoftware überwunden werden soll", so Fuhrmann. "Die Virenschreiber setzen darauf, dass die Hersteller dieser Software mit der Pattern-Entwicklung einfach nicht mehr hinterherkommen und so zumindest für einige der gleichzeitig freigesetzten Varianten das Einfallstor möglichst lange offen bleibt." Innerhalb dieses verlängerten "Window of Exposure" haben solche Varianten dann die Möglichkeit, sich über Botnets massiv zu verbreiten.
Gegen solche Attacken mit mehreren Wellen leicht modifizierter Schädlinge seien herkömmliche Maßnahmen gegen Viren weitgehend machtlos, so Fuhrmann. Trotz immer kürzerer Reaktionszeiten seitens der Hersteller dauere es immer noch mehrere Stunden, bis sie neue Signaturen bereitstellen könnten. So hat BlackSpider über seine heuristischen Verfahren bereits zwei Varianten von Bagle erkannt und geblockt, bevor überhaupt die ersten Updates zur Verfügung standen; auch alle weiteren Variationen wurden zunächst über die Heuristik in Quarantäne genommen, da noch keine Signaturen verfügbar waren.
"Die Welle am 1. März war sicher nur der Anfang", schließt Fuhrmann. "Wir gehen davon aus, dass wir mehr und mehr Angriffe nach diesem Muster sehen werden."
