„Microsoft hat mit Katastrophen wie Blaster niemals gerechnet“

ZDNet: Ich möchte nochmals auf meine erste Frage zurückkommen. Was sind die Pläne der Virus-Autoren?

Kalgin: Wir müssen einfach mal auf die letzen zehn Jahre zurückblicken. Alle Virusinfektionen waren früher lokal begrenzt. Das Internet war noch nicht so populär wie heute. Jetzt können sich Viren über das Internet weltweit verbreiten – die Verbreitung eines Virus dauert nur wenige Minuten. Ein Wurm wie Blaster oder Slammer wird in sehr kurzer Zeit zur Epidemie. Noch vor zwei Jahren wurden die meisten Infektionen durch E-Mail-Anhänge verursacht – der Nutzer musste dazu aber selbst aktiv werden. Würmer wie Blaster und Slammer hingegen verbreiten sich ohne das Zutun des Users. Das bedeutet wiederum, dass die Verbreitungsgeschwindigkeit deutlich höher ist, wie bei den E-Mail-Attachment-Viren vor zwei Jahren.

ZDNet: Kann man daraus einen neuen Trend ableiten?

Kalgin: Ja, es ist eindeutig ein neuer Trend. Für Hersteller von Antiviren-Produkten ergibt sich daraus ein neues Problem, da wir nicht mehr so schnell reagieren können wenn sich ein Virus verbreitet. Wir forschen also eher in Richtung Heuristik und Behaviour Blocking. In unseren Entwicklungslabors haben wir zu diesem Zweck ein spezielles Team zusammengestellt. Wir wollen neue Technologien entwickeln, keine neuen Applikationen. Das Team entwickelt neue, proaktive Methoden, um gegen neue Bedrohungen gewappnet zu sein. Diese Technologien werden in zukünftigen Produkten enthalten sein.

ZDNet: Sind proaktive Technologien dasselbe wie heuristische Technologien?

Kalgin: Nein, Heuristik bedeutet, dass eine Datenstruktur auffällig aussieht. Proaktive Technologien sollen gewisse Verhaltensweisen verhindern. Wir haben beispielsweise ein Plugin für Microsoft Office, das nicht auf Virensignaturen basiert. Die Dateien werden also nicht anhand von Viren-Signaturen untersucht. Die Software kann Viren erkennen, für die es noch keine Signatur gibt und die auch heuristische Verfahren nicht erkennen können. Stellen Sie sich einfach vor, der Virus besteht aus einem Code, mit dem eine Datei eine andere Datei öffnet und verändert. Das sieht dann ganz klar nach einem Virus aus. Mit unserer Technologie wollen wir dieses Verhalten erkennen und unterbinden. Bevor der Code ausgeführt wird, wird er auf potentiell schädliches Verhalten überprüft. Diese Technologie funktioniert mit allen Makroviren, mit alten und neuen. Wir wollen die Technologie auf alle Bereiche ausweiten, die Makros einsetzen. Das große Problem dabei ist aber, dass ein sehr gutes Behaviour Blocking nur in Verbindung mit erfahrenen Nutzern funktioniert. Es werden sehr viele Fragen an den User gestellt. Wir wollen aber nicht nur Lösungen für professionelle Nutzer schaffen. Wir möchten Lösungen für alle Nutzer – deswegen arbeiten wir an einer Lösung, die den Anwender nicht mit allzu vielen Fragen überfordert.

ZDNet: Wie es beispielsweise mit vielen Software-basierten Personal Firewalls der Fall ist…

Kalgin: Richtig, den gleichen Sachverhalt haben wir bei Personal Firewalls. Die Nutzer wissen, dass der Einsatz einer Personal Firewall einen gewissen Grad an Interaktion voraussetzt. Genau aus diesem Grund verwenden die meisten Nutzer keine Personal Firewall – sie wollen während der Internet-Nutzung keine Fragen gestellt bekommen. Im Endeffekt bedeutet dies eben, dass sie solche Software nicht installieren.

ZDNet: Seit Monaten ist es ziemlich ruhig – seit dem Blaster-Wurm hat es keine wirklich größeren Viren-Ausbrüche gegeben.

Kalgin: Einige Tage nach Blaster kam ein zweiter Wurm, der so genannte Anti-Blaster-Wurm – es war eine globale Epidemie. Er infizierte Computer genau auf genau demselben Weg wie Blaster – doch die extrem hohe Verbreitungsgeschwindigkeit hat weitaus mehr Traffic und somit einen viel höheren Schaden verursacht wie Blaster.

ZDNet: Wirklich einen höheren Schaden?

Kalgin: Ja, stellen Sie sich einfach die Situation vor. Sie haben ein sehr großes Netzwerk. Sogar wenn einige Computer geschützt sind oder wenn gar nur zehn Prozent betroffen sind, werden solch große Datenmengen produziert, dass eine deutliche Verlangsamung des Netzwerks eintritt. Wir wissen dass viele Unternehmen, die nicht vom Blaster-Wurm betroffen waren, später vom Anti-Blaster-Wurm infiziert wurden.

ZDNet: Das alles passierte aber vor drei Monaten. Warum gab es in der Zwischenzeit keine solchen Viren?

Kalgin: Es gab in der Zwischenzeit natürlich einige Viren. Wir haben ungefähr drei oder vier weltweite Infektionen pro Jahr. Dieses Jahr hatten wir mindestens schon drei. Im Januar hatten wir Slammer, im August Blaster und die Blaster-Varianten. Niemand weiß, wann die nächste Bedrohung kommt.

Themenseiten: Analysen & Kommentare, IT-Business, Kaspersky

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu „Microsoft hat mit Katastrophen wie Blaster niemals gerechnet“

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *