Startseite » Über Panda » Technologie-Highlights

Technologie-Highlights


Erste Generation: Antivirus Zweite Generation: Anti-Malware Dritte Generation:
Proaktive Technologie 		Kollektive Intelligenz.: 
Die nächste Generation



Erste Generation: Antivirus

Die erste Generation der Antivirus-Produkte basierte ausschließlich auf Signaturerkennung.

Diese Technologie war in den 1990ern vorherrschend und beinhaltete polymorphe Engines sowie elementare, auf Richtlinien basierende MS-DOS-, Win32-, Macro- und später auch Skript-Heuristik. Diese Zeit war des Weiteren dadurch gekennzeichnet, dass die ersten, massiv genutzten Win32-Trojaner wie NetBus oder BackOrifice auftauchten.

Zweite Generation: Anti-Malware

Ab 2000 verbreiteten sich neue Malware-Typen. Dazu gehörten auch nicht-dateiförmige Würmer und Spyware, die die Aufmerksamkeit erregten und massive Schäden anrichteten.

Grundlegende Antivirus-Engines wurden entwickelt, um Personal Firewalls einzurichten, die die Netzwerkwürmer identifizieren und stoppen sollten. Dazu dienten sowohl Paketsignaturen als auch System Cleaner, die die geänderten Einstellungen des Betriebssystems wie Registrierungseinträge, HOST-Dateien, Browser Helper Objects usw. wiederherstellen sollten. Ab der zweiten Generation integrierte Panda die SmartClean-Technologie in die Anti-Malware-Engine. Sie diente dazu, das Betriebssystem von Spyware und Backdoor-Trojanern zu befreien und es wiederherzustellen.

Dritte Generation: Proaktive Technologie

TruPrevent

Panda veröffentlichte 2004 nach mehr als 3 Jahren intensiver Forschung und Entwicklung die TruPrevent-Technologie.

Seitdem hat sich TruPrevent zu einer umfassenden Verhaltenstechnologie entwickelt, die wesentlich effektiver Zeroday-Malware automatisch blockiert, ohne von Virus-Signaturen oder ähnlichem abhängig zu sein. TruPrevent wird unentwegt an neue Malware-Techniken und Schwachstellen angepasst.

Es wird neben der Anti-Malware-Engine eingesetzt. Momentan wird TruPrevent auf mehr als 5 Millionen Computern ausgeführt. Alle diese Computer dienen auch als High-Interaction Honeypot-Knoten, die PandaLab über neue Malware informieren, wenn TruPrevent diese als verdächtig kennzeichnet und nicht durch herkömmliche Antivirus-Signaturen erkannt wird.

TruPrevent baut auf zwei Haupttechnologien auf: Verhaltensanalyse und Verhaltensblockierung, auch als System- und Anwendungs-Hardening bekannt.

    Verhaltensanalyse

    Die Verhaltensanalyse ist die letzte Verteidigung gegen neue Malware auf dem Rechner, die die Signaturen, die Heuristik und die Verhaltensblockierung umgehen konnte. Proteus greift während des Betriebs in die Vorgänge und API-Calls ein, die von Programmen durchgeführt werden, und ordnet sie zu, bevor der Vorgang vollständig ausgeführt wird. Die aus der Echtzeitzuordnung resultierenden Vorgänge werden je nach ihrem Verhalten ausgeführt oder abgewiesen.

    Im Vergleich zu anderen Verhaltenstechnologien verläuft dieser Prozess autonom und fordert den Endbenutzer technisch nicht heraus („Möchten Sie es zulassen, dass der Prozess xyz einen Thread in die explorer.exe oder die Speicheradresse abc einspeist?“). Diese Technologie erfordert keine Signaturaktualisierungen, da sie ausschließlich auf dem Verhalten der Anwendung basiert. Ein Bot wäre kein Bot, wenn er sich nicht wie einer verhalten würde. Wenn er es dann aber tut, wird er von dieser Technologie entdeckt, unabhängig von Form oder Namen.

    Verhaltensblockierung

    Die Verhaltensblockierung ist die zweite Hauptkomponente von TruPrevent. Hacker und Malware missbrauchen die Privilegien legitimer Anwendungen, um das System durch Einbringung eines Codes anzugreifen. Die Verhinderung derartiger Angriffe ist sehr kostspielig, da eine auf Richtlinien basierende Blockierungstechnologie verwendet wird, die die Vorgänge autorisierter Anwendungen im System beschränken kann.

    KRE wurde aus mehreren Regeln zusammengesetzt, die durch eine Gruppe von Richtlinien definiert werden. Diese Richtlinien beschreiben für eine bestimmte Gruppenanwendung erlaubte und abgewiesene Vorgänge. Es können Regeln erstellt werden, die den Zugriff der Anwendung auf Dateien, Benutzerkonten, die Registrierung, COM-Objekte, Windowsdienste und Netzwerkressourcen kontrollieren.

Heuristik-Engine mit Tiefenanalyse

Die ersten Grundgedanken zur Heuristik-Technologie entstammen der Genetik in der Biologie. Dafür ist es notwendig, zu wissen, wie Organismen individuell identifiziert und anderen Organismen zugeordnet werden können. Diese Technologie basiert auf der Verarbeitung und Interpretation von „digitalen Genen“, die in diesem Fall durch einige hundert Charakteristiken von jeder gescannten Datei dargestellt werden.

Die Heuristik-Engine mit Tiefenanalyse wurde erstmals 2005 veröffentlicht. Das Ziel der Heuristik-Engine ist es, genetische Dateieigenschaften über einen rechtlich geschützten Algorithmus zu vergleichen. Die digitalen genetischen Eigenschaften geben Auskunft über das Potenzial der Software zur Ausführung schädlicher oder eher harmloser Aktionen, wenn sie auf einem Computer ausgeführt wird. Die Engine ist in der Lage, zu bestimmen, ob es sich bei einer Datei um eine harmlose Datei, einen Wurm, Spyware, einen Trojaner, einen Virus etc. handelt.

Kollektive Intelligenz. Die nächste Generation.

Heutzutage kursiert zehn Mal mehr Malware als noch vor zwei Jahren. Daher ist die offensichtliche Schlussfolgerung, dass Sicherheitslösungen für einen adäquaten Schutz zehn Mal mehr Malware erkennen müssen. Obwohl eine vollwertige HIPS-Lösung mit proaktiver Technologie fast alle Malware erkennt und blockiert, ist es dennoch möglich, dass unbekannte Malware diesen Schutz umgeht.

Die Technologie der kollektiven Intelligenz wurde erstmals Ende 2006 als begrenzte Testversion veröffentlicht mit dem Ziel, „zehn Mal mehr als im Moment mit zehn Mal weniger Aufwand“ zu erkennen.

Grundgedanken für dieses neue System:

  • Sammeln von Daten über die Community: Das System sammelt und speichert zentral Verhaltensmuster von Programmen, Dateispuren, neue Malware-Beispiele usw. Diese Daten stammen von Panda-Benutzern sowie von anderen Unternehmen und Mitarbeitern. Diese umfassende Fähigkeit zur Sammlung von Daten sorgt für größere Sichtbarkeit aktiver Internet-Bedrohungen.

  • Automatisierte Datenverarbeitung: Das System analysiert und klassifiziert automatisch die Tausende neuer Beispiele, die jeden Tag eingehen. Zu diesem Zweck vergleicht ein Expertensystem die von der Community empfangenen Daten mit der umfassenden Malware-Knowledge-Base von PandaLabs. Das System bewertet von der Community neu empfangene Dateien automatisch (Malware oder Goodware) und sorgt so für eine Senkung der manuellen Arbeitsbelastung bei PandaLabs.

  • Veröffentlichung der extrahierten Daten: Diese Informationen werden als Web-Dienstleistungen oder über Aktualisierungen von Signaturdateien an Benutzer ausgeliefert.

    Wir haben schon einige Dienste entwickelt und angewendet, die ausschließlich auf der Grundlage der Kollektiven Intelligenz-Plattform arbeiten. Diese Online-Dienste sollen tiefgründige Maschinenprüfungen durchführen und Malware erkennen, die von der installierten Sicherheitslösung nicht erkannt wurde.

    Bei Kleinkunden und Stand-Alone-Computern wenden wir einen NanoScan an, der einen PC nach aktiver Malware durchsucht und einen TotalScan, der das vollständige System eines PC einschließlich Festplatte, Speicher, E-Mail-Datenbank usw. scannt.

    In Unternehmen sind die Anforderungen an die Leistung und den Tiefenscan nach Malware jedoch höher. Daher haben wir einen speziell verwalteten Dienst entwickelt, den Malware Radar. Dank dieses Dienstes können Unternehmen schnell komplette Prüfungen aller Endpunkte im Netzwerk durchführen, um ihre Schutzstufe zu ermitteln, nicht erkannte Infektionsquellen genau zu bestimmen oder ausführende Maschinen zu erkennen, die gezielten Angriffen ausgesetzt waren.