Behavior Blocker hilft Virenscannern mit Verhaltensanalyse

Mamutu 2.0 ist ein so genannter Behavior Blocker, der klassische Viren- und Malware-Scanner um eine verhaltensbasierte und intelligente Programm-Analyse ergänzt. Sie soll auch neue, noch unbekannte Schädlinge verlässlich aufspüren und stilllegen. Selbst schnüffelnde Regierungs-Tools sollen so erkannt werden. Die neue Version reduziert die Anzahl der Fehlalarme deutlich und führt ein neues Alarm-System ein.

Klassische Virenscanner und Anti-Spyware-Programme arbeiten meist Signaturen-basiert: Sie verwalten virtuelle Fingerabdrücke aufzuspürender Schädlinge und enttarnen Malware durch einen direkten Vergleich des Programm-Codes. Bis der Fingerabdruck neuer Schädlinge in den Signaturen-Datenbanken verarbeitet ist, ist der Computer deren Attacken schutzlos ausgesetzt.

Hier setzte Mamutu 2.0 an: Eine intelligente Verhaltensanalyse registriert, welche Aktionen Software auf dem Rechner ausführt. Bei verdächtigem Verhalten – wenn eine Software Code in andere Programme einschleust, die bereits vorhandene Software über einen Patch manipuliert, unsichtbar im Hintergrund neue Programme installiert, Rootkit-Prozesse auslöst oder neue Dienste und Treiber einrichtet – wird die betreffende Aktion sofort eingefroren und gemeldet. Der Anwender kann dann selbst entscheiden, was passieren soll. Auch das Erstellen von Autostart-Einträgen und simulierte Maus- und Tastaturaktivitäten sollem vom Malware Intrusion Detection System (Malware-IDS) von Mamutu registriert werden.

Christian Mairoll, Geschäftsführer der Emsi Software GmbH: „Ziel ist es für uns, nicht möglichst viel, sondern möglichst wenige Alarme auszulösen. Im Gegensatz zu einem typischen HIPS-Programm (Host Intrustion Protection System), das nahezu alles meldet, ohne das genaue Verhalten kombiniert zu analysieren, meldet sich Mamutu nur dann, wenn nahezu gesichert ist, dass es sich bei einem Programm um eine echte Gefahr handelt.“ Mamutu soll keinen Virenscanner und kein Anti-Spyware-Programm ersetzen, sondern eine Sicherheitslücke füllen.

Mamutu 2.0 läuft unter Windows 2000, XP, 2003 Server und Vista. Eine kostenlose 30-Tage-Testversion steht zum Download bereit. Die Vollversion kostet 20 Euro. (Quelle: Emsi Software GmbH/GST)