Signaturbasierte Erkennung ist die älteste und immer noch am weitesten verbreitete Methode, mit der Virenscanner Schadsoftware aufspüren – und gleichzeitig ihr größtes Schwachstelle. Die Methode funktioniert nur für Bedrohungen, die bereits bekannt sind, und lässt sich mit einfachen Mitteln umgehen.
Wie funktioniert das?
Stell Dir ein Fahndungsfoto vor: Die Polizei vergleicht Gesichter von Passanten mit einer Datenbank gesuchter Verbrecher. Genau so arbeitet signaturbasierte Erkennung. Der Virenscanner hat eine riesige Datenbank mit "Steckbriefen" bekannter Schadprogramme. Bei jedem Dateizugriff vergleicht er die Datei mit dieser Datenbank.
Technisch geschieht das auf mehrere Arten:
- Hash-Vergleich: Der Scanner berechnet einen eindeutigen digitalen Fingerabdruck (Hash) jeder Datei und vergleicht ihn mit den Hashes bekannter Malware. Schon die Änderung eines einzigen Bytes erzeugt einen komplett anderen Hash – die Datei wird nicht mehr erkannt.
- Pattern Matching: Der Scanner sucht nach bestimmten Byte-Folgen (Patterns) im Code einer Datei, die typisch für bestimmte Malware-Familien sind. Das ist flexibler als ein Hash-Vergleich, aber auch aufwendiger.
- Heuristische Analyse: Eine Erweiterung des Pattern Matchings, bei der der Scanner nach verdächtigen Codemustern sucht, die typisch für Schadsoftware sind – auch wenn die genaue Variante unbekannt ist. Klingt gut in der Theorie, liefert in der Praxis aber viele Fehlalarme.
Das fundamentale Problem: Jede dieser Methoden setzt voraus, dass jemand die Malware vorher analysiert und die Signatur erstellt hat. Zwischen dem ersten Auftauchen einer neuen Malware und der Verfügbarkeit einer Signatur vergehen Stunden bis Tage – manchmal sogar Wochen. In dieser Zeit ist Dein Virenscanner blind.
Angreifer wissen das und nutzen es systematisch aus:
Obfuskation ist die einfachste Gegenmaßnahme. Der Schadcode wird so verpackt und verschleiert, dass automatische Signaturen ihn nicht erkennen. Professionelle Tools dafür – sogenannte Crypter – kosten im Darknet wenige hundert Euro und garantieren, dass die verschleierte Malware von keinem gängigen Virenscanner erkannt wird. Die Angreifer testen ihre Malware sogar vor dem Einsatz gegen alle gängigen Scanner.
Polymorphismus verändert den Code bei jeder Kopie automatisch. Die Schadfunktion bleibt gleich, aber die Signatur ist jedes Mal eine andere. Ein einzelner Virenscanner müsste theoretisch unendlich viele Signaturen speichern, um alle Varianten abzudecken.
Serverbasierte Mutation bedeutet, dass der Malware-Server bei jedem Download eine frisch generierte, einzigartige Version der Schadsoftware ausliefert. Jedes Opfer erhält eine andere Variante – eine gemeinsame Signatur existiert gar nicht.
Beispiele aus der Praxis
Der RedLine Stealer ist ein Lehrbuchbeispiel für das Versagen signaturbasierter Erkennung. Als Malware-as-a-Service vermietet, wird RedLine von hunderten verschiedenen Kriminellen eingesetzt – jeder mit eigenen Anpassungen. Die schiere Menge an Varianten überfordert die Signaturdatenbanken. Obwohl RedLine seit Jahren bekannt ist, gelingt es immer wieder neuen Versionen, Virenscanner zu umgehen und Passwörter, Cookies und Krypto-Wallets zu stehlen.
Emotet perfektionierte die Technik der ständigen Veränderung. Die Infrastruktur hinter Emotet generierte mehrfach täglich neue Varianten des Trojaners. Jede E-Mail-Welle transportierte leicht veränderten Code. Antivirenhersteller waren gezwungen, ihre Signaturen im Stundentakt zu aktualisieren – und hinkten trotzdem regelmäßig hinterher.
Der Raccoon Stealer zeigt ein weiteres Problem: Malware-as-a-Service-Plattformen bieten ihren Kunden regelmäßige Updates, die explizit darauf abzielen, aktuelle Virenscanner-Signaturen zu umgehen. Es ist ein kommerzielles Wettrüsten, bei dem die Angreifer oft die Nase vorn haben.
Wie schützt Deep Freeze davor?
Deep Freeze benötigt keine einzige Signatur. Es vergleicht keine Dateien, analysiert keinen Code und sucht nicht nach Mustern. Stattdessen sichert es den sauberen Zustand Deiner Systempartition und stellt ihn bei jedem Neustart automatisch wieder her. Ob die Malware bekannt oder völlig neu ist, ob sie verschleiert oder mutiert ist – nach dem Neustart ist sie weg. Deep Freeze umgeht das gesamte Erkennungsproblem, indem es gar nicht erst versucht, Malware zu erkennen.
Signaturbasierte Erkennung war eine gute Idee – in den 1990er Jahren. Heute verändern Angreifer ihre Malware schneller, als Signaturen geschrieben werden können. Deep Freeze braucht keine Signaturen, weil es nicht erkennen muss, sondern einfach zurücksetzt.