G Data: neuer Ansatz gegen Banking-Trojaner
Banking-Trojaner sind eine echte Last für den heutigen Internetuser: immer schwerer zu finden und sehr effektiv darin, Onlineüberweisungen zu manipulieren. Der Antivirenhersteller G Data bringt jetzt mit der Software „BankGuard“ ein Produkt auf den Markt, das den Schädlingen das Leben etwas schwerer machen soll.
Virenscanner nutzen momentan vorwiegend zwei verschiedene Ansätze, Schädlinge zu finden: patternbasierte Suche und
heuristische Verhaltenserkennung. Die patternbasierte Suche gleicht den Arbeitsspeicher und die Dateien auf einer Festplatte mit einer Liste von „Fingerabdrücken“ bekannter Schädlinge ab. Das funktioniert zuverlässig und recht schnell so lange der vorliegende Schädling sich nicht allzu sehr von dem bekannten unterscheidet und so lange die Liste nicht zu lang wird. Der Ansatz geht schief, wenn es sich um einen komplett neuen Schädling handelt, der bislang noch nicht bekannt war. Der wird nicht erkannt, so lange sein „digitaler Fingerabdruck“ nicht in die Liste aufgenommen wurde. Diese Lücke soll die sogenannte „Heuristik“ schließen: alle Programme werden daraufhin überwacht, ob sie ein bestimmtes, verdächtiges Verhalten zeigen. Damit sollen auch bislang unbekannte Schädlinge entdeckt werden können. So richtig funktioniert hat das bislang aber auch nicht, da die Hersteller von Viren natürlich gezielt versuchen, solche Heuristiken auszuhebeln.
G Data veröffentlicht jetzt ein Produkt, das einen etwas anderen Ansatz verfolgt. Die meiste Software auf einem PC nutzt gemeinsame Schnittstellen – sogenannte Systembibliotheken – für die Netzwerkkommunikation. Damit sparen sich die Programmierer viel Arbeit, weil sie auf standardisierte Methoden zurückgreifen können um ihre Programme netzwerktau
glich zu machen.
Banking-Trojaner verändern diese Systembibliotheken so, dass sie die übertragenen Daten manipulieren können. Dies geschieht noch am eigenen PC – sozusagen „noch im Browser“, wo die Daten noch unverschlüsselt vorliegen, selbst wenn verschlüsselte Verbindungen zur Bank genutzt werden. Dazu hängt sich der Trojaner in die Funktionen rein, so dass diese nur noch unter seiner Kontrolle genutzt werden können. Das geschieht während der Ausführung direkt im Speicher, die eigentliche Bibliothekendatei auf der Festplatte wird nicht verändert.
Genau an diesem Punkt setzt G Data mit seinem „BankGuard“ an. Die Schutzsoftware überwacht die relevanten Bibliotheken und vergleicht diese ständig mit dem Original. Sobald eine Veränderung festgestellt wird, soll die veränderte Bibliothek mit dem Original überschrieben werden, der Schädling wäre damit ohne Funktion. Gleichzeitig bekommt der User eine Warnung, weil ja der Schädling nicht gelöscht wurde, sondern nur die Datenübertragung nicht mehr manipulieren kann.
So soll das funktionieren: