McAfee verbessert Schutz bei Zero-Day-Exploits

Mit dem Online-Service »Artemis« bekämpft McAfee Viren und andere Malware, bevor dafür Signaturen zur Verfügung stehen. Basis dafür sind die »Avert Labs«, die auf Informationen der bei Anwendern weltweit installierten Security-Scanner zurückgreifen.

Anti-Viren-Lösungen bieten in der Regel erst einen zuverlässigen Schutz, wenn es für den betreffenden Schädling eine Signatur gibt. Mit ihrer Online-Lösung Artemis will McAfee Schadcode schon vorher entdecken und dann blockieren. Artemis verwertet dazu die Scans aller weltweit installierten McAfee-Anti-Viren-Agenten, um schnell verdächtige Muster zu klassifizieren und den Agenten zur Verfügung zu stellen. Das Muster dient dann quasi als Signatur-Ersatz, bis die Forscher eine solche erstellt haben.

Artemis nutzt die Online-Datenbank der »Avert Labs« von McAfee heran, um eventuellen Schadcode zu bewerten. Dazu schicken die Anti-Virus-Agenten auf Client-Systemen einen speziellen Fingerabdruck an die Datenbank. Die Datenbank speichert solche Anfragen, auch wenn sie zunächst nicht weiter verdächtig sind. Da dies alle McAfee-Agenten weltweit tun, entstehen so aber Muster oder Auffälligkeiten, die für ein einzelnes System so nicht sichtbar wären. Der Datenbank ermöglicht dies wiederum, sehr schnell auch ohne Signatur Code als gefährlich einzustufen. Davon profitieren dann alle weiteren Anfragen von Anti-Viren-Agenten.

McAfee vergleicht die Arbeit das Prinzip Artemis mit einem Host-Intrusion-Detection-System (HIDS). Der Unterschied liegt für den Hersteller daran, dass ein HIDS immer nur den aktuellen Datenstrom als Basis hat. Artemis wird jedoch weltweit mit Informationen gefüttert. Dabei verwendet die McAfee-Lösung aber auch Signaturen und heuristische Verfahren.

Für kleine und mittelständische Unternehmen gibt es Artemis im Rahmen des »Total Protection Service«. »Virus Scan Enterprise« soll die Technologie in den kommenden Tagen erhalten. Für Privatnutzer gibt es Artemis als »Active Protection«.