Neue Software lockt Viren in die Falle

EnterpriseSicherheit

Vorsorge ist besser als Nachsorge, sagt Avinti. Das Start-up baut einen virtuellen Rechner als Viren-Falle auf.

Herkömmliche Anti-Viren-Techniken zäumen das Pferd von hinten auf, meint das US-Software-Unternehmen Avinti. Das Problem: Ein Virus verursacht erst einmal ordentlich Schaden, bevor die Anti-Viren-Unternehmen wirksame Waffen – sprich Anti-Viren-Signaturen – bereitstellen.
“Besonders bei neuen Viren dauert es manchmal Tage, bis sie entdeckt werden”, sagte Curtis Tirell, Avinti’s Vice President für Marketing, dem Branchendienst Internetweek. Dann werden Signaturen geschrieben, getestet und an die Kunden verteilt – derweil löscht der Virus Festplatten oder baut Zombie-Netzwerke auf.
 
Dagegen will Avinti mit der Software ‘iSolation Server’ Viren den Garaus machen, bevor sie zuschlagen können. Der Trick: Das Programm agiert als “virtueller Computer”. Die E-Mails “glauben”, sie haben ihr Ziel erreicht – dabei sind sie in einem Potemkinschen Dorf gelandet.

So stellt Avinti zwischen der Firewall, der Anti-Spam-Software, der Anti-Virus-Software und dem E-Mail-Server ein zusätzliches Fangnetz auf. Die eingehenden E-Mails werden zunächst von der Anti-Spam-Software und der Anti-Virus-Software geprüft. Diese sondern bekannte Viren aus.

Unbedenkliche E-Mails – die etwa nur einfachen Text enthalten – werden direkt an den E-Mail-Server geliefert. Dagegen landen die E-Mails mit ausführbaren Inhalten oder mit Anhängen im virtuellen Rechner. Dieser öffnet die E-Mails und führt sie aus.

Verhält sich die E-Mail oder der Anhang wie ein Virus, kommen sie in “Quarantäne”. So kommen alle Nachrichten und Anhänge in Untersuchungshaft, die versuchen, einen Code auszuführen, auf das Outlook-Verzeichnis zuzugreifen oder das System-Verzeichnis zu ändern.

Dieser Prozess dauere laut Hersteller nur Sekunden. Jede verdächtige E-Mail bekomme eine Kennzeichnung (ID). Die ID werde an einen Filter gemeldet, so dass Kopien der E-Mail künftig sofort aussortiert würden. Die Performance des Systems werde durch eine Überflutung mit verseuchten E-Mails nicht beeinträchtigt. Die erste Version der Software verarbeite etwa 500 E-Mails pro Stunde.

Diese Version – für bis zu 400 Clients – kommt Ende Oktober auf den Markt. Nach US-Medienberichten kostet die Lizenz pro Nutzer zwischen 20 und 30 Dollar. Programm-Versionen für bis zu 2500 und bis zu 10.000 Clients sind in Arbeit.

Avinti empfiehlt, die Software auf einem eigenen Server einzusetzen. Dieser solle auf einer 3 GHz Pentium IV-Plattform mit 4 GB RAM basieren und über Windows 2000 Service Pack 2, Windows IIS Server und eine 100 MB Ethernet-Verbindung verfügen, hieß es.

Wie Marktbeobachter sagen, ergänzt Avintis System andere Virus-Frühwarnsysteme – wie etwa IronPorts ‘Virus Outbreak Filter’. IronPort hatte diese Technik für eine weltweite E-Mail-Kontrolle im Juni vorgestellt. Damit könne man einen Virus in vier bis fünf Stunden einholen, sagte Scott Weiss, CEO von IronPort, dem Wall Street Journal.

IronPort hat sich unter den Anti-Viren-Unternehmen einen Kooperationspartner gesucht – Symantec. Stellt IronPort eine Virenepidemie fest, informiert es Symantec, das wiederum Anti-Viren-Signaturen zur Verfügung stellt. Avinti ließ dagegen bislang nichts über Kooperationen zur Anti-Viren-Herstellern verlautbaren. Daran arbeite man noch, hieß es.