McAfees Artemis jagt unbekannte Malware

McAfee hat eine Technologie für Windows entwickelt, mit der die Jagd auf neue Malware verbessert werden kann. "Artemis" nutzt dazu sogenannte Fingerprints, die von verdächtigen Dateien genommen und mit Informationen in einer Online-Datenbank der McAfee Avert Labs verglichen werden. "Die Idee ist, eine verlässliche und schnellere Erkennung für Malware zu liefern, die zwar bereits bei McAfee eingegangen ist, aber beispielsweise noch nicht händisch analysiert wurde", beschreibt Andreas Clementi von AV-Comparatives. Seine Analyse zeigt, dass Artemis die Erkennungsrate von McAfee VirusScan Plus auf über 99 Prozent steigern kann und damit einen echten Sicherheits-Vorteil bringt.

McAfees "Artemis"

Artemis scannt Dateien im Windows-PE-Binärformat (Portable Executable), das von ausführbaren Dateien unter Windows genutzt wird. Findet Artemis eine verdächtige PE-Datei, schickt sie einen wenige Bytes großen Fingerprint an den zentralen Avert-Labs-Server. Dort sind in einer Blacklist Fingerprints von Dateien gespeichert, die als schädlich identifiziert, aber eventuell noch nicht genau analysiert wurden. Dadurch können Nutzer vor solcher Malware praktisch in Echtzeit gewarnt werden, deutlich früher, als die Schadsoftware in Signaturfiles berücksichtigt werden kann. Das System erfordert eine aktive Internetverbindung. Der Datentransfer falle aber nicht ins Gewicht, betont Clementi, da nur kleine Fingerprint-Pakete bei akuten Verdachtsmomenten übermittelt werden. Damit sei das System im Vergleich zu häufigeren Signatur-Updates auch aus Sicht der Netzwerkauslastung von Vorteil.

Für die Antiviren-Lösungen von McAfee verspricht die Technologie eine deutliche Verbesserung. Clementi hat für McAfee VirusScan Plus 2008 die Erkennungsraten des regulären Programms und einer Test-Version mit aktivierter Artemis-Technologie verglichen. Dabei hat er festgestellt, dass statt knapp 95 Prozent der Test-Malware dank Artemis insgesamt 99,2 Prozent des untersuchten Malware-Samples erkannt wurden - eine insgesamt sehr hohe Erkennungsrate, so Clementi. Derzeit verursache Artemis zwar noch Fehlalarme, doch McAfee arbeite mit Whitelists, um deren Zahl zu reduzieren, beobachtet Clementi.

Die Erweiterung Artemis für McAfee-Produkte wird unter http://beta.mcafee.com "in Kürze" in die zunächst englischsprachige, öffentliche Beta starten. "Im Grunde kann jeder interessierte Heimanwender am Beta-Programm teilnehmen", so Isabella Unseld, McAfee PR Manager DACH. Die Funktionalität könne für einen einzelnen PC relativ einfach aktiviert werden. Im Enterprise-Bereich werde bei der Beta mit ausgewählten Kunden zusammengearbeitet. Je nach Feedback aus der Beta-Phase soll Artemis im späteren Verlauf des Jahres allgemein in Produkte integriert werden. (pte/rw)