Python-Script

Adobe veröffentlicht Malware-Wünschelrute

Donnerstag den 05.04.2012 um 16:04 Uhr

von Frank Ziemann

Adobe veröffentlicht Malware-Wünschelrute
Vergrößern Adobe veröffentlicht Malware-Wünschelrute
© iStockphoto/tdbiii
Adobe hat ein 30 KB großes Python-Script als Open Source veröffentlicht, mit dem sein Sicherheitsteam PSIRT Binärdateien für Windows auf Malware prüft. Es basiert auf einer statistischen Auswertung durch selbstlernende Algorithmen.

Adobes Sicherheitsteam PSIRT muss im Rahmen seiner alltäglichen Arbeit oft auch Programmdateien für Windows daraufhin untersuchen, ob es sich um Malware handelt. Dabei bekommen es die Sicherheitsforscher häufig mit Dateien zu tun, die sie nicht einfach durch Multi-Virenscanner wie VirusTotal scheuchen können, weil es sich um noch unbekannte Schädlinge handeln könnte. Daher haben sie selbst ein Tool namens "Malware Classifier"  entwickelt, das eine Klassifizierung binärer Dateien auf Basis statistischer Analysen vornimmt.

Selbstlernende Algorithmen haben ungefähr 100.000 schädliche sowie 16.000 harmlose Dateien untersucht. Dabei wurden bestimmte Merkmale aus dem PE-Header (Portable Executable) ausführbarer Windows-Dateien (EXE, DLL) extrahiert und statistisch erfasst. Laut Adobe ergeben sich daraus Erkenntnisse, welche Kombinationen dieser sieben Merkmale typischerweise bei Malware auftreten.

Basierend darauf stuft ein 30 KBytes großes Python-Script, der besagte Malware Classifier, eine neue Datei als schädlich, harmlos oder unbestimmt ein. Einen Virenscanner kann und soll dieses Script nicht ersetzen. Es soll vielmehr Sicherheitsfachleuten eine erste Einschätzung einer unbekannten Datei liefern, die dann weiter zu untersuchen ist. Das Python-Script steht als Open Source (BSD-Lizenz) auf SourceForge für Jedermann zum Download bereit.

Donnerstag den 05.04.2012 um 16:04 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
1426541