IKARUS Security Logo

Die IKARUS scan.engine findet und analysiert Malware sowie Dateien mit schädlichem Verhalten. Basis der Technologie ist die komplexe Virenanalyse: Teils automatisiert, teils manuell werden Dateien in einem mehrstufigen Verfahren untersucht, ausgeführt, simuliert und beobachtet.

    |    Cyber-Sicherheitshersteller    |    Ikarus

IKARUS scan.engine

Die IKARUS scan.engine ist eine der weltweit besten Carrier-grade Scan Engines zur erweiterten Inhaltsanalyse. Sie findet, extrahiert, analysiert und eliminiert Schädlinge, Schwachstellen und Exploits in nahezu allen Dateisystemen und Archiven. Die IKARUS scan.engine arbeitet mit hochentwickelten, leistungsstarken Scan-Technologien zur Analyse von Inhalten verschiedenster Art – unabhängig von deren Erscheinung, Größe oder Dateikennung.

Nur in den einfachsten Fällen besteht eine Virendefinition (oder Virenbeschreibung) aus einer statischen Signatur: Bereits bekannte, wenig komplexe Schädlinge können mittels Abgleiches eindeutiger Codesequenzen entdeckt werden.

So einfach ist es aber selten. Aufwändigere oder noch unbekannte Schädlinge durchlaufen in der IKARUS scan.engine daher mehrere Analyse-Stadien, in denen sie in ihre Einzelteile zerlegt und in verschiedenen Analyse-Verfahren unter die Lupe genommen werden.

Der erste Scanvorgang berechnet kryptografische Hashwerte, analysiert verdächtige oder auffällige Dateielemente und sucht nach Signaturen und Exploits. Bekannte Schädlinge, die bereits nach dem Abgleich mit der Virendatenbank identifiziert wurden, werden sofort isoliert und unschädlich gemacht. Ein Großteil der Dateien wird in einer geschützten Umgebung weiteren Analyseverfahren unterzogen.

SO ARBEITET DIE

IKARUS SCAN.ENGINE

VERHALTENSBASIERTE HEURISTIK

UND SIMULATION

In einer integrierten virtuellen Umgebung werden gepackte Files entpackt und alle Dateien extrahiert. Ausführbare Dateien werden identifiziert und entschlüsselt, Simulationen gestartet und Dateien auf Exploits, Scripte, iFrames, Java Scripte, ActionScripts, Makros und eingebundene Font- oder PE-Dateien untersucht. E-Mails werden anhand ihres Inhaltes, Headers und ihrer Anhänge analysiert. Scripte wie HTML, XML, Java Script, VBS, MIRC Script, Web Script, X Script, BAT, TXT und Binäre Dateien werden auf Jumps und Calls überprüft, ausgeführt und beobachtet.

Aufrufe von Schnittstellen ersetzt die IKARUS scan.engine im geschlossenen virtuellen Umfeld mit eigenen Funktionen. Es werden Verhaltensanalysen inkl. Analyse von API Aufrufen, nachgeladenen DLLS und Dateien erstellt, Opcodes erzeugt, und die vom Programm veränderten Speicherbereiche und entpackte Codes oder Dateien werden beobachtet und bewertet.

Außerdem wird das Verhalten der Dateien nach Start der Simulation beobachtet, da einige Viren über Funktionen verfügen, um ihr Umfeld zu testen und Simulationen zu erkennen: Ruft eine Datei beispielsweise APIs auf, um Registerwerte zu verg