Hallo,

den Benutzern von avast! bleiben natürlich Programm- sowie Signatur-Updates nicht verborgen. So wird natürlich auch wahrgenommen, wenn es neue Funktionen gibt, die die Sicherheit und die Erkennung von Malware steigeren, wie es z.B. bei den Funktionen AutoSandbox, Verhaltens-Schutz und WebRep der Fall ist.

Was viele jedoch kaum wahrnehmen und auch nicht wahrnehmen können, sind die vielen kleinen Details die im Hintergrund durch das Virenlabor verbessert werden. Das uns allen bekannte Signatur-Update (auch VPS-Update) genannt, besteht nämlich seit avast! 5 nicht mehr nur aus einem Update der reinen Signaturen und der Heuristik mit sich, sondern auch Veränderungen in der Suchengine. Ein Teil dieser Veränderungen z.B. Veränderungen an Code-Emulatoren, die wiederum den Einsatz von generischen Samplen optimieren und es so möglich machen weniger generische Sample durch mehr generische Sample auszutauschen, ohne die Erkennung dabei zu vermindern.

Bei Win32:SuspBehav handelt es sich um ein fortgeschrittenes Set an heuristischen Erkennungen. Dieses Set war lange Zeit in Wartung, da Optimierungen am darunterliegenen Code-Emulator durchgeführt wurden, die bereits am Freitag, dem 3. Juni 2011, in über das Signatur-Update verteilt wurden. Ein Code-Emulator ist eine Art "Mini-Sandbox" in der verdächtiger Code ohne Gefahr für das richtige System analysiert werden kann. Die alte Version von SuspBehav deckte die Varianten A bis G ab. Die neue Version wertet dank besserer Skalierbarkeit mehr verdächtige Parameter aus und erhöht damit die Bandbreite auf die Varianten A bis O.

SuspBehav ist allerdings nur verfügbar ab der Programm-Version 5 mit den Heuristik-Standardeinstellungen oder höher. Wenn die Heuristik-Einstellungen niedriger gesetzt oder ganz abgeschaltet sind, ist diese Erkennung nicht verfügbar.

Seit letztem Dienstag, dem 14. Juni 2011, ist SuspBehav nach langer Wartungszeit wieder verfügbar. Es handelt sich dabei allerdings um eine erstes Release, d.h. je nach Resonanz wird es noch optimiert und noch strikter gestaltet. Laut Hersteller wurden am ersten Tag nach dem Release noch keine Falschmeldung durch diese überarbeitete Methode verursacht, daher plant man jetzt diese noch weiter für bessere Erkennung zu optimieren bis die optimale Balance erreicht ist. Teilweise wurde eine striktere Evaluierung der Parameter in den letzten Tagen sogar schon implementiert und über das Signatur-Update an die Benutzer verteilt. In den ersten Tagen nach dem Release konnte auch schon eine sehr gute Erkennung von alten sowie neuen Malware-Samplen festgestellt werden und man ist guter Hoffnung, dass diese Methode sich auch gegenüber komplett neuen Samplen bewährt.

Das und viele andere Verbesserungen, an denen AVAST Software arbeitet zeigt, dass neben AutoSandbox und dem Verhaltens-Schutz der Wunsch nach mehr pro-aktiver Erkennung vom Hersteller wahrgenommen und daran gearbeitet wird, um den optimalen Schutz durch avast! 6 und auch 5 zu gewährleisten. Wer jetzt denkt, ohne diese Erkennung ständen avast! 6 und 5 erheblich schlechter da als mit, liegt aber dennoch falsch, denn auch andere Methoden für pro-aktive Erkennung, wie dem SF Code Emulator, auch "Safe Machine" genannt (sf.bin im avast! Programmverzeichnis), tragen zu pro-aktiven Erkennung bei.