Hallo,


mit Avast 12.x ist eine neue Technologie hinzugekommen, die CyberCapture genannt wird.

CyberCapture ist im Prinzip nicht neu, sondern wurde schon vorher serverseitig (bzw. "in der Cloud") genutzt, um unbekannte Dateien zu überprüfen, die ausführbaren Programmcode enthalten.. Hierbei wurde die ausführbare Datei in einer kleinen virtuellen Umgebung gestartet und das Verhalten dann genauer analysiert. Die Analyse basierte auf vorher festgelegten Regeln, mit Hilfe derer das Verhalten genauer eingestuft wurde. Dieser Vorgang fand früher mit Avast NG bzw. mit den Vorgängern DeepScreen und AutoSandbox direkt auf dem Rechner des Nutzers statt. Diese Analyse und auch die dafür notwendige Umgebung hat jedoch zu vielen Konflikten auf den Systemen geführt und diese letztendlich auch verlangsamt.

Mit CyberCapture findet diese Analyse jetzt nur noch in der Cloud statt. Neu hierbei ist allerdings, dass die Avast Installation auf dem Rechner des Nutzers jetzt unbekannte Dateien, die über HTTP/HTTPS runtergeladen werden, an die Cloud sendet, die Datei dort analysiert und das Ergebnis dann an dem Nutzer auf seinem Rechner präsentiert wird. Währenddessen befindet sich die Datei in einer Art Quarantäne und wird erst dann freigegeben, wenn die Datei durch die Analyse in der Cloud als ungefährlich eingestuft wurde. Das Ergebnis der Analyse liegt nach ungefähr zwei Stunden vor. Die Analyse selbst läuft damit wesentlich länger als die früheren 10-15 Sekunden und sollte damit auch genauer sein. In Fällen, in denen die Datei aus bestimmten Gründen nicht automatisch analysiert werden kann, d.h. das Ergebnis unklar ist, wird die Datei von einem Virenspezialisten im Virenlabor genauer untersucht.

Im Moment beschränkt sich die Analyse auf Dateien, die aus dem Internert heruntergeladen werden, da hierrüber die meisten Infektionen (ca. 85%) stattfinden und gleichzeitig auch wichtige Metadaten über diesen Weg transportiert werden, wie bspw. die URL, über die die Datei herruntergeladen wurde. Das erlaubt einer schnellere und präzisere Analyse sowie eine Reduzierung der Anzahl an Dateien, die an die Cloud zur Analyse übermittelt werden. Es ist geplant, zukünftig noch weitere Quellen zu berücksichten.

Mehr Informationen (Deutsch): https://blog.avast.com/de/cybercaptu...econd-attacken
Mehr Informationen (Englisch): https://blog.avast.com/an-in-depth-l...d-cybercapture