Windows 10 und Sicherheit: Anwendungen können direkt an Antivirenprogramme andocken

Mit einer neuen Schnittstelle will Microsoft in Windows 10 den Schutz vor Schadsoftware weiter verbessern. Das Antimalware Scan Interface, kurz AMSI, bietet jeder Anwendung unter Windows 10 die Möglichkeit, eine vorhandene Schutzsoftware sozusagen zur Unterstützung herbei zu rufen.
Das ist vor allen Dingen für solche Programme interessant, die während ihrer Laufzeit Inhalte aus dem Internet nachladen oder Scripte ausführen.

Das klassische Computervirus in Form einer “bösartigen Datei” ist für die meisten Antivirenprogramme keine besondere Herausforderung mehr. Die Malware-Autoren versuchen daher immer öfter, ihre zwielichtigen Aktivitäten in Scripten zu verstecken. Diese werden oft verschlüsselt und über mehrere Routinen verteilt, die erst zur Laufzeit zusammen gesetzt werden, um so einer Entdeckung zu entgehen. An dieser Stelle soll das AMSI seine Stärken ausspielen.

Egal wie trickreich eine Malware agiert, vor der eigentlichen Ausführung muss sie der ausführenden Engine in lesbarem Code mitteilen, was sie zu tun gedenkt. An dieser Stelle könnte ein Programm die AMSI-Schnittstelle aufrufen, um diesen Code von einem Antivirusprogramm überprüfen zu lassen.

Eine ausführliche Dokumentation zu AMSI kann man im Microsoft Malware Protection Center nachlesen.

Damit diese neue Technologie auch wirkt, muss natürlich sowohl die entsprechende Software als auch das vorhandene Antivirenprogramm für die Nutzung von AMSI vorbereitet sein. Selbstredend wird die Schnittstelle vom in Windows 10 integrierten Defender bereits genutzt, sie steht aber ausdrücklich allen Herstellern von Schutzsoftware offen.