YARA
quelloffenes Framework zur Malware-Mustererkennung
From Wikipedia, the free encyclopedia
YARA, oft auch in der Schreibweise Yara,[2] ist ein von VirusTotal entwickeltes quelloffenes Framework zur Mustererkennung, das die Erforschung von Schadprogrammen erleichtern soll. Das Framework wird u. a. von Sicherheitsforschern genutzt und kommt in Antivirenprogrammen zur Anwendung.[3] Realisiert ist das Framework in der Programmiersprache C und es gibt Anbindungen an andere Programmiersprachen, womit YARA u. a. auch als Python-Bibliothek geladen und genutzt werden kann.
| YARA | |
|---|---|
| Basisdaten | |
| Hauptentwickler | VirusTotal |
| Entwickler | VirusTotal |
| Aktuelle Version | 4.5.5[1] (30. Oktober 2025) |
| Betriebssystem | Multiplattform |
| Programmiersprache | C, Python-Anbindung |
| Lizenz | 3-Klausel-BSD-Lizenz |
| deutschsprachig | nein |
| virustotal.github.io/yara | |
Nach Angaben des Entwicklers Victor M. Alvarez von VirusTotal steht YARA entweder als Backronym für YARA: Another Recursive Ancronym oder für Yet Another Ridiculous Acronym, übersetzt ins Deutsche: „(YARA:) Ein weiteres rekursives bzw. lächerliches Akronym“.
Beschreibungsregeln
Das Yara-Framework implementiert die Suche nach Mustern, die in Form von einfachen Regeln definiert werden können.
rule YaraArticle {
strings:
$a = "Wikipedia"
$b = "wiki"
$c = "YARA"
condition:
all of them
}
Diese Regel, hier YaraArticle getauft, sucht nach den drei Zeichenketten „Wikipedia“, „wiki“ und „YARA“. In gleicher Weise lässt sich mit dem Framework nach Malware suchen, da das Framework neben Text auch binäre Muster unterstützt.
Dies erlaubt es jedem, seine eigenen Regeln zu erstellen und damit, im Kontext von Virenscannern, eigene Signaturen zu erstellen. Beim quelloffenen ClamAV reicht es etwa, eigene Yara-Regeln als Dateien in den Signatur-Ordner zu kopieren – ClamAV identifiziert fortan der Regel entsprechende Dateien ebenfalls als Malware.[2]
Kritik
Obwohl YARA in zahlreichen Programmen eingebaut ist und damit über Yara-Regeln Malware erkannt werden soll, sind diese letztlich nichts anderes als reguläre Ausdrücke und somit auch nicht gegen polymorphe Angreifer, u. a. gegen polymorphe Phishingattacken, wirksam.[5]