Virenschutz


Software, die bekannte Computerviren aufspürt, blockiert und gegebenenfalls beseitigt.

Bücher zum Thema bei Amazon.de

Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt) ist eine Software, die bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitigt.

Typen von Antivirusprogrammen

Virenscanner arbeiten meist auf eine der folgenden Arten:

Echtzeitscanner

Der Echtzeitscanner (engl. On-Access Scanner), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) bzw. Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Generell muss beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

Bei einigen Virenscannern lässt sich diese Strategie einstellen, bei anderen ist sie unveränderlich im Programm konfiguriert. Da Schreibvorgänge wesentlich seltener vorkommen als Lesevorgänge, bevorzugen viele Benutzer diese Einstellung. Sie sorgt dafür, dass die ohnehin zusätzliche Belastung des Computers durch den Echtzeitscanner vermindert wird, und verhindert zugleich, dass sich das Computersystem infiziert.

Der alleinige Einsatz eines On-Access Virenscanners bietet keinen vollständigen Schutz vor Malware. Befindet sich zum Beispiel eine virulente Datei auf dem Computer, und wird diese durch den Benutzer ausgeführt, kann sie ungehindert das System bzw. evtl. das Netzwerk infizieren.

Um die Belastung durch den Echtzeitscanner weiter zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt. Daher sollte trotz eines Echtzeitschutzes regelmäßig ein manueller Scan durchgeführt werden. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies sind das Löschen der Datei, das Verschieben in die Quarantäne oder, wenn möglich, ein Reparaturversuch.

Manueller Scanner

Der manuelle Scanner (engl. On-Demand Scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer von Hand gestartet werden (On-Demand). Findet ein Scanner dann schädliche Software, erscheint eine Warnung und in manchen Fällen Optionen zur Reinigung, Quarantäne oder Löschung der befallenen Dateien. In den Fällen, wo derartige Optionen nicht gegeben werden, erfolgt meist ein Verweis auf ein kostenpflichtiges Produkt. Der Festplattenscan sollte regelmäßig ausgeführt werden. Die meisten Programme bieten dafür bestimmte Assistenten an, die den Rechner z. B. einmal pro Woche durchsuchen.

Online-Virenscanner

Als Online-Virenscanner werden Antivirusprogramme bezeichnet, die ihren Programmcode und die Viren-Muster über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das heißt der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Deshalb eignen sich Online-Virenscanner zwar zum Reinigen, nicht aber zum präventiven Schutz eines Systems. Auch besteht die Gefahr, dass ein befallener Rechner über die Verbindung zum Internet ferngesteuert werden kann oder selbst Spam versendet oder andere Rechner angreift, während er für den Scan online ist. Daher sollte man ein potenziell befallenes System nach Möglichkeit umgehend vom Netz trennen und mit einem Offline-Scanner untersuchen. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine "zweite Meinung" zu evtl. Befall einzuholen. Die meisten Online-Virenscanner basieren auf der ActiveX-Technologie und sind damit an die Benutzung des Internet Explorers gebunden. Es gibt aber auch Alternativen für den plattformübergreifenden Einsatz, die mit Java verwirklicht wurden.

Beispiele für Online-Virenscanner:

Beispiele für Online-Virenscan-Dienste, bei denen verdächtige Dateien eingesendet oder hochgeladen werden können:

Sonstige Scanner

Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner. Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

Eine andere Lösung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt.

Eine Variante dieser Proxy Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers weitergeleitet.

Erfolgswahrscheinlichkeit

Aufgrund der ständigen Weiterentwicklung von Malware (Viren, Würmer, Trojaner etc.) und der Unvorhersehbarkeit der eingesetzten Schadlogik (Evil Intelligence) kann praktisch kein Virenscanner vor allen erdenklichen Viren und Würmer schützen. Virenscanner sollten daher generell nur als Ergänzung zu allgemeinen Vorsichtsmaßnahmen betrachtet bzw. eingesetzt werden. Vorsicht und aufmerksames Handeln sind deshalb für verantwortungsvolle Computernutzer, trotz des Einsatzes eines Virenscanners, unabdingbar.

Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden:

Scanengines

Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines Computer oder Netzwerkes auf schadhafte Software Malware verantwortlich ist. Eine Scanengine ist somit unmittelbar für die Effizienz von Antivirensoftware verantwortlich. Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig vom Rest eines Virenscanners aktualisiert und eingesetzt werden können.

Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Unternehmen einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragwürdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch bzw. dem Anspruch an System-Performance ab und muss von Fall zu Fall entschieden werden.

Die Leistungsfähigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schädlichen Dateien hängt nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen.

Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu ändern), müsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der Fähigkeit möglichst viele Formate zu entpacken zu können ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts über die Erkennungsleistung aus.

Heuristik

Einige Virenscanner verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik), um unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser - proaktiven - Art der Erkennung nimmt stetig zu, da die Zeiträume, in denen neue Viren und Varianten eines Virus auf dem Markt drängen, immer kürzer werden. Für die Antivirenhersteller wird es somit immer aufwendiger und schwieriger, alle Schädlinge zeitnah durch eine entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscannerscanners angesehen werden, da die tatsächliche Erkennung noch unbekannter Malware eher gering ist. Der Zugewinn an Sicherheit ist daher minimal.

SandBox

Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen Antivirenhersteller Norman 2001 eine neue Technologie vorgestellt, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgeführt und analysiert, welche Aktionen sie ausführt. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die SandBox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweise. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die SandBox diese als potentielle Gefahr. Dabei kann sie folgende Gefährdungen unterscheiden:

Als Ergebnis liefert sie zudem eine Ausgabe wie diese. Sie zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen. Eine genaue Beschreibung der Technologie findet sich im Whitepaper. Um die Fähigkeiten der Sandbox zu testen, wurde die Seite Sandbox Live! bereitgestellt.

Durch die Technik der Sandbox konnten nach Tests von AV-Test 39 % noch unbekannter Viren und Würmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung.

Automatische Aktualisierung

Die sogenannte Auto-, Internet, oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, bzw. die Software sucht selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicher zu gehen, dass das Programm wirklich auf dem aktuellen Stand ist. Die Häufigkeit, mit der Updates von den Herstellern bereitgestellt werden, sagt jedoch nichts direkt über die Qualität des Produktes aus. Wichtiger ist, dass bei einer bestehenden Bedrohung möglichst zeitnah eine entsprechende Signatur veröffentlicht wird (Reaktionszeit).

Probleme mit Virenscannern

Da Virenscanner sehr tief in das System eingreifen, haben einige Anwendungen Probleme, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Dies betrifft allerdings den manuellen Scanner in gleicher Weise. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner aber das Führen einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:


SUCHE



 
 



AKTIONEN

WERBUNG

NEUIGKEITEN
%15.%11-%22.%11.%2024:
Neue Begriffe

13.6.2006:
Begriff-Schnellsuche: http://clexi.com/ram