Antivirenprogramm

ÔĽŅ
Antivirenprogramm

Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abk√ľrzung: AV) ist eine Software, die bekannte Computerviren, Computerw√ľrmer und Trojanische Pferde aufsp√ľrt, blockiert und gegebenenfalls beseitigt.

Inhaltsverzeichnis

Geschichte

Die meisten der Computerviren, die Anfang und Mitte der '80er Jahre geschrieben wurden, waren auf reine Selbstreproduktion beschr√§nkt und verf√ľgten oft noch nicht einmal √ľber eine spezifische Schadfunktion. Erst als die Technik der Virenprogrammierung breiteren Kreisen bekannt wurde, tauchten zunehmend Viren auf, die gezielt Daten auf infizierten Rechnern manipulierten oder zerst√∂rten. Damit war die Notwendigkeit gegeben, sich um die Bek√§mpfung dieser sch√§dlichen Viren durch spezielle Antivirenprogramme Gedanken zu machen.[1]

Es gibt konkurrierende Anspr√ľche, wer der Erfinder des ersten Antivirenprogrammes ist. Die wahrscheinlich erste √∂ffentlich dokumentierte Entfernung eines Computervirus wurde von Bernd Fix im Jahr 1987 durchgef√ľhrt.[2][3]

Fred Cohen, der schon 1984 durch seine Arbeiten das Thema ‚ÄěComputerviren‚Äú √∂ffentlich gemacht hatte [4], entwickelte ab 1988 Strategien zur Virenbek√§mpfung[5], die von sp√§teren Antivirenprogrammierern aufgegriffen und fortgef√ľhrt wurden.

Ebenfalls 1988 entstand im BITNET/EARN-Rechnerverbund eine Mailingliste namens VIRUS-L[6], in der vor allem √ľber das Auftauchen neuer Viren sowie die M√∂glichkeiten zur Virenbek√§mpfung diskutiert wurde. Einige Teilnehmer dieser Liste wie zum Beispiel John McAfee oder Eugene Kaspersky gr√ľndeten in der Folge Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon Arcen Data (heute Norman ASA) gegr√ľndet worden, das sich Ende der 1980er Jahre, mit dem Auftauchen der ersten Computerviren in Norwegen, ebenfalls auf Antivirenprogramme spezialisierte.[7]

Bevor eine Internet-Anbindung √ľblich wurde, verbreiteten sich Viren typischerweise √ľber Disketten. Antivirenprogramme wurden zwar manchmal verwendet, aber nur unregelm√§√üig auf einen aktuellen Stand nachgef√ľhrt. W√§hrend dieser Zeit pr√ľften Antivirenprogramme nur ausf√ľhrbare Programme sowie die Boot-Sektoren auf Disketten und Festplatten. Mit der Verbreitung des Internets begannen Viren auf diesem Weg, neue Rechner zu infizieren und damit eine allgemeinere Gefahr darzustellen.[8]

Mit der Zeit wurde es f√ľr Antivirenprogramme immer wichtiger, verschiedene Dateitypen (und nicht nur ausf√ľhrbare Programme) auf verborgene Viren zu untersuchen. Dies hatte unterschiedliche Gr√ľnde:

  • Die Verwendung von Makros in Textverarbeitungs-Programmen wie Microsoft Word stellten ein zus√§tzliches Viren-Risiko dar. Virenprogrammierer begannen, Viren als Makros in Dokumente einzubetten. Dies bedeutete, dass Computer allein dadurch infiziert werden konnten, dass ein eingebettetes Makrovirus in einem Dokument ausgef√ľhrt wurde.[9]
  • Sp√§tere E-Mail-Programme, insbesondere Microsoft Outlook Express und Outlook, waren verwundbar f√ľr Viren, die in E-Mails eingebunden waren. Dadurch konnte ein Rechner infiziert werden, indem eine E-Mail ge√∂ffnet und angesehen wurde.

Mit der Verbreitung von Breitbandanschl√ľssen und der steigenden Anzahl vorhandener Viren wurde auch die h√§ufige Aktualisierung der Antivirenprogramme notwendig. Aber selbst unter diesen Umst√§nden konnte sich ein neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor die Hersteller von Antivirenprogrammen darauf mit einer Aktualisierung reagieren konnten.[10]

Typen von Antivirenprogrammen

Virenscanner arbeiten meist auf eine oder mehrere der folgenden Arten:

Echtzeitscanner

Der Echtzeitscanner (engl. on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, welche die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Generell muss beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

  1. Scannen beim √Ėffnen von Dateien (Lesevorgang)
  2. Scannen beim Erstellen / √Ąndern von Dateien (Schreibvorgang)

Bei einigen Virenscannern l√§sst sich diese Strategie einstellen, bei anderen ist sie unver√§nderlich im Programm konfiguriert. Da Schreibvorg√§nge wesentlich seltener vorkommen als Lesevorg√§nge, bevorzugen viele Benutzer diese Einstellung. Sie sorgt daf√ľr, dass die ohnehin zus√§tzliche Belastung des Computers durch den Echtzeitscanner vermindert wird, aber sie verhindert nicht, dass sich das Computersystem infiziert, wenn Benutzer virulente, aber inaktive Dateien √∂ffnen.

Der alleinige Einsatz eines On-Access-Virenscanners bietet keinen vollst√§ndigen Schutz vor Schadprogrammen, da die meisten Virenscanner nicht sehr erfolgreich beim Erkennen anderer Arten b√∂sartiger Software als Viren und W√ľrmer sind. Auch sind sie meist nur in der Lage, solche Malware zu erkennen, f√ľr die sie Virensignaturen erhalten haben. Befindet sich jedoch eine vom Antivirenprogramm erkannte virulente, aber unaktivierte Datei auf dem Computer, die vor dem entsprechenden Update der Virensignatur heruntergeladen wurde, kann sie das System oder eventuell auch das Netzwerk nicht infizieren, wenn sie durch den Benutzer ausgef√ľhrt (ge√∂ffnet) wird, falls alle Dateien auch beim √Ėffnen √ľberpr√ľft werden.

Um die Belastung durch den Echtzeitscanner weiter zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder √Ąhnliches nur zum Teil oder gar nicht gescannt. Daher sollte trotz eines Echtzeitschutzes regelm√§√üig ein manueller Scan durchgef√ľhrt werden. Findet der Echtzeitscanner etwas Verd√§chtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies sind das L√∂schen der Datei, das Verschieben in die Quarant√§ne oder, wenn m√∂glich, ein Reparaturversuch.

Manueller Scanner

Der manuelle Scanner (engl. on-demand scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell oder zeitgesteuert gestartet werden (On-Demand). Findet ein Scanner sch√§dliche Software, erscheint eine Warnung und in manchen F√§llen auch Optionen zur Reinigung, Quarant√§ne oder L√∂schung der befallenen Dateien. In den F√§llen, wo derartige Optionen nicht gegeben werden, erfolgt meist ein Verweis auf ein kostenpflichtiges Produkt. Der Festplattenscan sollte regelm√§√üig ausgef√ľhrt werden. Die meisten Programme bieten daf√ľr bestimmte Assistenten an, die den Rechner in bestimmten festgelegten Zeitr√§umen durchsuchen.

Manuelle Scanner kommen auch auf bootf√§higen Live-CDs ‚Äď wie etwa Desinfec‚Äôt ‚Äď zum Einsatz. Hierbei ist sichergestellt, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Manipulationen, die das Auffinden oder Entfernen der Schadsoftware verhindern, werden so ausgeschlossen.

Online-Virenscanner

Als Online-Virenscanner werden Antivirusprogramme bezeichnet, die ihren Programmcode und die Viren-Muster √ľber ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das hei√üt, der persistente Schutz durch einen On-Access-Modus ist nicht gew√§hrleistet. Deshalb eignen sich Online-Virenscanner zwar zum Reinigen, nicht aber zum pr√§ventiven Schutz eines Systems. Auch besteht die Gefahr, dass ein befallener Rechner √ľber die Verbindung zum Internet ferngesteuert werden kann oder selbst Spam versendet oder andere Rechner angreift, w√§hrend er f√ľr den Scan online ist. Daher sollte man ein potenziell befallenes System nach M√∂glichkeit umgehend vom Netz trennen und mit einem Offline-Scanner untersuchen. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zus√§tzlich zum installierten Virenscanner eine ‚Äězweite Meinung‚Äú zu evtl. Befall einzuholen.

Die meisten Online-Virenscanner basieren auf der ActiveX-Technik und sind damit an die Benutzung des Internet Explorers gebunden. Es gibt aber auch Alternativen f√ľr den plattform√ľbergreifenden Einsatz, die mit Java verwirklicht wurden.

Weiterhin gibt es Webseiten, die es erm√∂glichen, einzelne Dateien mit verschiedenen Virenscannern zu pr√ľfen. F√ľr diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-demand-Scan.

Sonstige Scanner

Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner. Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und f√ľhren bei einer Auff√§lligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

Eine andere L√∂sung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zun√§chst am Proxy untersucht und gepr√ľft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt.

Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers weitergeleitet.

Erfolgswahrscheinlichkeit

Aufgrund der st√§ndigen Weiterentwicklung von Schadprogrammen (Viren, W√ľrmer, Trojaner etc.) und der Unvorhersehbarkeit der eingesetzten Schadlogik (engl. Evil Intelligence) kann praktisch kein Virenscanner vor allen erdenklichen Viren und W√ľrmern sch√ľtzen. Virenscanner sollten daher generell nur als Erg√§nzung zu allgemeinen Vorsichtsma√ünahmen betrachtet oder eingesetzt werden. Vorsicht und aufmerksames Handeln sind deshalb f√ľr verantwortungsvolle Computernutzer trotz des Einsatzes eines Virenscanners unabdingbar.

Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden:

  • Reaktiv: Bei dieser Art der Erkennung wird ein Sch√§dling erst erkannt, wenn eine entsprechende Signatur (oder bekannter Hash-Wert in der Cloud) seitens des Herstellers der Antivirensoftware zur Verf√ľgung gestellt wurde. Dies ist die klassische Art der Virenerkennung, welche von praktisch jeder Antivirensoftware verwendet wird.
    • Vorteil: Eine Signatur kann innerhalb kurzer Zeit erstellt werden und bildet daher immer noch das R√ľckgrat eines jeden Scanners (bei Online Verbindungen - zus√§tzlich Cloud based Erkennungen)
    • Nachteil: Ohne aktualisierte Signaturen werden keine neuen Schadprogramme erkannt.
  • Proaktiv: Dies bezeichnet die Erkennung von Malware, ohne dass eine entsprechende Signatur zur Verf√ľgung steht. Aufgrund der rapiden Zunahme neuer Schadprogramme werden solche Techniken immer wichtiger. Proaktive Verfahren sind etwa die Heuristik, Verhaltensanalyse oder die SandBox-Techniken.
    • Vorteil: Erkennung noch unbekannter Schadprogramme.
    • Nachteil: Die komplexe Technik bedarf hoher Entwicklungskosten und langer Entwicklungszyklen. Proaktive Techniken haben prinzipbedingt gegen√ľber reaktiven eine h√∂here Fehlalarmquote.

Auf Grund der Vor- und Nachteile werden bei aktuellen Virenscannern beide Techniken eingesetzt, um die Schwächen der jeweils anderen auszugleichen.

Scanengines

Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der f√ľr die Untersuchung eines Computers oder Netzwerkes auf Schadprogramme verantwortlich ist. Eine Scanengine ist somit unmittelbar f√ľr die Effizienz von Antivirensoftware verantwortlich. F√ľr gew√∂hnlich sind Scanengines Softwaremodule, die unabh√§ngig vom Rest eines Virenscanners aktualisiert und eingesetzt werden k√∂nnen.

Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Hersteller einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch f√ľhrt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragw√ľrdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das h√§ngt vom Sicherheitsanspruch oder dem Anspruch an Systemperformance ab und muss von Fall zu Fall entschieden werden.

Die Leistungsf√§higkeit eines signaturbasierten Antivirenscanners bei der Erkennung von sch√§dlichen Dateien h√§ngt nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausf√ľhrbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich sp√§ter selbst entpacken k√∂nnen (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen.

Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu √§ndern), m√ľsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der F√§higkeit, m√∂glichst viele Formate entpacken zu k√∂nnen, ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts √ľber die Erkennungsleistung aus.

Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und miteinander interagieren:

  • Dateiformat-Analyse (wie Programme (PE, ELF), Scripte (VBS, JavaScript), Datendateien (PDF, GIF))
  • Pattern-Matcher (Mustererkennung) f√ľr die klassischen Signaturen
  • Entpack-Routinen f√ľr
  • Code-Emulation (vergleichbar mit einer Art Mini-Sandbox oder es greift eine Sandbox darauf zur√ľck, n√ľtzlich f√ľr generische Erkennung oder bei polymorphen Schadprogrammen)
  • Heuristik f√ľr unterschiedliche Typen (PE, Scripte, Makros)
  • diverse Filter (in ELF-Dateien muss nicht nach PE-Signaturen gesucht werden oder per Zugriffsschutz geblockte Dateien - entweder vordefinierte Regeln oder selbst konfiguriert)

Weiters oder vorrangig beim Echtzeitschutz eingesetzt:

  • Verhaltensanalyse
  • Cloud-Technik
  • Sandbox

Heuristik

Einige Virenscanner verf√ľgen √ľber die M√∂glichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik), um unbekannte Viren zu erkennen, oder sie bringen ein rudiment√§res Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser ‚Äď pr√§ventiven ‚Äď Art der Erkennung nimmt stetig zu, da die Zeitr√§ume, in denen neue Viren und Varianten eines Virus in Umlauf gebracht werden (auf den Markt dr√§ngen), immer k√ľrzer werden. F√ľr die Antivirenhersteller wird es somit immer aufw√§ndiger und schwieriger, alle Sch√§dlinge zeitnah durch eine entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden. Die tats√§chliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren meistens ihre ‚ÄěWerke‚Äú mit den bekanntesten Scannern testen und sie so √§ndern, dass sie nicht mehr erkannt werden.

SandBox

Um die Erkennung von unbekannten Viren und W√ľrmern zu erh√∂hen, wurde von dem norwegischen Antivirenhersteller Norman 2001 eine neue Technik vorgestellt, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgef√ľhrt werden. Dieses System funktioniert, vereinfacht ausgedr√ľckt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgef√ľhrt und analysiert, welche Aktionen sie ausf√ľhrt. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalit√§ten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die Sandbox erwartet bei der Ausf√ľhrung der Datei eine f√ľr diese Datei typische Verhaltensweise. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie folgende Gef√§hrdungen unterscheiden:

Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgef√ľhrt h√§tte und welcher Schaden angerichtet worden w√§re. Diese Information kann aber auch n√ľtzlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen.

Durch die Technik der Sandbox konnten nach Tests von AV-Test[11] 39 % noch unbekannter Viren und W√ľrmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herk√∂mmlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung.

Nachteil der Sandbox-Technik ist, dass sie durch die Code-Emulation recht ressourcen-intensiv und vergleichsweise langsam zur klassischen Signaturenscannen ist. Daher wird sie primär in den Labors der Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.

√Ąhnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberfl√§chen ihrer Sandboxen zur Analyse einzelner verd√§chtiger Dateien zur Verf√ľgung (normalerweise Basisfunktionen kostenlos, erweiterte Funktionen gegen Entgelt) [12][13][14][15][16][17][18][19]

Verhaltensanalyse

Die Verhaltensanalyse (engl. Behavior Analysis/Blocking, oft auch als Hostbased Intrusion Detection System bezeichnet, vgl. NIDS) soll √§hnlich wie SandBox und Heuristik anhand von typischen Verhaltensweisen Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeit√ľberwachung eingesetzt, da dabei die Aktionen eines Programms ‚Äď im Gegensatz zur Sandbox ‚Äď auf dem echten Computer mitverfolgt werden, und kann vor √úberschreiten einer Reizschwelle (Summe der verd√§chtigen Aktionen) oder bei Verst√∂√üen gegen bestimmte Regeln, vor offensichtlich destruktiven Aktionen (Festplatte formatieren, Systemdateien l√∂schen) einschreiten.

Bei der Verhaltensanalyse wird oft mit Statistik (Bayesscher Filter bekannt von Spamfiltern), neuronalen Netzwerken, genetischen Algorithmen oder anderen ‚Äětrainierbaren/lernf√§higen‚Äú Algorithmen gearbeitet, bekannt so als: Emsisoft Mamutu,[20] BitDefender B-Have, Sophos HIPS.

Cloud-Technik

Der pinzipielle Unterschied der Cloud-Technik (dt. ‚ÄöWolke‚Äė) zu "normalen" Scannern ist, dass die Signaturen ‚Äěin the Cloud‚Äú (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123). Die Signaturen werden leider nicht bei allen Produkten lokal zwischengespeichert[21], so dass ohne Internetverbindung nur eine reduzierte oder keine Erkennungsleistung verf√ľgbar ist. Manche Hersteller bieten f√ľr Unternehmen eine Art ‚ÄěCloud Proxy‚Äú an, der Hash-Werte lokal zwischengepuffert. Ein gro√üer Vorteil der Cloud-Technik ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ans√§tze. Bekannt sind die Programme Panda Cloud Antivirus[22](arbeitet inzwischen mit einem lokalen Cache[23]), McAfee Global Threat Intelligence - GTI (fr√ľher Artemis)[24], F-Secure Realtime Protection Network[25], Microsoft Morro SpyNet[26] und Immunet ClamAV f√ľr Windows[27], sowie Symantec mit Nortons SONAR 3.

Die unterschiedlichen Ansätze:

  1. Die Mehrheit der Hersteller √ľbertragen lediglich Hash-Werte. Das hei√üt, wenn sich die Datei eines (Schad)programms nur um 1 Bit √§ndert, wird es nicht mehr erkannt. Bis dato ist nicht bekannt (wobei es aber anzunehmen ist), ob Hersteller ebenfalls ‚Äěunscharfe‚Äú Hashes (z. B. ssdeep[28]) einsetzen, die eine gewisse Toleranz erlauben.
  2. Es werden Fehlerkennungen minimiert, da die White- und Blacklists bei den Herstellern ständig mit neuen Hash-Werten von Dateien aktualisiert werden.
  3. Ressourceneinsparung: Bereits analysierte Dateien werden nicht mehr erneut aufwenig in einen Emulator oder Sandbox beim Endbenutzer am Computer analysiert.
  4. Statistische Auswertung der Ergebnisse beim Hersteller: Von Symantec ist bekannt, dass Hash-Werte von neuen, unbekannten und wenig verbreiteten Dateien als verd√§chtig eingestuft werden. Unr√ľhmliche Bekanntheit hat diese Funktion unter anderen bei Firefox-Aktualisierungen erlangt[29]

Automatische Aktualisierung

Die sogenannte Auto-, Internet-, oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelm√§√üig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht selbstst√§ndig danach. Es empfiehlt sich, diese Option zu nutzen, um sicher zu gehen, dass das Programm wirklich auf dem aktuellen Stand ist. Die H√§ufigkeit, mit der Updates von den Herstellern bereitgestellt werden, sagt jedoch nichts direkt √ľber die Qualit√§t des Produktes aus. Wichtiger ist, dass bei einer bestehenden Bedrohung m√∂glichst zeitnah eine entsprechende Signatur ver√∂ffentlicht wird (Reaktionszeit).

Probleme mit Virenscannern

Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner das F√ľhren einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner √ľberwacht werden sollen. H√§ufige Probleme treten auf mit:

  • Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verz√∂gerung. F√ľr einige Applikationen ist diese zu gro√ü und sie erzeugen Fehlermeldungen oder Funktionsst√∂rungen. Besonders h√§ufig tritt dieses Verhalten auf, wenn auf Daten √ľber eine Netzwerkfreigabe zugegriffen wird und an diesem entfernten Rechner ebenfalls eine Antivirensoftware l√§uft.
  • Datenbanken (jeglicher Art): Da auf Datenbanken f√ľr gew√∂hnlich ein st√§ndiger Zugriff stattfindet und sie oftmals sehr gro√ü sind, versucht der Echtzeitscanner, diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen, ansteigender Systemlast, Besch√§digungen der Datenbank bis hin zum v√∂lligen Stillstand des jeweiligen Computersystems f√ľhren.
  • Mailserver: Viele Mailserver speichern E-Mails MIME- oder √§hnlich codiert auf der Festplatte ab. Viele Echtzeitscanner k√∂nnen diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser Entfernung nichts wissen kann, ‚Äěvermisst‚Äú er diese Datei, was ebenfalls zu Funktionsst√∂rungen f√ľhren kann.
  • Parsing: Weil Antivirensoftware viele verschiedene, teils unbekannte Dateiformate mit Hilfe eines Parsers untersucht, kann sie selbst zum Ziel von Angreifern werden.[30][31]
  • H√§ufig erlauben es Virenscanner nicht, noch einen zweiten Virenscanner parallel auszuf√ľhren.
  • False Positives, also Fehlalarme, die bei einigen Virenscannern zu einer automatischen L√∂schung, Umbenennung etc. f√ľhren und teilweise nur sehr schwer abzustellen sind. Nach einer R√ľckumbenennung ‚Äěerkennt‚Äú das Programm erneut diese Datei und benennt sie wieder um.

Kritik an Virenscannern

Die Zuverl√§ssigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Studie drei Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. 40 Prozent der befragten Administratoren hatten bereits dar√ľber nachgedacht, die Virenscanner zu entfernen, weil diese die Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Firmenrichtlinien dieses forderten, so die Umfrage. Hauptgrund sei die t√§gliche Flut neuester unterschiedlichster Varianten von Sch√§dlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten.[32] Es sei anzumerken, dass diese Studie von einer Firma erstellt wurde, die eine Software vertreibt, die anhand von Positivlisten das Ausf√ľhren von Programmen erlaubt. Dieser ‚ÄěWhitelisting‚Äú-Ansatz hat je nach Einsatzgebiet ebenso Vor- und Nachteile.[33][34]

√úberpr√ľfen der Konfiguration des Virenscanners

Die Funktion des Virenscanners kann nach der Installation und nach gr√∂√üeren Systemupdates √ľberpr√ľft werden. Damit kein ‚Äěechter‚Äú Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European Institute of Computer Anti-virus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des Virenscanners tadellos arbeiten.

Antivirensoftware

Software Hersteller Lizenz Betriebssystem Deutschsprachig kostenlos
AntiVir Premium Avira Proprietär Windows, Linux, BSD, Solaris ja nein
AntiVir Personal Avira Proprietär Windows, Linux, BSD, Solaris ja ja
avast! Professional Edition Alwil Software Proprietär Windows, Linux ja nein
avast! Home Edition Alwil Software Proprietär Windows, Linux ja ja
AVG Anti-Virus Free AVG Technologies Proprietär Windows ja ja
AVG Anti-Virus AVG Technologies Proprietär Windows, Linux ja nein
BitDefender AntiVirus Softwin Proprietär Windows, Linux ja nein
BitDefender Free Edition Softwin Proprietär Windows ja ja
ClamAV ClamAV GPL Windows, Linux, Unix, Mac OS X nein ja
Comodo Internet Security Pro Comodo Group Proprietär Windows ja nein
Comodo Internet Security Comodo Group Proprietär Windows ja ja
Emsisoft Anti-Malware Emsisoft Proprietär Windows ja nein
F-Secure F-Secure Corporation Proprietär Windows ja nein
G DATA Antivirus G DATA Software Proprietär Windows, Linux ja nein
Ikarus Antivirus Ikarus Software Proprietär Windows ja nein
Kaspersky Anti-Virus Kaspersky Lab Proprietär Windows, Mac OS X, Linux ja nein
McAfee VirusScan McAfee Proprietär Windows, Linux ja nein
Microsoft Security Essentials Microsoft Proprietär Windows ja ja
Nod32 eset Proprietär Windows, Linux, Unix, NetWare, Mac OS X ja nein
Norman Endpoint Protection Norman Proprietär Windows ja nein
Norman Security Suite Norman Proprietär Windows ja nein
Norman Virus Control for Linux Norman Proprietär Linux ja nein
Norton AntiVirus Symantec Proprietär Windows, Linux, Mac OS X ja nein
Panda Security Panda Security Proprietär Windows, Linux ja nein
Panda Security Cloud Antivirus Panda Security Proprietär Windows ja ja
PC Tools AntiVirus PC Tools Proprietär Windows ja ja
Trendmicro Internet Security Trend Micro Proprietär Windows ja nein
Sophos Endpoint Security and Control Sophos Proprietär Windows, Linux, Unix, Mac OS X, NetWare, AIX, Solaris, OpenVMS, NetApp Storage systems ja nein
VIPRE Antivirus Home GFI Proprietär Windows ja nein
VIPRE Antivirus Business GFI Proprietär Windows, Mac OS X ja nein
VirusBarrier Intego Proprietär Mac OS X ja nein

Siehe auch

Weblinks

Wiktionary Wiktionary: Antivirenprogramm ‚Äď Bedeutungserkl√§rungen, Wortherkunft, Synonyme, √úbersetzungen

Einzelnachweise

  1. ‚ÜĎ http://www.computerviren-info.de/Geschichte.html Eine kurze Geschichte der Viren
  2. ‚ÜĎ Kaspersky Lab Virus list
  3. ‚ÜĎ Joe Wells (30. August 1996): Virus timeline. IBM. Abgerufen am 6. Juni 2008.
  4. ‚ÜĎ http://www.eecs.umich.edu/%7Eaprakash/eecs588/handouts/cohen-viruses.html Fred Cohen 1984 ‚ÄěComputer Viruses ‚Äď Theory and Experiments‚Äú
  5. ‚ÜĎ http://portal.acm.org/citation.cfm?id=51535 Fred Cohen: On the implications of Computer Viruses and Methods of Defense 1988
  6. ‚ÜĎ http://securitydigest.org/virus/mirror/www.phreak.org-virus_l/ Archiv der Mailingliste VIRUS-L
  7. ‚ÜĎ http://download.norman.no/documents/timeline_2009.pdf Zeitleiste auf der Seite von Norman ASA (englisch)
  8. ‚ÜĎ Panda Security (April 2004): (II) Evolution of computer viruses. Abgerufen am 20. Juni 2009.
  9. ‚ÜĎ Peter Szor: The Art of Computer Virus Research and Defense, S. 66‚Äď67, Addison-Wesley 2005, ISBN 0-32-130454-3
  10. ‚ÜĎ Slipstick Systems (February 2009): Protecting Microsoft Outlook against Viruses. Abgerufen am 18. Juni 2009.
  11. ‚ÜĎ Testbericht von 2004 auf av-test.org, ZIP-Format
  12. ‚ÜĎ ISecLab
  13. ‚ÜĎ Anubis
  14. ‚ÜĎ Wepawet (Projekt der TU-Wien, Eurecom France und UC Santa Barbara)
  15. ‚ÜĎ ZeroWINE (OpenSource)
  16. ‚ÜĎ Norman Sandbox
  17. ‚ÜĎ CWSandbox
  18. ‚ÜĎ ThreatExpert
  19. ‚ÜĎ Joebox
  20. ‚ÜĎ http://www.mamutu.de/de/software/mamutu/
  21. ‚ÜĎ J√ľrgen Schmidt: Schutzbehauptung. In: c't Magazin. Nr. 2, 2009, S. 77 (Heise.de).
  22. ‚ÜĎ http://www.cloudantivirus.com/
  23. ‚ÜĎ Pedro Bustamante (1. Dezember 2009): Arguments against cloud-based antivirus. Panda. Abgerufen am 21. Juni 2010.
  24. ‚ÜĎ http://www.mcafee.com/us/mcafee-labs/technology/global-threat-intelligence-technology.aspx
  25. ‚ÜĎ http://www.f-secure.com/de_DE/products/technologies/deepguard/
  26. ‚ÜĎ http://www.heise.de/security/Microsoft-veroeffentlicht-Beta-Version-seiner-kostenlosen-Antivirenloesung--/news/meldung/141042
  27. ‚ÜĎ http://www.clamav.net/lang/de/about/win32/
  28. ‚ÜĎ ssdeep
  29. ‚ÜĎ Norton-Fehlalarm bei Firefox-Update. Heise. Abgerufen am 27. Februar 2011.
  30. ‚ÜĎ http://www.nruns.com/_downloads/cw47-Artikel-Virenscanner.pdf
  31. ‚ÜĎ http://www.nruns.com/parsing-engines-advisories.php
  32. ‚ÜĎ heise.de: Drei Viertel der Admins trauen dem Virenscanner nicht
  33. ‚ÜĎ http://anti-virus-rants.blogspot.com/2006/03/rise-of-whitelisting.html
  34. ‚ÜĎ http://www.eset.com/threat-center/blog/2008/11/16/white-listing-%E2%80%93-the-end-of-antivirus

Wikimedia Foundation.

Schlagen Sie auch in anderen W√∂rterb√ľchern nach:

  • Antivirenprogramm ‚ÄĒ An|ti|vi|ren|pro|gramm, das; [e]s, e (EDV): Computerprogramm, das vorhandene ‚ÜĎ Viren (2) entfernt u. gegen Virenbefall sch√ľtzt. * * * Antivirenprogramm, ¬† Anwendungsprogramm, das Computerviren (Virus) und verwandte Schadprogramme (Wurm,… ‚Ķ   Universal-Lexikon

  • Antivirenprogramm ‚ÄĒ Software zum Schutz vor Computerviren. Antivirenprogramme durchsuchen den Rechner und seine Datentr√§ger nach Viren und soll auch beim Surfen im Internet, bei Downloads und gegen boshafte Email Attachments sch√ľtzen. Voraussetzung f√ľr einen… ‚Ķ   Online-W√∂rterbuch Deutsch-Lexikon

  • Antivirenprogramm ‚ÄĒ An|ti|vi|ren|pro|gramm (EDV Programm gegen Computerviren) ‚Ķ   Die deutsche Rechtschreibung

  • AntiVir ‚ÄĒ Entwickler: Avira GmbH Aktuelle¬†Version: 9.0.0.394 (Windows) 3.0.2 5 (Linux, FreeBSD, OpenBSD, Solaris) (17. April 2009 (Windows) 7. April 2009 (Linux)) Betriebssystem: Windows ab 2000, Linux, BSD ‚Ķ   Deutsch Wikipedia

  • AntiVir Personal Edition ‚ÄĒ AntiVir Entwickler: Avira GmbH Aktuelle¬†Version: 9.0.0.394 (Windows) 3.0.2 5 (Linux, FreeBSD, OpenBSD, Solaris) (17. April 2009 (Windows) 7. April 2009 (Linux)) Betriebssystem: Windows ab 2000, Linux, BSD ‚Ķ   Deutsch Wikipedia

  • Avira ‚ÄĒ AntiVir Entwickler: Avira GmbH Aktuelle¬†Version: 9.0.0.394 (Windows) 3.0.2 5 (Linux, FreeBSD, OpenBSD, Solaris) (17. April 2009 (Windows) 7. April 2009 (Linux)) Betriebssystem: Windows ab 2000, Linux, BSD ‚Ķ   Deutsch Wikipedia

  • Avira AntiVir ‚ÄĒ AntiVir Entwickler: Avira GmbH Aktuelle¬†Version: 9.0.0.394 (Windows) 3.0.2 5 (Linux, FreeBSD, OpenBSD, Solaris) (17. April 2009 (Windows) 7. April 2009 (Linux)) Betriebssystem: Windows ab 2000, Linux, BSD ‚Ķ   Deutsch Wikipedia

  • Luke Filewalker ‚ÄĒ AntiVir Entwickler: Avira GmbH Aktuelle¬†Version: 9.0.0.394 (Windows) 3.0.2 5 (Linux, FreeBSD, OpenBSD, Solaris) (17. April 2009 (Windows) 7. April 2009 (Linux)) Betriebssystem: Windows ab 2000, Linux, BSD ‚Ķ   Deutsch Wikipedia

  • Alwil Software ‚ÄĒ avast! Entwickler: Alwil Software Aktuelle¬†Version: 4.8.1335 (1988‚Äď2009) Betriebssystem: Windows, Linux, Mac OS X Kategorie ‚Ķ   Deutsch Wikipedia

  • Anti-Viren-Programm ‚ÄĒ Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abk√ľrzung: AV) ist eine Software, die bekannte Computerviren, Computerw√ľrmer und Trojanische Pferde aufsp√ľrt, blockiert und gegebenenfalls beseitigt. Inhaltsverzeichnis 1 Typen… ‚Ķ   Deutsch Wikipedia


Share the article and excerpts

Direct link
… Do a right-click on the link above
and select ‚ÄúCopy Link‚ÄĚ

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.