Antivirenprogramm

Aus besserwiki.de
ClamTk, ein Open-Source-Antivirus, der auf der ClamAV-Antivirus-Engine basiert und ursprünglich von Tomasz Kojm im Jahr 2001 entwickelt wurde

Antiviren-Software (abgekürzt AV-Software), auch bekannt als Anti-Malware, ist ein Computerprogramm, das zur Verhinderung, Erkennung und Entfernung von Malware eingesetzt wird.

Ursprünglich wurde Antiviren-Software entwickelt, um Computerviren zu erkennen und zu entfernen, daher der Name. Mit der Verbreitung anderer Malware wurde Antiviren-Software jedoch auch zum Schutz vor anderen Computerbedrohungen eingesetzt. Moderne Antiviren-Software kann Benutzer insbesondere vor bösartigen Browser Helper Objects (BHOs), Browser-Hijackern, Ransomware, Keyloggern, Backdoors, Rootkits, Trojanern, Würmern, bösartigen LSPs, Dialern, Betrugs-Tools, Adware und Spyware schützen. Einige Produkte bieten auch Schutz vor anderen Computerbedrohungen wie infizierten und bösartigen URLs, Spam, Betrugs- und Phishing-Angriffen, Online-Identität (Datenschutz), Online-Banking-Angriffen, Social-Engineering-Techniken, Advanced Persistent Threats (APT) und Botnet-DDoS-Angriffen.

Ein Antivirenprogramm, Virenscanner oder Virenschutz-Programm (Abkürzung: AV) ist eine Software, die Schadprogramme wie z. B. Computerviren, Computerwürmer oder Trojanische Pferde aufspüren, blockieren und gegebenenfalls beseitigen soll.

Geschichte

Zeitraum 1949-1980 (Vor-Antivirenzeit)

Obwohl die Wurzeln des Computervirus bereits 1949 liegen, als der ungarische Wissenschaftler John von Neumann die "Theorie der selbstreproduzierenden Automaten" veröffentlichte, tauchte der erste bekannte Computervirus 1971 auf und wurde als "Creeper-Virus" betitelt. Dieser Computervirus infizierte die PDP-10-Großrechner der Digital Equipment Corporation (DEC), auf denen das TENEX-Betriebssystem lief.

Der Creeper-Virus wurde schließlich von einem Programm gelöscht, das von Ray Tomlinson entwickelt wurde und als "The Reaper" bekannt ist. Manche Leute halten "The Reaper" für die erste Antiviren-Software, die jemals geschrieben wurde - das mag stimmen, aber es ist wichtig zu wissen, dass "The Reaper" eigentlich selbst ein Virus war, der speziell für die Beseitigung des Creeper-Virus entwickelt wurde.

Auf den Creeper-Virus folgten mehrere andere Viren. Der erste bekannte Virus, der "in freier Wildbahn" auftauchte, war "Elk Cloner" im Jahr 1981, der Apple II Computer infizierte.

1983 wurde der Begriff "Computervirus" von Fred Cohen in einer der ersten jemals veröffentlichten wissenschaftlichen Abhandlungen über Computerviren geprägt. Cohen verwendete den Begriff "Computervirus" zur Beschreibung von Programmen, die: "andere Computerprogramme beeinflussen, indem sie diese so verändern, dass sie eine (möglicherweise weiterentwickelte) Kopie von sich selbst enthalten". (Eine neuere Definition von Computerviren stammt von dem ungarischen Sicherheitsforscher Péter Szőr: "ein Code, der eine möglicherweise weiterentwickelte Kopie von sich selbst rekursiv repliziert").

Der erste IBM-PC-kompatible Computervirus "in the wild" und eine der ersten wirklich weit verbreiteten Infektionen war "Brain" im Jahr 1986. Seitdem hat die Zahl der Viren exponentiell zugenommen. Die meisten Computerviren, die Anfang und Mitte der 80er Jahre geschrieben wurden, beschränkten sich auf die Selbstreproduktion und hatten keine spezielle Schadensroutine in den Code eingebaut. Das änderte sich, als immer mehr Programmierer sich mit der Programmierung von Computerviren vertraut machten und Viren schufen, die Daten auf infizierten Computern manipulierten oder sogar zerstörten.

Bevor die Internetverbindung weit verbreitet war, wurden Computerviren in der Regel über infizierte Disketten verbreitet. Antivirensoftware kam zwar zum Einsatz, wurde aber nur relativ selten aktualisiert. In dieser Zeit mussten Virenprüfprogramme im Wesentlichen ausführbare Dateien und die Bootsektoren von Disketten und Festplatten überprüfen. Mit der zunehmenden Nutzung des Internets verbreiteten sich die Viren jedoch auch online.

1980-1990 (Frühzeit)

Es gibt konkurrierende Ansprüche auf den Erfinder des ersten Antivirenprodukts. Möglicherweise wurde die erste öffentlich dokumentierte Beseitigung eines "in the wild"-Computervirus (d. h. des "Wiener Virus") von Bernd Fix im Jahr 1987 durchgeführt.

1987 brachten Andreas Lüning und Kai Figge, die 1985 G Data Software gegründet hatten, ihr erstes Antivirenprodukt für die Atari ST-Plattform heraus. Ebenfalls 1987 wurde der Ultimate Virus Killer (UVK) veröffentlicht. Dies war der De-facto-Industriestandard-Virenkiller für den Atari ST und Atari Falcon, dessen letzte Version (Version 9.0) im April 2004 veröffentlicht wurde. 1987 gründete John McAfee in den Vereinigten Staaten das Unternehmen McAfee (das zu Intel Security gehörte) und veröffentlichte Ende desselben Jahres die erste Version von VirusScan. Ebenfalls 1987 (in der Tschechoslowakei) entwickelten Peter Paško, Rudolf Hrubý und Miroslav Trnka die erste Version von NOD Antivirus.

Im Jahr 1987 schrieb Fred Cohen, dass es keinen Algorithmus gibt, der alle möglichen Computerviren perfekt erkennen kann.

Ende 1987 wurden schließlich die ersten beiden heuristischen Antivirenprogramme veröffentlicht: Flushot Plus von Ross Greenberg und Anti4us von Erwin Lanting. In seinem O'Reilly-Buch, Malicious Mobile Code: Virus Protection for Windows, beschreibt Roger Grimes Flushot Plus als "das erste ganzheitliche Programm zur Bekämpfung von bösartigem mobilen Code (MMC)".

Die Art der Heuristik, die von den frühen AV-Engines verwendet wurde, war jedoch völlig anders als die heute verwendeten. Das erste Produkt mit einer heuristischen Engine, die der heutigen ähnelt, war F-PROT im Jahr 1991. Frühe heuristische Engines basierten auf der Unterteilung der Binärdatei in verschiedene Abschnitte: Datenabschnitt, Codeabschnitt (in einer legitimen Binärdatei beginnt sie normalerweise immer an derselben Stelle). Die ersten Viren organisierten das Layout der Abschnitte neu oder übergingen den Anfangsteil eines Abschnitts, um an das Ende der Datei zu springen, wo sich der bösartige Code befand, und erst dann die Ausführung des ursprünglichen Codes wieder aufzunehmen. Dabei handelte es sich um ein sehr spezifisches Muster, das damals von keiner legitimen Software verwendet wurde und eine elegante Heuristik zum Abfangen verdächtigen Codes darstellte. Später kamen andere, fortschrittlichere Heuristiken hinzu, wie z. B. verdächtige Abschnittsnamen, falsche Header-Größe, reguläre Ausdrücke und partieller Musterabgleich im Speicher.

1988 setzte sich das Wachstum der Antivirenfirmen fort. In Deutschland gründete Tjark Auerbach Avira (damals H+BEDV) und brachte die erste Version von AntiVir (damals noch unter dem Namen "Luke Filewalker") heraus. In Bulgarien veröffentlichte Vesselin Bontchev sein erstes Freeware-Antivirenprogramm (er kam später zu FRISK Software). Auch Frans Veldman veröffentlichte die erste Version von ThunderByte Antivirus, auch bekannt als TBAV (er verkaufte sein Unternehmen 1998 an Norman Safeground). In der Tschechoslowakei gründeten Pavel Baudiš und Eduard Kučera avast! (damals ALWIL Software) und veröffentlichten ihre erste Version von avast! antivirus. Im Juni 1988 veröffentlichte Ahn Cheol-Soo in Südkorea seine erste Antivirensoftware mit der Bezeichnung V1 (er gründete später, 1995, AhnLab). Im Herbst 1988 schließlich gründete Alan Solomon in Großbritannien S&S International und entwickelte sein Dr. Solomon's Anti-Virus Toolkit (obwohl er es erst 1991 auf den Markt brachte - 1998 wurde Solomons Unternehmen von McAfee übernommen). Im November 1988 ließ ein Professor der Panamerikanischen Universität in Mexiko-Stadt namens Alejandro E. Carriles die erste Antivirensoftware in Mexiko unter dem Namen "Byte Matabichos" (Byte Bugkiller) urheberrechtlich schützen, um der grassierenden Virenplage unter den Studenten Herr zu werden.

Ebenfalls 1988 wurde im BITNET/EARN-Netz eine Mailingliste mit dem Namen VIRUS-L eingerichtet, auf der neue Viren und die Möglichkeiten zur Erkennung und Beseitigung von Viren diskutiert wurden. Einige Mitglieder dieser Mailingliste waren: Alan Solomon, Eugene Kaspersky (Kaspersky Lab), Friðrik Skúlason (FRISK Software), John McAfee (McAfee), Luis Corrons (Panda Security), Mikko Hyppönen (F-Secure), Péter Szőr, Tjark Auerbach (Avira) und Vesselin Bontchev (FRISK Software).

1989 entwickelte Friðrik Skúlason in Island die erste Version von F-PROT Anti-Virus (er gründete FRISK Software erst 1993). In den Vereinigten Staaten brachte Symantec (1982 von Gary Hendrix gegründet) sein erstes Symantec-Antivirusprogramm für Macintosh (SAM) auf den Markt. SAM 2.0, das im März 1990 veröffentlicht wurde, enthielt eine Technologie, die es den Benutzern ermöglichte, SAM auf einfache Weise zu aktualisieren, um neue Viren abzufangen und zu beseitigen, darunter viele, die zum Zeitpunkt der Veröffentlichung des Programms noch nicht existierten.

Ende der 1980er Jahre gründeten Jan Hruska und Peter Lammer im Vereinigten Königreich die Sicherheitsfirma Sophos und begannen mit der Herstellung ihrer ersten Antiviren- und Verschlüsselungsprodukte. Im gleichen Zeitraum wurde in Ungarn auch VirusBuster gegründet (das kürzlich von Sophos übernommen wurde).

1990-2000 (Entstehung der Antiviren-Industrie)

1990 gründete Mikel Urizarbarrena in Spanien Panda Security (damals noch Panda Software). In Ungarn veröffentlichte der Sicherheitsforscher Péter Szőr die erste Version des Antivirusprogramms Pasteur. In Italien entwickelte Gianfranco Tonello die erste Version des Antivirusprogramms VirIT eXplorer und gründete ein Jahr später TG Soft.

Im Jahr 1990 wurde die Computer Antivirus Research Organization (CARO) gegründet. Im Jahr 1991 veröffentlichte CARO das "Virus Naming Scheme", das ursprünglich von Friðrik Skúlason und Vesselin Bontchev verfasst wurde. Obwohl dieses Benennungsschema inzwischen veraltet ist, bleibt es der einzige bestehende Standard, den die meisten Computersicherheitsunternehmen und -forscher jemals zu übernehmen versuchten. CARO-Mitglieder sind unter anderem: Alan Solomon, Costin Raiu, Dmitry Gryaznov, Eugene Kaspersky, Friðrik Skúlason, Igor Muttik, Mikko Hyppönen, Morton Swimmer, Nick FitzGerald, Padgett Peterson, Peter Ferrie, Righard Zwienenberg und Vesselin Bontchev.

1991 brachte Symantec in den Vereinigten Staaten die erste Version von Norton AntiVirus heraus. Im selben Jahr gründeten Jan Gritzbach und Tomáš Hofer in der Tschechischen Republik AVG Technologies (damals Grisoft), obwohl sie die erste Version ihres Anti-Virus Guard (AVG) erst 1992 veröffentlichten. In Finnland hingegen brachte F-Secure (1988 von Petri Allas und Risto Siilasmaa unter dem Namen Data Fellows gegründet) die erste Version seines Antivirenprodukts heraus. F-Secure behauptet, die erste Antivirenfirma zu sein, die im World Wide Web präsent ist.

1991 wurde das European Institute for Computer Antivirus Research (EICAR) gegründet, um die Antivirenforschung zu fördern und die Entwicklung von Antivirensoftware zu verbessern.

1992 veröffentlichte Igor Danilov in Russland die erste Version von SpiderWeb, das später zu Dr. Web wurde.

Im Jahr 1994 meldete AV-TEST, dass sich 28.613 eindeutige Malware-Samples (basierend auf MD5) in ihrer Datenbank befanden.

Im Laufe der Zeit wurden weitere Unternehmen gegründet. Im Jahr 1996 wurde in Rumänien Bitdefender gegründet und brachte die erste Version von Anti-Virus eXpert (AVX) heraus. 1997 gründeten Eugene Kaspersky und Natalya Kaspersky in Russland das Sicherheitsunternehmen Kaspersky Lab mit.

1996 gab es auch den ersten "in the wild"-Linux-Virus, bekannt als "Staog".

Im Jahr 1999 meldete AV-TEST, dass sich 98.428 eindeutige Malware-Samples (basierend auf MD5) in seiner Datenbank befanden.

Zeitraum 2000-2005

Im Jahr 2000 starteten Rainer Link und Howard Fuhs die erste quelloffene Antiviren-Engine, das OpenAntivirus Project.

Im Jahr 2001 veröffentlichte Tomasz Kojm die erste Version von ClamAV, der ersten Open-Source-Antiviren-Engine, die kommerziell vermarktet wurde. Im Jahr 2007 wurde ClamAV von Sourcefire aufgekauft, das wiederum 2013 von Cisco Systems übernommen wurde.

2002 gründeten Morten Lund und Theis Søndergaard im Vereinigten Königreich das Antiviren-Unternehmen BullGuard mit.

Im Jahr 2005 meldete AV-TEST, dass sich 333.425 einzigartige Malware-Samples (basierend auf MD5) in ihrer Datenbank befanden.

Zeitraum 2005-2014

Im Jahr 2007 meldete AV-TEST eine Anzahl von 5.490.960 neuen eindeutigen Malware-Samples (basierend auf MD5) nur für dieses Jahr. In den Jahren 2012 und 2013 meldeten Antivirenfirmen zwischen 300.000 und über 500.000 neue Malware-Muster pro Tag.

Im Laufe der Jahre ist es notwendig geworden, dass Antivirensoftware verschiedene Strategien (z. B. spezifischen E-Mail- und Netzwerkschutz oder Low-Level-Module) und Erkennungsalgorithmen einsetzt und aus verschiedenen Gründen nicht nur ausführbare Dateien, sondern auch eine zunehmende Vielfalt von Dateien überprüft:

  • Leistungsstarke Makros, die in Textverarbeitungsprogrammen wie Microsoft Word verwendet werden, stellten ein Risiko dar. Virenschreiber konnten die Makros nutzen, um Viren in Dokumente einzubetten. Dies bedeutete, dass Computer nun auch durch das Öffnen von Dokumenten mit versteckten angehängten Makros infiziert werden konnten.
  • Die Möglichkeit, ausführbare Objekte in ansonsten nicht ausführbare Dateiformate einzubetten, kann das Öffnen dieser Dateien zu einem Risiko machen.
  • Spätere E-Mail-Programme, insbesondere Outlook Express und Outlook von Microsoft, waren anfällig für Viren, die in den E-Mail-Text selbst eingebettet waren. Der Computer eines Benutzers konnte infiziert werden, indem er einfach eine Nachricht öffnete oder eine Vorschau anschaute.

2005 war F-Secure das erste Sicherheitsunternehmen, das eine Anti-Rootkit-Technologie namens BlackLight entwickelte.

Da die meisten Nutzer in der Regel ständig mit dem Internet verbunden sind, schlug Jon Oberheide 2008 erstmals ein Cloud-basiertes Antiviren-Design vor.

Im Februar 2008 fügte McAfee Labs die branchenweit erste Cloud-basierte Anti-Malware-Funktionalität unter dem Namen Artemis zu VirusScan hinzu. Sie wurde von AV-Comparatives im Februar 2008 getestet und im August 2008 offiziell in McAfee VirusScan vorgestellt.

Cloud AV führte zu Problemen bei vergleichenden Tests von Sicherheitssoftware - ein Teil der AV-Definitionen lag außerhalb der Kontrolle der Tester (auf ständig aktualisierten Servern der AV-Firmen), so dass die Ergebnisse nicht wiederholbar waren. Infolgedessen begann die Anti-Malware Testing Standards Organisation (AMTSO) mit der Arbeit an einer Methode zum Testen von Cloud-Produkten, die am 7. Mai 2009 verabschiedet wurde.

Im Jahr 2011 führte AVG einen ähnlichen Cloud-Dienst mit der Bezeichnung Protective Cloud Technology ein.

2014 - heute (Aufstieg der nächsten Generation)

Nach der Veröffentlichung des APT 1-Berichts von Mandiant im Jahr 2013 hat sich in der Branche ein Wandel hin zu signaturlosen Ansätzen vollzogen, mit denen Zero-Day-Angriffe erkannt und abgeschwächt werden können. Zahlreiche Ansätze zur Bekämpfung dieser neuen Formen von Bedrohungen sind aufgetaucht, darunter Verhaltenserkennung, künstliche Intelligenz, maschinelles Lernen und Cloud-basierte Dateisprengung. Laut Gartner wird erwartet, dass der Aufstieg neuer Marktteilnehmer wie Carbon Black, Cylance und Crowdstrike die etablierten EPP-Anbieter in eine neue Phase der Innovation und Übernahme zwingen wird. Eine Methode von Bromium umfasst die Mikro-Virtualisierung zum Schutz von Desktops vor der Ausführung von bösartigem Code durch den Endbenutzer. Ein anderer Ansatz von SentinelOne und Carbon Black konzentriert sich auf die Erkennung von Verhaltensweisen, indem ein vollständiger Kontext um jeden Prozessausführungspfad in Echtzeit aufgebaut wird, während Cylance ein auf maschinellem Lernen basierendes Modell der künstlichen Intelligenz einsetzt. Diese signaturlosen Ansätze werden von den Medien und Analystenfirmen zunehmend als Antivirenlösungen der nächsten Generation bezeichnet und finden als zertifizierte Antiviren-Ersatztechnologien von Firmen wie Coalfire und DirectDefense rasche Marktakzeptanz. Als Reaktion darauf haben traditionelle Antiviren-Anbieter wie Trend Micro, Symantec und Sophos "Next-Gen"-Angebote in ihr Portfolio aufgenommen, da Analystenfirmen wie Forrester und Gartner traditionelle signaturbasierte Antivirenlösungen als "ineffektiv" und "veraltet" bezeichnet haben.

Identifizierungsmethoden

Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen Antivirenhersteller Norman im Jahr 2001 eine neue Technik vorgestellt, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgeführt und analysiert, welche Aktionen sie ausführt. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die Sandbox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweise. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie folgende Gefährdungen unterscheiden:

  • W32/Malware
  • W32/EMailWorm
  • W32/NetworkWorm
  • W32/BackDoor
  • W32/P2PWorm
  • W32/FileInfector
  • W32/Dialer
  • W32/Downloader
  • W32/Spyware

Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen. Durch die Technik der Sandbox konnten nach Tests von AV-Test 39 % noch unbekannter Viren und Würmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung. Nachteil der Sandbox-Technik ist, dass sie durch die Code-Emulation recht ressourcen-intensiv und langsamer als klassisches Signaturenscannen ist. Daher wird sie primär in den Labors der Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.

Ähnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberflächen ihrer Sandboxen zur Analyse einzelner verdächtiger Dateien zur Verfügung (normalerweise Basisfunktionen kostenlos, erweiterte Funktionen gegen Entgelt).

Eines der wenigen soliden theoretischen Ergebnisse bei der Erforschung von Computerviren ist Frederick B. Cohens Nachweis aus dem Jahr 1987, dass es keinen Algorithmus gibt, der alle möglichen Viren perfekt erkennen kann. Durch den Einsatz verschiedener Verteidigungsschichten kann jedoch eine gute Erkennungsrate erreicht werden.

Die Verhaltensanalyse (englisch Behavior Analysis/Blocking, oft auch als Hostbased Intrusion Detection System bezeichnet, vgl. NIDS) soll ähnlich wie SandBox und Heuristik anhand von typischen Verhaltensweisen Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeitüberwachung eingesetzt, da dabei die Aktionen eines Programms – im Gegensatz zur Sandbox – auf dem echten Computer mitverfolgt werden, und kann vor Überschreiten einer Reizschwelle (Summe der verdächtigen Aktionen) oder bei Verstößen gegen bestimmte Regeln, vor offensichtlich destruktiven Aktionen (Festplatte formatieren, Systemdateien löschen) einschreiten. Bei der Verhaltensanalyse wird oft mit Statistik (Bayes Spamfilter), neuronalen Netzwerken, genetischen Algorithmen oder anderen „trainierbaren/lernfähigen“ Algorithmen gearbeitet.

Signaturbasierte Erkennung

Herkömmliche Antivirensoftware stützt sich bei der Erkennung von Malware weitgehend auf Signaturen.

Wenn eine Malware-Probe bei einer Antiviren-Firma eintrifft, wird sie im Wesentlichen von Malware-Forschern oder dynamischen Analysesystemen analysiert. Sobald festgestellt wird, dass es sich um eine Malware handelt, wird eine geeignete Signatur der Datei extrahiert und der Signaturdatenbank der Antivirensoftware hinzugefügt.

Obwohl der signaturbasierte Ansatz Malware-Ausbrüche wirksam eindämmen kann, haben die Malware-Autoren versucht, dieser Software einen Schritt voraus zu sein, indem sie "oligomorphe", "polymorphe" und in jüngster Zeit "metamorphe" Viren geschrieben haben, die Teile ihrer selbst verschlüsseln oder sich auf andere Weise so verändern, dass sie nicht mit den Virensignaturen im Wörterbuch übereinstimmen.

Heuristik

Viele Viren beginnen als eine einzige Infektion und können durch Mutation oder Verfeinerung durch andere Angreifer zu Dutzenden von leicht unterschiedlichen Stämmen, den so genannten Varianten, heranwachsen. Die generische Erkennung bezieht sich auf die Erkennung und Entfernung mehrerer Bedrohungen anhand einer einzigen Virendefinition.

Der Vundo-Trojaner beispielsweise hat mehrere Familienmitglieder, je nach Klassifizierung des Antivirenherstellers. Symantec teilt die Mitglieder der Vundo-Familie in zwei verschiedene Kategorien ein: Trojan.Vundo und Trojan.Vundo.B.

Obwohl es von Vorteil sein kann, einen bestimmten Virus zu identifizieren, kann es schneller sein, eine Virenfamilie durch eine generische Signatur oder durch eine ungenaue Übereinstimmung mit einer bestehenden Signatur zu erkennen. Virenforscher finden gemeinsame Bereiche, die alle Viren einer Familie auf einzigartige Weise teilen, und können so eine einzige generische Signatur erstellen. Diese Signaturen enthalten oft nicht zusammenhängenden Code und verwenden Platzhalterzeichen, wo die Unterschiede liegen. Diese Platzhalter ermöglichen es dem Scanner, Viren zu erkennen, auch wenn sie mit zusätzlichem, bedeutungslosem Code aufgefüllt sind. Eine Erkennung, die diese Methode verwendet, wird als "heuristische Erkennung" bezeichnet.

Rootkit-Erkennung

Antiviren-Software kann versuchen, nach Rootkits zu suchen. Ein Rootkit ist eine Art von Malware, die darauf abzielt, die Kontrolle über ein Computersystem auf administrativer Ebene zu erlangen, ohne entdeckt zu werden. Rootkits können die Funktionsweise des Betriebssystems verändern und in einigen Fällen das Antivirenprogramm manipulieren, so dass es unwirksam wird. Rootkits sind auch schwer zu entfernen, in manchen Fällen ist eine komplette Neuinstallation des Betriebssystems erforderlich.

Schutz in Echtzeit

Der Echtzeitscanner (englisch on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, die die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies ist das Blockieren des Zugriffs, das Löschen der Datei, das Verschieben in die Quarantäne oder, wenn möglich, ein Reparaturversuch. Generell kann beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

  1. Scannen beim Öffnen von Dateien (Lesevorgang)
  2. Scannen beim Erstellen / Ändern von Dateien (Schreibvorgang)

Es kann der Fall eintreten, dass eine virulente Datei gespeichert wurde, bevor eine Virensignatur für sie verfügbar war. Nach einem Signatur-Update ist es aber möglich, sie beim Öffnen zu erkennen. In diesem Fall ist also ein Scannvorgang beim Öffnen der Datei dem Scanvorgang beim Schreiben der Datei überlegen. Um die Belastung durch den Echtzeitscanner zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt.

Problematische Punkte

Unerwartete Verlängerungskosten

Einige kommerzielle Endbenutzer-Lizenzverträge für Antiviren-Software enthalten eine Klausel, wonach das Abonnement automatisch verlängert und die Kreditkarte des Käufers automatisch belastet wird, wenn die Verlängerung ohne ausdrückliche Zustimmung erfolgt. So verlangt McAfee beispielsweise, dass die Benutzer ihr Abonnement mindestens 60 Tage vor Ablauf des aktuellen Abonnements kündigen, während BitDefender 30 Tage vor der Verlängerung eine Benachrichtigung zur Kündigung des Abonnements verschickt. Auch Norton AntiVirus erneuert Abonnements standardmäßig automatisch.

Betrügerische Sicherheitsanwendungen

Einige vermeintliche Antivirenprogramme sind in Wirklichkeit Malware, die sich als legitime Software tarnt, wie z. B. WinFixer, MS Antivirus und Mac Defender.

Probleme durch Fehlalarme

Ein "falsches Positiv" oder ein "falscher Alarm" liegt vor, wenn eine Antiviren-Software eine nicht bösartige Datei als Malware identifiziert. Wenn dies geschieht, kann es zu ernsthaften Problemen führen. Wenn ein Antivirenprogramm beispielsweise so konfiguriert ist, dass es infizierte Dateien sofort löscht oder unter Quarantäne stellt, wie es bei Antivirenprogrammen für Microsoft Windows üblich ist, kann ein falsches Positiv in einer wichtigen Datei das Windows-Betriebssystem oder einige Anwendungen unbrauchbar machen. Die Behebung eines solchen Schadens an einer kritischen Software-Infrastruktur verursacht Kosten für den technischen Support, und Unternehmen können gezwungen sein, den Betrieb einzustellen, während Abhilfemaßnahmen ergriffen werden.

Beispiele für schwerwiegende falsch-positive Ergebnisse:

  • Mai 2007: Eine fehlerhafte Virensignatur von Symantec entfernte fälschlicherweise wichtige Betriebssystemdateien, so dass Tausende von PCs nicht mehr starten konnten.
  • Mai 2007: Die von Pegasus Mail unter Windows benötigte ausführbare Datei wurde von Norton AntiVirus fälschlicherweise als Trojaner erkannt und automatisch entfernt, so dass Pegasus Mail nicht mehr ausgeführt werden konnte. Norton AntiVirus hatte drei Versionen von Pegasus Mail fälschlicherweise als Malware identifiziert und löschte die Pegasus-Mail-Installationsdatei, wenn dies geschah. Daraufhin erklärte Pegasus Mail:

Angesichts der Tatsache, dass Norton/Symantec dies bei jeder der letzten drei Versionen von Pegasus Mail getan hat, können wir dieses Produkt nur als zu fehlerhaft für den Einsatz verurteilen und unseren Anwendern nachdrücklich empfehlen, es nicht mehr zu verwenden und stattdessen auf alternative, weniger fehlerbehaftete Antivirenpakete auszuweichen.

  • April 2010: McAfee VirusScan entdeckte svchost.exe, eine normale Windows-Binärdatei, als Virus auf Rechnern mit Windows XP mit Service Pack 3, was zu einer Neustartschleife und dem Verlust des gesamten Netzwerkzugriffs führte.
  • Dezember 2010: Ein fehlerhaftes Update der AVG-Antiviren-Suite beschädigte 64-Bit-Versionen von Windows 7, so dass diese aufgrund einer endlosen Bootschleife nicht mehr starten konnten.
  • Oktober 2011: Microsoft Security Essentials (MSE) entfernte den Webbrowser Google Chrome, einen Konkurrenten von Microsofts eigenem Internet Explorer. MSE stufte Chrome als Zbot-Bankentrojaner ein.
  • September 2012: Die Antiviren-Suite von Sophos identifizierte verschiedene Update-Mechanismen, darunter auch ihren eigenen, als Malware. Wenn es so konfiguriert war, dass erkannte Dateien automatisch gelöscht wurden, konnte Sophos Antivirus keine Updates mehr durchführen, so dass ein manueller Eingriff erforderlich war, um das Problem zu beheben.
  • September 2017: Das Antivirenprogramm Google Play Protect begann, die Bluetooth-Anwendung des Moto G4 von Motorola als Malware zu identifizieren, wodurch die Bluetooth-Funktionalität deaktiviert wurde.

System- und interoperabilitätsbezogene Probleme

Die gleichzeitige Ausführung (des Echtzeitschutzes) mehrerer Antivirenprogramme kann die Leistung beeinträchtigen und Konflikte verursachen. Mehrere Unternehmen (darunter G Data Software und Microsoft) haben jedoch mit Hilfe eines Konzepts namens Multiscanning Anwendungen entwickelt, die mehrere Engines gleichzeitig ausführen können.

Manchmal ist es notwendig, den Virenschutz vorübergehend zu deaktivieren, wenn größere Updates wie Windows Service Packs oder Grafikkartentreiber installiert werden. Ein aktiver Virenschutz kann die Installation eines wichtigen Updates teilweise oder vollständig verhindern. Antivirensoftware kann bei der Installation eines Betriebssystem-Upgrades Probleme verursachen, z. B. wenn ein Upgrade auf eine neuere Version von Windows "an Ort und Stelle" durchgeführt wird, ohne dass die vorherige Windows-Version gelöscht wird. Microsoft empfiehlt, Antiviren-Software zu deaktivieren, um Konflikte mit dem Upgrade-Installationsprozess zu vermeiden. Aktive Antivirensoftware kann auch den Prozess der Firmware-Aktualisierung stören.

Die Funktionalität einiger Computerprogramme kann durch aktive Antivirensoftware beeinträchtigt werden. TrueCrypt, ein Festplattenverschlüsselungsprogramm, weist beispielsweise auf seiner Fehlerbehebungsseite darauf hin, dass Antivirenprogramme mit TrueCrypt in Konflikt geraten können und zu Fehlfunktionen oder einer sehr langsamen Arbeitsweise führen können. Antivirensoftware kann die Leistung und Stabilität von Spielen beeinträchtigen, die auf der Steam-Plattform laufen.

Support-Probleme gibt es auch in Bezug auf die Interoperabilität von Antiviren-Anwendungen mit gängigen Lösungen wie SSL-VPN-Remote-Access- und Network-Access-Control-Produkten. Diese Technologielösungen verfügen häufig über Anwendungen zur Bewertung von Richtlinien, die ein aktuelles Virenschutzprogramm erfordern, das installiert und ausgeführt werden muss. Wenn die Antivirenanwendung von der Richtlinienbewertung nicht erkannt wird, sei es, weil die Antivirenanwendung aktualisiert wurde oder weil sie nicht Teil der Bibliothek der Richtlinienbewertung ist, kann der Benutzer keine Verbindung herstellen.

Wirksamkeit

Studien vom Dezember 2007 haben gezeigt, dass die Wirksamkeit von Antiviren-Software im vergangenen Jahr abgenommen hat, insbesondere gegen unbekannte oder Zero-Day-Angriffe. Die Computerzeitschrift c't stellte fest, dass die Erkennungsraten für diese Bedrohungen von 40-50 % im Jahr 2006 auf 20-30 % im Jahr 2007 gesunken waren. Die einzige Ausnahme bildete damals das Antivirenprogramm NOD32, das eine Erkennungsrate von 68 % erreichte. Laut der ZeuS-Tracker-Website liegt die durchschnittliche Erkennungsrate für alle Varianten des bekannten ZeuS-Trojaners bei nur 40 %.

Das Problem wird durch die wechselnden Absichten der Virenautoren noch verschärft. Vor einigen Jahren war es offensichtlich, wenn eine Vireninfektion vorlag. Damals wurden die Viren von Amateuren geschrieben und zeigten zerstörerisches Verhalten oder Pop-ups. Moderne Viren werden oft von Profis geschrieben, die von kriminellen Organisationen finanziert werden.

Eva Chen, CEO von Trend Micro, stellte 2008 fest, dass die Antiviren-Industrie die Wirksamkeit ihrer Produkte überbewertet und damit die Kunden jahrelang in die Irre geführt hat.

Unabhängige Tests mit allen wichtigen Virenscannern zeigen immer wieder, dass keiner eine 100-prozentige Virenerkennung bietet. Die besten Scanner erreichten in simulierten realen Situationen eine Erkennungsrate von bis zu 99,9 %, während der niedrigste Scanner bei Tests im August 2013 91,1 % erreichte. Viele Virenscanner liefern auch falsch-positive Ergebnisse, indem sie harmlose Dateien als Malware identifizieren.

Obwohl sich die Methoden unterscheiden können, gehören zu den namhaften unabhängigen Qualitätsprüfungsstellen AV-Comparatives, ICSA Labs, West Coast Labs, Virus Bulletin, AV-TEST und andere Mitglieder der Anti-Malware Testing Standards Organization.

Neue Viren

Antivirenprogramme sind nicht immer wirksam gegen neue Viren, selbst wenn sie nicht signaturbasierte Methoden verwenden, die neue Viren erkennen sollten. Der Grund dafür ist, dass die Virenentwickler ihre neuen Viren mit den wichtigsten Antivirenprogrammen testen, um sicherzustellen, dass sie nicht entdeckt werden, bevor sie sie in die freie Wildbahn entlassen.

Einige neue Viren, insbesondere Ransomware, verwenden polymorphen Code, um die Erkennung durch Virenscanner zu umgehen. Jerome Segura, ein Sicherheitsanalytiker bei ParetoLogic, erklärt dies:

Das ist etwas, das oft übersehen wird, weil diese Art von [Ransomware-Virus] von Websites stammt, die einen Polymorphismus verwenden, was bedeutet, dass sie die Datei, die sie senden, im Grunde genommen zufällig zusammenstellen, so dass sie bekannte Antivirenprodukte sehr leicht überlisten können. Ich habe aus erster Hand gesehen, wie Leute infiziert wurden, die alle Popup-Fenster sahen, obwohl sie eine Antiviren-Software installiert hatten, die nichts erkannte. Es kann auch ziemlich schwierig sein, es wieder loszuwerden, und man ist sich nie sicher, ob es wirklich verschwunden ist. Wenn wir so etwas sehen, raten wir in der Regel zu einer Neuinstallation des Betriebssystems oder einer Neuinstallation von Sicherungskopien.

Ein Proof-of-Concept-Virus hat die Grafikverarbeitungseinheit (GPU) genutzt, um die Erkennung durch Antiviren-Software zu umgehen. Der mögliche Erfolg besteht darin, dass die CPU umgangen wird, um es den Sicherheitsforschern zu erschweren, das Innenleben einer solchen Malware zu analysieren.

Rootkits

Die Erkennung von Rootkits ist eine große Herausforderung für Antivirenprogramme. Rootkits haben vollen administrativen Zugriff auf den Computer, sind für den Benutzer unsichtbar und werden nicht in der Liste der laufenden Prozesse im Task-Manager angezeigt. Rootkits können die innere Funktionsweise des Betriebssystems verändern und Antivirenprogramme manipulieren.

Beschädigte Dateien

Wenn eine Datei mit einem Computervirus infiziert wurde, versucht die Antiviren-Software, den Virencode während der Desinfektion aus der Datei zu entfernen, ist aber nicht immer in der Lage, den unbeschädigten Zustand der Datei wiederherzustellen. In solchen Fällen können beschädigte Dateien nur aus vorhandenen Backups oder Schattenkopien wiederhergestellt werden (dies gilt auch für Ransomware); installierte Software, die beschädigt ist, muss neu installiert werden (siehe jedoch Systemdatei-Überprüfung).

Firmware-Infektionen

Jede beschreibbare Firmware im Computer kann mit bösartigem Code infiziert werden. Dies ist ein großes Problem, da bei einem infizierten BIOS der eigentliche BIOS-Chip ausgetauscht werden muss, um sicherzustellen, dass der bösartige Code vollständig entfernt wird. Antivirensoftware schützt Firmware und BIOS der Hauptplatine nicht wirksam vor Infektionen. Im Jahr 2014 entdeckten Sicherheitsforscher, dass USB-Geräte schreibbare Firmware enthalten, die mit bösartigem Code (genannt "BadUSB") verändert werden kann, der von Antiviren-Software nicht erkannt oder verhindert werden kann. Der bösartige Code kann unbemerkt auf dem Computer ausgeführt werden und sogar das Betriebssystem infizieren, bevor es hochgefahren wird.

Leistung und andere Nachteile

Antiviren-Software hat einige Nachteile, vor allem kann sie die Leistung eines Computers beeinträchtigen.

Außerdem können sich unerfahrene Benutzer bei der Benutzung des Computers in falscher Sicherheit wiegen, indem sie ihren Computer für unverwundbar halten, und haben möglicherweise Probleme, die Aufforderungen und Entscheidungen zu verstehen, die ihnen die Antivirensoftware vorgibt. Eine falsche Entscheidung kann zu einem Sicherheitsverstoß führen. Wenn die Antivirensoftware mit heuristischer Erkennung arbeitet, muss sie fein abgestimmt werden, um die Fehlerkennung harmloser Software als bösartig (falsch positiv) zu minimieren.

Die Antivirensoftware selbst läuft in der Regel auf der hochgradig vertrauenswürdigen Kernel-Ebene des Betriebssystems, so dass sie Zugriff auf alle potenziell bösartigen Prozesse und Dateien hat, was eine potenzielle Angriffsmöglichkeit darstellt. Die US National Security Agency (NSA) und der britische Geheimdienst Government Communications Headquarters (GCHQ) haben Antivirensoftware ausgenutzt, um Benutzer auszuspionieren. Antivirensoftware verfügt über einen hoch privilegierten und vertrauenswürdigen Zugang zum zugrunde liegenden Betriebssystem, was sie zu einem viel attraktiveren Ziel für Fernangriffe macht. Außerdem hinkt die Antivirensoftware "sicherheitsbewussten Client-Anwendungen wie Browsern oder Dokumentenlesern um Jahre hinterher. Das bedeutet, dass Acrobat Reader, Microsoft Word oder Google Chrome schwerer auszunutzen sind als 90 Prozent der auf dem Markt befindlichen Antivirenprodukte", so Joxean Koret, Forscher bei Coseinc, einem in Singapur ansässigen Beratungsunternehmen für Informationssicherheit.

Alternative Lösungen

Als Online-Virenscanner werden Antivirenprogramme bezeichnet, die ihren Programmcode und die Viren-Muster über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das heißt, der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu eventuellem Befall einzuholen.

Weiterhin gibt es Webseiten, die es ermöglichen, einzelne Dateien mit verschiedenen Virenscannern zu prüfen. Für diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-Demand-Scan.

Der Befehlszeilen-Virenscanner von Clam AV 0.95.2 führt ein Update der Virensignaturdefinition durch, scannt eine Datei und identifiziert einen Trojaner.

Antivirensoftware, die auf einzelnen Computern läuft, ist die gängigste Methode zum Schutz vor Malware, aber sie ist nicht die einzige Lösung. Auch andere Lösungen können von den Benutzern eingesetzt werden, darunter Unified Threat Management (UTM), Hardware- und Netzwerk-Firewalls, Cloud-basierte Antivirenprogramme und Online-Scanner.

Hardware- und Netzwerk-Firewall

Netzwerk-Firewalls hindern unbekannte Programme und Prozesse daran, auf das System zuzugreifen. Sie sind jedoch keine Antivirensysteme und versuchen nicht, etwas zu erkennen oder zu entfernen. Sie können vor Infektionen von außerhalb des geschützten Computers oder Netzwerks schützen und die Aktivität vorhandener bösartiger Software einschränken, indem sie eingehende oder ausgehende Anfragen an bestimmten TCP/IP-Ports blockieren. Eine Firewall ist für den Umgang mit umfassenderen Systembedrohungen konzipiert, die von Netzwerkverbindungen in das System ausgehen, und stellt keine Alternative zu einem Virenschutzsystem dar.

Cloud-Virenschutz

Cloud-Antivirus ist eine Technologie, bei der eine leichtgewichtige Agentensoftware auf dem geschützten Computer eingesetzt wird, während der Großteil der Datenanalyse auf die Infrastruktur des Anbieters verlagert wird.

Ein Ansatz zur Implementierung von Cloud-Antiviren umfasst das Scannen verdächtiger Dateien mit mehreren Antiviren-Engines. Dieser Ansatz wurde von einer frühen Implementierung des Cloud-Antivirenkonzepts namens CloudAV vorgeschlagen. CloudAV wurde entwickelt, um Programme oder Dokumente an eine Netzwerkwolke zu senden, in der mehrere Antiviren- und Verhaltenserkennungsprogramme gleichzeitig eingesetzt werden, um die Erkennungsraten zu verbessern. Das parallele Scannen von Dateien mit potenziell inkompatiblen Antiviren-Scannern wird dadurch erreicht, dass für jede Erkennungs-Engine eine virtuelle Maschine gestartet wird, wodurch mögliche Probleme vermieden werden. CloudAV kann auch eine "retrospektive Erkennung" durchführen, bei der die Cloud-Erkennungs-Engine alle Dateien in ihrem Dateizugriffsverlauf erneut scannt, wenn eine neue Bedrohung identifiziert wird, wodurch die Geschwindigkeit der Erkennung neuer Bedrohungen verbessert wird. Schließlich ist CloudAV eine Lösung für effektives Virenscanning auf Geräten, die nicht über die nötige Rechenleistung verfügen, um die Scans selbst durchzuführen.

Einige Beispiele für Cloud-Antivirenprodukte sind Panda Cloud Antivirus und Immunet. Auch die Comodo Group hat ein cloudbasiertes Antivirenprogramm entwickelt.

Online-Scans

Einige Anbieter von Antivirenprodukten bieten auf ihren Websites kostenlose Online-Scans des gesamten Computers, kritischer Bereiche, lokaler Laufwerke, Ordner oder Dateien an. Regelmäßiges Online-Scannen ist eine gute Idee für diejenigen, die Antivirenprogramme auf ihren Computern einsetzen, da diese Programme Bedrohungen häufig nur langsam erkennen. Eine der ersten Maßnahmen, die bösartige Software bei einem Angriff ergreift, ist die Deaktivierung vorhandener Antivirensoftware, und manchmal ist die einzige Möglichkeit, von einem Angriff zu erfahren, der Zugriff auf eine Online-Ressource, die nicht auf dem infizierten Computer installiert ist.

Spezialisierte Tools

Der Befehlszeilen-Scanner rkhunter, eine Engine zur Suche nach Linux-Rootkits, die unter Ubuntu läuft.

Es gibt Tools zum Entfernen von Viren, die bei hartnäckigen Infektionen oder bestimmten Arten von Infektionen helfen. Beispiele hierfür sind Avast Free Anti- Malware, AVG Free Malware Removal Tools und Avira AntiVir Removal Tool. Es ist auch erwähnenswert, dass Antivirensoftware manchmal ein falsches positives Ergebnis liefern kann, das auf eine Infektion hinweist, obwohl keine vorhanden ist.

Ein bootfähiger Rettungsdatenträger, z. B. eine CD oder ein USB-Speichermedium, kann verwendet werden, um Antiviren-Software außerhalb des installierten Betriebssystems auszuführen, um Infektionen zu entfernen, während sie noch schlummern. Eine bootfähige Antiviren-Diskette kann beispielsweise nützlich sein, wenn das installierte Betriebssystem nicht mehr bootfähig ist oder Malware enthält, die sich allen Versuchen widersetzt, von der installierten Antiviren-Software entfernt zu werden. Beispiele für einige dieser bootfähigen Datenträger sind die Bitdefender Rescue CD, Kaspersky Rescue Disk 2018 und Windows Defender Offline (seit dem Anniversary Update in Windows 10 integriert). Die meisten der Rescue-CDs können auch auf einem USB-Speichergerät installiert werden, das auf neueren Computern bootfähig ist.

Nutzung und Risiken

Laut einer FBI-Umfrage verlieren große Unternehmen jährlich 12 Millionen US-Dollar durch Virenvorfälle. Eine Umfrage von Symantec aus dem Jahr 2009 ergab, dass ein Drittel der kleinen und mittleren Unternehmen zu diesem Zeitpunkt keinen Virenschutz verwendete, während mehr als 80 % der Privatanwender eine Art von Virenschutz installiert hatten. Laut einer von G Data Software im Jahr 2010 durchgeführten soziologischen Umfrage verwenden 49 % der Frauen überhaupt kein Antivirenprogramm.

Siehe auch

  • Antiviren- und Anti-Malware-Software
  • CARO, die Computer Antivirus Forschungsorganisation
  • Vergleich von Antiviren-Software
  • Vergleich von Computerviren
  • EICAR, das Europäische Institut für Computer-Antiviren-Forschung
  • Firewall-Software
  • Sicherheit im Internet
  • Linux-Schadprogramme
  • Quarantäne (Computertechnik)
  • Sandbox (Computersicherheit)
  • Zeitleiste der Computerviren und Würmer
  • Viren-Schwindel

Allgemeine Bibliographie

  • Szor, Peter (2005). Die Kunst der Computervirenforschung und -abwehr. Addison-Wesley. ISBN 978-0-321-30454-4.

Typen von Antivirenprogrammen

Sonstige Scanner

  • Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner.

Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

  • Eine andere Lösung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt. Ein deutlicher Nachteil besteht jedoch in der Tatsache, dass dies bei einer End-zu-End-Verschlüsselung quasi wirkungslos ist. Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers weitergeleitet.

Funktionsweise und Erfolgswahrscheinlichkeit

Scanengines

Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines Computers oder Netzwerkes auf Schadprogramme verantwortlich ist. Eine Scanengine ist somit unmittelbar für die Effizienz von Antivirensoftware verantwortlich. Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig vom Rest eines Virenscanners aktualisiert und eingesetzt werden können. Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Hersteller einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragwürdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch oder dem Anspruch an Systemperformance ab und muss von Fall zu Fall entschieden werden.

Die Leistungsfähigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schädlichen Dateien hängt nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen. Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu ändern), müsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der Fähigkeit, möglichst viele Formate entpacken zu können, ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts über die Erkennungsleistung aus.

Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und miteinander interagieren:

  • Dateiformat-Analyse (wie Programme (PE, ELF), Scripte (VBS, JavaScript), Datendateien (PDF, GIF))
  • Pattern-Matcher (Mustererkennung) für die klassischen Signaturen
  • Entpack-Routinen für
    • laufzeitkomprimierte Programme und Verschlüsselungsroutinen (so etwa UPX, Aspack, Y0daCrypt)
    • Archive (so ZIP, RAR, 7z, UUE/Base64)
    • Mailbox-Formate (so mbox, .dbx, .eml, MIME)
  • Code-Emulation (vergleichbar mit einer Art Mini-Sandbox oder es greift eine Sandbox darauf zurück, nützlich für generische Erkennung oder bei polymorphen Schadprogrammen)
  • Heuristik für unterschiedliche Typen (PE, Scripte, Makros)
  • diverse Filter (in ELF-Dateien muss nicht nach PE-Signaturen gesucht werden oder per Zugriffsschutz geblockte Dateien – entweder vordefinierte Regeln oder selbst konfiguriert)

Weiters oder vorrangig beim Echtzeitschutz eingesetzt:

  • Verhaltensanalyse
  • Cloud-Technik
  • Sandbox

Heuristik

Einige Virenscanner verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik), um unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser – präventiven – Art der Erkennung nimmt stetig zu, da die Zeiträume, in denen neue Viren und Varianten eines Virus in Umlauf gebracht werden (auf den Markt drängen), immer kürzer werden. Für die Antivirenhersteller wird es somit immer aufwändiger und schwieriger, alle Schädlinge zeitnah durch eine entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden. Die tatsächliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren meistens ihre „Werke“ mit den bekanntesten Scannern testen und sie so ändern, dass sie nicht mehr erkannt werden.

Nachträgliche Erkennung

Einen neuartigen Ansatz verfolgt der Münchner IT-Dienstleister Retarus mit seiner Lösung Patient Zero Detection. Diese bildet Hash-Werte über alle Anhänge von E-Mails, die über die Infrastruktur des IT-Dienstleisters ankommen, und schreibt sie in eine Datenbank. Wird zu einem späteren Zeitpunkt ein identischer Anhang von einem Scanner als virenverseucht aussortiert, können die zuvor bereits mit dem Schadcode zugestellten Nachrichten anhand der Prüfsumme nachträglich identifiziert und dann Administrator und Empfänger umgehend benachrichtigt werden. Wurden die infizierten Mails noch nicht geöffnet, lassen sie sich ungelesen löschen; in jedem Fall wird die IT-Forensik erleichtert.

Cloud-Technik

Der prinzipielle Unterschied der Cloud-Technik (dt. ‚Wolke‘) zu „normalen“ Scannern ist, dass die Signaturen „in der Cloud“ (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123). Die Signaturen werden nicht bei allen Produkten lokal zwischengespeichert, so dass ohne Internetverbindung nur eine reduzierte oder keine Erkennungsleistung verfügbar ist. Manche Hersteller bieten für Unternehmen eine Art „Cloud Proxy“ an, der Hash-Werte lokal zwischenpuffert. Ein großer Vorteil der Cloud-Technik ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ansätze. Bekannt sind die Programme Panda Cloud Antivirus (arbeitet inzwischen mit einem lokalen Cache), McAfee Global Threat Intelligence – GTI (früher Artemis), F-Secure Realtime Protection Network, Microsoft Morro SpyNet und Immunet ClamAV für Windows sowie Symantec mit Nortons SONAR 3 und das Kaspersky Security Network.

  1. Die Mehrheit der Hersteller übertragen lediglich Hash-Werte. Das heißt, wenn sich die Datei eines (Schad)programms nur um 1 Bit ändert, wird es nicht mehr erkannt. Bis dato ist nicht bekannt (wobei es aber anzunehmen ist), ob Hersteller ebenfalls „unscharfe“ Hashes (z. B. ssdeep) einsetzen, die eine gewisse Toleranz erlauben.
  2. Es werden Fehlerkennungen minimiert, da die White- und Blacklists bei den Herstellern ständig mit neuen Hash-Werten von Dateien aktualisiert werden.
  3. Ressourceneinsparung: Bereits analysierte Dateien werden nicht mehr erneut aufwendig in einen Emulator oder Sandbox beim Endbenutzer am Computer analysiert.
  4. Statistische Auswertung der Ergebnisse beim Hersteller: Von Symantec ist bekannt, dass Hash-Werte von neuen, unbekannten und wenig verbreiteten Dateien als verdächtig eingestuft werden. Unrühmliche Bekanntheit hat diese Funktion unter anderem bei Firefox-Aktualisierungen erlangt.

Automatische Aktualisierung

Die sogenannte Auto-, Internet- oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicherzugehen, dass das Programm wirklich auf dem aktuellen Stand ist.

Probleme mit Virenscannern

Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner das Führen einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:

  • Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verzögerung. Für einige Applikationen ist diese zu groß und sie erzeugen Fehlermeldungen oder Funktionsstörungen. Besonders häufig tritt dieses Verhalten auf, wenn auf Daten über eine Netzwerkfreigabe zugegriffen wird und an diesem entfernten Rechner ebenfalls eine Antivirensoftware läuft.
  • Datenbanken (jeglicher Art): Da auf Datenbanken für gewöhnlich ein ständiger Zugriff stattfindet und sie oftmals sehr groß sind, versucht der Echtzeitscanner, diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen, ansteigender Systemlast, Beschädigungen der Datenbank bis hin zum völligen Stillstand des jeweiligen Computersystems führen.
  • Mailserver: Viele Mailserver speichern E-Mails MIME- oder ähnlich codiert auf der Festplatte ab. Viele Echtzeitscanner können diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser Entfernung nichts wissen kann, „vermisst“ er diese Datei, was ebenfalls zu Funktionsstörungen führen kann.
  • Parsing: Weil Antivirensoftware viele verschiedene, teils unbekannte Dateiformate mit Hilfe eines Parsers untersucht, kann sie selbst zum Ziel von Angreifern werden.
  • Häufig erlauben es Virenscanner nicht, noch einen zweiten Virenscanner parallel auszuführen.
  • False Positives, also Fehlalarme, die bei einigen Virenscannern zu einer automatischen Löschung, Umbenennung etc. führen und teilweise nur sehr schwer abzustellen sind. Nach einer Rückumbenennung „erkennt“ das Programm erneut diese Datei und benennt sie wieder um.

Kritik an Virenscannern

Die Zuverlässigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Umfrage aus dem Jahr 2009 drei Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. Hauptgrund sei die tägliche Flut neuester unterschiedlichster Varianten von Schädlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten. 40 Prozent der befragten Administratoren hatten bereits darüber nachgedacht, die Virenscanner zu entfernen, weil diese die Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Unternehmensrichtlinien dieses forderten, so die Umfrage. Diese Studie wurde allerdings von einem Unternehmen in Auftrag gegeben, das eine konkurrierende Software vertrieb, die anhand von Positivlisten das Ausführen von Programmen erlaubt. Dieser „Whitelisting“-Ansatz hat je nach Einsatzgebiet ebenso Vor- und Nachteile. Im Jahr 2008 sagte Eva Chen, CEO von Trend Micro, dass die Hersteller von Antivirenprogrammen die Wirksamkeit ihrer Produkte seit 20 Jahren übertrieben und ihre Kunden damit angelogen hätten. Sinngemäß: Kein Antivirusprogramm könne alle Viren blockieren, dafür gäbe es zu viele.

Eine Sicherheitsstudie ergab 2014, dass nahezu alle untersuchten Antivirenprogramme verschiedenste Fehler aufweisen und damit teilweise die Systeme, auf denen sie installiert sind, angreifbar machen.

Das BSI fasst die grundlegende Problematik des Einsatzes von Virenscannern wie folgt zusammen: „Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.“

Überprüfen der Konfiguration des Virenscanners

Die Funktion des Virenscanners kann nach der Installation und nach größeren Systemupdates überprüft werden. Damit kein „echter“ Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European Institute of Computer Anti-virus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des Virenscanners tadellos arbeiten.

Antivirensoftware

Antivirensoftware gibt es kostenlos oder als kostenpflichtige Angebote. Häufig bieten kommerzielle Hersteller auch kostenlose Versionen mit abgespecktem Funktionsumfang an. Die Stiftung Warentest kam im Frühjahr 2017 zum Ergebnis, dass es guten Schutz mittels Sicherheitssoftware auch kostenlos gibt. Die folgende Tabelle gibt nur einen kleinen Überblick über ein paar relevante Hersteller, Produkte und Marken.

Hersteller Relevante Produkte / Marken Angebote für die folgenden Plattformen Lizenz deutschsprachig darunter kostenlose Angebote
Avira Avira Antivirus Windows, macOS, Android, iOS Proprietär ja ja
Vereinigtes Königreich/ Avast Avast Antivirus Windows, macOS, Android, iOS Proprietär ja ja
AVG Antivirus Windows, macOS, Android Proprietär ja ja
Bitdefender Bitdefender Antivirus Windows, macOS, Android Proprietär ja ja
Vereinigte Staaten Cisco ClamAV Windows, Unixähnliche (darunter Linux) GPL nein ja
Emsisoft Emsisoft Anti-Malware Windows, Android Proprietär ja nein
ESET ESET NOD32 Antivirus Windows, macOS, Linux, Android Proprietär ja nein
F-Secure Corporation F-Secure Anti-Virus Windows, macOS, Android Proprietär ja nein
G Data CyberDefense G Data Antivirus Windows, macOS, Android, iOS Proprietär ja nein
Russland Kaspersky Lab Kaspersky Anti-Virus Windows, macOS, Android, iOS Proprietär ja ja
Vereinigte Staaten Malwarebytes Inc. Malwarebytes Windows, macOS, Android Proprietär ja ja
Vereinigte Staaten McAfee McAfee VirusScan Windows, macOS, Android, iOS Proprietär ja nein
Vereinigte Staaten Microsoft Microsoft Defender Windows Proprietär ja ja
Vereinigte Staaten NortonLifeLock (ehemals Symantec) Norton AntiVirus Windows, macOS, Android, iOS Proprietär ja nein