kümmert sich um Ihre Sicherheit
english deutsch français polski russian magyar
Produkte
Kaufen
Support
Partner
Presse
Agnitum

Presse

Home
Pressemitteilungen
Agnitum Newsletter
Auszeichnungen
Presseraum
PR-Kontakt

Sicherheitsentscheidungen, Teil 2: Antiviren-Software

Einleitung

Dies ist der zweite Teil einer Serie von Artikeln, in denen unerfahreneren Benutzern die verschiedenen Alternativen an Sicherheitsprodukten vorgestellt werden sollen, die ihnen zurzeit zur Auswahl stehen. Auch für erfahrenere Anwender sind diese Artikel vielleicht als kurze Zusammenfassung, zur Aktualisierung und Einschätzung von ansonsten schwer zu findenden und teilweise widersprüchlichen Informationen interessant. Ziel dieser Serie ist es, einen ausgewogenen Überblick über die derzeit verfügbaren Kategorien von Sicherheitslösungen zu bieten und ihre Haupteinsatzzwecke und Möglichkeiten ebenso darzulegen wie ihre Leistungsgrenzen und Nachteile.

Dieser zweite Artikel konzentriert sich auf Antiviren-Programme, die zusammen mit Firewall-Software als wesentlicher Bestandteil der Computersicherheit betrachtet werden. Der vollständige Artikel steht hier auf unserer Website zur Verfügung.

Grundlagen

Es ist heutzutage selten, ein reines Antiviren-Produkt zu finden – Viren werden immer mehr durch eher kommerziell motivierte Malware wie z.B. Spyware, Keyloggern und informationsstehlende Trojaner verdrängt. Wenn wir heute über Antiviren-Programme sprechen, meinen wir damit normalerweise einen Sicherheitsscanner, der in der Lage ist, eine ganze Reihe schädlicher Programme zu erkennen und zu entfernen: Viren, Spyware, Botnets, Trojaner uvm. Einige dieser „Kombinations-Produkte“ sind erfolgreicher als andere, also sollten Sie die speziellen Fähigkeiten jedes Elementes verstehen lernen, wenn Sie entscheiden, welche Art von Lösung die richtige für Sie ist.

Was genau ist also Antiviren-Software und wie funktioniert sie?

Antiviren-Software ist im Grunde eine Art von Sicherheits-Software, die Ihren Computer auf sich selbst weiterverbreitende Malware überprüft (normalerweise auf Viren und Würmer) und sie neutralisiert: Dazu verwendet sie eine Reihe von Erkennungstechniken:

  • Signaturerkennung

    Die Signaturerkennung ist die heutzutage von Antivirenprogramme hauptsächlich verwendete Technik; sie bedeutet die Analyse von Malware-Code auf bekannte "Fingerabdrücke". Dazu untersucht das Antiviren-Programm den Inhalt von Dateien auf Fragmente, die einem bekannten, in den Antivirendatenbanken als schädlich identifizierten Muster entsprechen. Wenn ein solches Muster gefunden wird, wird die infizierte Datei oder das infizierte Dateifragment als infiziert gekennzeichnet und in Quarantäne verschoben, desinfiziert oder gelöscht, je nach Funktionsumfang des einzelnen Antiviren-Produkts. Bei dieser Methode handelt es sich um einen reinen Vergleich; es ist eine schnelle und genaue Art, einen Befall durch existierende Viren zu erkennen.

    Der Nachteil dieser Methode liegt darin, dass der Anwender immer über die aktuellste Virendatenbank verfügen muss, um von der genauen Erkennung zu profitieren. Darüber hinaus ist die Signaturerkennung nicht wirksam, wenn es um neue oder polymorphe (mutierende) Viren geht, die ihr Vorhandensein dadurch verschleiern, dass sie Teile ihres Payloads (des Schadens, den der Virus bringt) modifizieren.

  • Heuristik und Näherungsberechnung

    Da sich die Bedrohungen wie bereits erwähnt verändern, verliert die herkömmliche Erkennungsmethode an Wirkungskraft, da sie nicht entdeckt, dass der ursprüngliche Code geändert wurde. Eine Möglichkeit, diesen Mangel zu beheben, ist die heuristische Erkennung, die einschätzt, mit welcher Wahrscheinlichkeit ein leicht modifizierter Code eine Nachahmer-Version eines Originalmusters ist. Hier handelt es sich um einen komplexen und anspruchsvollen Prozess, er ist jedoch in den meisten der technologisch ausgereifteren Antiviren-Prozessen integriert. Aufgrund der Unausgereiftheit muss die Heuristik noch durch andere Erkennungsarten ergänzt werden; zudem ist sie im Hinblick darauf, dass sie eine hohe Anzahl falsch positiver Meldungen (zulässige Objekte, die fälschlicherweise als schädlich erkannt werden) aufweisen kann, recht fehleranfällig.

  • Virtualisierte Simulation

    Hier handelt es sich um einen vielversprechenden neuen Ansatz, der das Potenzial hat, zur Erkennung neuer und unbekannter Viren beizutragen. Anstatt einen herkömmlichen Signaturscanner über eine verdächtige Datei laufen zu lassen, erstellt die Virtualisierung eine vorläufige, sichere Umgebung, in der die Datei ausgeführt und genauer untersucht werden kann. Da diese Umgebung vom Rest des PCs isoliert ist, kann eine möglicherweise infizierte Datei ausgeführt werden, ohne dabei die Sicherheit des Host-PCs zu gefährden – der virtualisierte Betrieb hat keine Auswirkungen auf die echten Daten des Benutzers. Nachdem die Datei in diesem virtualisierten Zustand gestartet und ihr Payload aktiviert wurde, wirken die die Techniken, mit denen sie sich verbirgt, nicht mehr, da der Code im Arbeitsspeicher „im Klartext“ ausgeführt wird. Das bedeutet, dass die internen Vorgänge der Datei für die Antiviren-Software sichtbar sind und mit der herkömmlichen Signaturanalyse gescannt werden können. Auf Grund ihrer relativen Neuheit und Komplexität steckt die Virtualisierung als Virenscan-Technik noch in den Kinderschuhen und ist in Antiviren-Software zur privaten Nutzung noch nicht weitgehend verfügbar.

    Die Virtualisierung arbeitet Hand in Hand mit ergänzenden Technologien wie etwa der Verhaltensblockierung und Sandbox-Technologien, die wir in Teil 3 dieser Serie besprechen werden.

Was geschieht, wenn ein Virus entdeckt wurde?

Nachdem ein schädliches Muster identifiziert wurde, muss es entsprechend behandelt werden. Wenn eine normale, zulässige Datei von einem Virus infiziert wurde, der ihre Inhalte geändert hat, muss der schädliche Bereich dieser Datei abgegrenzt und gelöscht werden und der ursprüngliche Inhalt muss wieder hergestellt werden, so dass die Datei sicher weiterverwendet werden kann. Beispiele für diesen Prozess können etwa eine ausführbare Datei (*.exe) oder eine Softwaretreiber-Komponentendatei (*.sys) sein, die in Folge eines Angriffs beschädigt wurden und deren ursprünglicher Zustand wieder hergestellt wird. Der Wiederherstellungsprozess ist sehr komplex und wird nur von wenigen kommerziellen Antiviren-Produkten wirkungsvoll umgesetzt. Darüber hinaus erfordert jede Art von Virenbefall einen anderen Behandlungsansatz: Eine Datei, die mit einem Virus A befallen ist, kann nur von einem Antiviren-Produkt repariert werden, das genau weiß, was Virus A tut und wie er arbeitet, um die von diesem Virus angerichteten Schäden rückgängig zu machen. Um dieses Maß an Schutz zu bieten, ist ein kompetentes Team von Virenanalytikern erforderlich, um jeden Virus durch Reverse Engineering zu entschlüsseln, zu verstehen, was er genau tut und dann sorgfältig den Reparaturprozess zu entwickeln. Selbst wenn Sie eine proaktive Sicherheitslösung einsetzen, die unbekannten Dateien den Zugang zu Ihrem PC verwehrt, sollten Sie dennoch sicherstellen, dass Sie regelmäßig Sicherheitskopien all Ihrer wertvollen Programme und Daten anlegen, falls Sie auf einen neuen Virus stoßen, für den es noch keinen Reparaturprozess gibt.

Zum Glück treten Viren, die für einen Befall vorhandener Dateien sorgen, heutzutage nur noch selten auf. Am häufigsten tritt Malware in der Form eigenständiger Programme auf; in diesen Fällen kann das Programm einfach insgesamt vom System entfernt werden. Diese eigenständigen Malwareprogramme dienen ausschließlich dem Zweck, zu infizieren, zu stehlen, zu zerstören oder die Kontrolle zu übernehmen – das ist ein ziemlicher Unterschied zu den vorher beschriebenen infizierten zulässigen Dateien.

Sobald ein schädliches Programm gefunden wurde, wird es entweder automatisch gelöscht oder in einen speziellen Quarantäne-Ordner verschoben, um sicherzustellen, dass es sich nicht wie ursprünglich vorgesehen aktivieren kann. Die Anwender können jederzeit eine Liste der in Quarantäne verschobenen Objekte anzeigen lassen und entscheiden, ob sie dauerhaft gelöscht werden sollen oder ob sie an ihrem ursprünglichen Speicherort wieder hergestellt werden sollen, wenn die Gewissheit besteht, dass die Datei tatsächlich nicht schädlich ist. Falsch positive Meldungen kommen vor, und manchmal ist es ratsam, verdächtige Dateien vorübergehend an einem speziellen sicheren Speicherort (der Quarantäne) abzulegen, so dass eine genauere Analyse durchgeführt werden kann. Beispielsweise löschte vor Kurzem ein Antiviren-Hersteller fälschlicherweise eine gültige Windows-Datei von den Festplatten der Anwender und musste die Datei wiederherstellen, als der Fehler entdeckt wurde.

Der Umgang mit den Folgen eines Virenbefalls ist eine weitere Herausforderung für Antiviren-Programme. Auch wenn ein schädliches Programm erfolgreich von einem Computer entfernt wurde, kann es noch Spuren hinterlassen haben. Diese „Narben“ können systemweite Unstimmigkeiten oder Fehler im Dateisystem (geänderte Registry-Einträge, Änderungen an Netzwerk-Stacks oder geänderte Browser-Einstellungen) verursachen, die die Leistung beeinträchtigen oder einige Windows-Funktionen unbenutzbar machen können. In diesem Fall ist es von grundlegender Bedeutung, einen „Plan B“ zum Schutz wichtiger Daten zu haben und proaktive Sicherheitslösungen und/oder regelmäßige Backup-Kopien zu verwenden.

Zusätzliche Komplikationen

Es gibt eine Reihe von Techniken, die Viren verwenden, um die Aufgabe der Antiviren-Software erheblich zu erschweren; die meisten Viren nutzen eine Reihe von Ansätzen, um ihr Vorhandensein zu verbergen und so der Entdeckung zu entgehen:

  1. Packer – eine Möglichkeit, ausführbaren Code mit einem speziellen, dem Antiviren-Programm unbekannten Algorithmus zu komprimieren, so dass die Antiviren-Software die Datei nicht dekomprimieren und den Malware-Code in seiner Rohform analysieren kann.
  2. Polymorphe Cryptoren – ähnlich wie oben, wird die originale ausführbare Datei mit veränderlichen Schlüsseln chiffriert, so dass der Quellcode jedes Mal eine neue Signatur hat. Diese Technik überwindet jeden rein signaturbasierten Ansatz.
  3. Rootkits – ein dem Anschein nach unschuldiges Werkzeug, um das Vorhandensein von Malware auf einem System zu verbergen.

Wo Antiviren-Programme suchen

Für eine optimale Zuverlässigkeit muss eine Antiviren-Lösung alle nachfolgend genannten Speicherorte/Prozesse auf einem PC untersuchen:

  • E-Mail. Nahezu alle Antiviren-Lösungen können ein- und ausgehende E-Mails auf schädliche Inhalte überprüfen und sie automatisch entfernen.
  • Internet-Datenverkehr. Jeder Datensatz, den Sie über das Internet senden und empfangen, sollte gescannt und auf Zulässigkeit überprüft werden. Web Exploits. Schädlicher Code, der automatisch in das System geladen wird, wenn Sie mit einem Browser ohne die aktuellsten Patches auf eine infizierte Seite zugreifen – kann von den ausgereifteren Antiviren-Produkten auch analysiert und blockiert werden.
  • System-Konfiguration. Das umfasst die Registrierungsdatenbank, Einträge im Start-Menü, Treiber und Dienste, Netzwerk-Infrastrukturdaten, Browser-Add-Ons und andere interne Speicherorte.
  • Aktive Prozesse. Das beinhaltet alle aktuell aktiven Programme und andere ausführbare Module - alles, was sich im Arbeitsspeicher des Computers befindet.
  • Lokales Dateisystem. Das bezieht sich auf die Dateien, Ordner und Festplatten Ihres PCs, einschließlich der Daten, die sich in alternativen Datenketten des NTFS-Dateisystems befinden können.
  • Wechsel-Datenträger. Das deckt optische Laufwerke, Flash-Laufwerke und andere digitale Kleingeräte mit Speichermodulen ab, die an einen USB-Port angeschlossen werden können, z.B. Smartphones und iPods.
  • Remote-Speicherplatz. Das umfasst gemeinsam genutzte LAN-Ordner, Backup-Einrichtungen und internetbasierte Backup-Speicherorte.

Wann Antiviren-Programme aktiv werden

Die Hauptaufgabe jeder Antiviren-Lösung ist es, Malware zu erkennen und sie von einer Verbreitung der Infektion abzuhalten, indem sie entfernt wird, bevor sie legitime Dateien angreifen kann. Antiviren-Lösungen bieten im Allgemeinen drei Ansätze zur Viren-Erkennung und –Entfernung:

  1. Echtzeit-Überwachung. Das bedeutet, dass die Antiviren-Software die aktuellen Aktivitäten des PCs überwacht und bekannte schädliche Vorgänge automatisch blockiert.
  2. On-Demand-Scans. Das bedeutet, dass die Antiviren-Software die Inhalte des PCs auf schädliche Dateien scannt, wenn Sie die Anweisung dazu geben.
  3. Geplante Scans. Sie können einen Zeitplan für zukünftige Scans festlegen, für ein bestimmtes Datum, eine bestimmte Uhrzeit oder bei Auftreten einer bestimmten Situation wie etwa einer längeren Stillstandszeit des Computers.

Zusammenfassung

Was Antiviren-Software tun kann:

  • die Inhalte Ihres PCs auf bekannte oder identifizierbare Bedrohungen überprüfen und sie entfernen oder deaktivieren,
  • einzelne Dateien überprüfen, z.B. kürzlich aus dem Internet heruntergeladene, um zu prüfen, ob sie sauber sind,
  • eine bereits infizierte zulässige Datei reparieren,
  • identifizierbare Viren an der Ausbreitung hindern.

Was Antiviren-Software nicht tun kann:

  • Bedrohungen erkennen oder entfernen, die nicht entweder durch Signaturen oder durch Heuristik identifiziert werden können,
  • ein Eindringen ins Netzwerk und den Diebstahl persönlicher Daten als Folge eines Angriffs durch unbekannte Malware verhindern.

Mögliche Nachteile von Antiviren-Software:

  • Unbekannte Bedrohungen können nicht blockiert werden.
  • Der reaktive Ansatz bedeutet eine verzögerte Reaktion bei der Virenabwehr.
  • Es können Interoperabilitäts- oder Stabilitätsprobleme auftreten, wenn auf einem Rechner mehr als ein Antiviren-Programm ausgeführt wird.

Schlussfolgerung

Obwohl dies nur eine kurze Zusammenfassung/Auffrischung dessen war, was Antiviren-Software tun kann und was nicht, steht fest, dass ein Antiviren-Programm ein zwingend notwendiges Element in jeder Computersicherheits-Produktpalette ist. Unser nächster Artikel wird sich mit den Stärken und Schwächen ergänzender Technologien wie der Sandbox-Technologie und der Verhaltensblockierung befassen. Wenn Sie in der Zwischenzeit jedoch Fragen haben, zögern Sie nicht, sie über die Kommentarfunktion der englischsprachigen Website Security Teacher zu stellen.
Lernen Sie den Autor

 

Igor Pankov war schon immer von Computern, dem Internet und der Freiheit fasziniert, sich mit wenigen Mausklicks durch die weltweite Wissensdatenbank zu klicken.
Lesen Sie mehr...

Sicherheitgeschichten
Melden sie sich noch heute an!
Beziehen Sie unsere kostenlosen monatlichen Newsletter:
Agnitum Newsletter (Neuigkeiten)

Geben Sie hier bitte Ihre EMailadresse ein:

RSS feed
Nutzungsbedingungen   Suche   Site map   Kontakt   Datenschutzerklärung   PR-Kontakte   
Outpost Security Suite PRO   Outpost Firewall PRO   Outpost Antivirus PRO   Outpost Network Security
Alle Rechte vorbehalten © 1999–2012 Agnitum Ltd.