Antivirenprogramm
Wikipedia
http://de.wikipedia.org/wiki/Hauptseite
MediaWiki 1.6alpha
first-letter
Media
Spezial
Diskussion
Benutzer
Benutzer Diskussion
Wikipedia
Wikipedia Diskussion
Bild
Bild Diskussion
MediaWiki
MediaWiki Diskussion
Vorlage
Vorlage Diskussion
Hilfe
Hilfe Diskussion
Kategorie
Kategorie Diskussion
Portal
Portal Diskussion
Antivirenprogramm
54596
14826702
2006-03-19T17:26:38Z
217.51.61.175
/* Weblinks */
Ein '''Antivirenprogramm''' (auch Virenscanner oder Virenschutz genannt) ist eine [[Software]], die bekannte [[Computervirus|Computerviren]], [[Computerwurm|Computerwürmer]] und [[Trojanisches Pferd (Computerprogramm)|Trojanische Pferde]] aufspürt, blockiert und gegebenenfalls beseitigt.
== Arbeitsweise ==
Um schädliche Software zu erkennen, hat jeder Virenscanner eine Liste mit [[Muster]]n aller ihm bekannten [[Computervirus|Viren]] und anderer schädlicher Software ([[Virensignatur]]en oder auch [[Pattern]] genannt), mit der er die zu überprüfende Software vergleicht. Stimmt eine [[Datei]] oder der Teil einer Datei mit einem Muster aus der Liste überein, werden Schritte zur Neutralisierung und gegebenenfalls zur Reparatur der infizierten Datei sowie zur Beseitigung der schädlichen Software unternommen. Da ständig neue Viren und Würmer im Umlauf sind, müssen die entsprechenden Listen ständig aktualisiert werden. Diese Art der Erkennung wird daher auch als [[reaktiv]] bezeichnet. Erwirbt man ein Antivirenprogramm, so beinhaltet dies meist Aktualisierungen für Virensignaturen für einen bestimmten Zeitrum (ein, zwei oder drei Jahre). Wird ein Virensignatur-basiertes Antivirenprogramm über mehrere Wochen oder gar Monate nicht aktualisiert, ist es faktisch wertlos und kann allenfalls noch einen Grundschutz bieten. Um dies zu verhindern, bieten viele Programme automatische Update-Routinen und entsprechende Hinweise auf zu alte Signaturen oder darauf, dass die Lizenz in Kürze abläuft.
Virenscanner arbeiten meist auf folgende Arten:
=== Echtzeitscanner ===
Der Echtzeitscanner (engl. On-Access Scanner), auch Zugriffsscanner genannt, ist im Hintergrund als [[Systemdienst]] aktiv und scannt alle Dateien, Programme, den [[Arbeitsspeicher]] und evtl. den [[Hypertext Markup Language|HTTP]]- wie den [[File Transfer Protocol|FTP]]-Verkehr. Um dies zu erreichen, werden so genannte [[Gerätetreiber|Filtertreiber]] vom Antivirenprogramm installiert, welche die [[Schnittstelle]] zwischen dem Echtzeitscanner und dem [[Dateisystem]] bereitstellen. Generell muss beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:
# Scannen beim Öffnen von Dateien (Lesevorgang)
# Scannen beim Erstellen / Ändern von Dateien (Schreibvorgang)
Bei einigen Virenscannern lässt sich diese Strategie einstellen, bei anderen ist sie unveränderlich im Programm konfiguriert. Da Schreibvorgänge wesentlich seltener vorkommen als Lesevorgänge, bevorzugen viele [[Benutzer]] diese Einstellung. Sie sorgt dafür, dass die ohnehin zusätzliche Belastung des Computers durch den Echtzeitscanner vermindert wird, und verhindert zugleich, dass sich das Computersystem infiziert.
Allerdings kann der alleinige Einsatz dieser Strategie auf Kosten der Sicherheit gehen. Befindet sich etwa eine virulente Datei auf dem Computer, und wird diese durch den Benutzer ausgeführt, kann sie ungehindert das System bzw. evtl. das Netzwerk infizieren.
Um die Belastung durch den Echtzeitscanner weiter zu verringern, werden oft einige [[Dateiformate]], [[Datenkompression|komprimierte Dateien]] (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt. Daher sollte trotz eines Echtzeitschutzes regelmäßig ein manueller Scan durchgeführt werden. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies sind das Löschen der Datei, das Verschieben in die [[Quarantäne]] oder, wenn möglich, ein Reparaturversuch.
=== Manueller Scanner ===
Der manuelle Scanner (engl. On-Demand Scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer von Hand gestartet werden (On-Demand). Findet ein Scanner dann schädliche Software, gibt es in den meisten Fällen eine Warnung mit Optionen zur Reinigung, Quarantäne oder Löschung der befallenen Dateien. Die möglichen Optionen reichen von einem Löschen der infizierten Datei über einen Reparaturversuch bis hin zur Quarantäne der Datei.
Der Festplattenscan sollte regelmäßig ausgeführt werden. Die meisten Programme bieten dafür bestimmte Assistenten an, die den Rechner z. B. einmal pro Woche durchsuchen.
=== Sonstige Scanner ===
Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner.
Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie in Echtzeit den [[Datenstrom]] und führen bei einer Auffälligkeit eine entsprechende Operation aus, wie etwa das Sperren des Datenverkehrs.
Eine andere Lösung ist der Einsatz von [[Proxy]]software. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt.
== Erfolgswahrscheinlichkeit ==
Aufgrund der ständigen Weiterentwicklung von Malware (Viren, Würmer, Trojaner etc.) und der Unvorhersehbarkeit der eingesetzten Schadlogik (Evil Intelligence) kann praktisch kein Virenscanner vor allen erdenklichen [[Computervirus|Viren]] und [[Computerwurm|Würmer]] schützen.
Virenscanner sollten daher generell nur als Ergänzung zu allgemeinen Vorsichtsmaßnahmen betrachtet bzw. eingesetzt werden. Vorsicht und aufmerksames Handeln sind deshalb für verantwortungsvolle Computernutzer, trotz des Einsatzes eines Virenscanners, unabdingbar.
Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden:
* Reaktiv: Bei dieser Art der Erkennung wird ein Schädling erst erkannt wenn ein entsprechende Signatur seitens des Herstellers der Antivirensoftware zur Verfügung gestellt wurde. Dies ist die klassiche Art von Virenerkennung welche von praktisch jeder Antivirensoftware verwendet wird.
* [[Proaktiv]]: Dies bezeichnet die Erkennung von Viren ohne dass eine entsprechende Signatur zur Verfügung steht. Aufgrund der rapiden Zunahme neuer [[Malware]] ist davon auszugehen, dass die Zukunft der Virenerkennung in dieser Technik liegt. Proaktive Verfahren sind etwa die Heuristik oder die SandBox Technologie.
=== Scanengines ===
Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines Computer oder Netzwerkes auf schadhafte Software [[Malware]] verantwortlich ist. Eine Scanengine ist somit unmittelbar für die Effizienz von Antivirensoftware verantwortlich.
Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig vom Rest eines Virescanners aktualisiert und eingesetzt werden können.
Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizensierte Scanengines anderer AV-Unternehmen einsetzt.
Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten.
Es bleibt daher fragwürdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch bzw. dem Anspruch an System-Performance ab und muss von Fall zu Fall entschieden werden.
=== Heuristik ===
Einige [[Virenscanner]] verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen ([[Heuristik]]), um unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres [[Intrusion Detection System]] (IDS) mit. Die Wichtigkeit dieser, proaktiven, Art der Erkennung nimmt stetig zu, da die Zeiträume mit der neue Viren und Varianten eines Virus auf dem Markt drängen, immer kürzer werden. Für die Antivirenhersteller wird es somit immer aufwendiger und schwieriger alle Schädlinge zeitnah durch eine entsprechende Signatur zu erkennen.
Heuristika sollten nur als Zusatzfunktion des Virenscannerscanners angesehen werden, da die tatsächliche Erkennung noch unbekannter Malware eher gering ist. Der Zugewinn an Sicherheit ist daher minimal.
=== SandBox ===
Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen Antivirenhersteller [[Norman (Software)|Norman]] [[2001]] eine neue Technologie vorgestellt, bei der die Programme in einer gesicherten Umgebung, der [[Sandbox]], ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgeführt und analysiert, welche Aktionen sie ausführt. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines [[Mailserver|Mail]]- oder [[IRC]]-Servers, bereitstellen. Die SandBox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweisen. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die SandBox diese als potenzielle Gefahr. Dabei kann sie folgende Gefährdungen unterscheiden:
* W32/[[Malware]]
* W32/[[Computerwurm|EMailWorm]]
* W32/[[Computerwurm|NetworkWorm]]
* W32/[[Hintertür|BackDoor]]
* W32/[[Computerwurm#P2P-Würmer|P2PWorm]]
* W32/FileInfector
* W32/[[Dialer]]
* W32/Downloader
* W32/[[Spyware]]
Als Ergebnis liefert sie zudem eine Ausgabe wie [http://sandbox.norman.no/live_2.html?logfile=489961 diese]. Sie zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen.
Eine genaue Beschreibung der Technologie findet sich im [http://sandbox.norman.no/pdf/03_sandbox%20whitepaper.pdf Whitepaper]. Um die Fähigkeiten der Sandbox zu testen, wurde die Seite [http://sandbox.norman.no Sandbox Live!] bereitgestellt.
Durch die Technik der [[Sandbox]] konnten nach Tests von [http://www.av-test.org/down/papers/2004-09_vb_2004.zip AV-Test] 39 % noch unbekannter Viren und Würmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein wirklicher Fortschritt in [[proaktiv]]er Erkennung.
== Automatische Aktualisierung ==
Die sogenannte Auto-, Internet, oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle [[Virensignatur|Virensignaturen]] heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, bzw. die Software sucht selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicher zu gehen, dass das Programm wirklich auf dem aktuellen Stand ist. Die Häufigkeit, mit der Updates von den Herstellern bereitgestellt werden, sagt jedoch nichts direkt über die Qualität des Produktes aus. Wichtiger ist, dass bei einer bestehenden Bedrohung möglichst zeitnah eine entsprechende [[Virensignatur|Signatur]] veröffentlicht wird ([[Reaktionsgeschwindigkeit|Reaktionszeit]]).
== Probleme mit Virenscannern ==
Da Virenscanner sehr tief in das System eingreifen haben einige Anwendungen Probleme wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum tragen. Dies betrifft allerdings den manuellen Scanner in gleicher Weise. Um Komplikationen mit diesen Anwendungen zu verhindern erlauben die meisten Virenscanner aber das Führen einer Ausschlussliste in der definiert werden kann welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:
* Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verzögerung. Für einige Applikationen ist diese zu groß und sie erzeugen Fehlermeldungen bzw. Funktionsstörungen. Besonders häufig tritt dieses Verhalten auf, wenn auf Daten über eine Netzwerkfreigabe zugegriffen wird und an diesem entfernten Rechner ebenfalls eine Antivirensoftware läuft.
* Datenbanken (jeglicher Art): Da auf Datenbanken für gewöhnlich ein ständiger Zugriff stattfindet und sie oftmals sehr groß sind, versucht der Echtzeitscanner diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen, ansteigender Systemlast, Beschädigungen der Datenbank bis hin zum völligen Stillstand des jeweiligen Computersystems führen. Das Scannen solcher Datenbanken macht ohnehin keinen Sinn, da Virenscanner die Struktur nicht verstehen können.
* Mailserver: Viele Mailserver speichern E-Mails [[Multipurpose Internet Mail Extensions|MIME]]- oder ähnlich codiert auf der Festplatte ab. Viele Echtzeitscanner können diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser Entfernung nichts wissen kann, "vermisst" er diese Datei was ebenfalls zu Funktionsstörungen führen kann.
== Siehe auch ==
* [[Computersicherheit]]
== Hersteller von Antivirensoftware ==
*[[Avast|Alwil Software (Avast!)]]
*[[Antivir|Avira (ehemals H+BEDV)]]
*[[BitDefender]]
*[[ClamAV]]
*[[Computer Associates]]
*[[CP Secure]]
*[[Dazuko|Eset NOD32]]
*[[F-Secure]]
*[[G DATA Software|G Data]]
*[[Ikarus (Software)|Ikarus]]
*[[Kaspersky]]
*[[McAfee]]
*[[Norman (Software)|Norman]]
*[[Panda Antivirus]]
*[[Trend Micro]]
*[[Sophos]]
*[[Symantec]]
== Online-Virenscanner ==
Online-Virenscanner arbeiten im Gegensatz zu fest installierten Virensannern nur im On-Demand-Modus. D.h. der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Deshalb eignen sich Online-Virenscanner zwar zum Reinigen, nicht aber zum präventiven Schutz eines Systems. Oft werden Online-Virenscanner auch als sog. Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu evtl. Befall einzuholen.
Die meisten Online-Virenscanner basieren auf der [[ActiveX]]-Technologie und sind damit an die Benutzung des Internet Explorers gebunden. Es gibt aber auch Alternativen für den plattformübergreifenden Einsatz, die mit [[Java (Technologie)|Java]] verwirklicht wurden.
Beispiele für Online-Virenscanner:
* [http://www.kaspersky.com/virusscanner Kaspersky Online-Scanner (Viren-, Spyware- und Vulnerability-Scan, ActiveX, Upload)]
* [http://www.trendmicro-europe.com/housecall HouseCall (Viren-, Spyware- und Vulnerability-Scan, plattformübergreifend: Java)]
* [http://www.drweb-online.com/de/virustest.html Dr. Web Virusscan (Upload)]
* [http://www.pandasoftware.com/activescan/de/activescan_principal.htm Panda ActiveScan (Viren-, Spyware- und Vulnerability-Scan, Active-X)]
* [http://support.f-secure.com/enu/home/ols.shtml F-Secure Online Virus Scanner (ActiveX)]
Beispiele für Online-Virenscan-Dienste, bei denen verdächtige Dateien eingesendet oder hochgeladen werden können:
*[http://virusscan.jotti.org/de/ Malwarescan mit 14 verschiedenen Scan-Engines]
*[http://www.virustotal.com/flash/index_en.html VirusTotal (Prüfung mit mehr als 20 verschiedenen Scan-Engines)]
*[http://test-clamav.power-netz.de/ COSS (Prüfung mit ClamAV Scan-Engine)]
*[http://www.kaspersky.com/scanforvirus Kaspersky File Scanner (Prüfung mit Kaspersky Scan-Engine)]
*[http://sandbox.norman.no/ Norman SandBox Live! (SandBox Analyse, Prüfung durch Norman Scan-Engine)]
== Weblinks ==
* [http://www.antivirus-team.de Kostenlose Antivirus-Software,Tools und Infos]
* [http://agn-www.informatik.uni-hamburg.de/vtc/dt1.htm Anti-Virus-Test-Center (Uni Hamburg)]
* [http://www.filepoint.de/download_kategorie/Antivirus_Software Antivirus Software Downloads (filepoint)]
* [http://www.av-test.org/index.php3?lang=de AV-Test GmbH – Tests von Antivirensoftware (Uni Magedeburg)]]
* [http://www.messagelabs.com/Threat_Watch/Threat_Statistics MessageLabs Bedrohungsstatistik (mtl. aktualisierte Statistik von E-Mail Viren)]]
[[Kategorie:Computerviren und -würmer]]
[[bs:Anti-virus program]]
[[da:Antivirus-program]]
[[en:Anti-virus software]]
[[es:Antivirus]]
[[fi:Virustorjunta]]
[[fr:Antivirus]]
[[he:א טי וירוס]]
[[it:Antivirus]]
[[nl:Antivirussoftware]]
[[no:Antivirusprogram]]
[[pl:Program antywirusowy]]
[[pt:Antivírus]]
[[ru:Антивирусная программа]]
[[sk:Antivírusový softvér]]
[[sv:Antivirusprogram]]
[[uk:Антивірус]]
[[zh:杀毒软件]]
Diese Version des Artikels stammt vom 20.03.2006.
Der Inhalt dieser Seite basiert auf dem Artikel
„Antivirenprogramm“ aus der freien Enzyklop�die
Wikipedia und ist unter der
GNU-Lizenz f�r freie Dokumentation ver�ffentlicht. Auf der Wikipedia-Seite ist eine
Liste der Autoren einzusehen.
