"Virenspezifische" Antivirensoftware

Von den Teilnehmern der Newsgroup alt.comp.virus.
(Diese Sicherheitsseiten sind das Ergebnis einer andauernden Kooperation.)

Verfügbare Übersetzungen: in English und en Français

Anti-Virus Main Menu
Main Menu
"Virenspezifische" Antivirenprodukte - Häufige Fragen - Mit Antworten
  von Andrew J Lee  (AVIEN Gründungsmitglied   http://avien.net | gladius@gladius.f9.co.uk)
  und Frederic Bonroy
  1. Übersicht
  2. "On Access" Scanner
  3. "On Demand" Scanner
  4. Heuristik

  1. Übersicht

    Antivirenscanner sind von natur aus reaktiv.

    "Was, moment mal? Ich verstehe schon nichts mehr!"

    Ok, was ich meine ist, daß Scanner nicht nach einem Virus suchen können wenn sie nicht wissen daß dieses Virus existiert.
    (Nun, einige können das bis zu einem gewissen Punkt, aber darauf gehe ich später ein bevor ich Sie verwirre!)
    Das bedeutet, daß ein Scanner nicht nach neuen Viren suchen wird, es sei denn Sie teilen ihm die Existenz der neuen Viren mit.

    "Also soll das heißen, daß ich nicht vollkommen sicher bin obwohl ich ein Antivirenprogramm besitze?"

    Ja, genau das heißt es. Es gibt zur Zeit keinen einzigen Virenscanner, der immer 100% aller Viren finden wird. Selbst die besten Scanner, deren Hersteller nur wenige Stunden nach dem Auftauchen neuer Viren Aktualisierungen zur Verfügung stellen, benötigen diese Aktualisierungen um die neuen Viren zu sehen.

    "Aber die Verpackung von Dingsbums 4.9 sagt, daß es alle bekannten und unbekannten Viren aufspürt."

    Jawoll, und ich wette sie sagt auch, daß es über 50.000 verschiedenen Viren kennt. Willkommen in der Welt des Marketing. Antivirenprodukte verkaufen sich zum Großteil aus Angst. Der Gedanke daran, was Ihnen widerfahren könnte falls Dingsbums 4.9 nicht auf ihrem Computer aktiv ist wenn das gefürchtete "Killervirus" zuschlägt. Die Wahrheit ist, daß wenn ein neues Virus oder ein neuer Wurm losgelassen wird und beginnt sich zu verbreiten, Hersteller von Antivirensoftware ihre Entdeckungsroutinen aktualisieren müssen, und Sie dann Ihre. Das ist der Grund weshalb auf dieser Seite so oft "Safe Hex" erwähnt wird, denn in Wahrheit gibt es keinen Ersatz für gesunden Menschenverstand und vernünftige Verhaltensweise am Computer. Sie könne alle Scanner der Welt laufen lassen wenn Sie möchten, aber das wird Sie nicht davon abhalten infiziert zu werden wenn Sie dem Drang nachgeben auf diese Datei zu klicken, die Ihnen Ihr Kumpel geschickt hat.

    "Also sollte ich vielleicht keinen Virenscanner kaufen?"

    Nein, das will ich damit eigentlich nicht sagen. Virenscanner sind sehr nützlich; wenn sie einmal ein Virus kennen, können sie es davon abhalten Ihren Computer zu infizieren wenn Ihnen einmal ein Unglück passieren sollte. Sie können Ihren Computer säubern, sollten Sie einmal vergessen haben, die "Safe Hex" Regeln zu befolgen. Sie können Ihnen sagen welches Virus Sie haben, wenn Sie das wissen müssen. Sie können Ihnen helfen zu vermeiden andere Leute anzustecken. Als Teil einer umfassenden Sicherheitsstrategie sind sie eigentlich recht nützlich, aber Sie sollten sich ihrer Grenzen bewußt sein.

    Wenn Sie Ihren Scanner nicht aktualisieren, inklusive neuer Versionen des Hauptprogramms, dann mindern Sie seinen Wert beträchtlich. Wenn Sie ihn aktualisieren und vernünftig benutzen und dem Drang widerstehen auf Dateien zu klicken, die solche Wonnen wie fleischliche Zusammenkunft zwischen Hunden oder nackte Berühmtheiten versprechen, dann werden sie Ihnen treu dienen.

    "Also, was ist ein Virenscanner?"

    Nun, es gibt mehr als nur eine Antwort, was nicht weiter erstaunlich ist. Ich habe die Beschreibungen der beiden Hauptklassen in Abschnitte unterteilt und der dritte Abschnitt behandelt einen bestimmten Typen einer Scan-Komponente, die Teil einiger in den ersten beiden Abschnitten behandelter Scanner sein kann.

    [Zurück zum Anfang]
     

  2. "On-Access" Scanner

    "Kann ich zwei Virenscanner gleichzeitig laufen lassen?"

    Es gibt zwei Arten von Antivirenprogrammen. Solche, die Sie explizit aufrufen (sogenannte "on-demand" Scanner) und solche die fortwährend im Hintergrund arbeiten (sogenannte "on-access" Scanner).

    Sie sollten niemals zwei "on-access" Scanner gleichzeitig Ihr System überwachen lassen. Statt mehr Schutz zu bieten, wird die Kombination von zwei oder mehr solcher Scanner Ihr System seltsam agieren lassen oder gar zum Absturz bringen weil die Scanner sich gegenseitig auf die Füße treten.

    Auch wird ein einzelner Hintergrundscanner einige der Systemressourcen des Computers verbrauchen; der zusätzliche Schutz den der zweite Scanner bietet ist die zusätzlich verbrauchten Ressourcen (und den zusätzlichen Ärger wie bereits erwähnt) nicht wert.

    Jedoch können Sie soviele "on-demand" Scanner installieren wie Sie möchten. Da sie nicht gleichzeitig laufen, werden sie sich nicht stören und zwei Scanner finden mehr Viren als einer. Achten Sie darauf, Ihren "on-access" Scanner auszuschalten bevor Sie einen "on-demand" Scanner laufen lassen.

    "On-Access" Scanner (manchmal speicherresidente Scanner genannt), wie der Namen schon sagt, laufen fortwährend im Hintergrund solange der Computer eingeschaltet ist. Normalerweise deutet ein kleines Bildchen in der Taskleiste auf die Anwesenheit eines solchen Programm hin. Die Hauptaufgabe eines "on-access" Scanner ist, jegliche Aktivität auf Ihrem Computer zu überwachen, wie das Lesen von Dateien, der Anweisungsfluß, Downloads aus dem Internet, das Erhalten, Versenden und Lesen von email und so weiter.

    Im Grunde beobachten sie was vor sich geht und wenn sie etwas sehen von dem sie denken, daß es ein Virus ist, so werden sie es Ihnen mitteilen.

    Wenn Sie in einer ziemlich großen Firma arbeiten, dann haben Sie vielleicht schon einmal gemerkt daß es gängige Praxis ist, auf allen Computern konstant einen Virenscanner laufen zu lassen. Das ist der "on-access" Scanner. Sie müssen genau wie alle Scanner aktualisiert werden, aber sie können gewöhnlich so eingestellt werden, daß sie es automatisch tun wenn Sie über ein Netzwerk oder einen Internetanschluß verfügen.

    "So, das ist eine tolle Idee, ich besorge mir schnell so einen!"

    Ja, sie können eine gute Idee sein, aber denken wir etwas weiter bevor wir hinausstürzen um eine Kopie von Dingsbums aus dem Kaufhausregal zu packen.

    Alles was im Hintergrund jede gelesene Datei sowie jeden Vorgang auf Ihrem Computer überwacht, wird das System wahrscheinlich etwas verlangsamen. Sie werden vielleicht feststellen, daß einige Scanner begabter sind als andere wenn es darum geht Ihr System zu verstümmeln, aber es wird immer eine gewisse Wirkung haben. Wenn Sie konstant im Internet arbeiten, email nutzen, an Chaträumen (IRC) oder Newsgroups teilnehmen, dann könnte es eine gute Idee sein einen "on-access" Scanner zu haben. Wenn Sie jedoch strikt "safe hex" anwenden, das Internet nicht so intensiv nutzen, ein anständiges email-Programm nutzen, das nicht einfach Code ausführt, dann brauchen Sie einen solchen Scanner wahrscheinlich nicht die ganze Zeit über.

    Persönlich mag ich es wenn Quake mit voller Geschwindigkeit läuft, so daß ich meinen Scanner ausschalte wenn ich spiele, aber die meiste Zeit über stört er mich nicht so daß ich ihn laufen lasse.

    [Zurück zum Anfang]
     

  3. "On Demand" Scanner

    "On Demand" Scanner, wie ihr Name schon sagt (das ist toll, diese Dinger wurden nach dem benannt was sie tun, das ist einmal etwas anderes in dieser seltsamen Welt der Computer) sind Scanner, die nur dann laufen wenn Sie es ihnen befehlen. Ich denke, daß sie weiterhin in DOS-Scanner - die im puren DOS-Modus laufen können -und Windows-Scanner - die unter Windows ausgeführt werden müssen - unterteilt werden können. Eine der beiden Kategorieren, die DOS-Version, oder eine Version die sowohl unter DOS als auch unter Windows funktioniert, ist normalerweise die bessere Alternative.

    "Wieso denn das, und ist DOS nicht ein bißchen alt?"

    Nun, wenn Windows läuft, dann sind einige Dateien "verriegelt", das heißt sie werden vom System benutzt, und wenn eine davon von einem Virus infiziert wird, dann wird ein Windows Scanner nicht in der Lage sein sie zu säubern oder zu löschen. Alle Versionen (außer NT/2000) basieren auf dem gleichen Code, DOS.

    Ja, das stimmt, trotz des ganzen Schnörkels ist es im Grunde das gleiche Biest, das die ganzen Jahre dagewesen ist. DOS - was für "Disk Operating System" steht falls es Sie interessiert - verriegelt keine Dateien wenn es läuft, so daß das Starten des Computers im DOS-Modus und die Ausführung eines "on-demand" Scanners Ihnen ermöglicht jegliche Datei zu säubern oder zu löschen. (Auf diesem Server befinden sich Anweisungen die Ihnen dabei helfen, eine solche Diskette zu erstellen.)

    "Was, jegliche Datei?"

    Ganz recht, jegliche Datei, also passen Sie auf!

    Einen "on-demand" Scanner zu besitzen ist eine gute Idee. Im Grunde besitze ich einige, weil ich es kann. Für gewöhnlich können sowohl die Windows- als auch die DOS-Versionen so konfiguriert werden, daß sie alle Dateien auf allen Laufwerken überprüfen, oder auch nur ein Laufwerk oder einzelne Ordner oder Dateien. Dies ist nützlich wenn Sie befürchten, daß eine bestimmte Datei infiziert ist. Oft, aber nicht immer, nutzen sie den gleichen "Motor" und Virendefinitionen wie der "on-access" Scanner falls einer beiliegt, so daß die Entdeckungsraten dem Datum der letzten Aktualisierung entsprechen werden. Nutzen Sie sie um Disketten oder CDs zu überprüfen bevor Sie sie an Kollegen oder Freunde weitergeben. (Vetrauen Sie mir, sie werden Ihnen für Viren nicht danken!) Nutzen Sie sie um email-Dateianhänge zu überprüfen, oder Dateien die Sie aus dem Internet runterladen, oder was auch immer Sie möchten. Es gibt einige Schwierigkeiten wenn Sie Windows NT/2000 mit dem NTFS Dateisystem nutzen und Sie einen DOS-Scanner nutzen möchten, aber Sie sollten in der Lage sein mit Erfolg einen "on-demand" Scanner zu nutzen, der für diese Windows-Versionen geschaffen wurde.

    [Zurück zum Anfang]
     

  4. Heuristik

    "Heuristik, was ist das? Es klingt wie eine furchterregende Krankheit!"

    Keine Angst, ich werde es Ihnen verraten.

    Heuristische Entdeckung von Viren ist ein ausgefallener Ausdruck dafür, daß der Scanner sagt "Ich rate, daß dies ein Virus ist".
    Wie das intern abläuft würde den Rahmen dieses Artikels sprengen, also werde ich auf einem einfachen Niveau erläutern was geschieht.

    Die Heuristik arbeitet nach dem Prinzip, daß Viren normalerweise bestimmte "Tricks" oder Infektionsmethoden verwenden, und wenn ein Programm danach aussieht als benutze es solche Tricks, dann besteht die Möglichkeit, daß dieses Programm ein Virus ist.

    Klingt das einfach? Nein, nicht wirklich, in der Tat ist es unglaublich schwer einen betriebssicheren 100% effektiven "Heuristikmotor" zu entwerfen ("Motor" ist, vereinfach dargestellt, ein Wort das wir benutzen um das zu beschreiben, was die Virensuchroutine antreibt und Dateien mit der Datenbank bekannter Viren vergleicht.) Aggressivere heuristische Scanner können eine Vielzahl an Fehlalarmen produzieren, also Dateien melden die eigentlich vollkommen unschuldig sind aber so aussehen als könnten sie andere Dateien verändern; weniger aggressive Scanner können dagegen Dateien übersehen die wirklich Viren enthalten. In Wirklichkeit funktioniert Heuristik recht gut für einige Virentype wie Macroviren, aber nicht so gut für andere Typen. Heuristik ist jedoch ein vernünftiger Versuch, Schutz vor noch unbekannten Viren zu bieten. Nun verstehen Sie meinen Kommentar zu Anfang dieses Artikels! In der Praxis bietet die Heuristik etwas mehr Schutz als normale Prüfverfahren, aber sie ist auf keinen Fall fehlerfrei.

    [Zurück zum Anfang]
     
      © Andrew J Lee 2001

© Claymania Creations 2001 - 2008. Alle zutreffenden Rechte vorbehalten.

Aktualisierung: 21. März 2001