Wie funktioniert ein Virenscanner

Häufig stellen sich Benutzer und unsere Kunden die Frage: Wie funktioniert eigentlich ein Virenscanner?

Weiterhin besteht der Aberglaube, dass ein Virenscanner immer hilft und wenn eine solche Software installiert ist, dass das System 100% sicher sei.

Ein Virenscanner müsste grundsätzlich Schadsoftware- oder Malewarescanner genannt werden, da ein Malewarescanner mehr als nur Viren erkennt. In der breiten Schicht der Bevölkerung wird aber das gebräuchliche Wort „Virenscanner“ verwendete.

Zu Beginn unterteilen wir die Schadsoftware in drei Kategorien:

  • Viren (inkl. Rootkits)
  • Würmer
  • Trojaner

Viren brauchen -wie in der analogen Welt – einen Wirt, deshalb befallen sie auf dem Computer vorhandene Dateien. Würmer dagegen können sich ohne einen solchen Wirt und oft auch ohne das Zutun des Users verbreiten. Trojanische Pferde hingegen verbergen Ihre Aktivität und laufen häufig mit bekannten Namen im Hintergrund, damit Sie nicht auffallen.

Wie können Schadsoftwarescanner Viren erkennen?

Die vier wichtigsten Erkennungsmethoden sind:

  • Signaturbasierte Erkennung,
  • Sandboxing
  • Verhaltensanalyse – heuristische Erkennung

Signaturbasierte Erkennung

Die meisten Malewarescanner arbeiten mit Signaturen. Vergleichbar ist eine Signatur mit einem Phantombild. Passt das Bild überein, so erkennt man den Gesuchten. Genau das ist aber auch eine Schwäche. Trifft das Bild auf keinen passenden Vergleich, so kann der Gesuchte entkommen und sein Unwesen treiben (z.B. Zero-Day-Maleware). Deshalb ist es wichtig, dass die Signaturdatei möglichst häufig aktualisiert wird.

Sandboxing – Sandkasten

Beim Sandboxing wird eine Datei in einem vom Rest des Systems geschützten Bereich ausgeführt, so dass kein Schaden entsteht, wenn sich das Programm als Malware entpuppt. Zu diesem Zweck wird auf dem Computer ein separates System simuliert – die sogenannte Sandbox. Die meisten ähneln der Emulation eines separaten Betriebssystems in einer virtuellen Maschine. Die Technik ist aufwändig und kostet Ressourcen. Ferne kann ein intelligentes Programm erkennen, ob es in einer Sandbox ausgeführt wird und sein Verhalten ändern.

Verhaltensanalyse

Das Schutzprogramm beobachten fortlaufend das Verhalten von ausgeführten Prozessen. Sollten Änderungen merkwürdig sein, so schlägt das Programm Alarm.

Ein großer Nachteil dieses Verfahrens ist, dass das Schadprogramm bereits seine Arbeit verrichtete und evtl. zu spät erkannt wird. Weiterhin sind die Analysealgorithmen der Hersteller bekannt. Sie können nicht alle Fälle abdecken und eine Maleware kann diese ausnutzen.

 

Wie kommt eine Schadsoftware auf meinen Rechner?

Der häufigste Fall ist das Herunterladen infizierter Dateien aus dem Internet, durch E-Mails oder durch Schwachstellen in Programmen  Zum Beispiel hängt Sie sich zunächst unbemerkt an vorhandener Software an. Erst wenn der ahnungslose Benutzer das infizierte Programm startet, bricht das Virus aus und verbreitet sich auf dem Rechner oder verschlüsselt beispielsweise Ihren Daten auf dem Computer (Ransomware).

 

Der Schadsoftwarescanner als Schadsoftware!

Üblicherweise arbeiten Malewarescanner mit hohen Systemrechten und haben auf alle Laufwerke und Systemdateien einen uneingeschränkten Zugriff. Wie bereits im Artikel Updates sind wichtig beschrieben können Programme eine Schwachstelle haben. Der Virenscanner ist davon nicht ausgeschlossen. Sie könnten beispielsweise den Netzwerkverkehr umlenken und beliebige Software installieren. Weiterhin kommt es vor, dass der Virenscanner hohe Systemressourcen benötigt und somit den Rechner träge macht. Besonders im Serverbereich machen wir immer wieder negative Erfahrung beim Einsatz von Schutzprogrammen.

Was tun, wenn ich ein Schadprogramm auf meinem Rechner habe?

Es wird der Tag kommen, an dem Sie feststellen, dass Sie sich einen Virus eingefangen haben. Ein fertiges Konzept gibt es nicht, da es immer von der Schadsoftware abhängt, was getan werden muss.

Aber es gibt Grundregeln.

1; Finden Sie heraus, welche Maleware ihr Unwesen treibt. Booten Sie ggf. den Rechner mit einem anderen System und scannen den Rechner. Nur so kann man am Ende erkennen, welchen Schaden das Programm verursachte und kann gezielt bekämpft werden. Auch die Auswirkung und Reichweite des Schadens muss festgestellt werden.

2; Backups können helfen, wenn das Schadprogramm nicht schon auf dem Backup ist. Spielen Sie das Backup ein und untersuchen Sie den Rechner. Beispielweise auch mit Onlinescannern

3; Wenn Sie sich unsicher sind, trennen Sie den Rechner vom Netzwerk und holen Sie sich professionelle Hilfe. Ändern Sie alle Kennwörter mit einem „reinen“ System.

 

Zero-Day-Exploits (Zero-Day-Maleware)

Zero-Day-Exploits sind Angriffe aus dem Internet, die Software-Schwachstellen ausnutzenfür die es noch keinen Patch oder Fix gibt. Herkömmliche Abwehrmechanismen wie Antivirus-Programme oder Firewall  sind dagegen völlig machtlos.

Wenn die Person, die die Sicherheitslücke entdeckt hat, diese nicht meldet, sondern damit Schaden anrichtet, spricht man von einer Zero-Day-Exploit-Attacke („Zero Day Exploit Attack“, ZETA). Dabei implementiert der Angreifer bösartigen Code auf dem betroffenen System und verbreitet darüber Malware, wie beispielsweise Viren, Trojaner oder Rootkits.

Da die Schwachstelle beim Zero-Day-Exploit nicht bekannt ist, hilft Ihnen Ihr Virenscanner nichts.

Allerdings können auch Sie als Nutzer einige Präventiv-Maßnahmen ergreifen, um das Risiko einer derartigen Attacke zu verringern.

Übertragen Sie Informationen ausschließlich verschlüsselt und halten Sie die Anzahl der Anwendungen auf Ihrem System möglichst gering. Denn praktisch jede Software stellt ein mögliches Einfallstor für Exploits dar. Entfernen Sie sämtliche nicht genutzten Programme von Ihrem Rechner und installieren Sie nur solche, die Sie auch wirklich brauchen. Installieren Sie außerdem immer die aktuellsten Updates und halten Sie Ihr Betriebssystem und die Programme auf dem neuesten Stand.

Fazit!

Ein Malewarescanner hilft die Sicherheit zu verbessern. Er schützt aber nicht 100 prozentig gegen Schadprogramm. Das umsichtige Verhalten eines Benutzers ist unabdingbar. Laden Sie nicht jeden Müll herunter. Meiden Sie dubiose Internetseiten. Um einen guten Schutz zu gewährleisten, sollten virtuelle Betriebssysteme zum Einsatz kommen. Ein Hauptsystem, mit dem Sie arbeiten und ein System mit dem Sie testen, E-Mails lesen und gewisse Dinge ausprobieren. Das virtuelle System kann immer wieder zurückgesetzt werden. Natürlich ist es ein höherer Aufwand. Wer seine Daten aber optimal schützen muss / will, sollte darüber nachdenken. Sie schützen damit ebenso Ihre digitalen Werte.

Post by Digitales Erbe

Comments are closed.