Wie Antivirus Software funktioniert

Wenn du einen Windows Computer nutzt, weißt du sicherlich, wie wichtig Antivirus Software ist. Diese leistungsstarken Programme entdecken Viren und führen noch einige weitere wichtige Funktionen auf deinem Computer durch, können aber manchmal schwierig zu beherrschen sein. Wenn du dich jemals gewundert hast, wie genau sie Viren entdecken, was sie auf deinem Computer tun oder ob du von Hand Systemchecks starten solltest um sicherzustellen dass deine Software richtig arbeitet, dann solltest du weiterlesen!

Echtzeit-Scanner

Antivirus Software nutzt Echtzeit scannen (oder Scannen im Hintergrund, Echtzeit-Schutz, usw. je nach Programm das du nutzt), was jede Datei überprüft die du öffnest, um zu prüfen ob sie sicher ist. Deine Software läuft im Hintergrund, und auch wenn es so aussieht als ob jede .EXE Datei sofort ausgeführt wird, überprüft deine Antivirus Software die Datei zuerst und vergleicht sie mit bekannten Viren, Würmern und anderer Malware.

Ergänzend zum scannen der Dateien, die du öffnest, führt deine Antivirus Software auch „Heuristik“ Prüfungen durch – kurz gesagt, sie überprüft deine Programme auf „schlechtes Verhalten“ das auf einen neuen Virus hinweisen könnte, den die Software noch nicht kennt.

Antivirus Programme halten dir auch den Rücken frei, indem sie Dateien überprüfen, die Viren enthalten könnten, wie .zip Archive (welche potentiell komprimierte Viren enthalten könnten) oder Word-Dokumente (die ein schädliches Makro enthalten könnten). Sie werden überprüft wenn du sie herunterlädst und möglicherweise auch, wenn du versuchst sie zu benutzen, das hängt von deiner Software ab.

Auch wenn es möglich ist dein Antivirus Programm ohne Echtzeit-Scanner zu nutzen, empfehlen wir es nicht. Viren, die Sicherheitslücken in Programmen die du täglich im Einsatz hast ausnutzen, würden nicht erkannt werden und wenn ein Virus erst einmal dein System infiziert hat, ist es viel schwerer ihn wieder los zu werden (und noch schwerer sicher zu sein, dass er komplett entfernt wurde).

Komplette System-Überprüfungen

Da die meisten Antivirus Programme Echtzeit-Scanner anbieten, ist es meist nicht nötig eine komplette System-Überprüfung durchzuführen. Im allgemeinen sollte ein Antivirus Programm jeden Virus den du auf deinen Computer lädst direkt erkennen, ohne dass du manuell einen Überprüfung ausführen musst.

Allerdings können komplette System-Überprüfungen trotzdem nützlich sein; sie helfen, wenn du gerade erst ein neues Antivirus Programm installiert hast, indem sie sicher stellen, dass keine Viren inaktiv auf deinem Computer vorhanden sind. Außerdem führen die meisten Programme komplette System-Überprüfungen regelmäßig durch – üblicherweise einmal pro Woche, was sicherstellt, dass die neuesten Virendefinitionen genutzt werden, um deinen Computer auf inaktive Viren zu überprüfen.

Komplette Festplatten-Überprüfungen können auch hilfreich sein, wenn du versuchst einen Computer zu reparieren; wenn dein Computer infiziert ist, kannst du seine Festplatte an einen anderen Computer anschließen um eine komplette System-Überprüfung nach Viren durchzuführen, die hoffentlich das Problem löst. Allgemein gesehen ist es nicht nötig, dass du selbst komplette System-Überprüfungen durchführst, wenn eine Antivirus Software dich schützt; sie überprüft ständig im Hintergrund und führt ihre eigenen System-Überprüfungen durch.

Virendefinitionen

Deine Antivirus Software ist auf Virendefinitionen angewiesen, um Malware zu entdecken, deshalb wird sie automatisch neue, erweiterte Definitionsdateien herunterladen, meistens mindestens einmal pro Tag – manchmal aber auch öfter.

Diese Definitionen enthalten die Signaturen von Viren und anderer Malware, die „in freier Wildbahn“ entdeckt wurden – mit anderen Worten: online. Wenn dein Antivirus Programm eine Datei überprüft und dabei feststellt, dass sie eine bekannte Malware enthält, wird es die Datei davon abhalten zu starten und sie unter „Quarantäne“ stellen. Abhängig von den Einstellungen deines Programms, kann es sein, dass dein Virenschutz automatisch die Datei löscht – oder, wenn du dir sicher bist, dass sie falsch erkannt wurde, kannst du erlauben, dass die Datei normal verwendet wird.

Virenschutz Anbieter bleiben auf dem Laufenden was die aktuellste Malware angeht und erstellen Updates für Definitionen um sicherzustellen, dass ihre Programme auch die neuesten Viren entdecken können. Ihre Forschungsabteilungen nutzen eine Vielzahl an Mitteln um die Viren zu zerlegen, sie in Sandboxen laufen zu lassen und zeitnahe Updates zu erstellen um dich weiterhin abzusichern.

Heuristik

Zusätzlich zu ihren Virendefinitionen nutzen Virenschutz Programme auch Heuristik, welche es ihnen erlaubt neue oder modifizierte Arten an Malware auch ohne Virusdefinitionen zu erkennen. Zum Beispiel kann dein Virenschutz, wenn er feststellt dass ein Programm auf deinem System versucht jede .EXE Datei zu öffnen und sie zu infizieren indem er eine Kopie seines Programms hineinschreibt, dieses Programm als einen neuen, unbekannten Virus erkennen.

Allerdings ist kein Virenschutz perfekt, und Heuristik darf nicht zu aggressiv vorgehen – sonst würde sie ständig harmlose Programme als Viren markieren.

Falsch positive Ergebnisse

Da es eine wirklich riesige Anzahl an unterschiedlichen Dateien und Programmen online gibt, ist es vollkommen im Bereich des Möglichen, dass deine Antivirus Programm gelegentlich eine Datei fälschlicherweise als Virus erkennt, wenn sie in Wirklichkeit vollkommen sicher ist. Dies ist als „falsch positiv“ bekannt und kann auch von den Virenschutz Anbietern selbst verursacht werden, wenn sie Windows Systemdateien, populäre Programme von anderen Anbietern oder sogar ihre eigenen Antivirus Programme als Viren erkennen.

Leider können solche falsch positiven Ergebnisse das System beschädigen und solche Fehler tauchen meist in den Nachrichten – so zum Beispiel als Google Chrome von Microsoft Security Essentials als Virus identifiziert wurde, Sophos sich selbst als Malware erkannt hat oder AVG 64-bit Versionen von Windows 7 beschädigt hat. Auch wenn Heuristik dazu genutzt wird, deinen Schutz zu verbessern, kann sie auch die Rate an falsch positiven Ergebnissen erhöhen; dein Virenschutz könnte erkennen, dass ein Programm sich ähnlich wie ein schädliches verhält und es als Virus identifizieren.

Trotz dieser Tatsache sind falsch positive Ergebnisse allgemein sehr selten im normalen Gebrauch, und du solltest normalerweise deinem Virenschutz glauben, wenn er sagt, dass eine Datei gefährlich ist (außer du bist dir absolut sicher, dass sie es nicht ist). Wenn du dir nicht sicher bist ob eine Datei jetzt tatsächlich ein Virus ist oder nicht, kannst du versuchen, sie bei VirusTotal hochzuladen – was zu Google gehört – und sie dort mit verschiedenen Antivirus Programmen überprüfen lassen, um zu sehen, was die einzelnen Programme sagen.

Erkennungsraten

Verschiedene Antivirus Programme haben verschiedene Erkennungsraten, was sowohl Virendefinitionen als auch Heuristik mit in Betracht zieht. Einige Unternehmen haben effektivere Heuristik und veröffentlichen mehr Updates für Definitionen als ihre Konkurrent, was zu einer insgesamt höheren Erkennungsrate führt.

Es gibt mehrere Organisationen, die regelmäßig Test von Antivirus Programmen im Vergleich miteinander durchführen und ihre Erkennungsraten bei normaler Benutzung beobachten. AV-Comparatives ist eine Seite die regelmäßig Studien veröffentlicht, die die aktuellen Erkennungsraten vergleichen. Erkennungsraten neigen dazu, mit der Zeit zu fluktuieren, daher gibt es nicht das eine, beste Produkt, das immer an der Spitze steht; wenn du wirklich sehen willst, wie effektiv dein Virenschutz genau ist, oder welcher der beste ist, sind Studien zur Erkennungsrate die richtige Anlaufstelle.

Cloud basierte Erkennung

Cloud basierte Erkennung, ein anderer Weg auf dem Virenschutz Software dich schützen kann, identifiziert Malware indem sie Daten von geschützten Computer sammelt und sie auf der Infrastruktur des Anbieters analysiert, statt die Überprüfung lokal durchzuführen. Dies passiert normalerweise indem die relevanten Details der Datei sowie der Kontext ihrer Ausführung gesammelt werden, und diese werden der Cloud-Engine zum Verarbeitung zur Verfügung gestellt, was es dem lokalen Virenschutz erlaubt, nur minimale Verarbeitung durchzuführen.

Außerdem kann die Cloud-Engine des Anbieters Muster, die mit Malware-Eigenschaften und -Verhalten im Zusammenhang stehen, erkennen, indem sie Daten von mehreren System vergleicht, im Gegensatz zu anderen Antivirus Routinen, die ihre Entscheidungen auf vor Ort beobachteten Eigenschaften und Verhalten basieren. Zusammengefasst, eine Cloud basierte Engine erlaubt es einzelnen Nutzern des Virenschutzes, von den Erfahrungen anderer Mitglieder in der Gemeinschaft zu profitieren.

Sandbox Erkennung

Sandbox Erkennung funktioniert ähnlich wie Erkennungsmethoden basierend auf Verhalten. In diesem Erkennungsmodus wird dein Antivirus Programm jedes potentiell gefährliche Programm, das es entdeckt, in einer virtuellen Umgebung ausführen und dabei beobachten, wie es sich verhält, ohne ihm die Möglichkeit zu geben, deinen Computer zu beeinträchtigen. Dadurch kann der Virenschutz erkennen, ob das Programm bösartig ist oder nicht und dementsprechend reagieren.

Daten Mining Techniken

Daten Mining, einer der neuesten Trends in der Entdeckung von Malware, nutzt einige Programmeigenschaften als Hilfsmittel zur Entscheidung ob ein Programm eine Bedrohung ist oder nicht.

Auch wenn die verschiedenen Herangehensweisen unter separaten Überschriften aufgeführt wurden, sind die Grenzen zwischen ihnen oft verwischt; zum Beispiel werden die Begriffe „auf Heuristik basierend“ und „Erkennung durch Verhalten“ oft austauschbar verwendet. Diese Methoden, zusammen mit der Erkennung durch Definitionen, spielen auch eine aktive Rolle, wenn deine Software zusätzlich Cloud basierte Fähigkeiten hat. Um mit dem ständig ansteigenden Strom an Malware mitzuhalten, müssen Anbieter von Virenschutz mehrere Methoden zum Schutz in ihre Produkte einbinden – sich auf eine einzelne Methode zu verlassen ist einfach nicht mehr genug.

Ein Antivirus Programm testen

Wenn du dir nicht sicher bist, ob dein Virenschutz richtig funktioniert und du ihn testen willst, kannst du die EICAR Testdatei nutzen. Dies ist eine Standardmethode um Virenschutzprogramme zu testen; während die Datei nicht wirklich gefährlich ist, verhalten sich Antivirus Programme so als ob und behandeln sie wie einen tatsächlichen Virus. Das hilft dir dabei sicherzustellen ob dein Virenschutz einwandfrei funktioniert, ohne dich dem Risiko auszusetzen, einen aktiven Virus zu benutzen.

Schreiben Anbieter von Virenschutz Viren?

Es gibt eine Verschwörungstheorie, nach der Virenschutzprogramme Viren schreiben – sie ist alt, albern und komplett unbegründet, genau wie die Behauptung, dass Ärzte Krankheiten herstellen oder dass die Polizei Banken ausraubt, um sicherzustellen, dass ihre Jobs sicher sind.

Es gibt Millionen verschiedene Arten von Malware, mit zehntausenden neuen Bedrohungen die täglich entdeckt werden. Wenn die Anbieter von Virenschutz die einzigen wären, die Malware produzieren, gäbe es wesentlich weniger davon – niemand in der Virenschutz Branche würde sich mehr Arbeit machen als nötig! Es sind Kriminelle und Hacker, die Malware und Viren schreiben und verbreiten, und die Angestellten bei Virenschutzanbietern arbeiten lange und hart um sicherzustellen, dass du und dein Computer sicher davor sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.