Entfernte Helfer

Inhaltsverzeichnis

Nicht jeder, der eine einzelne Datei oder seine Festplatte einmalig auf Viren untersuchen will, möchte gleich ein ganzes Antiviren-Paket installieren, zumal gute Antiviren-Software in der Regel ihren Preis hat und kostenlos nur begrenzt nutzbar ist. Und auch wer bereits AV-Software nutzt, will vielleicht eine zweite Meinung einholen, weil es beispielsweise für den installierten Virenscanner noch keine neuen Signaturdateien gibt, die Virus xyz erkennen, andere Hersteller solche Signaturen aber schon bereitstellen.

Kostenlose Online-Scanner sind eine praktische Alternative: Sie bieten den Vorteil, dass man sich nicht um aktuelle Virensignaturen kümmern muss. Denn der Scanner verwendet stets eine aktuelle Signaturdatei vom eigenen Server. Im Falle eines neuen Virenausbruchs sind die Scanner erfahrungsgemäß nach spätestens 24 Stunden auf dem neuesten Stand und erkennen den Schädling.

Doch leider haben Online-Virenscanner einen entscheidenden Haken: Besteht der konkrete Verdacht einer Virusinfektion, sollte man sie nicht einsetzen, da durch eine Online-Verbindung nicht nur die Weiterverbreitung des Schädlings ermöglicht wird, sondern dieser womöglich auch noch persönliche Daten nach außen trägt. Oder schlimmer: Wenn sich ein Dialer im System eingenistet hat, findet der Online-Scan womöglich über eine teure 0190-Einwahl statt.

Im Falle eines Infektionsverdachts raten wir zu Offline-Maßnahmen wie dem Booten von einer Knoppicillin-CD mit Virencheck [1]. Wer parallel ein zweites Windows-System installiert hat, kann einen Online-Scan ruhigen Gewissens von dort starten - wichtig ist lediglich, dass ein Online-Scan von einem sauberen System aus stattfindet.

Aber es gibt durchaus Situationen, in denen ein Online-Scanner seine Vorteile ausspielt: Damit kann man Downloads oder Mail-Attachments auf die Schnelle untersuchen oder die vom Nachbar gebrannte CD mit Programmen überprüfen lassen - auch wenn man keinen Virenscanner installiert hat. (Beim Einlegen der CD sollte die Umschalt-Taste gedrückt werden, um einen eventuellen Autostart zu unterbinden).

Grundsätzlich gibt es zwei Arten von Online-Scannern: solche, die nur einzelne Dateien überprüfen (Upload-Service) und solche, die ganze Verzeichnisse, Laufwerke oder den gesamten Rechner überprüfen (Virenscan im Browser).

Einzelne Dateien auf den Server des AV-Herstellers hochladen - das funktioniert mit jedem Browser und wirft keinerlei Probleme auf. Ein richtiger Virenscan im Browser ist dagegen komplizierter: Denn dazu muss der Server - oder ein von ihm geladenes Programm - Dateien auf dem lokalen Rechner öffnen und gegebenenfalls sogar ändern oder löschen können. Die Hersteller realisieren das meist mit ActiveX-Komponenten, deren Ausführung in den Sicherheitseinstellungen des Internet Explorer erlaubt werden muss. Daher funktionieren bis auf eine Ausnahme die Komplett-Scanner auch nur mit dem IE; lediglich Trend Micro bietet ein spezielles Plug-in für Netscape-Nutzer.

Böses ActiveX

ActiveX hat einen ziemlich schlechten Ruf, weil es keinerlei Schutzmechanismen enthält. Ein einmal gestartetes ActiveX-Control darf alles: Dateien lesen oder löschen, Netzwerkverbindungen aufbauen und so weiter. Der Internet Explorer unterscheidet lediglich zwischen signierten und unsignierten ActiveX-Komponenten: Signierte sind mit einem gültigen Zertifikat versehen, sodass der Anwender wenigstens davon ausgehen kann, dass der jeweilige Hersteller diese Komponente offiziell abgesegnet hat. Wer unsignierte ActiveX-Komponenten startet, spielt russisches Roulette mit seinem System, denn jeder kann eine solche Komponente programmieren und auf seinem Webserver hinterlegen. Die in diesem Artikel vorgestellten Scanner verwenden nur zertifizierte ActiveX-Komponenten, sodass man auch nur diese zuzulassen braucht.

Über das Zonenmodell des Internet Explorer kann man ActiveX-Komponenten nur für bestimmte Seiten freischalten. Der c't-Browsercheck erklärt detailliert, wie man die Sicherheitseinstellungen im Zonenmodell vornimmt.

Wir haben uns vier Upload-Dienste und sieben browsergestütze Virenscanner etwas genauer angesehen. Auf einem Testsystem mit einem jungfräulichem Windows XP Home Edition haben wir bekannte Schädlinge wie Klez und Lirva in verschiedenen Varianten hinterlegt. Alle Online-Scanner fanden sämtliche Varianten der Schädlinge.

Wichtig ist bei einem Online-Scanner, welche Optionen er bietet. Neben der Möglichkeit, nur bestimmte Festplatten oder Verzeichnisse zu untersuchen, sollte er gefundene Schädlinge umbenennen, verschieben (Quarantäne) oder löschen können. Idealerweise kann der Scanner eine Reinigung vornehmen, sofern eine Datei mit einem Makro-Virus infiziert ist.

Die Beseitigung von Schädlingen ist schwierig - besonders dann, wenn sie schon aktiv sind. Die meisten Online-Scanner versuchen sich erst gar nicht an solchen Reinigungsarbeiten. Schon Offline-Virenscanner haben damit zum Teil große Probleme. Je nach Schädlingstyp muss der Anwender oft noch von Hand Einträge des Schädlings entfernen und gegebenenfalls infizierte Systemdateien zurücktauschen. Genauere Hinweise zum manuellen Entfernen finden Sie unter [2].

Gegen die prominenten Schädlinge - also die, die sich am häufigsten verbreiten - gibt es so genannte Stand-alone-Removal-Tools. Das sind kleine Programme, die eine sehr kleine Signaturdatei mit den bekanntesten Schädlingen fest integriert haben und auf das Entfernen der unerwünschten Gäste spezialisiert sind. Über unseren Soft-Link finden Sie Links zu diesen Programmen.

Upload-Dienste

Ein Upload-Service zum Überprüfen einzelner Dateien kommt typischerweise zum Einsatz, wenn man ein Programm aus dem Internet heruntergeladen hat, aber der Webseite nicht vertraut. Auch verdächtige Mail-Attachments kann man separat speichern und dann über einen Upload-Service überprüfen.

Bei der Verwendung eines Datei-Scanners sollte man sich im Klaren sein, dass die hochgeladenen Dateien zunächst auf dem Server des AV-Herstellers gespeichert werden. Die Hersteller sichern natürlich Vertraulichkeit zu und geben an, dass die Dateien nur für die Virenstatistik ausgewertet werden. Aber man muss ihnen vertrauen. Alle vier Datei-Scanner arbeiten zudem ohne verschlüsselte Verbindung - die Dateien werden also im Klartext übertragen.

Ikarus, Dr.Web, McAfee und Kaspersky Antivirus bieten simple Scanner für einzelne Dateien. Die Bedienung erklärt sich im Grunde von selbst: Der Anwender kann entweder im Eingabefeld einen Dateinamen (mit Pfad) angeben oder mit den Button „Durchsuchen“ über einen Dialog eine Datei auswählen. Sollte die entsprechende Datei mit einem (bekannten) Schädling infiziert sein, erscheint im Browserfenster die genaue Bezeichnung des ungebetenen Gasts.

Die Online-Scanner von Kaspersky, McAfee und Ikarus unterstützen auch Archiv-Dateien. Dadurch hat man die Möglichkeit, verdächtige Dateien in einem Zip-Archiv zusammenzustellen und gesammelt hochzuladen.

Virenscan im Browser

Trend Micros Housecall ist der einzige Online-Scanner, der auch unter Netscape funktioniert. Nach dem Aufruf der Seite startet ein Java-Applet, das Netscape-Nutzer auffordert, ein spezielles Plug-in herunterzuladen und zu installieren. Im Internet Explorer hingegen findet der Scan wie üblich über eine ActiveX-Komponente statt.

Das Java-Applet erlaubt die bequeme Auswahl der zu untersuchenden Laufwerke und Verzeichnisse - Housecall prüft also auf Wunsch nur Teile des Rechners.

Die Ergebnisse der Untersuchung werden in einem eigenen Fenster dargestellt. Leider schneidet Housecall die Pfade der Fundorte ab - das Fenster kann man nicht vergrößern, sodass die genaue Fundstelle oft nicht zu ermitteln ist.

Housecall kann infizierte Dateien gleich löschen oder versuchen, sie zu säubern. Letzteres klappt nur in Einzelfällen zuverlässig, beispielsweise bei Makro-Viren in Word-Dokumenten, die relativ einfach zu reinigen sind.

McAfee FreeScan lässt sich nicht so ohne weiteres anwerfen: Zunächst muss man sich registrieren, Zugang zum Scanner erhält man erst, nachdem man über eine zugeschickte E-Mail seinen Account verifiziert hat. Beim Aufruf des Scanners muss man sich in Geduld üben: Es dauert einige Minuten, bis die ActiveX-Komponente geladen und initialisiert ist. Browser-Aktivität gibt es dabei nicht; lediglich eine Grafik, die auf den ersten Blick wie ein Werbebanner aussieht, verrät in kleiner Schrift, dass der Download noch läuft.

McAfees Scanner ist leider nicht auf deutsche Windows-Versionen ausgelegt: Man kann lediglich „My Documents“, „Drive C" oder „Windows Files“ auf Viren überprüfen lassen. „My Documents“ wird bei deutschen Windows-Versionen normalerweise nicht verwendet und ist damit nutzlos. „Drive C" meint das C-Laufwerk und „Windows Files“ den Ordner c:\windows. Andere Verzeichnisse oder Festplatten kann FreeScan nicht überprüfen. Optionen zum Löschen oder Verschieben von gefundenen Schädlingen gibt es auch nicht, lediglich einen Verweis auf die kostenpflichtigen Produkte von McAfee. Dass der Scanner in den genannten Verzeichnissen alle platzierten Schädlinge relativ schnell fand, ist dabei nur ein schwacher Trost.

BitDefenders scan online glänzt mit einem reichhaltigen Funktionsarsenal. Nach dem Laden des ActiveX-Controls kann der Anwender durch Anklicken von Checkboxen bestimmen, ob Boot-Sektor, Archiv-Dateien, E-Mails oder der Speicher geprüft werden sollen. BitDefender unterstützt das Prüfen einzelner Verzeichnisse oder aller Festplatten.

Bei jedem Schädlingsfund hat der Anwender die Option, die Datei zu löschen, umzubenennen, zu ignorieren oder in einen gesonderten Ordner zu stellen. Bei Makro-Viren kann eine Desinfektion versucht werden.

Einziges Manko ist der langwierige Scan: weit über 20 Minuten brauchte BitDefender, um unser Testsystem zu untersuchen und ist damit vergleichsweise träge - andere Scanner waren rund doppelt so schnell. Da ein Komplett-Scan aber ohnehin nicht oft stattfinden muss, ist dieses Manko zu verschmerzen.

Auch Panda Antivirus hat seinem Online-Scanner Active Scan eine Menge Funktionen spendiert: Neben einer detaillierten Auswahl der zu untersuchenden Festplatten oder Verzeichnisse kann Panda ActiveScan auch E-Mails und komprimierte Dateien scannen. Außerdem versucht der Scanner auf Wunsch, infizierte Dateien zu reinigen und trojanische Pferde (Backdoors) vom Rechner zu entfernen. Die Oberfläche von ActiveScan wirkt übersichtlich und lässt sich intuitiv bedienen.

Erfreulich schnell arbeitet der Command on Demand von Command Antivirus; kein anderer Online-Scanner klapperte die Platten unseres Testsystems so schnell ab. Über ein Auswahlfeld können zu untersuchende Festplatten oder Verzeichnisse ausgewählt werden. Auf Wunsch prüft der Scanner auch Archiv-Dateien, mehr Optionen bietet er allerdings nicht.

Falls Command on Demand Schädlinge findet, blendet er ein ziemlich übertrieben wirkendes Warnfenster ein. Der Klick auf „Desinfection Options“ bringt den Anwender aber dann nur zum Online-Shop, wo er Command Antivirus bestellen und kaufen kann.

Der Online-Virencheck von Symantec ist an Einfachheit kaum zu überbieten: Nach dem Laden der Seite beginnt mit „Start Scan“ die Untersuchung des Rechners. Der Online-Scanner durchsucht alle Festplatten nach Schädlingen, der Anwender hat keinerlei Einfluss darauf und kann auch keine Optionen einstellen. Eine Möglichkeit zum Entfernen oder Umbenennen/Verschieben der gefundenen Schädlinge gibt es nicht, lediglich die Statistiken aller Online-Checks kann der Nutzer einsehen. Symantec verweist zur Behebung der Probleme auf seine kostenpflichtigen Produkte.

Wie lange der Online-Scan von RAV Antivirus noch zur Verfügung steht, ist momentan unklar: Microsoft hat kürzlich GeCAD Software und damit das Label RAV Antivirus aufgekauft (siehe c't 14/03 S. 47).

Es wäre bedauerlich, wenn der RAV-Scanner vom Netz genommen würde, denn auch er erwies sich in der Erprobung als sehr nützlich: Neben der Möglichkeit, den gesamten Rechner oder einzelne Verzeichnisse zu scannen, gibt es eine „Autoclean“ Funktion, die versucht, Makro-Viren zu entfernen. Zudem kann der Online-Scanner von RAV in gespeicherten E-Mails nach Schädlingen suchen.

Fazit

Zwar kann ein Online-Virenscanner eine richtige Antivirus-Software nicht ersetzen - schon, weil ein On-Access-Scanner fehlt. Für den problemlosen Soforttest sind sie jedoch genau das Richtige: Nach wenigen Mausklicks hat man einen eindeutigen Befund.

Die Upload-Dienste unterscheiden sich kaum: Um eine bestimmte Datei auf Schädlinge zu untersuchen, können wir alle vier Anbieter gleichermaßen empfehlen. Kaspersky, McAfee und Ikarus bieten den Vorteil, dass man auch Zip-Archive untersuchen lassen kann.

Bei den browsergestützten Virenscannern bieten RAV, BitDefender und Panda die meisten Optionen. Des Weiteren können sie infizierte Dateien auch gleich löschen, umbenennen oder gegebenenfalls auch säubern.

Einen Vorwurf kann man den AV-Firmen jedoch nicht ersparen: Generell gilt es bei sicherheitsbewussten Internet-Nutzern als gute Praxis, ActiveX im Browser ganz abzustellen und allenfalls für ausgewählte Webseiten zu gestatten. Dass ausgerechnet Firmen aus dem Sicherheitsbereich ganz selbstverständlich voraussetzen, dass man ActiveX aktiviert hat, hinterlässt einen Beigeschmack. Wohl gemerkt: Ob man von einer Seite ein Programm herunterlädt und ausführt oder die Ausführung eines ActiveX-Controls von dieser Seite gestattet, macht keinen grundsätzlichen Unterschied. Von daher ist der Einsatz von ActiveX durchaus legitim. Aber wenigstens ein paar Hinweise zu den damit verbundenen Risiken und Tipps zum sinnvollen Umgang mit ActiveX kann man von Firmen, die mit Sicherheit ihr Geld verdienen, durchaus erwarten.

Literatur

[1] Dr. Oliver Diedrich: Knoppicillin, Die Antiviren-Boot-CD, c't 9/03, S. 210

[2] Jo Bager, Axel Vahldiek: Ausmisten, Windows von Eindringlingen befreien, c't 9/03, S. 124

ct.de/0314140

Online-Scanner
Anbieter	Scan-Typ	URL
BitDefender	komplett	www.bitdefender.com/scan/index.html
Command Antivirus	komplett	www.commandondemand.com
Dr.Web	Datei	www.virustest.de/virus
Ikarus	Datei	www.ikarus-software.at
Kaspersky	Datei	www.kaspersky.com/remoteviruschk.html
McAfee	komplett	www.mcafee.com/myapps/mfs/default.asp
McAfee	Datei	www.webimmune.net/default.asp
Panda	komplett	www.pandasoftware.com/activescan/de/activescan_principal.htm
RAV	komplett	www.ravantivirus.com/scan/
Symantec	komplett	http://security2.norton.com/ssc
Trend Micro	komplett	www.trendmicro.com/en/home/global/personal.htm

(pab)