Rückkehr der Virenjäger

Seit dem letzten Test haben vier große Hersteller neue Versionen ihrer Virenscanner auf den Markt gebracht: AVG AntiVirus 8.5, Avira AntiVir Premium 9, G-Data AntiVirus 2010 und Eset NOD32 Antivirus 4.0. Zusätzlich steht ein Neuling auf dem Prüfstand: Vipre Antivirus + Antispyware von Sunbelt. Er ist erst seit Ende April auf Deutsch erhältlich. Das neue Norton 360 nutzt die Engine des bereits getesteten Norton AntiVirus 2009; wir haben es daher separat unter die Lupe genommen (siehe c't 12/2009, S. 63).

Wieder einmal lautet das Werbeversprechen der Hersteller: noch besserer und vor allem schnellerer Schutz. In Zusammenarbeit mit den Antivirus-Spezialisten von AV-Test haben wir den Produkten in Sachen Erkennungsleistung und Scan-Geschwindigkeit auf den Zahn gefühlt. Die Scanner von G Data und Sunbelt integrieren eine Verhaltenserkennung; bei AVG kostet diese Funktion extra. Wenn Signaturen und Heuristik versagen, sind verhaltensbasierte Analysen die letzte Verteidigungslinie; daher haben wir sie auch bei AVG mitgetestet.

Rein von der Technik her unterscheiden sich die Produkte der Spitzengruppe nur noch wenig. Die meisten AV-Hersteller haben jahrelange Erfahrung und dadurch genügend Zeit gehabt, ihre Techniken zu optimieren. Deshalb haben wir diesmal zusätzlich auf die Anwenderfreundlichkeit geachtet. Denn was nützt die beste Engine, wenn die Rückmeldungen entweder zu karg ausfallen oder den Anwender völlig überfordern?

Einige Antivirenprodukte scheinen den Nutzer eher einschüchtern zu wollen, als ihn effektiv zu schützen und zu beraten. Wenn die Standardeinstellungen zu sehr nerven und die Konfigurationsmöglichkeiten zu obskur sind, besteht insbesondere bei unbedarften Anwendern die Gefahr, dass sie ihren Scanner genervt teilweise oder komplett lahmlegen.

Wir berücksichtigten sowohl, wie die Scanner auf direkte Bedrohungen aus dem Web reagieren, als auch wie sie auf der Festplatte liegende Malware handhaben. Einige der Testkandidaten verfrachten verdächtige Dateien ohne Federlesens direkt in die Quarantäne. Andere fragen jedes Mal, wie sie die Bedrohung handhaben sollen. Übereifrige Scanner lassen sich durchaus zahm konfigurieren, doch dazu muss man erst einmal die richtigen Schalter finden. Um den gestiegenen Ansprüchen Rechnung zu tragen, haben wir die Bewertungskategorie „Bedienung“ der vorangegangenen Tests in „Anwenderfreundlichkeit“ umbenannt. Die Tabelle in c't 12/2009 auf S. 84 enthält eine Übersicht der Ergebnisse aus vergangenen Tests.

Gefahr aus dem Netz

Immer noch ist die Überwachung von Dateien auf dem Rechner die wichtigste Funktion jedes Virenschutzes. Angesichts der Verlagerung von Arbeit und Programmen ins Internet wird jedoch das Sichern des Netzwerkverkehrs immer wichtiger. Um Browser und Mailer zu schützen, muss man allerdings nicht unbedingt zur Internet Security Suite greifen. Alle Produkte im Test enthalten einen E-Mail-Scanner, nur Vipre verzichtet auf einen Web-Filter.

Da der Browser heute zu den bevorzugten Einfallstoren für Schadprogramme zählt, haben wir mit dem Internet Explorer und Firefox Testseiten mit Exploits angesurft und das Verhalten der Scanner beobachtet. Da die ausgenutzten Schwachstellen schon lange bekannt sind, dürfte ein moderner Scanner bei der Erkennung keine Probleme haben. Ließ sich ein Scanner durch eingeschleuste Null-Bytes oder eine ungewöhnliche Kodierung wie UTF-32 an der Nase herumführen, gab es Punktabzug.

Drei der Produkte nutzen das Internet für Rückmeldungen an die Hersteller. Bei G Data heißt diese Funktion „Malware Information Initiative“, Eset nennt sie „ThreatSense.Net“ und Sunbelt „Threat Community“. Schlägt die Heuristik oder der Verhaltensscanner bei einer unbekannten Datei Alarm, wird diese nach einer Rückfrage zur tieferen Analyse auf den Seziertisch des Hersteller geschickt. Prinzipiell ist das eine gute Idee, schließlich gelangen auf diesem Weg neue Viren und Würmer schneller in die AV-Labors. Anwender mit Datenschutzbedenken können die Funktion deaktivieren.

Den vollständigen Artikel finden Sie in c't 12/2009.

---

"Verschärfte Gegenwehr"

Artikel zum Thema "Verschärfte Gegenwehr" finden Sie in der c't 12/2009:
Antivirensoftware im Test	S. 78
Tipps für sicheres Arbeiten mit Windows	S. 86

Mehr Infos

Was bedeutet eigentlich …

Signatur-Scan: Diese Überprüfungsmethode erkennt Schädlinge anhand charakteristischer Zeichenketten oder Byte-Muster. Für einen modernen Virenschutz ist sie unverzichtbar. Sie funktioniert allerdings nur bei bekannter Malware und erfordert eine vorherige Analyse durch Antivirus-Experten. Mit Tricks wie polymorphen Schädlingen führen Virenschreiber signaturbasierte Scans leicht an der Nase herum.

Heuristik – gerne auch als „proaktive Erkennung“ vermarktet – ist ein Oberbegriff für statistische Analysen der Eigenschaften von nicht ausgeführten Programmdateien. Dazu zählen auch Daten über den Programmablauf, wenn sie aus einer simulierten Ausführung etwa in einer Sandbox gewonnen werden. Durch Vergleich mit den Eigenschaften bekannter Malware lassen sich so auch unbekannte Schädlinge erkennen, die dem Signatur-Scan entgehen. Weil es sich um ein unscharfes Verfahren handelt, kommt es unvermeidlich zu Fehl-alarmen. Eine Heuristik lässt sich testen, indem man die Scanner mit veralteten Signaturen auf neue Malware loslässt.

Behaviour Blocking: Einige Schadprogramme entlarven sich anhand ihres Verhaltens erst, sobald sie auf dem PC aktiv sind – sie könnten beispielsweise bestimmte Aktionen des Nutzers oder eine Netzwerkverbindung zu ihrem Kontrollserver abwarten, wozu es in einer Sandbox nicht kommt. Wie ein Heuristik-Scanner kommt auch Behaviour Blocking ohne klassische Signaturen aus und kann dadurch auch unbekannte Malware erkennen und gegebenenfalls lahmlegen. Man testet eine Verhaltenserkennung, indem man Schadprogramme ausführt, die dem Signatur-Scan und der Heuristik durch die Lappen gehen.

In-The-Wild-Test: Ein eigentlich veraltetes Testverfahren, das auf einer viel zu kleinen, kaum repräsentativen Auswahl von Schadprogrammen beruht. Traditionell achten die Hersteller darauf, diese auf jeden Fall zu erkennen – schon um das „100-Prozent-Siegel“ der Herausgeber der Schädlingsliste zu erhalten. Für die Praxis ist dieser Test jedoch heute bedeutungslos; bemerkenswert ist allenfalls, wenn ein Hersteller ihn nicht besteht, weil sich dahinter häufig ein Patzer in der Qualitätssicherung verbirgt.

Zoo-Viren: AV-Tester hegen eigene Virenzoos mit Schädlingen, um Scanner auf Herz und Nieren zu prüfen. Darin enthalten sind auch Seltenheiten und unbekannte Schadprogramme. Bei der Erkennung der Zoo-Viren trennt sich die Spreu vom Weizen.

On-Demand heißt, den Virenscanner anzuweisen, etwa einen Ordner oder den gesamten Rechner auf Schadprogramme zu prüfen. On-Demand-Scanner berücksichtigen in der Regel nur bestimmte Dateitypen, untersuchen dafür aber auch Dateien, die in ungenutzten Verzeichnissen vor sich hin gammeln. Es empfiehlt sich, Rechner einmal pro Woche per On-Demand-Scan komplett zu überprüfen.

On-Access: Virenscanner sollten nicht nur auf Aufforderung hin aktiv werden, sondern bei jeder potenziell gefährlichen Aktion. Dazu klinkt sich der On-Access-Scanner beispielsweise in die Systemfunktionen zum Lesen und Schreiben von Dateien ein und überprüft die Daten auf dem Weg zwischen Datenträger und Arbeitsspeicher.

Quarantäne: Bevor der Scanner eine nicht reparierbare Datei löscht, sollte er sie ins Quarantäneverzeichnis verschieben, von dem aus sie keinen Schaden mehr anrichten kann. Bei Fehlalarm lässt sich die Datei von dort aus wiederherstellen. Alle modernen Scanner unterstützen diese Funktion.

In The Cloud: Um den Ressourcenverbrauch der Scanner zu verringern und um schneller reagieren zu können, fragen immer mehr AV-Programme bei einem Server des Herstellers nach, ob dort zu einer Datei Erkenntnisse vorliegen. Allerdings können Malware-Autoren die In-The-Cloud-Erkennung sehr leicht vermeiden; oft genügt es schon, ein Bit zu ändern, damit der Server einen Trojaner nicht mehr erkennt. Außerdem sind Systeme offline schlechter geschützt; selbst zur Reinigung ist oft eine Netzwerkverbindung erforderlich.

(cr)