Das Antivirus-Lexikon: Was bedeutet eigentlich…

Signatur-Scan: Diese Überprüfungsmethode erkennt Schädlinge anhand charakteristischer Zeichenketten oder Byte-Muster. Auch für modernen Virenschutz ist sie unverzichtbar, weil sie zuverlässig einen Großteil der bekannten Schädlinge wegfiltert. Sie funktioniert allerdings nur bei bekannter Malware und erfordert eine vorherige Analyse der Datei. Mit Tricks wie polymorphen Schädlingen führen Virenschreiber signaturbasierte Scans leicht an der Nase herum.

Heuristik – gerne auch als „proaktive Erkennung“ vermarktet – ist ein Oberbegriff für statische Analysen der Eigenschaften von nicht ausgeführten Programmdateien. Dazu zählen auch Daten über den Programmablauf, wenn sie aus einer simulierten Ausführung etwa in einer Sandbox gewonnen werden. Durch Vergleich mit den Eigenschaften bekannter Malware lassen sich so auch unbekannte Schädlinge erkennen, die dem Signatur-Scan entgehen. Weil es sich um ein unscharfes Verfahren handelt, kommt es unvermeidlich zu Fehlalarmen. Die Kunst besteht darin, die richtige Balance zwischen guter Erkennung und wenig Fehlalarme zu finden.

Behavioural Blocking: Einige Schadprogramme entlarven sich anhand ihres Verhaltens, sobald sie auf dem PC aktiv werden. Der Verhaltenswächter beobachtet die Prozesse und bewertet deren Aktivitäten. Übersteigen die verdächtigen Aktionen einen bestimmten Schwellwert, dann schlägt er Alarm und bietet die Möglichkeit, das Programm zu beenden und eventuell sogar die bisher durchgeführten Aktionen rückgängig zu machen. Gute Verhaltenswächter springen also nicht auf einzelne Aktionen wie etwa eine Änderung der hosts-Datei an, sondern achten auf den Kontext. Trotzdem kann es wie auch bei der Heuristik prinzipbedingt zu Fehlalarmen kommen. Man testet eine Verhaltenserkennung, indem man Schadprogramme ausführt, die dem Signatur-Scan und der Heuristik durch die Lappen gehen.

In-The-Wild-Test: Ein eigentlich veraltetes Testverfahren, das auf einer viel zu kleinen, kaum repräsentativen Auswahl von Schadprogrammen beruht. Traditionell achten die Hersteller darauf, diese auf jeden Fall zu erkennen – schon um das „100-Prozent-Siegel“ der Herausgeber der Schädlingsliste zu erhalten. Für die Praxis ist dieser Test jedoch heute bedeutungslos; bemerkenswert ist allenfalls, wenn ein Hersteller ihn nicht besteht, weil sich dahinter häufig ein Patzer in der Qualitätssicherung verbirgt.

Zoo-Viren: AV-Tester hegen eigene Virenzoos mit Schädlingen, um Scanner auf Herz und Nieren zu prüfen. Darin enthalten sind auch Seltenheiten und unbekannte Schadprogramme. Bei der Erkennung der Zoo-Viren trennt sich die Spreu vom Weizen.

On-Demand heißt, den Virenscanner anzuweisen, etwa einen Ordner oder den gesamten Rechner auf Schadprogramme zu prüfen. On-Demand-Scanner berücksichtigen in der Regel nur bestimmte Dateitypen, untersuchen dafür aber auch Dateien, die in ungenutzten Verzeichnissen vor sich hingammeln. Es empfiehlt sich, Rechner einmal pro Woche per On-Demand-Scan komplett zu überprüfen.

On-Access: Virenscanner sollten nicht nur auf Aufforderung hin aktiv werden, sondern bei jeder potenziell gefährlichen Aktion. Dazu klinkt sich der On-Access-Scanner beispielsweise in die Systemfunktionen zum Lesen und Schreiben von Dateien ein und überprüft die Daten auf dem Weg zwischen Datenträger und Arbeitsspeicher.

Quarantäne: Bevor der Scanner eine nicht reparierbare Datei löscht, sollte er sie ins Quarantäneverzeichnis verschieben, von dem aus sie keinen Schaden mehr anrichten kann. Bei Fehlalarm lässt sich die Datei von dort aus wiederherstellen. Alle modernen Scanner unterstützen diese Funktion.

In The Cloud: Um den Ressourcenverbrauch der Scanner zu verringern und um schneller reagieren zu können, fragen immer mehr AV-Programme bei einem Server des Herstellers nach, ob dort zu einer Datei Erkenntnisse vorliegen. Allerdings können Malware-Autoren die In-The-Cloud-Erkennung sehr leicht vermeiden; oft genügt es schon, ein Bit zu ändern, damit der Server einen Trojaner nicht mehr erkennt.
Außerdem sind Systeme offline schlechter geschützt; selbst zur Reinigung ist oft eine Netzwerkverbindung erforderlich. (ju)