Wacklige Abwehr - Antivirenprogramme mit Sicherheitslücken

Rechtzeitig zum Test erreichten uns neue Versionen von Avira AntiVir, AVG, BitDefender, F-Secure, G Data, Kaspersky, NOD32, Norton, Panda und Windows Live One-Care. Die Hersteller bieten einiges an neuer Technik auf, um der verschärften Gefahrenlage Herr zu werden: Erweiterte Heuristik mit virtuellen Laufzeit-Scans, Behaviour Based Blocking, In-The-Cloud-Erkennung über schwarze und weiße Listen und vieles mehr. Um den Produkten gerecht zu werden, haben wir unser Testkonzept in Zusammenarbeit mit dem Antiviren-Testlabor AV-Test ebenfalls überarbeitet.

Antiviren-Software arbeitet auf zwei Ebenen. Ein On-Demand-Scanner überprüft regelmäßig oder auf Anweisung hin einzelne Dateien, Ordner oder das gesamte System. Während der normalen Arbeit überwacht im Hintergrund ein On-Access-Wächter alle Zugriffe auf Ressourcen und blockiert Zugriffe etwa auf bösartige Dateien oder Webseiten.

Die einfachsten Tests der AV-Programme suchen an bestimmten Positionen in einem Programm nach charakteristischen Zeichenketten. Diese sogenannten Signaturen stellen eine Art Fingerabdruck eines Schädlings dar. Doch Signaturen kommen im Zweifelsfall immer erst nach einer Schädlingswelle beim Anwender an, können also vor neuen Gefahren kaum schützen.

Selbstverständlich haben wir diese grundlegende Schutzfunktion trotzdem ausgiebig getestet. Der dafür eingesetzte Virenzoo enthielt knapp eine halbe Million Schädlinge, die alle im letzten halben Jahr mehrfach in freier Wildbahn gesichtet und gemeldet wurden. Da viele Hersteller traditionell Ad- und Spyware etwas anders behandeln, führen wir die Ergebnisse dieser Gattung getrennt auf.

Wer bei den On-Demand-Testläufen über diesen Zoo mehr als 95 Prozent der Schädlinge aufspüren konnte, bekam ein "sehr gut". Insgesamt sollte man diese Tests jedoch nicht überbewerten. Eine gute Note in dieser Kategorie zeigt nur, dass ein Hersteller die Hausaufgaben erledigt. Das sollte eigentlich selbstverständlich sein und die bis auf wenige Ausnahmen sehr guten Ergebnisse bestätigen diese Einschätzung.

[b]Heureka[/b]

Um auch neue Schädlinge zu erkennen, setzen die AV-Hersteller sogenannte heuristische Verfahren ein. Die versuchen, eine Datei anhand allgemeiner, eher unscharfer Kriterien zu beurteilen. Verwendet sie einen verdächtigen Laufzeitpacker? Wurde der PE-Header nachträglich manipuliert, um die Analyse zu erschweren? Oder finden sich in der Datei vielleicht Code-Sequenzen, die Registry-Einträge verändern? All das kann, muss aber nicht auf ein Schadprogramm hinweisen. Bei heuristischen Tests wird die untersuchte Datei nicht auf dem realen System ausgeführt. Eine Laufzeitanalyse wie etwa bei Bitdefenders BHAVE findet nur in einer virtuellen Sandbox statt und ist natürlich zeitlich begrenzt.

Die Kunst dabei ist, das Ganze so auszubalancieren, dass man zwar gute Erkennungsraten erzielt, aber auch keinen falschen Alarm gibt. Dabei lassen sich die Hersteller nur sehr ungern in die Karten schauen. Ein aktueller Trend ist es, die Heuristik schärfer einzustellen und die damit produzierten Fehlalarme über weiße Listen bekanntermaßen harmloser Programme abzufangen. Das geht dann aber zu Lasten wenig verbreiteter Programme, die es nicht auf diese Listen schaffen.

Um die Heuristiken zu testen, muss man zunächst die Erkennung durch Signaturen ausschließen. Dazu greifen wir zu einem Trick: Die Scanner müssen mit dem Signaturstand von Anfang September Schädlingsdateien erkennen, die erst zwei beziehungsweise vier Wochen später aufgetaucht sind. Das gibt einen direkten Eindruck davon, wie sich der Scanner gegenüber neuen Bedrohungen verhält, für die noch keine Signaturen vorliegen. Des Weiteren haben wir Schädlinge, die alle Scanner kennen, mit 52 EXE-Packern in verschiedenen Einstellungen komprimiert und erneut von den Scannern untersuchen lassen. Die insgesamt 2941 Virenvariationen waren dann zwar immer noch voll lauffähig, wurden aber häufig von den Scannern nicht mehr erkannt.

[b]Verhaltenskontrolle[/b]

Als dritte Verteidigungslinie beim Virenschutz fungiert die Überwachung in Echtzeit. Verhaltenskontrolle [--] im englischen Sprachraum Behaviour Based Analysis [--] soll unbekannte Schädlinge anhand verdächtiger Aktivitäten entlarven. Verankert sich ein Programm via Registry dauerhaft im System, liest den Inhalt von Browser-Fenstern mit, setzt einen Hook auf Tastatureingabefunktionen des Systems und sendet dann noch Daten ins Netz, ist die Wahrscheinlichkeit hoch, dass es sich um ein Spionageprogramm handelt. Anders als bei der Heuristik läuft das Programm zum Analysezeitpunkt bereits [--] und zwar auf dem echten System.

Wir testeten die Verhaltensanalyse, indem wir 20 Schädlinge auf Systemen mit aktivem Virenwächter tatsächlich ausführten. Wir wählten dabei gezielt Exemplare, die erst nach dem Testbeginn im deutschsprachigen Raum freigesetzt wurden und die ihre Autoren augenscheinlich so getrimmt hatten, dass sie von den Scannern nicht erkannt wurden. Insbesondere befand sich darunter auch eines der vorgeblichen Antiviren-Pakete, die auf dem PC des Opfers ganz schreckliche Gefahren entdecken, für deren Beseitigung man jedoch erst die teure Vollversion erwerben muss (mehr zu diesen Fake-AV-Lösungen auf heise Security).

Jedem einzelnen Schädling stellten wir eine Umgebung bereit, in der er seine Aktivitäten voll entfalten konnte, also etwa zusätzliche Komponenten aus dem Netz nachladen oder sich mit einem IRC-Server verbinden [--] zumindest solange der Wächter nicht einschritt. Eventuelle Reaktionen der Wächter wurden protokolliert und nach einer bestimmten Zeit wurde das System auf Zeichen einer Infektion untersucht. Dazu gehören neben installierten Schadprogrammen unter anderem auch Registryeinträge, die der Schädling erstellt hat. Somit kann der Test nicht nur aufdecken, ob der Wächter das Programm erkannt hat, sondern auch, ob er es wirklich aufhalten konnte, das System also danach noch sauber war.

Da es bei der Verhaltenskontrolle noch schwerer als bei der Heuristik ist, möglichst alle Bösen zu fangen, ohne dabei falschen Alarm zu geben, installierten wir als Gegenprobe zwanzig Programme beziehungsweise Updates. Dabei zeigte sich dann auch prompt, dass Pandas Tru-Prevent ernsthafte Probleme bereitet und beispielsweise das Windows Update blockierte.

Ihre Fähigkeiten, Rootkits aufzuspüren und zu neutralisieren, mussten die Antiviren-Programme ebenfalls live an zehn aktiven Rootkits nachweisen. Besondere Probleme bereitete vielen dabei das Fuzen-Rootkit, das nur noch daran zu erkennen war, dass es Prozesse versteckte. Lediglich AVG, Avira und G Data konnten diese aufspüren.

Eine aktuell wachsende Bedrohung ist Schad-Software im Web, die Schwachstellen im Browser oder in installierten Programmen ausnutzt. Experten prophezeien, dass bald mehr Systeme durch Webseiten mit Drive-By-Downloads infiziert werden als über EMails. Folglich ist es immer wichtiger, dass Antiviren-Software auch Schutz vor Webseiten mit Exploits für bekannte Schwachstellen bietet. Dies testeten wir mit zehn verschiedenen Exploits, die zum Teil auch versuchten, die Entdeckung durch diverse Tricks zu umgehen. Alle Exploits konnten auf verwundbaren Systemen tatsächlich Code einschleusen. Bei F-Secure und Bit-Defender aktivierten wir zu diesem Zweck den standardmäßig ausgeschalteten Web-Filter, zogen jedoch in der Bewertung einen Punkt ab.

[b]Ausgebremst[/b]

Leider beansprucht Antiviren-Software immer mehr Ressourcen, die dann nicht mehr für produktive Aufgaben zur Verfügung steht. Kann man die regelmäßigen Komplett-Scans noch auf die Nacht verschieben, nervt ein Wächter permanent, wenn er den ganzen Systemspeicher an sich reißt oder vor jedem Start eines Programms eine minutenlange Gedenkpause erzwingt.

Die tatsächliche Belastung eines Systems durch ein Antiviren-Programm ist schwer zu messen. Wir haben deshalb versucht, sie durch drei Tests zu quantifizieren. So maßen wir die Zeit, die der Scanner benötigte, um Dateien mit insgesamt 741 MByte zu überprüfen. Als Zweites haben wir gemessen, wie lange es dauert, diese Dateien bei aktivem Wächter zu kopieren. Der dritte, neue Test kombiniert in einem Skript eine ganze Reihe von I/O-intensiven Operationen, wie das Schreiben von Dateien mit zufälligem Inhalt, das Erstellen und Auspacken von Archiven und so weiter. Diese Tests wurden mehrfach wiederholt, unter anderem auch nach einem Komplett-Scan des Systems, um diesbezügliche Optimierungen der Hersteller für den Alltagsbetrieb zu berücksichtigen.

Auch wenn die nackten Zahlen wenig aussagen, spiegeln die Ergebnisse dieser Tests doch ganz gut den subjektiven Eindruck von der Arbeitsgeschwindigkeit mit der jeweiligen Antiviren-Software wieder. Ein nützlicher Tipp für leidende Vista-Anwender: Alle Antiviren-Programme enthalten mittlerweile auch einen recht guten Schutz vor Spyware, der den des eingebauten Vista Defenders übertrifft. Somit ist der Verlust an Sicherheit gering, wenn man den Defender abschaltet. Die freigegebenen Ressourcen bringen aber oft spürbare Besserung.

[b]Falscher Alarm[/b]

Eine weitere unerfreuliche Nebenwirkung von Antiviren-Software sind die bereits erwähnten Fehlalarme. Heuristiken, die unscharf bestimmte Gattungen von Schadsoftware erkennen sollen, schlagen eben gelegentlich auch bei harmlosen Dateien an. Zur Katastrophe wird das, wenn der Wächter in bester Absicht wichtige Systemdateien löscht. Dass dies ein durchaus realistisches Szenario ist, haben in den letzten Monaten Kunden von Trend Micro und Kaspersky erleben müssen.

Weniger spektakulär, aber langfristig ebenfalls verheerend für das Vertrauen der Anwender sind Fehlalarme, wenn sie wenig verbreitete Software betreffen. So meldete in unserem Test Bit-Defender und auch G Data bei einem harmlosen Forensik-Tool auf der DVD des aktuellen iX-Security-Sonderhefts "Trojan.Generic.92531". Ein Klick auf "Vireninformationen" öffnete dann eine Webseite der Virendatenbank, die aber leider keine Ergebnisse aufwies. Avira machte es mit einem Fehlalarm "TR/Rootkit.Gen" nicht besser, F-Secure steuerte ebenfalls zwei Warnungen bei.

Immer häufiger tauchen auch sogenannte "Virustotal-Viren" auf. Bei www.virustotal.com kann man Dateien hochladen und bekommt dann die Scan-Ergebnisse von mittlerweile rund zwanzig aktuellen Virenscannern. Darunter befinden sich auch einige mit sehr einfach gestrickter Heuristik, die schon bei einem schrägen Packformat Laut geben. Schließt der Anwender das nicht explizit aus, bekommen die Hersteller die hochgeladenen Samples inklusive der Scan-Ergebnisse der Konkurrenz. Es ist ein offenes Geheimnis, dass mancher Hersteller dann bei Dateien, die Konkurrenten als Viren identifizieren, erstmal eine Signatur schreibt und ausliefert, bevor er sich an die Analyse der Datei macht. So machen dann öfter mal Fehlalarme die Runde, die nach zwei, drei Tagen mit einem Signatur-Update wieder korrigiert werden.

Der Leidtragende ist der Anwender: Ohne konkrete Informationen, was denn genau zu einer Meldung der Antiviren-Software führte, kann er nur auswürfeln, ob er dem Hersteller der bemängelten Software oder dem der Antiviren-Software vertraut. Angesichts der mittlerweile bekannten Fehlalarme fällt diese Entscheidung immer öfter zu Ungunsten der AV-Software aus.

[b]Rechthaberei[/b]

Immer noch haben einige Programme Probleme damit, wenn sie ein Anwender startet, der nicht als Administrator registriert ist. So finden Kaspersky, F-Secure und NOD32 Schädlinge in Systemverzeichnissen zwar, können sie aber nicht löschen.

Außerdem heißt "alle Dateien" oder "komplettes System" scannen nicht bei allen Herstellern, dass auch tatsächlich alle Verzeichnisse überprüft werden. Startet ein Nicht-Admin einen solchen Komplett-Scan, testen lediglich Avira, G Data und One-Care tatsächlich alle Dateien. Alle anderen übergehen stillschweigend die Verzeichnisse anderer Anwender. Nun ist es zwar durchaus verständlich, dass man Skrupel hat, wenn ein eingeschränkter Anwender Dateien seines Admins löschen lassen kann. Aber zumindest ein deutlicher Hinweis darauf gehört in jedes Programm. Sonst verlassen sich unter Umständen Anwender, die sich routinemäßig nur als eingeschränkter Nutzer anmelden, darauf, dass "alle" auch wirklich "alle" heißt.

[b]Avira AntiVir Premium[/b]

Als Kandidat mit einem kostenlosen Ableger glänzt AntiVir reihenweise guten Ergebnissen: Durchweg über 99 Prozent in allen Schädlingskategorien schaffte sonst keiner. Das kombiniert AntiVir mit der neben G Data besten Heuristik und dem mit Abstand besten Ergebnis bei unseren Web-Tests. Bei den Rootkits leistet sich Avira nur einen Patzer, aber den ausgerechnet beim prominenten Sony-Rootkit, den es erst erkannte, als wir die erweiterte Gefahrenkategorie "Security Privacy Risk (SPR)" aktivierten. Der Hersteller versprach, dies zu ändern. Alles in allem schirmt Avira somit sehr gut ab. Das einzige echte Manko im Bereich Erkennung ist die fehlende Reaktion auf verdächtiges Verhalten. Hier sollte der Hersteller baldmöglichst nachziehen, um nicht ins Hintertreffen zu geraten.

Arbeiten muss Avira auch am Drumherum. So verstümmelt die Oberfläche die Pfadangaben von Schädlingsfunden so, dass man oft nur noch raten kann, wo der Virus stecken soll. Im Report findet sich dann zwar der komplette Pfad, aber kein Link mehr auf die Vireninformationen. Mit denen ist es ohnehin nicht weit her. Immer wieder landet man bei "Zu Ihren Suchkriterien wurde keine Beschreibung gefunden" oder Texte wie "Silly.gen: Böse Menschen machen Fehler", die bei der Entscheidung, ob es sich bei einem Fund möglicherweise um einen Fehlalarm handelt, kaum weiterhelfen.

Die Dreierlizenz für 50 Euro ist sicher kein Schnäppchen, dafür bekommt man jedoch ein solides Produkt. Die kostenlose Version hat Avira hingegen ziemlich heftig gedrosselt: Mit AntiSpyware, WebGuard und AntiDriveby fehlen wichtige Schutzkomponenten.

[b]G Data AntiVirus 2009[/b]

Zunächst die guten Nachrichten: G Data hat seine Antiviren-Software nun ebenfalls mit einer Verhaltenskontrolle ausgestattet, die auch tatsächlich unbekannte Schadprogramme identifizieren und blockieren konnte. Web-Schädlinge filtert der Wächter ebenfalls aus [--] allerdings nur mit mäßigem Erfolg. Dafür glänzt der Scanner mit nach wie vor überdurchschnittlicher Signaturerkennung und dem besten Heuristikergebnis. Zusammen ergibt das eine sehr effiziente Kombination von Schutztechniken.

Doch auch die negativen Seiten sollen nicht verschwiegen werden. Bei der Geschwindigkeit von Scanner und Wächter hat der Hersteller zwar nachgebessert. Doch während die gezielte Suche in Dateien jetzt im Mittelfeld liegt, ist der Wächter nach F-Secure immer noch der zweitgrößte Performancefresser. Das liegt wohl unter anderem daran, dass er wie auch die Finnen mit BitDefender und Avast gleich zwei Engines einsetzt.

Von BitDefender erbt G Data leider auch viele Fehlalarme, ein Problem, das G Data mit eigenen Filtern entschärfen will, aber nur unzureichend in den Griff bekommt. Die allgemein unzureichende Dokumentation der Viren-Signaturen verstärkt dabei die Unsicherheit beim Anwender noch. Viel zu oft erscheint beim Klick auf "Vireninformation" nur eine Webseite mit "Keine Ergebnisse vorhanden". Oder es kommt eine Liste mit rund einhundert Links, aus denen sich dann wohl der Kunde den passenden heraussuchen soll.

Die eigentlich recht gut bedienbare Oberfläche könnte ebenfalls noch etwas Feinschliff bei der Aufteilung der Menüs vertragen. Es muss nicht sein, dass sich in den erweiterten Wächtereinstellungen noch weiter erweiterte Optionen finden. Insgesamt ist G Data somit ein gutes Produkt mit Handicaps. Diese Ergebnisse lassen sich übrigens nur begrenzt auf die Firmenversion übertragen, da diese andere Engines einsetzt.

[b]Symantec Norton AntiVirus 2009[/b]

Symantec wartet mit einer positiven Überraschung auf. Nachdem der Marktführer in den Tests von c't jahrelang Prügel einstecken musste, stellt er jetzt ein Produkt vor, an dem es erstmals mehr zu loben als zu kritisieren gibt.

Das beginnt mit der Reaktion auf das Auftauchen neuer Schädlinge, die bislang immer mehrere Stunden länger dauerte als bei der Konkurrenz. Mittlerweile setzt Symantec sogenannte Pulse Updates ein, mit denen sie die mittlere Reaktionsgeschwindigkeit auf ein sehr gutes Niveau heben konnten. Dahinter verbergen sich kleine, etwa 3 bis 4 KByte große Update-Häppchen, die etwa im Zehn-Minuten-Takt bereitgestellt werden. Der Client schaut auch entsprechend häufig auf dem Server nach, sodass er eigentlich immer auf dem neuesten Stand ist.

Außerdem hat Norton jetzt eine Verhaltensanalyse, die den Namen verdient. Rund drei Viertel der unbekannten Schädlinge hat der Wächter auf Grund ihres verdächtigen Verhaltens als Gefahr identifiziert und an den anderen fand er zumindest etwas auszusetzen [--] das war spitze. Bestenfalls Mittelmaß sind jedoch die Heuristik, der Web-Filter und die Geschwindigkeit des Wächters; bei der Erkennung von Ad- und Spyware gehört Norton zu den schlechteren Scannern.

Dafür bietet das Paket eine Reihe von praktischen Erweiterungen, die das Leben mit Virenschutz angenehmer gestalten. So nutzt der Scanner die Leerlaufzeit eines Computers für einen Quick-Scan zwischendurch, der bei User-Aktivität auch unterbrochen wird, wie man am eingebauten Speed-o-Meter erkennen kann. Anwendungen in Vollbilddarstellung aktivieren automatisch einen Silent-Modus, in dem keine störenden Popup-Meldungen erscheinen.

Außerdem sortiert Norton Insight die vorliegenden Dateien in verschiedene Vertrauensstufen ein. Danach müssen beispielsweise von Microsoft digital signierte Dateien nicht erneut geprüft werden und ein Komplett-Scan eines Vista-Systems dauerte statt 50 nur noch 14 Minuten. Das Verhältnis dürfte allerdings schlechter werden, je mehr normale und damit unsignierte Software installiert ist.

Praktisch sind auch die Netzwerkfunktionen, mit denen man den Status weiterer Norton-PCs im Netz überwachen kann. Leider ist es nicht möglich, übers Netz ein Signatur-Update oder einen Komplett-Scan anzuschieben.

Die Bedienung von Norton ist auf Endanwender ohne allzu große Computerkenntnisse zugeschnitten. Sie werden nicht durch unnötige Popup-Fenster belästigt; bei den meisten Vorfällen entscheidet der Wächter selbsttätig, was zu tun ist. Das birgt natürlich die Gefahr, dass gerade bei Power-Usern auch mal etwas zu viel gelöscht wird. Das kann zum echten Problem werden, weil weder im Alarmfenster noch im protokollierten Verlauf oder den Details Dateinamen oder gar Pfade erscheinen. Man muss schon lange suchen, um diese grundlegenden Informationen in den "Details" der "Risikodetails" der "erweiterten Details" aufzuspüren.

Auch die Übersichtlichkeit der erweiterten Optionen lässt ein wenig zu wünschen übrig. Trotzdem: Wer sich in den letzten Jahren keine irreversible Allergie gegen die Farbe Gelb zugezogen hat, kann jetzt Norton Antivirus auch angesichts des Preises von 30 Euro wieder ernsthaft in Betracht ziehen.

Die detailierten Testergebnisse der hier vorgestellten Programme und die Resultate der übrigen sieben Antivirenschutz-Pakete finden Sie im der Printausgabe 23/2008 des c't magazins im Artikel "Wachwechsel, 10 Antiviren-Programme im Test" von Jürgen Schmidt. Den Beitrag erhalten Sie auch als pdf-Datei im c't Kiosk.