Lexikon

Antivirensoftware/Virenscanner

Antivirensoftware schützt den heimischen Rechner vor Virenattacken aus dem Internet. Sie überwacht den Datenverkehr beim Surfen, überprüft Dateien während eines Downloads und schützt beim Lesen und Versenden von E-Mails vor dem Ausführen schädlicher Attachments. Durch das Aktualisieren der Virensignaturen und der Antivirensoftware soll fortlaufender Schutz auch vor neuesten Viren sichergestellt werden.

Funktionsweise

Antivirensoftware nutzt im Wesentlichen zwei Vorgehensweisen, um Viren aufzuspüren. Die wichtigste ist das Vergleichen von Byte-Folgen mit den sogenannten Virensignaturen. Anhand auftretender Übereinstimmungen können bekannte Computerviren erkannt werden. Zusätzlich wenden gute Virenscanner heuristische (griech. ‚finden‘) Vorgehensweisen an. Anhand von typischen Verhaltensmustern und charakteristischen Merkmalen von Computerviren und anderen Schädlingen vermutet die Software einen drohenden Befall und schlägt Alarm. So können auch Computerviren ausgemacht werden, die nach dem letzten Virensignaturenupdate in Umlauf gebracht worden sind. Eine Scriptblockfunktion für E-Mail-Programme, den Browser und Office-Programme kann das unbemerkte Einschleichen von Schädlingen unterbinden. Die Möglichkeit, auch komprimierte Archive nach Viren zu überprüfen, vermindert das Risiko, dass versteckte Gefahren auf dem eigenen Rechner schlummern.

Komponenten

Anti-Virensoftware besteht aus mehreren Komponenten, die gemeinsam die Sicherheit des Systems erhöhen sollen. Zentraler Bestandteil ist die Virensuch-Engine, ein Scanprogramm zum Durchsuchen der Dateien auf der lokalen Festplatte nach Virensignaturen, die kontinuierliche aus dem Internet von den Servern des Herstellers aktualisiert werden. Manche Programmanbieter kombinieren zwei Engines unterschiedlicher Anti-Virenspezialisten und prüfen so Dateien doppelt. Ob dies mit einem entscheidenden Sicherheitsvorsprung verbunden ist, ist umstritten. Sicher ist allerdings, dass dieser Scan die Performance des Computers belastet, die Rechengeschwindigkeit verringert und das normale Arbeiten am Rechner verzögert. Viele Programme überwachen die Systembelastung und nutzen Leerlaufzeiten des Prozessors zum Virenscan.

Während diese Virensuche bereits vorhandene Daten durchsucht, überwacht ein Echtzeitscanner derselben Engine die laufenden Prozesse auf dem Computer sowie den Netzwerkverkehr. Auch hier wird nach bekannten Virensignaturen gesucht.

Fallen Dateien auf, dann werden diese gemeldet und, je nach Einstellung der Software, gelöscht oder in eine sogenannte „Quarantäne“ verschoben, das bedeutet, dass Zugriffe auf diese Dateien und deren Aktivitäten blockiert werden.

Die Kombinationen aus Echtzeitscanner und regelmäßiger Festplatteninspektion ist deswegen sinnvoll, weil es naturgemäß zwischen dem Auftauchen eines Schädlings und der Ermittlung einer Virensignatur durch den Softwarehersteller eine zeitliche Verzögerung gibt. So kann ein neuer Virus noch durch die Echtzeitüberwachung schlüpfen, während er nach dem Update dann beim Routinescan auffällt.

Als weitere Komponente überwachen Prozesse die eintreffenden E-Mails, scannen Anhänge sowie Downloads aus dem Internet und das Verhalten aufgerufener Webseiten. Dafür müssen sie zwischen Mail-Client beziehungsweise Browser und Netzwerkverbindung geschaltet werden.

Diese Wächter und der Echtzeitscanner belegen Systemressourcen und können langsame Rechner tüchtig ausbremsen.

Für die Echtzeitscanner sind die heuristischen Verfahren besonders wichtig, da sie so versuchen, durch Verhaltensanalyse verdächtige Programme zu identifizieren. Allerdings testen Virenprogrammierer ihre Produkte selbstverständlich mit den Suchengines der populärsten Programme – das Hase-und-Igel-Spiel gewinnen daher häufig die Virenprogrammierer.

Desinfektions-Medien

Zu einem kompletten Anti-Virenangebot gehört auch die Bereitstellung eines Virenscanners, der von CD/DVD oder USB-Stick geladen werden kann. Viele Viren versuchen, sich vor installieren Virenscannern zu verstecken oder verhindern erfolgreich ihre Entfernung von betroffenen Systemen mit Bordmitteln. Dann hilft es, den Computer von einem frischen, unbefallenen Medium wie einer Rettungs-CD zu starten und die Virensuche bzw. -entfernung mit diesem Rettungssystem durchzuführen. Die meisten Anbieter von Antivirenprogrammen bieten ein solches Rettungssystem, meist auf einem Linux-Betriebssystem basierend.