Typen von Antiviren-Programmen

Verkehrsschild Viren verboten

Ein Antiviren-Programm, Virenscanner oder Virenschutz-Programm (Abkürzung: AV) ist eine Software, die bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspüren, blockieren und gegebenenfalls beseitigen soll. Der folgende Fachartikel von Wikipedia gibt einen Überblick über die wesentlichen Typen von Antiviren-Programmen.

Echtzeitscanner
Der Echtzeitscanner (engl. on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antiviren-Programm installiert, die die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies sind das Blockieren des Zugriffs, das Löschen der Datei, das Verschieben in die Quarantäne oder, wenn möglich, ein Reparaturversuch. Generell kann beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

  1. Scannen beim Öffnen von Dateien (Lesevorgang)
  2. Scannen beim Erstellen / Ändern von Dateien (Schreibvorgang)

Bei einigen Virenscannern lässt sich diese Strategie vom User einstellen, bei anderen ist sie fest vom Programm vorgegeben. Da Schreibvorgänge wesentlich seltener vorkommen als Lesevorgänge, bevorzugen viele Benutzer diese Einstellung. Sie sorgt dafür, dass die ohnehin zusätzliche Belastung des Computers durch den Echtzeitscanner vermindert wird, aber sie verhindert nicht, dass sich das Computersystem infiziert, wenn Benutzer virulente, aber inaktive Dateien öffnen. Der alleinige Einsatz eines On-Access-Virenscanners bietet keinen vollständigen Schutz vor Schadprogrammen, da die meisten Virenscanner nicht sehr erfolgreich beim Erkennen bösartiger Software sind, insbesondere anderer Schädlingsarten als Viren und Würmer. Auch sind sie meist nur in der Lage, solche Schädlinge (engl. Malware) zu erkennen, für die sie Virensignaturen erhalten haben.

Es kann der Fall eintreten, dass eine virulente Datei gespeichert wurde, bevor eine Virensignatur für sie verfügbar war. Nach einem Signatur-Update ist es aber möglich, sie beim Öffnen zu erkennen. In diesem Fall ist also ein Scannvorgang beim Öffnen der Datei dem Scanvorgang beim Schreiben der Datei überlegen. Um die Belastung durch den Echtzeitscanner zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt. Daher sollte trotz eines Echtzeitschutzes regelmäßig ein manueller Scan durchgeführt werden.

Manueller Scanner
Der manuelle Scanner (engl. on-demand scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell oder zeitgesteuert gestartet werden (On-Demand). Findet ein Scanner schädliche Software, erscheint eine Warnmeldung und in der Regel auch eine Abfrage der gewünschten Aktion: Reinigung, Quarantäne oder Löschung der befallenen Datei(en).

Wenn ein Programm keine derartige Optionen anbietet, kann man es als Krüppelware ansehen, denn die entscheidende Funktion ist eben die Inaktivierung der Schadsoftware. Es erfolgt dann meist ein Verweis auf ein kostenpflichtiges Produkt. Ein Programm ohne Möglichkeit der Virusentfernung müsste streng genommen Virensucher statt Antiviren-Programm heißen. Der Festplattenscan sollte ausreichend häufig ausgeführt werden. Die meisten Programme bieten dafür bestimmte Assistenten an, die den Rechner in bestimmten festgelegten Zeiträumen, beispielsweise während der Mittagspause oder nachts, durchsuchen. Manuelle Scanner kommen auch auf bootfähigen Live-CDs – wie etwa Desinfec’t – zum Einsatz. Hierbei ist sichergestellt, dass die Betriebssystemumgebung des Scanners nicht verseucht sein kann. Manipulationen, die das Auffinden oder Entfernen der Schadsoftware verhindern, werden so ausgeschlossen.

Online-Virenscanner
Als Online-Virenscanner werden Antiviren-Programme bezeichnet, die ihren Programmcode und die Viren-Muster über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das heißt, der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Deshalb eignen sich Online-Virenscanner zwar zum Prüfen, nicht aber zum präventiven Schutz eines Systems. Auch besteht die Gefahr, dass ein befallener Rechner über die Verbindung zum Internet ferngesteuert werden kann oder selbst Spam versendet oder andere Rechner angreift, während er für den Scan online ist. Daher sollte man ein potenziell befallenes System nach Möglichkeit umgehend vom Netz trennen und mit einem Offline-Scanner untersuchen. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu evtl. Befall einzuholen.

Die meisten Online-Virenscanner basieren auf der ActiveX-Technologie und sind damit an die Benutzung des Internet Explorers gebunden. Es gibt aber auch Alternativen für den plattformübergreifenden Einsatz, die mit Java verwirklicht wurden. Weiterhin gibt es Webseiten, die es ermöglichen, einzelne Dateien mit verschiedenen Virenscannern zu prüfen. Für diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-Demand-Scan.

Sonstige Scanner

  • Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner.

Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

  • Eine andere Lösung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von Antiviren-Software. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt. Ein deutlicher Nachteil besteht jedoch in der Tatsache, dass dies bei einer End-zu-End-Verschlüsselung quasi wirkungslos ist. Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers weitergeleitet.

 

Creative Commons Lizenz "CC-BY-SA 3.0" (Namensnennung-Weitergabe unter gleichen Bedingungen 3.0 Unported, siehe https://creativecommons.org/licenses/by-sa/3.0/deed.de)