Wie arbeitet ein Antivirus-Programm?

In diesem Artikel möchte ich Ihnen die grundlegenden Funktionsweisen moderner Antivirus-Programme vorstellen. Um die beschriebenen Vorgänge und Mechanismen zu verstehen, benötigen Sie keine technischen Vorkenntnisse.

Ein gutes Antivirus-Programm bedient sich verschiedener Techniken, um Schadprogramme, wie z.B. Computerviren ausfindig zu machen:

1. Ein Antivirus-Programm verfügt über eine integrierte Bibliothek. In dieser Bibliothek sind unzählige Virensignaturen verzeichnet. Wenn das Antivius-Programm nun ein Programm oder eine Datei überprüft, vergleicht es Programmbausteine mit den Signaturen bereits bekannter Viren. Bei Übereinstimmung schlägt es Alarm.
2. Mit der internen Bibliothek kann ein Antivirus-Programm jedoch nur Viren und Würmer entdecken, die bereits bekannt sind. Dies bietet keinen ausreichenden Schutz. Deshalb versuchen gute Virenscanner auch, unbekannten Viren zu erkennen.
   Hierbei wird die Signatur eines Programms auch auf Ähnlichkeit zu bestehenden Einträgen aus der Bibliothek verglichen. Beinhaltet es Programmbausteine, die einem bestehenden Eintrag sehr ähnlich sind, wird es vom Antivirusprogramm als Schadprogramm eingestuft.
   Dies kann auch zu einem Fehlalarm führen. Dann meldet das Antivirus-Programm eine Datei als infiziert, obwohl diese in Ordnung. Dieser Fall, den Experten als “false positives” bezeichnen, ist bei guten Virenscannern jedoch sehr selten.
3. Eine weitere Methode guter Antivirus-Programme ist, verdächtige Programme in einer internen Umgebung auszuführen. Das heißt, das Programm wird nicht in Ihrem Betriebssystem (z.B. Windows) ausgeführt, sondern in einem speziellen Container des Antivirus-Programmes. Dabei wird geprüft, ob das verdächtige Programm versucht, den Container zu manipulieren. Wenn das der Fall ist, wird das überprüfte Programm als Schadprogramm eingestuft.

Sie sehen, ein Antivirus-Programm ist intelligent. Vor allem durch Punkt 1 geht die Wahrscheinlichkeit gegen Null, dass Ihr Computer von einem bekannten Virus infiziert wird.

Allerdings besteht nach wie vor das Risiko, von einem bisher unbekannten Virus infiziert zu werden. Der Grund ist auch ganz einfach:

Ein Programmierer, der einen Virus oder Wurm entwickelt, wird diesen mit allen gängigen Virenscannern testen. Er wird seinen Virus solange verändern und „optimieren“, bis er nicht mehr von den Virenscannern erfasst wird. Erst dann wird er sein Schadprogramm in die „freie Wildbahn“ entlassen.

Dadurch sind Antivirus-Programme immer einen Schritt hinterher.

Die Hersteller von Antivirus-Programmen veröffentlichen deshalb regelmäßige Updates für ihre Virenscanner (teilweise sogar mehrmals täglich). Es ist essentiell für Ihre Sicherheit, dass Sie diese Updates regelmäßig ausführen.

Gute Virenscanner, wie z.B. Norton AntiVirus 2010 oder F-Secure Antivirus 2010 bieten Ihnen die Möglichkeit, diese Updates automatisch herunterzuladen und zu installieren. Diese Option sollten Sie in jedem Fall nutzen, um Ihr Antivirus-Programm so aktuell wie nur möglich zu halten.