Wie arbeitet ein Antivirus-Programm?

14.12.2009 08:47 Uhr

Antivirus-ProgrammIn diesem Artikel möchte ich Ihnen die grundlegenden Funktionsweisen moderner Antivirus-Programme vorstellen. Um die beschriebenen Vorgänge und Mechanismen zu verstehen, benötigen Sie keine technischen Vorkenntnisse.

Ein gutes Antivirus-Programm bedient sich verschiedener Techniken, um Schadprogramme, wie z.B. Computerviren ausfindig zu machen:

  1. Ein Antivirus-Programm verfügt über eine integrierte Bibliothek. In dieser Bibliothek sind unzählige Virensignaturen verzeichnet. Wenn das Antivius-Programm nun ein Programm oder eine Datei überprüft, vergleicht es Programmbausteine mit den Signaturen bereits bekannter Viren. Bei Übereinstimmung schlägt es Alarm.
  2. Mit der internen Bibliothek kann ein Antivirus-Programm jedoch nur Viren und Würmer entdecken, die bereits bekannt sind. Dies bietet keinen ausreichenden Schutz. Deshalb versuchen gute Virenscanner auch, unbekannten Viren zu erkennen.
    Hierbei wird die Signatur eines Programms auch auf Ähnlichkeit zu bestehenden Einträgen aus der Bibliothek verglichen. Beinhaltet es Programmbausteine, die einem bestehenden Eintrag sehr ähnlich sind, wird es vom Antivirusprogramm als Schadprogramm eingestuft.
    Dies kann auch zu einem Fehlalarm führen. Dann meldet das Antivirus-Programm eine Datei als infiziert, obwohl diese in Ordnung. Dieser Fall, den Experten als „false positives“ bezeichnen, ist bei guten Virenscannern jedoch sehr selten.
  3. Eine weitere Methode guter Antivirus-Programme ist, verdächtige Programme in einer internen Umgebung auszuführen. Das heißt, das Programm wird nicht in Ihrem Betriebssystem (z.B. Windows) ausgeführt, sondern in einem speziellen Container des Antivirus-Programmes. Dabei wird geprüft, ob das verdächtige Programm versucht, den Container zu manipulieren. Wenn das der Fall ist, wird das überprüfte Programm als Schadprogramm eingestuft.

Sie sehen, ein Antivirus-Programm ist intelligent. Vor allem durch Punkt 1 geht die Wahrscheinlichkeit gegen Null, dass Ihr Computer von einem bekannten Virus infiziert wird.

Allerdings besteht nach wie vor das Risiko, von einem bisher unbekannten Virus infiziert zu werden. Der Grund ist auch ganz einfach:

Ein Programmierer, der einen Virus oder Wurm entwickelt, wird diesen mit allen gängigen Virenscannern testen. Er wird seinen Virus solange verändern und „optimieren“, bis er nicht mehr von den Virenscannern erfasst wird. Erst dann wird er sein Schadprogramm in die „freie Wildbahn“ entlassen.

Dadurch sind Antivirus-Programme immer einen Schritt hinterher.

Die Hersteller von Antivirus-Programmen veröffentlichen deshalb regelmäßige Updates für ihre Virenscanner (teilweise sogar mehrmals täglich). Es ist essentiell für Ihre Sicherheit, dass Sie diese Updates regelmäßig ausführen.

Gute Virenscanner, wie z.B. Norton AntiVirus 2010 oder F-Secure Antivirus 2010 bieten Ihnen die Möglichkeit, diese Updates automatisch herunterzuladen und zu installieren. Diese Option sollten Sie in jedem Fall nutzen, um Ihr Antivirus-Programm so aktuell wie nur möglich zu halten.

3 Kommentare

  • Hajo schreibt:

    Das heißt aber für mich, dass es keinen 100%-igen Virenschutz gibt!
    Kann es passieren, dass ein Antivirusprogramm zwar den Befall feststellt, der Schaden aber bereits unabwendbar ist?

  • Dennis schreibt:

    Hallo Hajo,
    ja, das kann passieren. Z.B. dann, wenn die Aufgabe des Virus darin besteht Dateien von der Festplatte zu löschen. Das Antivirus-Programm kann dann nur den Virus entfernen, aber nicht die Löschung rückgängig machen.

  • Chris schreibt:

    Hi,
    du schreibst „Vor allem durch Punkt 1 geht die Wahrscheinlichkeit gegen Null, dass Ihr Computer von einem bekannten Virus infiziert wird.“

    Leider der heutigen zeit nicht mehr ganz Aktuell, denn durch polymorphe Viren und Verschlüsselungen ist es meiner Meinung nach vor allem der 1. Punkt einer mit der anfälligsten Punkte eines Scanners…