FAQ: AV-Programme Einstellungen

[Rokop]

Unsere kleine AV-FAQ soll helfen, grundsätzliche Fragestellungen, die im Umgang mit Antivirenprogrammen auftreten können, zu erläutern. Lesen sie im Folgenden die wichtigsten Fragen und die zugehörigen Antworten...

Brauche ich ein Antiviren-Programm (AV-Programm)?
Wer nicht im Internet surft, sich nie etwas herunterlädt, ein "sicheres" E-Mail-Programm hat und niemals Attachments öffnet, wer keine CD-ROMs oder Disketten in seinen PC einschiebt und niemals Software installiert, der benötigt rein theoretisch kein AV-Programm. Nur werden all diese Punkte auf die wenigsten PC-Benutzer zutreffen.

Ich installiere nur Original-Software direkt vom Hersteller. Brauche ich dann ein AV-Programm?
Auch Original-Programme von Herstellern können Viren enthalten; beispielsweise verteilte Microsoft vor einigen Jahren Demo-CDs, die Viren enthielten. Also ist man auch bei Original-Software vor Viren nicht sicher!

OK, ich brauche also ein Antiviren-Programm. Nur gibt es da ja so viele Programme, welches soll ich nehmen?
Zuerst sollte man sich informieren, welche Produkte gute Erkennungsraten bieten. Dabei sollte man sich an unabhängige Tests halten, die aber leider nicht immer einfach zu finden sind. Allgemein sollte man jedoch darauf achten, wie die jeweiligen Verfasser oder Redakteure die Gewichtung der einzelnen Prüfkriterien setzen. Was nützt es, wenn ein Programm eine einfache Bedienung hat, aber Viren nicht immer zuverlässig erkennt?

Was bedeutet ITW?
ITW bedeutet: "In the wild". Das sind die Viren, die am häufigsten unterwegs sind. Die TU-Berlin oder Wildlist.org sind gute Anlaufstellen, um sich über ITW-Viren zu informieren. Auch auf den Seiten der AV-Hersteller finden sich oft Informationen zu aktuellen Gefahren.

Was ist ein Mail-Checker und brauche ich so etwas?
Ein Mail-Checker kann als Plugin oder als Proxy fungieren. Seine Aufgabe ist es, ein- (und teilweise auch aus-)gehende Mails und deren Attachments auf Viren zu überprüfen.
Die Plugin-Lösung ist auf spezielle Mail-Programme zugeschnitten und deshalb nicht so flexibel einsetzbar wie die Proxy-Lösung. Bei der Proxy-Lösung überwacht der Mail-Wächter einfach die für den Mail-Verkehr relevanten Ports (z.B. 110 für POP3 und 25 für SMTP), fängt bei Bedarf die Mails ab, überprüft sie und leitet sie dann weiter.
Ein Mail-Checker sollte kein K.O.-Kriterium sein: Wenn eine Mail ein infiziertes Attachment hat, und kein Mail-Wächter installiert ist, schlägt ein installierter Monitor spätestens bei dem Versuch Alarm, das Attachment auszuführen oder zu speichern. In Verbindung mit einem sicher konfigurierten Mail-Programm, das z.B. keine aktiven Inhalte automatisch ausführt, ist ein Mail-Wächter überflüssig. Unverständlicherweise ist für einige Tester ein solcher Mail-Checker immer noch das Non-Plus-Ultra.

Muss ein Monitor Archive durchsuchen können?
Nein, und idealerweise schaltet man diese Option, sofern vorhanden, auch ab, da eine Kopieraktion sonst ewig dauern kann. Spätestens beim Entpacken eines Archives schlägt der Monitor Alarm, falls sich in dem betroffenen Archiv eine infizierte Datei befindet.

Dann muss der Monitor auch laufzeitkomprimierte Dateien (gepackt mit UPX, PkLite, ...) nicht erkennen können? Schließlich werden die ja auch beim Ausführen (im Speicher) entpackt...
Bei laufzeitkomprimierten Dateien verhält sich das anders. Dazu muss man die Funktionsweise eines Virenwächters verstehen: Ein Virenwächter überprüft I/O-Aktionen auf der Platte/Diskette/CD. Was die Datei dann im Speicher macht, liegt außerhalb des Einflussbereiches des Wächters.
Beispiel: Man startet eine laufzeitkomprimierte Datei und der Wächter erkennt den Packer nicht. Der Wächter merkt: Da wird auf die Datei zugegriffen (weil sie ja gestartet wird). Er scannt sie, erkennt aber nichts (da der Laufzeitpacker nicht unterstützt wird). Der Wächter gibt sein OK, das Programm startet. IM SPEICHER wird die Datei dann entpackt und der eigentliche, ungepackte Programmcode gestartet. Weil aber dieser Entpack-Vorgang nicht auf die Platte zugreift, merkt der Wächter davon eben nichts mehr.
Hinweis: Einige wenige Trojanerwächter sollen auch den RAM überwachen können und diese "Sicherheitslücke" schließen. Auch sollen vereinzelt Virenwächter angeblich diese Lücke schließen und Entpackvorgänge im Speicher erkennen. Das funktioniert aber bei den Virenwächtern in 99,9% der Fälle nicht!
Deswegen ist es wichtig, dass ein Wächter auch laufzeitkomprimierte Formate erkennt und entpacken kann.

Was ist jetzt nochmal der genaue Unterschied zwischen Archiven und laufzeitkomprimierten Dateien?
Ein Archiv kann man sich als eine Art Container vorstellen, der mehrere Dateien enthält. Solche Archive haben beispielsweise die Endung .ZIP, .ACE oder .RAR. Eine solches Archiv entpackt man üblicherweise mit Pack-Programmen wie Winzip; die entpackten Dateien, die sich im Archiv befinden, werden dann in das gewünschte Verzeichnis auf der Festplatte abgelegt (aus diesem Grund erkennen Virenwächter auch infizierte Dateien, die sich im Archiv befinden, beim Entpacken, da diese ja auf die Festplatte geschrieben werden). Ein Sonderfall sind sogenannte SFX-Archive: Hier liegt das Archiv in einem ausführbaren Format vor, so dass man zum Entpacken kein externes Tool benötigt. Ansonsten gilt das Gleiche wie bei "herkömmlichen" Archiven.
Eine laufzeitkomprimierte Datei ist eine ausführbare Datei, die mittels eines Packers "kleiner" gemacht wurde; ein bekannter Vertreter dieser Packer ist UPX. Wird eine Programmdatei, die mit einem solchen Packer gepackt wurde, ausgeführt, so wird das Programm in den Speicher geladen; eine kleine Entpack-Routine entpackt dann die Datei transparent im Speicher und führt dann diese Datei aus; da hier kein Schreibzugang auf der Festplatte stattfindet, kann ein Virenwächter ohne echtem Speicherscan einen solchen Entpackvorgang nicht erkennen.

OK, jetzt habe ich das Programm installiert. Bin ich jetzt sicher?
Zumindest sicherer als vorher!
Jetzt muss der Wächter noch konfiguriert werden. Dabei sollte man Optionen, die laufzeitkomprimierte Dateien entpacken, aktivieren. Sofern eine Option "Alle infizierbaren Dateien überprüfen" vorhanden ist, sollte diese gewählt werden; alle Dateien zu überprüfen macht wenig Sinn. Sollte plötzlich ein Dateiformat infizierbar sein, wird das im nächsten AV-Update berücksichtigt.
Desweiteren sollten nach einer Installation das Programm und die Virensignaturen aktualisiert werden. Das macht man meistens über das Update-Programm, das dem AV-Programm beiliegt. (Einige Programme unterstützen auch automatische Updates).
100%igen Schutz gibt es trotzdem nicht, jedes AV-Programm hat seine Lücken.

Wie oft soll ich updaten?
So oft wie möglich. Stellt der AV-Hersteller nur wöchentliche Updates bereit, dann eben wöchentlich. Besser sind jedoch Programme, für die tägliche Updates bereitstehen.
Allerdings stellt (fast) jeder AV-Hersteller bei einem größeren Virenausbruch sofort aktuelle Signaturen bereit.

Sollte ich ein 2. AV-Programm einsetzen?
So etwas ist durchaus möglich. Allerdings sollte man niemals(!!!) 2 Wächter gleichzeitig laufen lassen, da sich diese behindern können und eine sichere Virenerkennung nicht mehr gewährleistet ist. Es ist aber durchaus möglich, einen 2. On-Demand-Scanner (den man also "auf Knopfdruck" startet), zu installieren; dabei kann man auch auf kostenlose Programme zurückgreifen.

Erkennen AV-Programme auch Trojaner?
Das behaupten zumindest die Marketing-Abteilungen der jeweiligen Hersteller. Leider ist es so, dass viele AV-Programme große Probleme mit Trojanern haben und nur vereinzelte Produkte auch Trojaner zuverlässig erkennen können. Wer sich nicht sicher ist, ob sein Programm auch Trojaner erfolgreich scannen kann, sollte sich überlegen, ob er sich einen Anti-Trojaner-Scanner zulegt oder zumindest mit einem 2. Virenscanner on-demand periodisch die Festplatte überprüft.
(Hinweis: Es ist durchaus möglich, Anti-Trojaner-Wächter und AV-Wächter parallel laufen zu lassen; in diesem Fall sind bis jetzt keine Inkompatibilitäten aufgetaucht).

Was ist eine Heuristik?
Die Heuristik versucht, mittels Programmanalyse unbekannte Viren zu entdecken. In der Praxis ist das eine Gratwanderung zwischen Erkennungsrate und Fehlalarmrate; ist die Heuristik zu scharf eingestellt, kann sie u.U. ein harmloses Programm als verdächtig einstufen, was unbedarfte User sehr verunsichern kann.

Interessant, diese FAQ. Interessiert mich aber nicht, weil ich Linux benutze!
Auch Linux kann infiziert werden. Nur sind Windows-Viren weitaus mehr verbreitet. Grund ist u.a. auch der, dass Linux-User meist mit eingeschränkten Rechten im Internet surfen und ein eventueller Virus garnicht die Möglichkeit hat, groß Schaden anzurichten oder sich zu verbreiten. Bei Windows fehlt entweder ein entsprechendes Sicherheitskonzept komplett (Win 9x, ME), oder User surfen unter Administratorrechten.
Aber auch unter Linux gibt es durchaus Sicherheitslücken. Da aber MS-basierte Systeme und MS-basierte Programme derzeit noch am weitesten verbreitet sind, ist es logisch, dass sich Virenprogrammierer auf diese Programme konzentrieren und versuchen, diese Sicherheitslücken auszunutzen.
Allerdings haben auch andere Programme und Betriebssysteme (wie beispielsweise Linux, aber auch andere!) ihre Sicherheitslücken, die aber mangels Verbreitung derzeit noch nicht Hauptziel der Angriffe sind.
Einen interessanten Artikel kann man bei Virus Bulletin, die auch für die bekannten "VB 100%-Awards" verantwortlich sind, nachlesen.
Aber: Es gibt durchaus auch Viren für andere Betriebssysteme, als die von Microsoft! Nur die Verbreitung ist (noch) nicht so groß.

Ich hatte das AV-Programm X. Jetzt habe ich auf das Programm Y gewechselt. Aber irgendwie ist das System jetzt langsamer... ...?
Zuerst sollte überprüft werden, ob das alte AV-Programm richtig deinstalliert wurde. Die Deinstallationsroutinen mancher Programme haben den Namen nicht verdient und hinterlassen u.U. Treiberleichen, die weiterhin aktiv sind. Deswegen darauf achten, dass auch wirklich alle Dienste deinstalliert wurden (bei XP z.B. über "Computerverwaltung -> Dienste" überprüfbar).
Es sollte auch beachtet werden, dass manche schnellen AV-Programme weniger gründlich scannen als andere, langsamere Programme (will heißen: Programm X entpackt im Gegensatz zu Programm Y beispielsweise keine laufzeitkomprimierten Dateien).
Außerdem sollte überprüft werden, ob alle aktuellen Patches für das AV-Programm installiert sind.

[Gast_Joerg_*]

Die CD damals war eine Info-CD an Journalisten, es waren dort mehrere Markoviren vorhanden (wenn ich mich richtig erinnere, gleich 3 verschiedene Exemplare). War irgendwann Ende der 90er Jahre.

meinst du die Info-CD von BMW mit dem netten kleinen Nimda??

grizzly

Nein, ich mein die Presse-CD direkt von Microsoft Soweit ich weiß, hat Microsoft damals die Gefahr absichtlich runtergespielt... ich weiß aber nicht mehr, welche Makroviren da im Endeffekt drauf waren...

Grüße Jörg