Hilfe - Suche - Mitglieder - Kalender
Vollansicht: FAQ: AV-Programme
Rokop Security > Neues von Rokop Security > News
Rokop
Unsere kleine AV-FAQ soll helfen, grundsätzliche Fragestellungen, die im Umgang mit Antivirenprogrammen auftreten können, zu erläutern. Lesen sie im Folgenden die wichtigsten Fragen und die zugehörigen Antworten...

Brauche ich ein Antiviren-Programm (AV-Programm)?
Wer nicht im Internet surft, sich nie etwas herunterlädt, ein "sicheres" E-Mail-Programm hat und niemals Attachments öffnet, wer keine CD-ROMs oder Disketten in seinen PC einschiebt und niemals Software installiert, der benötigt rein theoretisch kein AV-Programm. Nur werden all diese Punkte auf die wenigsten PC-Benutzer zutreffen.

Ich installiere nur Original-Software direkt vom Hersteller. Brauche ich dann ein AV-Programm?
Auch Original-Programme von Herstellern können Viren enthalten; beispielsweise verteilte Microsoft vor einigen Jahren Demo-CDs, die Viren enthielten. Also ist man auch bei Original-Software vor Viren nicht sicher!

OK, ich brauche also ein Antiviren-Programm. Nur gibt es da ja so viele Programme, welches soll ich nehmen?
Zuerst sollte man sich informieren, welche Produkte gute Erkennungsraten bieten. Dabei sollte man sich an unabhängige Tests halten, die aber leider nicht immer einfach zu finden sind. Allgemein sollte man jedoch darauf achten, wie die jeweiligen Verfasser oder Redakteure die Gewichtung der einzelnen Prüfkriterien setzen. Was nützt es, wenn ein Programm eine einfache Bedienung hat, aber Viren nicht immer zuverlässig erkennt?

Was bedeutet ITW?
ITW bedeutet: "In the wild". Das sind die Viren, die am häufigsten unterwegs sind. Die TU-Berlin oder Wildlist.org sind gute Anlaufstellen, um sich über ITW-Viren zu informieren. Auch auf den Seiten der AV-Hersteller finden sich oft Informationen zu aktuellen Gefahren.

Was ist ein Mail-Checker und brauche ich so etwas?
Ein Mail-Checker kann als Plugin oder als Proxy fungieren. Seine Aufgabe ist es, ein- (und teilweise auch aus-)gehende Mails und deren Attachments auf Viren zu überprüfen.
Die Plugin-Lösung ist auf spezielle Mail-Programme zugeschnitten und deshalb nicht so flexibel einsetzbar wie die Proxy-Lösung. Bei der Proxy-Lösung überwacht der Mail-Wächter einfach die für den Mail-Verkehr relevanten Ports (z.B. 110 für POP3 und 25 für SMTP), fängt bei Bedarf die Mails ab, überprüft sie und leitet sie dann weiter.
Ein Mail-Checker sollte kein K.O.-Kriterium sein: Wenn eine Mail ein infiziertes Attachment hat, und kein Mail-Wächter installiert ist, schlägt ein installierter Monitor spätestens bei dem Versuch Alarm, das Attachment auszuführen oder zu speichern. In Verbindung mit einem sicher konfigurierten Mail-Programm, das z.B. keine aktiven Inhalte automatisch ausführt, ist ein Mail-Wächter überflüssig. Unverständlicherweise ist für einige Tester ein solcher Mail-Checker immer noch das Non-Plus-Ultra.

Muss ein Monitor Archive durchsuchen können?
Nein, und idealerweise schaltet man diese Option, sofern vorhanden, auch ab, da eine Kopieraktion sonst ewig dauern kann. Spätestens beim Entpacken eines Archives schlägt der Monitor Alarm, falls sich in dem betroffenen Archiv eine infizierte Datei befindet.

Dann muss der Monitor auch laufzeitkomprimierte Dateien (gepackt mit UPX, PkLite, ...) nicht erkennen können? Schließlich werden die ja auch beim Ausführen (im Speicher) entpackt...
Bei laufzeitkomprimierten Dateien verhält sich das anders. Dazu muss man die Funktionsweise eines Virenwächters verstehen: Ein Virenwächter überprüft I/O-Aktionen auf der Platte/Diskette/CD. Was die Datei dann im Speicher macht, liegt außerhalb des Einflussbereiches des Wächters.
Beispiel: Man startet eine laufzeitkomprimierte Datei und der Wächter erkennt den Packer nicht. Der Wächter merkt: Da wird auf die Datei zugegriffen (weil sie ja gestartet wird). Er scannt sie, erkennt aber nichts (da der Laufzeitpacker nicht unterstützt wird). Der Wächter gibt sein OK, das Programm startet. IM SPEICHER wird die Datei dann entpackt und der eigentliche, ungepackte Programmcode gestartet. Weil aber dieser Entpack-Vorgang nicht auf die Platte zugreift, merkt der Wächter davon eben nichts mehr.
Hinweis: Einige wenige Trojanerwächter sollen auch den RAM überwachen können und diese "Sicherheitslücke" schließen. Auch sollen vereinzelt Virenwächter angeblich diese Lücke schließen und Entpackvorgänge im Speicher erkennen. Das funktioniert aber bei den Virenwächtern in 99,9% der Fälle nicht!
Deswegen ist es wichtig, dass ein Wächter auch laufzeitkomprimierte Formate erkennt und entpacken kann.

Was ist jetzt nochmal der genaue Unterschied zwischen Archiven und laufzeitkomprimierten Dateien?
Ein Archiv kann man sich als eine Art Container vorstellen, der mehrere Dateien enthält. Solche Archive haben beispielsweise die Endung .ZIP, .ACE oder .RAR. Eine solches Archiv entpackt man üblicherweise mit Pack-Programmen wie Winzip; die entpackten Dateien, die sich im Archiv befinden, werden dann in das gewünschte Verzeichnis auf der Festplatte abgelegt (aus diesem Grund erkennen Virenwächter auch infizierte Dateien, die sich im Archiv befinden, beim Entpacken, da diese ja auf die Festplatte geschrieben werden). Ein Sonderfall sind sogenannte SFX-Archive: Hier liegt das Archiv in einem ausführbaren Format vor, so dass man zum Entpacken kein externes Tool benötigt. Ansonsten gilt das Gleiche wie bei "herkömmlichen" Archiven.
Eine laufzeitkomprimierte Datei ist eine ausführbare Datei, die mittels eines Packers "kleiner" gemacht wurde; ein bekannter Vertreter dieser Packer ist UPX. Wird eine Programmdatei, die mit einem solchen Packer gepackt wurde, ausgeführt, so wird das Programm in den Speicher geladen; eine kleine Entpack-Routine entpackt dann die Datei transparent im Speicher und führt dann diese Datei aus; da hier kein Schreibzugang auf der Festplatte stattfindet, kann ein Virenwächter ohne echtem Speicherscan einen solchen Entpackvorgang nicht erkennen.

OK, jetzt habe ich das Programm installiert. Bin ich jetzt sicher?
Zumindest sicherer als vorher!
Jetzt muss der Wächter noch konfiguriert werden. Dabei sollte man Optionen, die laufzeitkomprimierte Dateien entpacken, aktivieren. Sofern eine Option "Alle infizierbaren Dateien überprüfen" vorhanden ist, sollte diese gewählt werden; alle Dateien zu überprüfen macht wenig Sinn. Sollte plötzlich ein Dateiformat infizierbar sein, wird das im nächsten AV-Update berücksichtigt.
Desweiteren sollten nach einer Installation das Programm und die Virensignaturen aktualisiert werden. Das macht man meistens über das Update-Programm, das dem AV-Programm beiliegt. (Einige Programme unterstützen auch automatische Updates).
100%igen Schutz gibt es trotzdem nicht, jedes AV-Programm hat seine Lücken.

Wie oft soll ich updaten?
So oft wie möglich. Stellt der AV-Hersteller nur wöchentliche Updates bereit, dann eben wöchentlich. Besser sind jedoch Programme, für die tägliche Updates bereitstehen.
Allerdings stellt (fast) jeder AV-Hersteller bei einem größeren Virenausbruch sofort aktuelle Signaturen bereit.

Sollte ich ein 2. AV-Programm einsetzen?
So etwas ist durchaus möglich. Allerdings sollte man niemals(!!!) 2 Wächter gleichzeitig laufen lassen, da sich diese behindern können und eine sichere Virenerkennung nicht mehr gewährleistet ist. Es ist aber durchaus möglich, einen 2. On-Demand-Scanner (den man also "auf Knopfdruck" startet), zu installieren; dabei kann man auch auf kostenlose Programme zurückgreifen.

Erkennen AV-Programme auch Trojaner?
Das behaupten zumindest die Marketing-Abteilungen der jeweiligen Hersteller. Leider ist es so, dass viele AV-Programme große Probleme mit Trojanern haben und nur vereinzelte Produkte auch Trojaner zuverlässig erkennen können. Wer sich nicht sicher ist, ob sein Programm auch Trojaner erfolgreich scannen kann, sollte sich überlegen, ob er sich einen Anti-Trojaner-Scanner zulegt oder zumindest mit einem 2. Virenscanner on-demand periodisch die Festplatte überprüft.
(Hinweis: Es ist durchaus möglich, Anti-Trojaner-Wächter und AV-Wächter parallel laufen zu lassen; in diesem Fall sind bis jetzt keine Inkompatibilitäten aufgetaucht).

Was ist eine Heuristik?
Die Heuristik versucht, mittels Programmanalyse unbekannte Viren zu entdecken. In der Praxis ist das eine Gratwanderung zwischen Erkennungsrate und Fehlalarmrate; ist die Heuristik zu scharf eingestellt, kann sie u.U. ein harmloses Programm als verdächtig einstufen, was unbedarfte User sehr verunsichern kann.

Interessant, diese FAQ. Interessiert mich aber nicht, weil ich Linux benutze!
Auch Linux kann infiziert werden. Nur sind Windows-Viren weitaus mehr verbreitet. Grund ist u.a. auch der, dass Linux-User meist mit eingeschränkten Rechten im Internet surfen und ein eventueller Virus garnicht die Möglichkeit hat, groß Schaden anzurichten oder sich zu verbreiten. Bei Windows fehlt entweder ein entsprechendes Sicherheitskonzept komplett (Win 9x, ME), oder User surfen unter Administratorrechten.
Aber auch unter Linux gibt es durchaus Sicherheitslücken. Da aber MS-basierte Systeme und MS-basierte Programme derzeit noch am weitesten verbreitet sind, ist es logisch, dass sich Virenprogrammierer auf diese Programme konzentrieren und versuchen, diese Sicherheitslücken auszunutzen.
Allerdings haben auch andere Programme und Betriebssysteme (wie beispielsweise Linux, aber auch andere!) ihre Sicherheitslücken, die aber mangels Verbreitung derzeit noch nicht Hauptziel der Angriffe sind.
Einen interessanten Artikel kann man bei Virus Bulletin, die auch für die bekannten "VB 100%-Awards" verantwortlich sind, nachlesen.
Aber: Es gibt durchaus auch Viren für andere Betriebssysteme, als die von Microsoft! Nur die Verbreitung ist (noch) nicht so groß.

Ich hatte das AV-Programm X. Jetzt habe ich auf das Programm Y gewechselt. Aber irgendwie ist das System jetzt langsamer... ...?
Zuerst sollte überprüft werden, ob das alte AV-Programm richtig deinstalliert wurde. Die Deinstallationsroutinen mancher Programme haben den Namen nicht verdient und hinterlassen u.U. Treiberleichen, die weiterhin aktiv sind. Deswegen darauf achten, dass auch wirklich alle Dienste deinstalliert wurden (bei XP z.B. über "Computerverwaltung -> Dienste" überprüfbar).
Es sollte auch beachtet werden, dass manche schnellen AV-Programme weniger gründlich scannen als andere, langsamere Programme (will heißen: Programm X entpackt im Gegensatz zu Programm Y beispielsweise keine laufzeitkomprimierten Dateien).
Außerdem sollte überprüft werden, ob alle aktuellen Patches für das AV-Programm installiert sind.
JoJo
gute gemacht, gefällt mir smile.gif Für Anfänger in diesem Bereich sehr gut geeignet
Joerg
ZITAT(JoJo @ 14. Januar 2004, 10:44)
Für Anfänger in diesem Bereich sehr gut geeignet

Dafür ist sie auch gedacht, um grundlegende Fragen zu beantworten smile.gif
dragonmale
thumbup.gif
Sehr gut gemacht Joerg!
Heike
Mir gefällt sie auch sehr gut. smile.gif
Besonders wichtig finde ich die Aussage, dass man eben mit keinem AV-Programm zu 100% sicher ist. Ich denke, dies wird in der FAQ auch eindeutig gesagt und ist eigentlich nicht zu überlesen.
Die Hersteller versprechen ja oftmals Wunderdinge, die eben nicht zu halten sind, aber von Neulingen geglaubt werden.
forge77
Jo, nette FAQ, ich hab aber eine Frage zu folgender Passage:
ZITAT
Hinweis: Einige wenige Trojanerwächter sollen auch den RAM überwachen können und diese "Sicherheitslücke" schließen. Auch sollen vereinzelt Virenwächter angeblich diese Lücke schließen und Entpackvorgänge im Speicher erkennen. Das funktioniert aber zu 99,9% der Fälle nicht!


Sollen sich die 99,9% nur auf Virenwächter, oder auch auf die angesprochenen Trojanerwächter beziehen? Im zweiten Fall würde ich dem nämlich recht vehement widersprechen wollen... wink.gif
Joerg
Es bezog sich eigentlich nur auf die Virenwächter (ist ja auch eine AV-FAQ und keine AT-FAQ wink.gif ). Wenn die Passage allgemein unklar ist, kann ich sie ja noch abändern!

Grüße Jörg
Nautilus
@Joerg

Ich finde die FAQ auch gut. Die von Forge empfohlene Klarstellung wollte ich ebenfalls vorschlagen.

Ansonsten habe ich nur noch eine Anmerkung zu folgender Passage: "Alle Dateien" zu scannen ist beispielsweise bei einigen AV-Programmen per default (standardmäßig) aktiviert, aber unnötig." Ich könnte mir vorstellen, dass ein Scan aller Dateien z.B. in folgendem Fall Sinn ergibt. Es werden inzwischen häufig sog. Extension Creators benutzt. Diese erlauben es, ausführbare Programme nicht nur unter den üblichen Dateiendungen zu starten. Im Ergebnis kann also auch ein .html oder .jpg File gefährlich sein. Weiterhin lassen sich TrojanerDLLs beliebig umbenennen zum Beispiel in readme.txt und können dennoch injiziert werden. Deshalb sollte ein Scanner jedenfalls nicht nur Dateiendungen prüfen, wenn bestimmte Dateien nicht gescanned werden sollen.

Gruss ntl
Joerg
Das bedeutet, Du würdest allgemein ein Scan von allen Dateien bevorzugen, wenn der Scanner ansonsten nur stur nach Dateiendungen scannen würde?
Zur Verdeutlichung: Kann ein Wächter entweder nur "alle Dateien" oder nur "Dateien mit bestimmter Endung" scannen, ist "alle Dateien" zu bevorzugen; wenn ein Wächter zusätzlich eine Option wie "Scan all infectable", also auch die Dateien unabhängig von der Endung erstmal auf Infizierbarkeit überprüft, diese Option wählen.
Hört sich vernünftig an wink.gif

Grüße Jörg
Nautilus
@Joerg Solange ich nicht genau weiss, ob der Scanner die Dateien wirklich testet, ob sie ausführbar sind bzw. DLLs sind, würde ich vorsichtshalber alle Dateien scannen. Wenn der Scanner nur sagt, "scan all infectable" ist damit möglicherweise noch etwas anderes gemeint.

Gruss ntl
rock
hey,

wie wichtig ist es an und für sich eigentlich das ein virenscanner auch das discettenlaufwerk, entweder beim starten/hochfahren, oder sowie panda es macht beim runterfahren prüft?
das wollt ich am rande schnell auch fragen:
um welche windows demo cd ging es denn damals, und vorallem: da waren viren drauf, also mehrzahl. das ist aber schon stark.

gruss
rock ph34r.gif
Joerg
ZITAT(rock @ 14. Januar 2004, 21:52)
wie wichtig ist es an und für sich eigentlich das ein virenscanner auch das discettenlaufwerk, entweder beim starten/hochfahren, oder sowie panda es macht beim runterfahren prüft?
das wollt ich am rande schnell auch fragen:
um welche windows demo cd ging es denn damals, und vorallem: da waren viren drauf, also mehrzahl. das ist aber schon stark.

Die Prüfung des Diskettenlaufwerks beim Runterfahren hat wohl den Sinn, dass man evtl. eine Diskette im Laufwerk vergessen haben kann, und wenn dort ein Bootvirus drauf ist (und im Bios zuerst vom Diskettenlaufwerk gestartet wird), würde der PC beim nächsten Start u.U. infiziert werden.
Die CD damals war eine Info-CD an Journalisten, es waren dort mehrere Markoviren vorhanden (wenn ich mich richtig erinnere, gleich 3 verschiedene Exemplare). War irgendwann Ende der 90er Jahre.
rock
hey joerg,
danke für die info.

gruss
rock ph34r.gif
Grizzly
ZITAT(Joerg @ 14. Januar 2004, 22:23)
Die CD damals war eine Info-CD an Journalisten, es waren dort mehrere Markoviren vorhanden (wenn ich mich richtig erinnere, gleich 3 verschiedene Exemplare). War irgendwann Ende der 90er Jahre.

meinst du die Info-CD von BMW mit dem netten kleinen Nimda??

grizzly
Joerg
ZITAT(Grizzly @ 15. Januar 2004, 14:19)
ZITAT(Joerg @ 14. Januar 2004, 22:23)
Die CD damals war eine Info-CD an Journalisten, es waren dort mehrere Markoviren vorhanden (wenn ich mich richtig erinnere, gleich 3 verschiedene Exemplare). War irgendwann Ende der 90er Jahre.

meinst du die Info-CD von BMW mit dem netten kleinen Nimda??

grizzly

Nein, ich mein die Presse-CD direkt von Microsoft wink.gif Soweit ich weiß, hat Microsoft damals die Gefahr absichtlich runtergespielt... ich weiß aber nicht mehr, welche Makroviren da im Endeffekt drauf waren...

Grüße Jörg
Bo Derek
MS hat die erste Windows 95 Preview-CD auch mit Parity Boot ausgeliefert. Die Deppen von Escom hatten damals vor lauter Neugierde das neue Betriebssystem samt Virus auf den Produktionsserver gespielt. Ich will nicht wissen, wie viele Kunden damals einen neuen Escom-PC inkl. Virus bekommen haben!
Joerg
Damals wurde die Problematik von Viren eben teilweise noch nicht erkannt; erst durch die massenhafte Verbreitung von Viren, Würmern & Co. über das Internet wurde die breite Masse auf die möglichen Gefahren aufmerksam(er).
Natürlich hätten aber auch damals schon Firmen wie Microsoft, BMW oder Escom sich der möglichen Gefahren, die durch Viren ausgehen, bewusst sein müssen.

Hat eigentlich noch jemand was zum Posting von Nautilus (Alle Dateien scannen: ja/nein) zu ergänzen oder anzumerken? Wenn nein, würde ich bei Gelegenheit die FAQ noch anpassen wink.gif

Grüße Jörg
rock
also bei riesenapparaten von virenscannern, ich denk da aber nicht nur an norton mit 40 MB!! - auch andere geschütze, da fahr ich besser wenn der wächter "nur" ausführbare dateien scannt wenn ich surfe, ebenso sollte er aber jedenfalls komprimierte ordner/archive reinlesen können,...aber je nach dem...ein fullscan sollte schon ALLE dateien prüfen.

gruss
rock ph34r.gif
Joerg
Zur Info: Die FAQ wurde angepasst;
1. Die unklare Stelle, die forge77 angesprochen hat, wurde verdeutlicht. Die Stelle lautet jetzt wie folgt:

ZITAT
Hinweis: Einige wenige Trojanerwächter sollen auch den RAM überwachen können und diese "Sicherheitslücke" schließen. Auch sollen vereinzelt Virenwächter angeblich diese Lücke schließen und Entpackvorgänge im Speicher erkennen. Das funktioniert aber bei den Virenwächtern in 99,9% der Fälle nicht!


2. Der Hinweis von Nautilus wurde berücksichtigt. Die entsprechende Stelle wurde vorerst entfernt.

Grüße Jörg
TMC
thumbup.gif Danke für die FAQ.Inclusive der hier diskutierten Änderungsvorschläge auch für nen Rookie wie mich verständlich geschrieben.
Internetfan1971
ZITAT
Es werden inzwischen häufig sog. Extension Creators benutzt. Diese erlauben es, ausführbare Programme nicht nur unter den üblichen Dateiendungen zu starten. Im Ergebnis kann also auch ein .html oder .jpg File gefährlich sein.



Verstehe ich jetzt nicht bzw. wie Du das jetzt eigentlich genau meinst. Bilder wie Mein Haus.jpg sind doch nicht ausführbar. Außer ist halt eine Mein Haus.jpg.exe. Und diese .exe kann man ja standardmäßig leider nicht sehen.

Und wie arbeiten jetzt diese Extension Creators? Ich habe eine Datei wie Mein Haus.jpg.exe, aber ich kann sie aber auch nicht sehen wenn ich Dateinamenerweiterung bei bekannten Dateitypen ausblenden deaktiviert habe? Oder ist es wirklich Mein Haus.jpg sichtbar (unabhängig von der Einstellung) und ist in Wahrheit jetzt Mein Haus.exe?

ZITAT
Weiterhin lassen sich TrojanerDLLs beliebig umbenennen zum Beispiel in readme.txt und können dennoch injiziert werden. Deshalb sollte ein Scanner jedenfalls nicht nur Dateiendungen prüfen, wenn bestimmte Dateien nicht gescanned werden sollen.



Was sind überhaupt TrojanerDLLs und warum sind die so ein großes Problem?

Danke für die Auskunft! smile.gif
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.