Antivirus Funktion einfach erklärt + Virensignaturen [Beginner]

Antivirus erklärt Hacking Series Ethical Hacking Steffen Lippke

Was ist ein Antivirus? Ist dieser sicher?

Dieser Post soll Dir einen Einblick in die Funktion und Möglichkeiten eines Antivirus-Programmes geben.

Was ist ein Antivirus?

Sophos - Antivirus erklärt Hacking Series Steffen Lippke
Sophos – Antivirus erklärt Hacking Series Steffen Lippke

Ein Antivirus-Programm (oder auch Virusscanner) ist ein Programm, welches Malware anhand von Virussignaturen erkennt. Die Software untersucht jede gespeicherte Datei auf Deinem Computer (Festplatte) und jede Datei, die neu auf Deinen Computer gelangt (Web, Mail, FTP, USB).

Was ist eine Malware?

Ein Zoom mit Malware - Antivirus erklärt Hacking Series Steffen Lippke
Ein Zoom mit Malware – Antivirus erklärt Hacking Series Steffen Lippke

Eine Malware (deutsch Schadprogramm) ist eine Software, welche eine unerwünschte Funktion mit sich bringt, die der Malware-Entwickler absichtlich eingebaut hat. Eine unerwünschte Funktion ist z. B. das Löschen aller Dateien auf der Festplatte, die Änderungen an Dateien oder die Verschlüsselung von Dateien.

  • Ein Trojaner überwachen Aktivitäten auf Deinem PC z. B. den Bildschirm oder Tastatur.
  • Ransomware: Nachdem Du Dir ein scheinbar harmloses Programm heruntergeladen hast, verschlüsselt die Ransomware im Hintergrund Deine Daten. Sobald das Programm fertig ist, fordert das Programm Dich auf für das Entschlüsseln zu bezahlen.
  • Ein Computer-Virus verbreitet sich mit menschlicher Hilfe z. B. von einem USB zu Deinem Laptop und von Deinem Laptop zu einem anderen USB. Dieser kann sich selbst kopieren.
  • Ein Wurm ist eine sich selbst verbreitende Software. Der Wurm nutzt Dein Mail-Programm und sendet sich selbst an alle Deine Kontakte.

Was ist Virus-Signatur?

Eine Virussignatur ist ein Erkennungsmerkmal einer Malware. Malware kann in verschiedenen Formen auftreten, trotzdem erkennt der Antivirus-Algorithmus gefährliche Code-Abschnitte.

Das Antivirus-Programm scannt Deinen Computer nach diesen Merkmalen ab. Der Antivirus vergleicht nicht die bekannten gefährlichen Code-Abschnitte mit Deinen Daten, sondern nutzt kryptografischen Hashs (der Fingerabdruck einer Datei).

Der Antivirus vergleicht die berechneten Hash-Werte mit denen der bekannten Hashes aus der Virus-Signatur-Datenbank. Damit kann der Scanner prüfen, ob sich in einem neuen (großen) Software-Paket sich ein bekannter Virus befindet.

Typen von Antivirus-Programmen

eset - Antivirus erklärt Hacking Series Steffen Lippke
eset – Antivirus erklärt Hacking Series Steffen Lippke

Im Internet findest Du Antivirus-Programme wie Sand am Meer. Aber welche Typen gibt es?

  • Lokale Installation: Ein Antivirenprogramm kann lokal auf Deinen Computer installiert sein. Das Programm untersucht andere Dateien, sobald Du diese herunterlädst oder ausführst. Für private Nutzer ist dies die beliebteste Art des Schutzes.
  • Server Scanning: Unternehmen nutzten zusätzlich zu der lokalen Installation eine Server-Anwendungen. Der Antivirus filtert die eingehenden Daten und stoppt sofort verdächtige Downloads.

Scan-Methoden

Die Antivirus-Anbieter verwenden unterschiedliche Strategien zum Scannen. Manche Anbieter unterteilen jede Datei in kleinere Datenblöcke und berechnen von den einzelnen Abschnitten den Hash.

Das Programm kann spezifisch, generisch oder heuristisch scannen, je nachdem welches Antivirenprogramm Du nutzt. Die bekannteste Variante ist das spezifische Scannen.

  • Spezifisch: Der Antivirus sucht nach den bekannten Virussignaturen, die vorher schon jemand als schädlich klassifiziert und veröffentlicht hat. Beim spezifischen Scan prüft der Antivirus alle eingehende Datenströme:
    • Downloads von Firefox
    • Herunterladen von Bildern in einer Mail oder auf einer Webseite
    • Übertragung von Dateien von einem USB-Stick
    • Datenstrom einer FTP-Verbindung
    • Windows-Update-Stream
  • Generisch: Das Programm sucht nach ähnlichen Virensignaturen (Abwandlungen)
  • Heuristisch: Der Antivirus überwacht das Verhalten eines Programms bei der Ausführung. Je nach Verhalten klassifiziert das Programm, diesen als schädlich oder harmlos. Mit dieser Methode kann das Schutzprogramm neue Viren erkennen. Basierend auf einer Künstlichen Intelligenz und ein Trainings-Datensatz kann das Antiviren-Programm das Verhalten des neuen Programms korrekt interpretieren.

Scan-Strategien

Jeder Hersteller und Nutzer geht beim Scannen mit einer solchen Software anders vor. Die bekanntesten Strategien sind die Echtzeit-, die Manuelle- und die Online-Strategie.

  • Echtzeit: Ein Hintergrund-Dienst der Software scannt jegliche Dateien sofort, wenn diese über E-Mail, Downloads, HTTPs, FTPs usw. den Computer erreichen.
  • Manuell: Der Nutzer startet ein Scan-Prozess für eine Datei oder Verzeichnis. Bei Fund erscheint eine Warnmeldung, Löschen, Quarantäne und Reinigung der Malware vom Computer.
  • Online: Diese Strategie funktioniert wie die manuelle Strategie, nur dass dieser viele verschiedene Virenscanner-Software gleichzeitig abfragen (z. B. VirusTotal)

Umfang des Schutzes

Eine solche Software ist kein Freifahrtschein für alle Aktivitäten im Internet. Der folgende Abschnitt erklärt, welche Versprechen der Hersteller echt sind

Davor schützt ein Antivirus

Der Antivirus schützt Dich in erster Linie vor Malware, die bekannt sind. Auf der Welt wurde mindestens 1 Computer mit Malware infiziert. Der Betroffene hat den Vorfall an den Hersteller gemeldet. Alle anderen Computer mit geupdateten Virus-Signaturen sind geschützt.

Tritt der Fall ein, dass Du einen nicht gemeldete Malware herunterlädst, kann Dich die Malware trotz eines Antivirus-Programms infizieren. Manche Hersteller warnen Dich pauschal bei einem unbekannten Softwarepaket

Der Antivirus kann unbekannte Software mit einer „Künstlichen Intelligenz„, Heuristiken oder Sandboxing untersuchen. Diese Verfahren können erfolgreich sein (Malware korrekt erkennen), aber auch zu Falsch-Meldungen bei harmloser Software führen.

Davor schützt ein Antivirus NICHT

Antivirensoftware erkennt nur etwa 45 % aller Angriffe!

Symantec-Vizechef Brian Dye

Die meisten Antivirusprogramme basieren auf den Virussignaturen (Echtzeit-spezifisch).

Wenn Du Dein Antivirus aktuell mit den neusten Signaturen hältst, dann kann der Antivirus Dich nur noch vor alter Malware schützen. Wichtig ist, dass kein drittes Programm (absichtlich / unabsichtlich) den Update-Prozess des Antivirus-Programms unterdrückt oder falsche Informationen dem Antiviren-Scanner zu sendet.

Hat es ein Hacker auf Deine Person abgesehen und sendet Dir eine Malware „extra für Dich“ zu, dann stehen die Chancen schlecht (Spear Phishing). Hinter frage jeden E-Mail-Anhang, der Dich erreicht!

Signaturen sind keine Wunderwaffe

Problem: Neue Viren und Würmer findet ein normaler Virus nicht.

Signaturen-Mist

Polymorphe Viren haben keine eindeutige Signatur / Hash-Wert. Die Kriminellen haben einen Virus entwickelt, welcher sich selbst verändern kann.

Der Antivirus kann Signaturen ermitteln, aber diese variieren von Gerät zu Gerät und von Zeitpunkt zu Zeitpunkt. Die Hersteller versuchen mit unscharfen Hashes zu arbeiten, die nicht empfindlich gegenüber kleinen Veränderungen sind.

Effektiver 7-Schritt Schutz vor Malware

Wie kannst Du Dich trotzdem als Normalsterblicher vor Hackerangriffen durch eine Malware schützen?

#1 Basisschutz aktivieren

Obwohl ein Antivirus-Programm nicht alle Malware findet, solltest Du trotzdem eines verwenden. Das gilt für Windows, Linux oder Mac. So findest Du den Großteil der Computer-Viren, die schon bekannt sind.

#2 Alte Software updaten

Denke daran, alle Deine Programme auf Deinem PC aktuell zu halten. Am einfachsten hältst Du den Computer über ein automatischen internes Software-Updater wie in Firefox aktuell oder Du nutzt eine Package-Manager Windows (Chocolatey), Debian (Apt) und Linux (Homebrew).

Packet Manager in Ubuntu - Antivirus erklärt Hacking Series Steffen Lippke
Packet Manager in Ubuntu – Antivirus erklärt Hacking Series Steffen Lippke

Viele IT-Unternehmen müssen Ihre Programme erneuern, damit der neue Release die Fehler und Sicherheitslücken in der alten Version schließen kann.

#3 Einfallstor Betriebssystem

Update Dein Betriebssystem: Viele Kriminelle versuchen in Windows, Mac und Linux Schwachstellen zu finden, weil Sie damit den größten Schaden anrichten können. Wenn Du eine Sicherheitslücke in Windows findest, hast Du einen Zugang zu 1,5 Milliarden Computern gefunden.

#4 Keine „Ausnahmen“

Selbst auf Linux oder macOS bist Du nicht für Hacker geschützt.

Installiere Programme und Apps nur aus vertrauenswürdigen Quellen. Ein offizieller App-Marktplatz ist keine Garantie für Malware Freiheit. Der Store verkauft den Nutzer Malware, ohne dass der Herstller davon etwas mitbekommen hat.

#5 Neue Software sicher nutzen

Wenn Du ein neues Programm brauchst, lade Dir die Dateien nur bei den bekannten Download-Plattformen herunter.

#6 Mails

Hinterfrage jeden E-Mail-Anhang – egal von wem. Ein Excel-Makro, eine verschlüsselte Zip oder eine Jar-Datei kann schneller Deinen Computer infizieren als Du glaubst.

#7 Letzte Rettung

Sichere alle Deine Daten in einem regelmäßigen Rhythmus z. B. jeden Freitag.

Backup ist ein Muss - Antivirus erklärt Hacking Series Steffen Lippke
Backup ist ein Muss – Antivirus erklärt Hacking Series Steffen Lippke

Entferne das Kabel der Backup-Festplatte von Deinem Computer nach dem Backup, sonst hast Du den Virus auf der Backup-Festplatte auch „gesichert“.

Antivirus für Fortgeschrittene – Sandboxing

Eine Sandbox ist ein isoliertes Betriebssystem in einer virtuellen Maschine. Der Dateispeicher und Hauptspeicher sind getrennt, sodass die Malware nur die virtuelle Maschine und nicht die Host-Maschine zerstört.

In einer Sandbox kannst Du nicht vertrauenswürdige Software öffnen und testen. Die Sandbox überprüft und überwacht das Verhalten der Malware. In einer Sandbox kannst Du sicher, Anhänge öffnen.

Moderne Antiviren-Programme nutzten das Sandboxing, um schadhafte E-Mail-Anhänge zu filtern, bevor die Mail im E-Mail-Eingang laden kann. Die Software führt die Anwendung in der virtuellen Maschine aus oder öffnet das Dokument. Dann wartet das Programm und protokolliert das Verhalten des Programms.

Bei ungewöhnlichen und ungewollten Aktivitäten kann der Analyst das neue Programm als Malware einstufen. „Seltsame“ Aktivitäten sind z. B. …

  • Änderungen an der Windows Registery
  • Aufrufe von entfernten IPs direkt nach dem Start
  • Änderungen an System-Dateien
  • Verschlüsselungsalgorithmen
  • Änderungen in den Einstellungen (generell)
  • Dateioperationen

… bewertet der Antivirus als gefährlich oder harmlos. Je mehr Aktivitäten seltsam sind, desto eher schätzt der Antivirus die Software als Malware ein.

Mehr zu Sandboxing findest Du in dieser Erklärung

Nice to know:

Personaler erhalten von vielen Unbekannten E-Mails mit Anhängen. Damit diese sich die Bewerbungsunterlagen ansehen können, müssen diese die Anhänge öffnen. Nicht jeder Bewerber ist ein Bewerber, sondern ein Krimineller der Schaden verursacht.


Danke fürs Lesen! Erhalte weitere Tutorials in meinem kostenlosen Newsletter.
Jeden Monat teile ich mit Dir 4 neue praxisnahe Tutorials.
Trage Deine Mail zum kostenlosen Empfang des Newsletters* ein.




Quellenangabe Bilder: Icons und SVG-Grafiken im Titelbild von Microsoft PowerPoint 2019, frei verfügbar nach EULA
*) Mit dem Abonnement des Newsletters erklären Sie sich mit der Analyse des Newsletters durch individuelle Messung, Speicherung und Analyse von Öffnungsraten und der Klickraten in Profilen zu Zwecken der Gestaltung künftig besserer Newsletter einverstanden. Sie können die Einwilligung in den Empfang des Newsletters und die Messung mit Wirkung für die Zukunft widerrufen. Mehr in der Datenschutzerklärung.

Kommentare 1

  • Es gibt konkurrierende Anspruche, wer der Erfinder des ersten Antivirenprogrammes ist. Die wahrscheinlich erste offentlich dokumentierte Entfernung eines Computervirus wurde von Bernd Fix im Jahr 1987 durchgefuhrt. in der vor allem uber das Auftauchen neuer Viren sowie die Moglichkeiten zur Virenbekampfung diskutiert wurde. Einige Teilnehmer dieser Liste wie zum Beispiel John McAfee oder Eugene Kaspersky grundeten in der Folge Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon Arcen Data (heute Norman ASA ) gegrundet worden, das sich Ende der 19r Jahre, mit dem Auftauchen der ersten Computerviren in Norwegen, ebenfalls auf Antivirenprogramme spezialisierte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Jeden Monat teile ich mit den Mitgliedern
4 neue praxisnahe ausführliche Tutorials (je 1000+ Wörter).


Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Website nutzt nur technisch notwendige Cookies.