Sharing is caring!

Wie arbeitet ein Virenscanner

und warum ich einen Wechsel von Sophos zu Bitdefender vollzogen habe

bitdefender-Antivirus

Im letzten Jahr setzte ich die Sophos Endpoint Protection ein, aber nachdem von Sophos vieles nicht erkannt wurde, zog ich einen Wechsel in Betracht.

So im vierten Quartal von 2016 kamen vermehr E-Mails mit einer vermeintlichen Rechnung rein. Diese Anhänge waren definitiv mit Javascripten verseucht.

Ein kurzer Test bei https://virustotal.com zeigte mir, dass diese Scripte den Rechner verschlüsseln würden.

Selbst als ich die Datei auf meinem Rechner gespeichert habe und mit dem Sophos Virenscanner untersuchen lies, hat dieser nicht angeschlagen. Obwohl die Virendefinitionen topaktuell waren, gab es keinen Treffer.

Das gab mir zu denken.

Wie arbeiten Virenscanner eigentlich?

Erkennung durch eine Signatur

Normale Virenscanner arbeiten mit einer Signatur Erkennung. Sobald eine Schadsoftware erkannt wurde und von den Antivirenherstellern isoliert wurde, wird hierfür eine Virensignatur angelegt. Diese Signatur wird dann den Virenscannern als Update zur Verfügung gestellt. Ab diesem Zeitpunkt ist der Virenscanner in der Lage die Schadsoftware anhand der Signatur zu erkennen. Man kann sich die Signatur als virtuellen Fingerabdruck vorstellen.

Problematisch ist die Zeit in der die Schadsoftware noch nicht von den herstellen untersucht wurde. Denn dann besteht noch kein Schutz vor dem Schädling, da natürlich der Scanner die Signatur noch nicht kennt.

So ist der Scanner eine ganze Zeit blind gegenüber dem Schädling. Das ist auch ein Grund warum ich den Updatezeitraum des Virenscanners so oft und kurz wie möglich einstelle.

Einmal täglich ist einfach zu wenig!

Viel Hersteller sind mittlerweile dazu übergegangen, statt lokaler Definitionsdatenbanken, diese in der Cloud zur Verfügung zu stellen.

Dies ermöglichte den Herstellern eine weitere Erkennungsmöglichkeit

Erkennung durch eine Prüfsumme

Schädliche Dateien werden mit einer Prüfsignatur, einem sogenannten Hashwert, in die Datenbank eingetragen. So wird beim Scannen für jede Datei ebenfalls eine Prüfsumme errechnet und diese mit der Datenbank verglichen. Wurde der gleiche Hashwert berechnet, handelt es sich um die identische Datei und wird vom Virenscanner als Schädling erkannt.

Heuritische Erkennung – die Erkennung anhand eines Verdachtes

In dieser Art der Erkennung untersucht der Virenscanner anhand verschiedener Merkmale in einer Datei (zum Beispiel ungewöhnlicher Programmcode oder Befehle, die auch schon in anderen Schädlingen genutzt wurden). Trifft der Virenscanner auf ein Programm was einen solchen Befehl oder Programmcode nutzt, wird das Ausführen dieser Datei blockiert. Die Verwendung der Heuristischen Erkennung ist wesentlich Fehleranfälliger als die Signaturerkennung. Viele Viren- und Malwareprogrammierer testen ihre Schadsoftware gegen die Virenscanner und ändern gegebenenfalls den Code so um, dass diese nicht erkannt werden.

Ausführen in einer Sandbox

Eine Sandbox ist ein geschützter Bereich in dem Programme ausgeführt werden, ohne dass sie Zugriff auf das eigentliche System haben. Den Programmen wird vorgemacht, dass sie auf dem Rechner ausgeführt werden, aber in Wirklichkeit ist es eine Art simulierter Rechner.

Ist eine Schaddatei durch alle Prüfungen durchgekommen, ohne dass diese erkannt wurde, wird diese Datei in der Simulation ausgeführt. Wenn sich die vermeintliche Schadsoftware dann so verhällt wie sich ein Trojaner oder Virus, dann richtet sie am Rechner keinen Schaden an, da sie in der Regel nicht aus der Sandbox ausbrechen kann. Diese Art der Erkennung brachte die Hersteller von Antivirensoftware einen riesen Schritt weiter.

Viele neue Viren und Würmer, aber auch Spyware, Scareware und Ransomware, die der heuristischen Prüfung entwischen, können durch sie enttarnt werden. Allerdings ist auch diese Erkennungsart keine Garantie dafür, dass die Datei wirklich sicher ist. Die Entwickler von Schadsoftware sind nicht dumm und brachten ihrem Code bei, eine Sandbox zu erkennen.

Somit verhält sich die Schadsoftware in einer Sandbox komplett anders als auf einem Rechner.

Verhaltensanalyse

Die momentan letzte Bastion gegen die Schadsoftware.

Die Verhaltensanalyse beobachtet fortlaufend die Prozesse von ausgeführten Dateien. Verhält sich ein Prozess merkwürdig, dann wird dieser Prozess genauer untersucht. Der Virenscanner greift nicht sofort ein, sondern überwacht das Verhalten bis gewisse Sicherheitsverletzungen auftreten oder mehrere Verstöße auftreten.

Ein Beispiel: Ein bisher unbekannter Trojaner schaffte es durch die Signaturprüfung, der Erkennung durch den Hashwert und durch die Sandbox. Der Virenscanner hat diesen Trojaner also nicht erkannt. Der Trojaner schlägt auch nicht sofort zu, sondern wartet im Hintergrund darauf, dass er endlich zuschlagen kann. Nun ist der Tag gekommen und der Trojaner versucht nun mehrere Kontrollserver im Internet zu erreichen um den eigentlichen Schadcode über eine verschlüsselte Verbindung nachzuladen.

In der Regel können Virenscanner keine Verschlüsselten Verbindungen überprüfen.

Allerdings blieb dieses Verhalten vom Virenscanner nicht unbemerkt und er blockierte, wegen der Verhaltensanalyse, die Kontaktaufnahme des Schädlings zu den Servern im Internet.

Nur der Verhaltensanalyse ist es zu verdanken, dass der Trojaner letztendlich doch erkannt wurde.

Aber warum habe ich mich nun gegen Sophos entschieden?

Ich lasse es nur ungern bis zur Verhaltenserkennung kommen. Ich erwarte von einem Virenscanner, dass er Definitionen schnell in seine Datenbanken einpflegt und hier dauerte mir die Zeit zwischen auftreten und erkennen einfach zu lange.

Außerdem benötigt Sophos sehr viele Rechner Ressourcen und verlangsamt das System.

Wenn das nur einmal aufgetreten wäre, hätte ich mir keine Gedanken gemacht, aber das war bei sehr vielen Dateien so. Ich habe eine ganze Zeit die Dateien in meinem Postfach behalten und einen täglichen Scan durchgeführt. Aber diese Dateien wurde fast nie durch Sophos bemängelt.

So zog ich AV-Test zu Rate und sah, dass Bitdefender in mehreren Monaten immer zu den besten Virenscannern gehörte.

Also habe ich mir eine 30 Tage Testversion heruntergeladen und habe diesen auf meinem System installiert. Mir fiel dabei gleich auf, dass er sich auch in die verschlüsselten HTTPS Verbindungen einschalten konnte.

Mit der sogenannten Man in the midle Methode.

Hierbei baut der Browser nicht direkt die Verbindung zum Webserver auf, sondern verbindet sich mit dem Virenscanner und dieser baut die verschlüsselte Verbindung zum Server auf.

Browser verschlüsselt Verbindung zum Virenscanner – Virenscanner baut verschlüsselte Verbindung zum Server auf , leitet alles an den Browser weiter und scannt dabei die Verbindung.

Das war schon ein großer Pluspunkt für Bitdefender.

Als nächstes fiel mir die Möglichkeit auf, dass ich gewisse Verzeichnisse wie zum Beispiel Dokumente, Bilder und andere eigene Dateien sperren konnte. Dies macht es Trojaner schwerer diese Verzeichnisse zu verschlüsseln.

Der erste Scan zeigte mir dann auch gleich die Dateien in meinem E-Mail Postfach als Trojaner an, die Sophos bisher nicht erkannt hat.

Das war für mich Grund genug, dass ich den Virenscanner komplett gewechselt habe und Bitdefender Partner wurde.

bitdefender prtner logo

Nun werden meine Windowsrechner und auch meine Android Smartphones durch Bitdefender geschützt.

Du möchtest weitere Informationen zu Bitdefender?

Dann fülle einfach das Kontaktformular aus und ich setze mich mit Dir in Verbindung.

Kommentar verfassen