Am 4. Mai 2000 verbreiteten zwei philippinische Informatikstudenten einen Computerwurm mit dem Namen ILOVEYOU. Innerhalb von einer Woche hatte sich der Wurm in der ganzen Welt ausgebreitet, etwa 50 Millionen Computer infiziert und das Pentagon, die CIA sowie das britische Parlament dazu gezwungen, ihre E-Mail Systeme herunterzufahren, um den Wurm wieder los zu werden. Der weltweit angerichtete Schaden wurde auf etwa 5,5 Milliarden US-Dollar geschätzt. Zahlen wie diese verdeutlichen, welche Gefahr von an sich unscheinbaren Programmen ausgehen kann und wie wichtig es ist, sich so weit wie möglich dagegen zu schützen. Zu diesem Zweck gibt es sogenannte Anti-Viren-Programme. Um zu verstehen, wie diese arbeiten, ist es nötig, zuerst die Funktionsweise der Programme zu erklären, die von ihnen bekämpft werden.
Was ist ein Virus?
Im Volksmund hat sich der Begriff “Computervirus”, oder auch nur “Virus” eingebürgert, dies bezeichnet jedoch nur eine Unterart bösartiger Schadprogramme. Ein Virus kann sich nicht alleine verbreiten sondern benötigt ein anderes Programm, einen sogenannten Wirt, an das er sich anhängt und mit dem er zusammen verbreitet wird. Wird die Datei auf einem Computer geöffnet, aktiviert sich der Virus und infiziert das System, so dass auch andere Dateien auf dem Rechner, die zuvor virenfrei waren, nun den Virus mit sich tragen.
Verbreiteter sind heutzutage jedoch sogenannte Würmer, wie der oben genannte ILOVEYOU Wurm. Diese benötigen keinen Wirt, sondern verbreiten sich selbstständig über Netzwerke und E-Mail Programme.
Daneben gibt es eine Vielzahl weiterer Schadprogramme, die alle darauf angelegt sind, unerkannt auf das System des Benutzers zu gelangen und dort gegebenenfalls schädliche Funktionen auszuführen.
Die Anfänge der Antiviren-Software
Die ersten Programme zur Entfernung von Computerviren wurden bereits Ende der 80er Jahre entwickelt. Da sich Viren zu dieser Zeit hauptsächlich über Datenträger wie Disketten ausbreiteten, wurden von diesen Programmen zunächst nur ausführbare Dateien sowie die Startsektoren der Festplatte und des Datenträgers überprüft. Mit der zunehmenden Verbreitung des Internets sowie der Entstehung neuer Arten von Viren, die sich zum Beispiel an ausführbare Befehlsabfolgen in Textdokumenten, sogenannte Makros, oder auch an E-Mails hängen konnten, wurde eine umfassendere Art der Prüfung notwendig.
Moderne Anti-Viren-Programme arbeiten meist auf zwei Ebenen, um eine möglichst große Schutzwirkung zu erzielen. Ein sogenannter Echtzeitscanner führt im Systemhintergrund kontinuierliche Überprüfungen aller Dateien durch, die geöffnet oder verändert werden, inklusive E-Mail Anhänge. Zusätzlich werden in vom Benutzer festgelegten regelmäßigen Abständen komplette Untersuchungen des gesamten Systems durchgeführt.
Nur bekannte Viren lassen sich behandeln
Damit Viren und andere Schadprogramme von Anti-Viren-Programmen überhaupt entdeckt werden können, muss dessen Signatur bekannt sein. Damit wird das Erkennungsmuster bezeichnet, mit dem Viren sich selber erkennen können, um zu wissen, ob eine Datei bereits infiziert worden ist oder noch nicht. Diese Signaturen ermöglichen den Entwicklern von Anti-Virus-Software, ihre Programme auf Signaturen bekannter Viren und Würmer zu trainieren, so dass diese erkannt und unschädlich gemacht werden können.
Da jedoch täglich neue Schadprogramme entwickelt und verbreitet werden, kann diese Methode auch bei regelmäßigen Aktualisierungen des Anti-Virus-Programms nie eine vollständige Sicherheit gewährleisten. Aus diesem Grund haben die Hersteller begonnen, präventive Erkennungsmaßnahmen in ihre Programme zu integrieren. Diese suchen nach allgemeinen Verhaltensmustern von Schadprogrammen oder überwachen die auf dem Computer installierten Programme und schlagen Alarm, wenn diese sich aufgrund eines Befalls mit Schadprogrammen anders als gewohnt verhalten.
Foto: so47 – Fotolia
Mo, Aug 8, 2011
Allgemein