Es ist der Schutzengel Ihres Computers: Es hält ihn fit, schützt ihn vor Viren und repariert die von Viren verursachten Schäden. Heute geht es nicht mehr ohne. Aber wie werden die Viren erkannt und eliminiert? Warum sollten Sie den Virenschutz stets aktualisieren? Können alle infizierten Dateien repariert werden? Hier erhalten Sie einen Einblick in diese wichtige Anwendung.

Verschiedene Schutzmechanismen

Ob im Bedarfsfall oder im Hintergrund, der Virenschutz ist auf verschiedene Art für Sie tätig. Das gängigste Verfahren ist die umfassende Prüfung des gesamten Computers. Bei der Prüfung, die entweder auf Benutzeranforderung oder in regelmäßigen Abständen automatisch ausgeführt wird, werden alle Dateien nacheinander auf Viren geprüft. Dieses Verfahren ist besonders effizient, wenn Sie vermuten, dass eine Infektion vorliegt. Sie können alle oder nur einen Teil Ihrer Dateien prüfen und die Prüfung z. B. auf die Dateien auf einer Diskette beschränken.

Während der Prüfung sucht der Virenschutz mit Hilfe seiner Signaturdatenbank nach Virenspuren. Wie jedes ausführbare Programm, bestehen auch Viren aus Code. Jedes Mal, wenn ein Virus entdeckt wird, zeichnen die Virenschutzanbieter so genannte Signaturen auf und übernehmen sie in ihre Softwaredatenbank. Eine Signatur besteht aus einer Zeichenfolge, die für den Benutzer unverständlich ist und nur vom Computer gelesen werden kann.

Beispiel: X5O!P%@AP[4PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Wenn Sie diese Zeilen in eine Textdatei kopieren und als ausführbare Datei mit der Erweiterung .com speichern, erkennt Ihr Virenschutz diese Datei als Virus, da sich der Code in seiner Datenbank befindet.

Überwachung in Echtzeit

Mit der Prüffunktion können Sie jederzeit den Ist-Zustand Ihres Systems prüfen. Um ununterbrochenen Echtzeitschutz zu gewährleisten, setzt der Virenschutz vorsorglich ein weiteres Verfahren ein: Hintergrundüberwachung. Diese auch als Überwachungsmodul bezeichnete Virenschutzfunktion ist stets aktiv, ohne dass Sie etwas davon merken. Sie überwacht alle auf dem Computer eingehenden und ausgehenden Dateien und analysiert jedes neue Dokument, das auf einer Diskette oder CD-Rom abgelegt, heruntergeladen oder per E-Mail gesendet wird. Durch die ununterbrochene Überwachung werden verdächtige Dateien sofort erkannt. Wie die Prüffunktion, verwendet auch das Überwachungsmodul die Signaturdatenbank. Wird diese nicht nicht aktualisiert, bleiben neueste Bedrohungen vom Virenschutz unerkannt.. Dennoch aktualisieren viele Benutzer ihren Virenschutz nicht oder nicht häufig genug. Eine zu späte Aktualisierung kann aber fatal sein: Ende August sind innerhalb nur einer Woche drei auf Level 3 und 4 eingestufte Viren aufgetaucht. Hinzu kommt ein weiteres Problem: die Verbreitung von polymorphen Viren, deren Signatur sich bei jeder Infektion ändert. Viren dieser Art sind nur schwer anhand von Signaturen zu erkennen.

Für dieses Problem haben die Virenschutzanbieter ein heuristisches System entwickelt. Dieses System, das nicht auf Signaturen zurückgreift, nutzt Technologien der künstlichen Intelligenz, um Viren aufzuspüren. Es erkennt Muster, die bei einer “gesunden” Anwendung als anormal gelten.

Beispiel: Wenn Sie ein normales Programm starten, sucht es nach Befehlszeilenoptionen. Bei Viren ist das anders. Sie suchen nach ausführbaren Dateien, um sich zu vervielfältigen, versuchen direkt auf die Festplatte zu schreiben oder (im Fall von polymorphen Viren) ihren zunächst verschlüsselten Code zu entschlüsseln, usw. Wenn der Virenschutz eine Anwendung mit mehreren Anormalitäten findet (wie zum Beispiel eine Anwendung, die einen Code für die Formatierung der Festplatte enthält), wird ein Virusalarm ausgelöst. Der Virenschutz kann auf diese Weise Viren abwehren, die unbekannt sind oder für die in der Datenbank noch keine Signatur enthalten ist. Falsche Virenwarnungen, wie sie bei dieser Methode auftreten können (z. B. wenn eine Formatiersoftware für einen Virus gehalten wird), werden durch die gleichzeitige Verwendung anderer Tools, wie der Integritätsprüfung auf ein Minimum reduziert. Dieses Tool überwacht bestimmte konstante Werte einer Software (wie die Größe, das Erstellungsdatum usw.). Ändern sich diese Daten, liegt ein Virus vor.

Schnellreparatur

Aufgespürte Viren werden als erste Maßnahme isoliert, damit sie sich nicht weiter verbreiten können. Anschließend wird versucht, den Viruscode zu löschen und eventuell entstandene Schäden zu beheben. Dies ist möglich, wenn sich der Virus durch Anhängen seines Codes an den Programmcode vervielfältigt hat. Bei einigen Viren, die die gesamten Dateien infizieren, ist eine Wiederherstellung nicht möglich. In diesem Fall isoliert der Virenschutz die Datei und schlägt vor, dass der Benutzer sie löscht.