Die komplette Wahrheit über Viren & Co.

Montag, 7. September 2020

Sie haben sicher schon mehrmals Websites besucht, für die empfohlen wird, SpIDer Gate oder die Komponente Kinderschutz in Dr.Web Security Space zu deaktivieren, um Ressourcen besuchen zu können, die von unserem Antivirus gesperrt werden.

Auf einigen Websites wird empfohlen, eine von Dr.Web gesperrte Datei mit einem Multiscanner (z.B. VirusTotal) zu scannen, falls Sie vermuten, dass die Datei, die Sie herunterladen möchten, harmlos ist. Diejenigen, die solche Empfehlungen geben, lassen einige Aspekte des Virenschutzes außer Acht.

Was ist ein Multiscanner? Bei Multiscannern handelt es sich um Websites (Dienste), auf denen eine Datei mit mehreren Virenschutzprogrammen zugleich gescannt wird. Der populärste (aber nicht der einzige) Multiscanner ist VirusTotal. Man kann die Prüfsumme einer Datei statt der Datei selbst angeben. In diesem Fall erhalten Sie ein Ergebnis, falls eine Datei mit dieser Prüfsumme bereits zuvor gescannt wurde.

Legale Multiscanner leiten neue bösartige Dateien an Virenschutzhersteller weiter. Illegale Multiscanner machen dies natürlich nicht.

Wie funktioniert ein Multiscanner? Der Multiscanner erhält die zu prüfende Datei und leitet sie an einen Antivirus weiter. Dabei wird die Datei nicht ausgeführt. Es wird nur geprüft, ob sie den Virendatenbanken bekannt ist. D.h. wenn ein typischer Verschlüsselungstrojaner nicht in Signaturdatenbanken eingetragen ist und durch heuristische Analyse nicht erkannt werden kann, wird er als harmlos eingestuft. Übrigens konnten wir WannaCry mit unserem heuristischen Analysetool erkennen, das wir seit 1994 entwickeln und ständig optimieren.

Das Urteil eines Multiscanners basiert ausschließlich auf der Prüfung, ob die gescannte Datei den Virenschutzprogrammen bekannt ist. Es kann also nicht garantiert werden, dass die Datei wirklich virenfrei ist.

Gehen wir näher auf die Frage ein.

1. Auch Virenschreiber nutzen Multiscanner – Bevor neue Viren freigesetzt werden, werden sie auf Erkennbarkeit geprüft. Neue Virenmuster werden mit allen bekannten Antivirenprogrammen gescannt. Dies bedeutet, dass ein neuer Virus eine Zeit lang von keinem Antivirus erkannt wird.
2. Die Prüfung beruht auf dem Scan mithilfe von Virendatenbanken. Kann man sich heutzutage nur auf Virendatenbanken verlassen? Würde ein weiterer WannaCry erscheinen, könnte eine Katastrophe ausbrechen, bevor Virenanalysten den neuen Virus in Virendatenbanken eintragen. Zusätzlich zu Virendatenbanken entwickeln Virenschutzhersteller schon seit langem verhaltensbasierte Technologien, unter anderem Präventivschutz-Technologien, die es ermöglichen, ein Schadprogramm an seinem Verhalten nach dem Start zu erkennen.
3. Packer. Eine bösartige Datei könnte mit einem dem Virenscanner unbekannten Packer in ein Archiv gepackt werden. In diesem Fall ist der Virenscanner nicht in der Lage, das bösartige Objekt zu entdecken und mit den vorhandenen Signaturen zu vergleichen. Was bedeutet dies? Mehrmals gepackte Viren oder Viren, die durch noch nicht allen Virenscannern bekannte Packer gepackt werden, werden von einem Multiscanner oder von einigen im Multiscanner verwendeten Virenscannern nicht als schadhaft eingestuft. Übrigens haben wir eine Technologie entwickelt, die es ermöglicht, bösartige Objekte in Dateien zu erkennen, die mit einem unbekannten Packer gepackt wurden.
4. Vertraulichkeit. Angenommen, Sie erhalten eine seltsame E-Mail, die angeblich von Ihrem Vorgesetzten stammt. Die E-Mail sieht verdächtig aus und Sie möchten sie mit einem Multiscanner scannen. Die Datei wird gescannt und als virenfrei eingestuft. Aber wissen Sie, an wen Sie die Datei weitergeleitet haben? Einige Multiscanner leiten Dateien, die von keinem Antivirus als bösartig erkannt werden, automatisch zu einer sorgfältigeren Analyse an Virenlabors weiter – Dies ist normal. Aber Sie möchten nicht, dass Ihr internes Dokument an Dritte weitergeleitet wird und möglicherweise gegen Ihren Arbeitgeber ausgenutzt wird, nicht wahr?

Und noch eine interessante Geschichte: Vor einigen Jahren packte ein bekannter Virenschutzhersteller den Windows-Taschenrechner mehrmals, markierte die Datei als bösartig und sendete sie an VirusTotal, um zu beweisen, dass einige weniger bekannte Virenschutzhersteller von ihm erkannte bösartige Dateien stehlen. Nach wenigen Minuten begannen weitere Virenscanner, die Microsoft-Datei als schadhaft einzustufen.

Wir behaupten keinesfalls, dass Multiscanner nutzlos sind. Aber man sollte sich nicht nur auf sie verlassen. Virenscanner gehören der Vergangenheit an. Heutzutage reichen Virenscanner allein nicht mehr aus – Man braucht einen Komplex von Technologien wie Dr.Web.

#Dr.Web #Virenscan #Infektionsmerkmale #Technologien