Unter der Haube gibt es bei Antivirus-Tools viele Unterschiede.

Als erster PC-Virus gilt der Schädling Brain von 1986, der aber keine ernsthafte Schadensroutine besaß. Die gab es dann 1987 mit dem Schädling Vienna, der Dateien auf dem befallenen PC zerstörte. Gegen Vienna hat im selben Jahr der deutsche Programmierer Bernd Fix ein Reinigungsprogramm entwickelt. Dieses Programm kann als erstes Antivirenprogramm gelten. Tatsächlich aber streiten sich die Hersteller von Antivirentools, wer das erste Antivirenprogramm angeboten hat. Heutzutage gibt es weit über 20 Antivirenpakete. Wie diese grundsätzlich funktionieren, erfahren Sie in diesem Beitrag.

Siehe auch:  Antivirus-Software für Windows 10 im Test

1. Scanner

Der Scanner ist das Herzstück eines jeden Antivirenprogramms. Es ist das Modul, das nach Schädlingen im System sucht. Diese Arten von Virenscannern gibt es: 

Virenwächter

Hier sehen Sie den Hexdump eines Bootsektors, der mit dem PC-Virus Brain infiziert ist. Brain gilt als erster PCVirus, der in freier Wildbahn aufgetaucht ist. Er heißt so, weil er den Namen des Datenträgers in Brain ändert.

Das macht es: Jedes komplette Antivirenprogramm bietet einen Virenwächter, auch Echtzeitscanner genannt. Er prüft eine Datei in dem Moment, in dem Sie darauf zugreifen. Der Echtzeitscanner untersucht die Datei mit bestimmten Methoden (siehe dazu auch Scantechniken). Sollte er zu dem Schluss kommen, dass er eine schädliche Datei entdeckt hat, blockiert er die Ausführung dieser Datei, damit sie keinen Schaden am System anrichten kann. In der Regel wird sie in einen Quarantänebereich des Antivirenprogramms verschoben. Sie als Nutzer erhalten eine Warnung vom Antivirentool und können nun meist entscheiden, ob die Datei gleich gelöscht werden soll, ob sie in Quarantäne verbleiben soll oder ob sie doch weitermachen darf.

Darauf sollten Sie achten: Diese Meldung ist sehr wichtig, lassen Sie sich alle Informationen anzeigen, die Ihnen das Antivirenprogramm bietet. Denn es kommt häufig zu sogenannten Fehlalarmen. Das heißt, eine harmlose Datei wird als Virus eingestuft. Diesen Fehler aufzudecken, sind Sie dann gefragt. Ist die Einstufung plausibel? Melden auch andere Antivirentools die Datei als schädlich? Machen Sie die Probe aufs Exempel und lassen Sie die verdächtige Datei von einem –› Online-Virenscanner prüfen. Kommt auch dieser zu dem Ergebnis, dass es sich um einen Schädling handelt, wissen Sie sicher Bescheid.

Manueller Scanner

Das Kaspersky Removal Tool ist ein Dateiscanner, mit dem Sie einen Computer auf Schädlingsbefall prüfen können. Vor dem Scan wird automatisch auch der Arbeitsspeicher des Systems auf Viren geprüft. Einen Virenwächter gibt es nicht.

Das macht es: Diesen Scanner starten Sie bei Bedarf oder nach einem festen Zeitplan. Er untersucht alle Dateien in einem Ordner oder auf einer Festplatte. Jedes komplette Antivirenprogramm bietet auch einen manuellen Scanner. Jahrelang gab es diese Scanner auch als einzelnes Programm ohne weiteren Echtzeitscanner. Sie dienten zur einmaligen Überprüfung des Systems. Inzwischen wurden diese Tools überwiegend durch sogenannte Removal-Tools, wie etwa das Kaspersky Removal Tool ersetzt. Sie erledigen aber im Grunde den gleichen Job.

Darauf sollten Sie achten: Ihr installiertes Antivirenprogramm bietet an, regelmäßig den kompletten Rechner mit dem manuellen Scanner zu überprüfen. Dies ist zwar etwas lästig, weil diese Untersuchung bei einer großen Datenmenge einige Zeit dauert, sie ist aber sinnvoll. Denn zwischen den Herstellern von Antivirensoftware (AV-Software) und den Verbreitern von Viren gibt es ein Rennen. Die Verbreiter versuchen, schneller neue Viren auf die PCs zu bringen, als die AV-Hersteller diese erkennen können. Und das gelingt ihnen auch immer wieder. So kann ein Virus auf Ihrem Rechner trotz Antivirenprogramm aktiv werden. Hat der AV-Hersteller nach ein oder zwei Tagen den Schädling in seine Virendatenbank aufgenommen, kann er nun vom manuellen Scanner bei einem Suchlauf nachträglich entdeckt werden.

Wie oft Sie den Scanner über Ihren PC laufen lassen sollten, hängt davon ab, wo und wie oft Sie im Internet unterwegs sind. Ein wöchentlicher Scan ist ein guter Richtwert.

Online-Virenscanner

Zweite Meinung einholen: Sollte Ihre Antivirensoftware eine vermutlich harmlose Datei als Virus melden, können Sie auf www.virustotal.com eine zweite Meinung einholen. Dort wird die Datei von rund 70 Scannern geprüft.

Das macht es: Aktuelle Online-Virenscanner bieten Ihnen die Möglichkeit, einzelne Dateien auf einen Server hochzuladen und diese von einem manuellen Scanner auf Schädlichkeit prüfen zu lassen. Das geht meist mit zwei oder drei Klicks. Untersucht werden die Dateien in der Regel von mehreren Virenscannern. So bekommen Sie eine gute Einschätzung, ob die Datei gefährlich ist oder nicht. Der Online-Virenscanner ist ideal, wenn Sie sich bei einer Datei nicht sicher sind, ob diese wirklich gefährlich ist. Beispiele sind www.virustotal.com , https://virusscan.jotti.org und https://metadefender.opswat.com , wobei Virustotal der umfangreichste Dienst ist.

Darauf sollten Sie achten: Nutzen Sie etwa www.virustotal.com mit seinen rund 70 Scannern, müssen Sie beachten, dass einige davon sehr sensibel eingestellt sind. Sie melden eine Datei bereits als verdächtig, wenn diese nicht ganz eindeutig harmlos ist. Meistens ist es die eingebaute –› Heuristik eines Virenscanners, die schon kleinste Codebestandteile als Bedrohung einstuft. Entsprechend gilt für die Bewertung der Ergebnisse Folgendes: Wenn lediglich wenige Scanner einen Virus melden, beispielsweise ein bis fünf Scanner, könnte das auch ein Fehlalarm sein.

Sonstige Scanner

Das macht es: Neue Bedrohungen machen immer wieder neue Scanner und Scantechniken erforderlich. Als etwa Schädlinge der Art Rootkit aufkamen, konnten bisherige Scanner diese rein technisch nicht erkennen. Denn der AV-Scanner benutzt die üblichen Zugriffsmöglichkeiten des Betriebssystems auf eine Datei. Ein Rootkit konnte das Betriebssystem allerdings austricksen und sich für das System und damit auch für den Virenscanner unsichtbar machen. Die AV-Hersteller entwickelten im Folgenden Rootkit-Scanner, die sie zusätzlich in ihre Antivirenprogramme einbauten. Ähnliches geschah beim Aufkommen von Ransomware, die Anwenderdateien verschlüsselt.

Um diese Schädlinge besser zu erkennen, wurden Scanner entwickelt, die einen Verschlüsselungsvorgang auf dem System erkennen können. In diesem Moment suchen sie nach dem Auslöser für die Verschlüsselung und stoppen dieses Programm. Es gibt auch Scanner, die den Arbeitsspeicher oder den Inhalt einer Website nach schädlichem Code durchsuchen können. Die allermeisten Scanner dieser Art wurden zuerst lautstark von den Antivirenherstellern als neues Tool oder als neue Funktion beworben und dann später ein fester Bestandteil des Antivirenprogramms.

Weitere Scanner werden als sogenannte Removal-Tools oder Reinigungstools angeboten. Sie kümmern sich entweder um einen bestimmten Schädling und den Schaden, den er anrichtet, oder können viele der weitverbreiteten Viren beseitigen. Beispiele für spezialisierte Tools finden sich auf der Webseite www.nomoreransom.org. Dort finden Sie Hilfsprogramme, die von Ransomware verschlüsselte Dateien entschlüsseln können – und das ohne Lösegeld zu bezahlen. Ein universelles Reinigungstool ist der Norton Power Eraser.

Fake-Antivirus: So erkennen Sie betrügerische Programme

2. Scan-Engines

Hinter den oben genannten Scannern stecken meistens mehrere Scan-Engines, die sich in ihrer Funktionsweise zum Teil deutlich voneinander unterscheiden.

Signaturbasierte Scans

Das macht es: Eine Virensignatur besteht in der Regel aus einem Stück bekanntem Code eines Virus. Der Scanner überprüft, ob eine Datei diesen Codeteil enthält. Falls ja, wird die Datei als Virus erkannt. Damit das funktioniert, muss der AV-Hersteller den Virus schon einmal in seinem Labor analysiert haben, um die Virensignatur erstellen zu können. Danach muss die Signatur an alle installierten Antivirenprogramme verteilt werden. Darum ist es so wichtig, ein AV-Tool stets mit Updates zu versorgen.

Heuristische Scans

Das macht es: Signaturbasierte Scantechnologien werden meist durch heuristische Tools ergänzt. Diese Scanmethode erkennt eine Bedrohung aufgrund von Mustern in der Datei. So kann das AV-Tool auch neue Schädlinge erkennen, die noch nicht in der Signaturdatenbank enthalten sind.

Verhaltensanalyse

Das macht es: Da signaturbasierte Scans (Virus muss bekannt sein) und heuristische Scans (Virus muss einem bekannten Muster entsprechen) ganz neue Viren nicht erkennen, haben die AV-Hersteller die verhaltensbasierte Erkennung entwickelt, die auch Behavioural Blocking genannt wird. Ein Scanner beobachtet dabei das Verhalten eines Programms. Hat eine EXE-Datei zum Beispiel kein Programmfenster, versucht jedoch, Tastatureingaben abzufangen und eine Internetverbindung aufzubauen, ist das verdächtig. Es könnte sich um einen Keylogger handeln, der alle Ihre Eingaben ausspioniert. Die Kunst besteht nun darin, keine harmlosen Dateien zu verdächtigen. Im genannten Beispiel kann es sich um einen Keylogger handeln, es kann allerdings auch ein neuer Tastaturtreiber sein.

Darauf sollten Sie achten: Um Fehlalarme zu verhindern, wird die Verhaltensanalyse oft mit der Technik der –› Reputationsbasierten Erkennung kombiniert.

Reputationsbasierte Erkennung

Während der Installation von Kaspersky Internet Security wird Ihnen dieses Fenster angezeigt. Sie stimmen hier zu, dass Infos zu verdächtigen Dateien auf Ihrem Rechner an Kaspersky ins Internet geladen werden dürfen.

Das macht es: Bei der reputationsbasierten Erkennung wird von einem neuen Programm ein digitaler Fingerabdruck genommen – im einfachsten Fall ist das ein Hash-Wert – und mit einer Datenbank beim Hersteller abgeglichen. Ist die Datei schon als harmlos oder gefährlich bekannt? Taucht sie das erste Mal auf oder haben auch bereits viele andere PCs dieses Programm gemeldet? Das Antivirenprogramm arbeitet dabei mit der –› Verhaltensanalyse zusammen, die beispielsweise protokolliert hat, woher die Datei stammt. Wurde sie etwa von einem Server aus China heruntergeladen, so kann das die Reputation der Datei schmälern, wenn von diesem Server bereits Viren verteilt wurden.

Darauf sollten Sie achten: Reputationsbasierte Erkennung benötigt fast immer Kontakt ins Internet, um sich von dort aktuelle Informationen zu der verdächtigen Datei zu holen. Sie sendet allerdings auch Infos von Ihrem Computer ins Internet, etwa zur verdächtigen Datei. Die Hersteller benennen diese Technik unterschiedlich. Bei Kaspersky heißt sie „Kaspersky Security Network“. Sie müssen der Nutzung dieser Technik bei der Installation zustimmen, da dafür Daten von Ihrem PC ins Internet gesendet werden. Wenn Sie der Nutzung widersprechen, dann fließen keine Daten ins Internet. Sie verzichten dabei aber auch auf eine wichtige Schutzschicht des Antivirenprogramms.

Außerdem: Die Schutztechniken Verhaltensanalyse, Reputation und Community-Schutz sowie Cloudtechnik und KI-Schutz werden von den Herstellern oftmals kombiniert und tauchen bei manchen Antivirentools auch unter einem einzigen Punkt auf. Der oder die Scanner haben teilweise fantasievolle Namen wie unter anderem bei F-Secure, wo der Scanner „Deep Guard“ heißt. Bei der aktuellen Version von Kaspersky werden diese Funktionen in den Einstellungen einfach unter dem Punkt „Heuristik“ zusammengefasst.

3. Zusatzfunktionen

Das macht es: Antivirenprogramme, Internet-Sicherheitspakete sowie erst recht die deutlich umfangreicheren Premium-Pakete mit Namen wie Prime, Total oder Smart bieten viele bis sehr viele Zusatzfunktionen. Dazu zählen etwa der sichere Browser, ein VPN-Dienst, der Webcam-Schutz, ein Passwort-Manager und vieles andere mehr. Die Frage, ob man diese Zusatzfunktionen benötigt, lässt sich nicht eindeutig beantworten. Richtig ist, dass fast jede dieser Funktionen eine weitere Schutzschicht um Ihr System legt. Die Funktion sicherer Browser macht es feindlichem Code schwerer, Informationen beim Online-Banking abzugreifen. Ein Webcam-Schutz entdeckt Code, der heimlich die Kamera im Notebook einschalten will. Alle diese Funktionen haben durchaus ihre Berechtigung und werten das Sicherheitspaket auf. Ob man sie als privater PC-Anwender benötigt, ist jedoch unklar. Das lässt sich mit dem Versicherungsschutz für Privatnutzer vergleichen: Eine Haftpflichtversicherung braucht man. Darüber sind sich alle Experten einig. Aber eine Hausrats- oder eine Berufsunfähigkeitsversicherung sind für viele Menschen nicht zwingend erforderlich.

Empfehlung: Wenn Sie sich den bestmöglichen Schutz vor PC-Viren wünschen, greifen Sie zu einem möglichst umfangreichen Sicherheitspaket. Fühlen Sie sich schon mit einem guten Basisschutz sicher, genügt das einfache Antivirentool von Windows oder das Programm eines Antivirenherstellers.