Wie arbeiten Virenscanner? Erkennungstechniken erklärt

9. August 2023 | Von ,
Wir leben in einer vernetzten Welt - entsprechend sind auch die Anforderungen an Virenscanner gestiegen. Virenscanner verwenden heute verschiedene Techniken, um Malware zu erkennen. In diesem Artikel erläutern wir die wichtigsten.

Das Wichtigste in Kürze

Hier eine Zusammenfassung der wichtigsten Erkennungstechniken von Virenscannern:
  • Virensignaturen ↓: Virenscanner vergleichen Dateien mit einer Datenbank bekannter Virensignaturen. Treffer markieren die Datei als Schadsoftware.
  • Heuristische Analyse ↓: Die Software analysiert verdächtige Dateien auf typische Merkmale von Schadcode. Erreicht der Verdacht einen Schwellenwert, schlägt der Scanner Alarm.
  • Verhaltensanalyse ↓: Der Virenscanner simuliert die Ausführung einer Datei und überwacht alle Aktionen. Verdächtige Systemzugriffe deuten auf Schadcode hin.
  • Künstliche Intelligenz ↓: Eine KI bewertet viele Faktoren einer Datei und klassifiziert sie anhand eines Risikowertes als gutartig oder bösartig.

Malware-Erkennung per Virensignaturen

Virensignaturen sind charakteristische Muster oder Zeichenketten, die von Antivirusprogrammen zur Identifizierung von Viren, Trojanern und anderer Malware verwendet werden. Im Prinzip handelt es sich um Fingerabdrücke von Schadprogrammen. Wenn ein Antivirenprogramm eine Datei scannt, sucht es nach Übereinstimmungen mit bekannten Virensignaturen. Wird eine Übereinstimmung gefunden, wird die bösartige Software als Malware identifiziert und entsprechend behandelt.

Ein Beispiel: Angenommen, auf einem Computer wird eine Datei mit dem Namen "badfile.exe" gefunden. Das Antivirenprogramm scannt die Datei und sucht in seiner Datenbank nach Virensignaturen, die mit der Datei übereinstimmen. In der Datenbank wird eine Virensignatur gefunden, die dem Virus "BadVirus" zugeordnet ist. Das Antivirus-Programm erkennt die Übereinstimmung und identifiziert die Datei als infiziert.

Virensignaturen funktionieren nur für bekannte Schadprogramme. Neue Malware, die noch nicht bekannt ist, kann von Antivirensoftware nicht erkannt werden, da sie keine entsprechende Signatur in der Datenbank hat. Bei Millionen neuer Viren pro Tag ist es kaum möglich, jeden einzelnen durch eine angepasste Signatur exakt zu erkennen.

Vor- und Nachteile

  • Da Virensignaturen spezifische Merkmale von Malware erkennen, ist die Wahrscheinlichkeit von Fehlalarmen relativ gering.
  • Da Virensignaturen nur bekannte Malware erkennen können, sind sie nicht in der Lage, neue und unbekannte Malware zu erkennen.
  • Malware-Entwickler können Virensignaturen umgehen, indem sie den Malware-Code geringfügig ändern.

Heuristische Analyse

Die heuristische Analyse ist nichts anderes als ein Punktesystem. Dabei wird der Programmcode mit allen bisher bekannten Schadcodes (Codesequenzen und Programmlogik) verglichen. Erreicht oder überschreitet ein verdächtiges Programm einen vordefinierten Grenzwert, deutet dies darauf hin, dass es sich um ein Schadprogramm handeln könnte. Häufig sind die Grenzwerte so eng gesetzt, dass Fehlalarme nicht ausgeschlossen werden können - die Programmierer der Virenscanner versuchen hier einen Spagat zwischen Fehlalarmen und Erkennungsraten.

Um eine solche heuristische Erkennung zu umgehen, sind neuere Viren deutlich komplizierter geschrieben und führen Operationen oft nur noch indirekt aus. Statt eine Datei direkt mit drei Befehlen zu öffnen, wird dieser Vorgang nun auf viele Einzelschritte verteilt, um den eigentlichen Vorgang zu verschleiern. Hier hilft nur eine Verhaltensanalyse ↓, die die Befehle simuliert ausführt und daraus die eigentlichen Operationen erkennt.

Vor- und Nachteile

  • Die heuristische Analyse kann neue und unbekannte Malware erkennen, da sie auf verdächtige Verhaltensmuster und Code-Strukturen abzielt, anstatt auf spezifische Signaturen.
  • Reduziert die Abhängigkeit von ständigen Signatur-Updates.
  • Die heuristische Analyse kann zu einer erhöhten Anzahl von False Positives führen, da legitime Software aufgrund ihres Verhaltens oder ihrer Eigenschaften fälschlicherweise als Malware eingestuft werden kann.
  • Heuristische Verfahren sind in der Regel komplexer als signaturbasierte Erkennungsverfahren und können daher mehr Rechenressourcen und Zeit in Anspruch nehmen. Dies kann insbesondere bei älteren oder weniger leistungsfähigen Systemen zu Leistungseinbußen führen.
  • Einige Malware-Autoren verwenden Techniken wie Verschlüsselung oder Code-Obfuskation, um die Analyse ihrer Malware zu erschweren. Dies kann die Wirksamkeit der heuristischen Analyse einschränken und die Erkennung solcher Bedrohungen erschweren.

Verhaltensbasierte Erkennung

Die Verhaltensanalyse ist eine Technik zur Erkennung neuer und unbekannter Malware. Im Gegensatz zu Virensignaturen, die nur bekannte Bedrohungen erkennen können, versucht die Verhaltensanalyse, verdächtige Aktivitäten in Dateien zu identifizieren, die darauf hindeuten könnten, dass es sich um Malware handelt. Dazu führt der Scanner das verdächtige Programm Schritt für Schritt auf einem simulierten, virtuellen Prozessor innerhalb des Scanners aus, indem er nahezu alle CPU-Befehle, Register und sogar Teile des Betriebssystems emuliert.

Beispiele für verdächtige Aktivitäten könnten sein:
  • Versuche, systemnahe Funktionen aufzurufen oder zu manipulieren
  • Versuche, sich selbst zu verbreiten, zum Beispiel durch das Versenden von E-Mails oder das Kopieren von Dateien auf andere Systeme
  • Versuche, sich vor Antivirus-Software zu verstecken oder diese zu deaktivieren
Ein Beispiel: Angenommen, auf einem Computer wird eine Datei mit dem Namen "badfile.exe" gefunden. Das Antivirenprogramm scannt die Datei und führt sie in einer sicheren Umgebung aus, um ihr Verhalten zu überwachen. Während die Datei ausgeführt wird, versucht sie, Systemfunktionen aufzurufen und zu manipulieren. Der Virenscanner erkennt diese verdächtigen Aktivitäten und markiert die Datei als Malware.

Vor- und Nachteile

  • Die verhaltensbasierte Erkennung kann neue und unbekannte Malware identifizieren, die möglicherweise nicht in den Signaturdatenbanken von Antiviren-Software enthalten ist.
  • Die verhaltensbasierte Erkennung kann auch bei der Identifizierung komplexer Malware helfen, die sich hinter Verschlüsselung, Code-Obfuskation oder anderen Tarnmechanismen verbirgt. Denn sie zielt auf das tatsächliche Verhalten des Programms ab.
  • Die verhaltensbasierte Erkennung kann zu Fehlalarmen führen, wenn sich legitime Software ähnlich wie Malware verhält.
  • Der Erkennungstechnik kann die Systemleistung beeinträchtigen. Dies gilt insbesondere für ältere oder leistungsschwächere Geräte, da Programme in Echtzeit überwacht und analysiert werden.

Erkennung durch künstliche Intelligenz

Die meisten Anbieter von Antivirensoftware setzen inzwischen künstliche Intelligenz ein, um die Risiken von Malware zu bewerten. Wenn eine unbekannte Datei auf dem Computer gefunden wird, wird sie in die Cloud des Sicherheitsherstellers hochgeladen und von der KI analysiert. Die KI bewertet verschiedene Faktoren wie das Erstellungsdatum, den ersten Fundort und die Anzahl der Nutzer, die die Datei ausgeführt haben, um einen Risikowert für die Datei zu ermitteln. Überschreitet der Gesamtrisikowert einen bestimmten Schwellenwert, wird die Datei als schädlich eingestuft und der Nutzer gewarnt.

Die KI passt ihre Bewertungskriterien ständig an und verbessert so ihre Fähigkeit, zukünftige Bedrohungen zu erkennen. Allerdings hat diese Technik auch ihre Tücken. Die meisten Hersteller setzen ihre KI-Komponente bisher nur für die Klassifizierung von ausführbaren Programmen ein. Für Office-Dokumente oder Bilddateien ist sie in der Regel nicht anwendbar, weil dafür eigene Modelle mit anderen Eingangseigenschaften nötig wären.

Vor- und Nachteile

  • Die KI kann große Datenmengen in kurzer Zeit analysieren und verdächtige Aktivitäten schnell erkennen.
  • KI-Systeme können sich an neue Bedrohungen anpassen, indem sie Muster und Techniken von Malware-Autoren erlernen.
  • Eine KI kann die Zahl der Fehlalarme (False Positives) verringern, indem sie zwischen harmlosen und schädlichen Aktivitäten unterscheidet und so die Erkennungseffizienz erhöht.
  • KI-Systeme können durch Adversarial-Machine-Learning-Angriffe oder andere Manipulationstechniken getäuscht werden.
  • Der Einsatz von KI zur Malware-Erkennung kann Datenschutzprobleme aufwerfen. Schließlich können persönliche Daten gesammelt und analysiert werden, um Muster zu erkennen.

Schlußwort

Die Kombination der genannten Nachweismethoden bietet heute einen recht wirksamen Schutz vor Schädlingsbefall. Der hohe Aufwand für ein solches Immunsystem hat aber auch seinen Preis. Die Antivirensoftware verbraucht beim Einsatz der Verfahren sowohl Speicher als auch Rechenzeit. Das heißt, der Computer kann andere Programme nicht mehr so schnell ausführen. Gerade bei älteren Computern mit wenig Arbeitsspeicher kann der Geschwindigkeitsunterschied erheblich sein. Unter Umständen ist der PC dann zwar gut geschützt, aber kaum noch nutzbar.

Alle Erkennungstechniken haben eins gemeinsam: Sie können nur bedingt gegen zukünftige Schadprogramme eingesetzt werden. Schließlich hat der Virenschreiber einen entscheidenden Vorteil: Ihm stehen die Routinen der Schutzsoftware bereits zur Verfügung und er kann seinen Schädling so lange daran anpassen, bis sie ihn nicht mehr erkennen – und erst dann freilassen.

Wichtige Begriffe zum Thema

EICAR-Testdateien EICAR (European Institute for Computer Antivirus Research) Testdateien sind Dateien, die vom EICAR entwickelt wurden, um die Funktionsfähigkeit von Antivirenprogrammen zu testen. Die Dateien enthalten einen speziellen Code, der von Antivirensoftware als Malware erkannt werden soll, ohne tatsächlich bösartig zu sein. Auf diese Weise kann sichergestellt werden, dass ein Antivirenprogramm korrekt installiert und konfiguriert ist.
False Positives False Positives sind Fehlalarme, die von Antivirus-Software ausgelöst werden, wenn sie harmlose Dateien als Malware identifiziert. Dies kann zu Problemen führen, da die Software möglicherweise wichtige Dateien löscht oder blockiert, die für den normalen Betrieb des Systems erforderlich sind. False Positives können aufgrund von Fehlern in der Antivirus-Software, aber auch aufgrund von Ähnlichkeiten zwischen harmlosen Dateien und bekannten Malware-Signaturen auftreten.
In the wild Der Begriff "in the wild" bezieht sich auf Malware, die tatsächlich in freier Wildbahn im Internet oder in anderen Netzwerken existiert und sich verbreitet. Im Gegensatz dazu bezieht sich der Begriff "in the lab" auf Malware, die in einer sicheren Laborumgebung getestet wird und daher keine Gefahr für den Benutzer darstellt.
Malware Malware (von "malicious software") ist jede Art von Software, die entwickelt wurde, um auf einem Computer oder in einem Netzwerk Schaden anzurichten oder unerwünschte Aktivitäten auszuführen. Malware umfasst Viren, Trojaner, Würmer, Ransomware, Adware und andere bösartige Software.

Malware wird eingesetzt, um Benutzerdaten zu stehlen, das System zu beschädigen oder Benutzer zum Kauf unerwünschter Dienste oder Produkte zu verleiten. Malware kann auf verschiedene Weise verbreitet werden, z. B. als E-Mail-Anhang, über bösartige Websites, durch das Herunterladen von Software oder durch das Ausnutzen von Sicherheitslücken in Betriebssystemen oder Anwendungen.
Sandbox Eine Sandbox ist eine sichere Umgebung, in der verdächtige Dateien oder Anwendungen ausgeführt werden können, ohne das System zu beschädigen. Bei der verhaltensbasierten Erkennung ↑ von Virenscanner kommen Sandboxes zum Einsatz.

Letzte Änderung am 09.08.2023: Kleinere Aktualisierungen