Mein Antiviren Programm schützt mich doch sicher vor Viren.
Nein. Zum einen findet es nur dann einen Schädling, wenn dieser auch bekannt ist und das funktioniert wiederum nur, wenn die Viren-Definitionsdatenbank stets aktuell gehalten wird. Nun wurde vielleicht ein Schädling gefunden, nur konnte dieser nicht entfernt werden, da er zu komplex ist. Und wenn doch, ist die Gefahr immer noch groß, das er eben nicht vollständig entfernt wurde. Ein vollständiges Entfernen eines Schädlings ist einem Antiviren Programm nur in Ausnahmefällen möglich.
Bauartbedingt ist es auch so, dass Virenscanner sich nur dafür eignen, bereits BEKANNTE Viren und Schädlinge zu finden und zu bekämpfen. Die Erkennung von unbekannten Viren, die manche Hersteller zu implementieren suchen, funktioniert prinzipiell nicht vollständig, da Viren und andere Schädlinge mittlerweile mittels eines "Baukastenprinzips" innerhalb der kürzesten Zeit etwas umgestaltet werden können, was sie wiederum zu einem neuen und unbekannten Virus/Schädling macht. Zudem muss ein Schadcode erkannt werden, BEVOR er das erste Mal ausgeführt wird. Gelingt es einem Angreifer, unerwünschten Code z.B. über einen Virus auf einem System auszuführen, so muss dieses System ab da als kompromittiert betrachtet werden - und Virenscannern auf kompromittierten Systemen darf man wie aller Software auf solchen Systemen nicht mehr vertrauen.
Ein Virescanner ist ein wunderbares Hilfsmittel, sofern man weiß, dass die Aussagen eines Virenscanners mit Vorsicht zu genießen sind. Wenn ein Virenscanner nichts findet, heißt das gar nichts, aber selbst wenn der Virenscanner etwas Verdächtiges findet, kann es sich auch um einen falschen Alarm handeln. Ein Virenscanner kann einem also z.B. eine Bestätigung liefern, dass eine Datei einen Virus enthält und wie er heißt, er darf aber nicht als Sicherheitsnetz verstanden werden, falls man mal aus Versehen eine verseuchte Datei öffnet. Ein Virenscanner darf auch nicht als Werkzeug verstanden werden, mit dem man ein infiziertes System wieder bereinigen kann. Das einzige Programm, welches einen Schädling zuverlässig entfern heisst "FORMAT" und stammt von Windows. Der Befehl "Format: C" entfernt jeglichen Schädlingsbefall äußerst zuverlässig.
Zudem muss einem bewusst werden, dass Virenscanner mittlerweile beliebte Angriffsziele sind. Virenscanner bringen viel zusätzliche Komplexität ins System, was der Sicherheit grundsätzlich abträglich ist. Die Gefahr ist seit mehreren Jahren bekannt und wird von der Mehrzahl aller kommerziellen Hersteller von Antivirus (AV-) und Antitrojaner (AT-) Software ignoriert.
Der Hintergrund
Scannen auf Signaturbasis
Wird ein Trojaner mit einem Packer oder Crypter laufzeitkomprimiert bzw. verschlüsselt, sind die den Signaturen zugrundeliegenden Zeichenketten nicht mehr ohne weiteres erkennbar. Der AV/AT Scanner bemerkt den Trojaner in diesem Fall nicht mehr. Das Packen oder Verschlüsseln von Malware ist keine komplizierte Kunst, sondern eine Angelegenheit von Sekunden. Hersteller kommerzieller Software benutzen spezielle Tools (sog. Packer, Scrambler oder Crypter), um ihre Programme vor Softwarepiraten zu schützen. Diese Tools sind frei zugänglich und können - oftmals als Freeware - von Internetseiten wie "Programmer's Tools" ( http://protools.cjb.net/ ) heruntergeladen werden. Die Tools werden in der Praxis nicht nur zum Schutz kommerzieller Software, sondern gleichermaßen auch zum Verschlüsseln von Malware verwendet.
Als Käufer eines kostenpflichtigen AV/AT Scanners sollte man erwarten können, dass sich der Hersteller für dieses hinlänglich bekannte Problem eine Lösung hat einfallen lassen. Dem ist aber oftmals nicht so. In der Praxis werden deshalb immer wieder Computernutzer durch Malware geschädigt, obwohl sie einen bekannten AV/AT Scanner installiert haben und sich in Sicherheit wiegen.
Besonders häufig werden von Angreifern speziell gepackte oder verschlüsselte Trojaner eingesetzt. Aber auch andere Malware kann auf diese Weise an AV Scannern "vorbeigeschmuggelt" werden. Beispielsweise wurde eine laufzeitkomprimierte und verschlüsselte Variante des berühmt-berüchtigten Wurmes "Opasoft" von vielen AV Scannern erst entdeckt, nachdem eine neue Signatur speziell für diese Variante erstellt wurde (siehe hier).
Nur wenige Hersteller von AV/AT Scannern sind bislang willens oder in der Lage, eine sog. Unpacking Engine in den Scanner einzubauen, die solche Packer bzw. Crypter "durchleuchten" und verschlüsselte Malware automatisch erkennen kann.
Quelle Absatz Gefahren durch komprimierte und/oder verschlüsselte Malware: http://scheinsicherheit.pytalhost.de
Gefahren aufgrund von Designschwächen im Softwarecode von AV Programmen
Da Anti-Viren Software häufig mit einem veralteten Kernel arbeiten muss (da immer sehr schnell auf neue Gefahren reagiert werden muss) dient manchmal sogar der Virenscanner als Einfallstor für die Schädlinge, die er eigentlich doch abwehren soll.
Weiterführende Links:
Wie Virenscanner von Schadprogrammen umgangen werden: Scheinsicherheit.de
Ein Mitglied des Chaos Computer Clubs zum Thema Virescanner
Heise Security - Schädlingen auf der Spur
Welches Antivire Programm kann man den empfehlen?
Im Prinzip alle Programme, welche nicht in einer "gelben Schachtel" verkauft werden. Die berühmten Programme in der gelben Schachtel verursachen leider mit die meisten Probleme, zudem lassen sie sich nur äußerst schwierig wieder deinstallieren (das klappt nur mit einem speziellen Tool dafür). Auch ein anderes Programm ist berühmt für Schwierigkeiten, es hat einem großen Buchstaben auf der roten Schachtel. (Nein, KEIN A...) Dieses bestimmte Programm blockt z.B. gerne über seinen WebGuard JavaScript, obwohl der WebGuard deaktiviert wurde. Somit sind Weseiten wie z.B. eBay nicht mehr nutzbar. Das hat mir mal echte Kopfschmerzen bereitet.
Prinzipiell kann man jedes Programm empfehlen, bei dem man bei der Installation bestimmen kann, welche Komponenten man installieren möchte. Eine Firewall sollte man niemals auf seinem Rechner installiert haben, außer, es handelt sich um ein Notebook, welches überwiegend in öffentlichen Netzen eingesetzt wird. Hier ist dann die Windows Firewall die perfekte Wahl, da sie keinen zusätzlichen SourceCode auf dem System installiert und damit das System potenziell unsicherer macht.
Ich persönlich bin ein großer Freund von Avira Antivir. Kost nix, macht einen Super Job und bringt zudem keine überflüssigen Komponenten mit.