Die Grundlagen eines Antivirus: Viren, Signaturen, Desinfektion

Lassen Sie und über verschiedene Konzepte sprechen, die oft missverstanden werden: was Signaturen sind, was Viren wirklich sind und wie eine Desinfektion funktioniert.

Wir haben sehr oft darüber gesprochen, wie man sich in der digitalen Welt verhalten muss (oder wie man dort überlebt). Wir hoffen, dass es nicht vergebens ist – dass unsere Leser von uns lernen und ihr Wissen an ihre Freunde und Verwandten weitergeben. Das ist sehr wichtig.

Antivirus fundamentals: Viruses, signatures, disinfection

Aber wir halten manchmal eine allgemeine Kenntnis von Fachtermini und –Ausdrücken für selbstverständlich. Also werden wir uns heute auf das Grundsätzliche beschränken und die drei Grundlagen eines Antivirus beleuchten.

1. Signaturen

Antivirus-Datenbanken enthalten sogenannte Signaturen, die im allgemeinen Sprachgebrauch und in der Schriftsprache verwendet werden. In Wahrheit wurden klassische Signaturen über 20 Jahre nicht benutzt.

Seit Beginn der 1980ern waren Signaturen als Konzept nicht klar definiert. Selbst jetzt haben sie keine eigene Seite auf Wikipedia, und der Eintrag zu Malware verwendet den Begriff ohne Signaturen zu definieren, als wenn sie keine Erklärung benötigen würden.

Also: Lassen Sie uns zumindest Signaturen definieren! Eine Virussignatur ist eine fortlaufende Sequenz von Bytes, was für ein bestimmtes Malwarebeispiel normal ist. Das bedeutet, dass es in der Malware oder der infizierten Datei enthalten ist und nicht in Dateien, die nicht betroffen sind.

Antivirus fundamentals: Viruses, signatures, disinfection

Eine typische Sequenz von Bytes

Heutzutage sind Signaturen nicht einmal im Ansatz ausreichend, um schädliche Dateien zu entdecken. Ersteller von Malware verschleiern mit verschiedenen Techniken, die ihre Spuren verdecken. Deshalb müssen moderne Antivirusprodukte fortgeschrittenere Nachweismethoden verwenden. Antivirus-Datenbanken enthalten noch immer Signaturen (sie nehmen mehr als die Hälfte aller Datenbankeinträge ein), aber die umfassen auch komplexere Einträge.

Gewohnheitsmäßig nennt jeder solche Einträge noch immer „Signaturen“. Das ist kein Problem, solange man daran denkt, dass der Begriff eine Kurzschrift für eine Vielfalt von Techniken ist, die ein robusteres Arsenal ausmachen.

Idealerweise würden wir das Wort Signatur nicht mehr verwenden, um uns auf Einträge in eine Antivirus-Datenbank zu beziehen, aber es wird so häufig benutzt – und ein korrekter Begriff existiert noch nicht – also kann das nicht umgesetzt werden.

Ein Eintrag in einer Antivirus-Datenbank ist lediglich ein Eintrag. Die Technologie, die dahinter steht, kann eine klassische Signatur sein oder hochkomplex und innovativ, und die fortgeschrittenste Malware anvisieren.

2. Viren

Wie Sie vielleicht bereits bemerkt haben, versuchen unsere Analytiker den Begriff „Virus“ zu vermeiden und bevorzugen MalwareThreat, usw. Der Grund dafür ist, dass ein Virus eine bestimmte Art von Malware ist, die ein bestimmtes Verhalten zeigt: Sie infiziert saubere Dateien. Untereinander beziehen sich Analysten auf einen Virus mit Infektor.

Infektoren genießen im Labor einen einzigartigen Status. Zunächst sind sie schwer zu entdecken – auf den ersten Blick scheint eine infizierte Datei sauber. Zweitens benötigen Infektoren eine besondere Behandlung: fast alle von ihnen brauchen besondere Erfassungs- und Desinfektionsprozesse. Deshalb werden Infektoren von Experten behandelt, die auf diesen Bereich spezialisiert sind.

Antivirus fundamentals: Viruses, signatures, disinfection

Malware, klassifiziert

Um also Verwirrung zu vermeiden, wenn generell von Threats die Rede ist, verwenden Analysten Überbegriffe, wie „schädliches Programm“ und „Malware.“

Hier sind ein paar andere Klassifikationen, die nützlich sein könnten. Ein Wurm ist eine Malware-Art, die sich selbst reproduzieren und aus dem ursprünglich infizierten Gerät ausbrechen kann, um andere Geräte zu infizieren. Und Malware umfasst aus technischer Sicht keine Adware (aggressive Werbesoftware) oder Riskware (legitime Software, die in einem System Schaden anrichten kann, wenn sie durch Kriminelle installiert wird).

3. Desinfektion

In letzter Zeit habe ich oft etwas beobachtet, von dem ich hoffe, dass es sich um keine normale Fehleinschätzung handelt: dass ein Antivirus nur durchsuchen und Malware entdecken kann, aber dann muss ein User ein besonderes Programm herunterladen, um die Malware zu entfernen. Tatsächlich existieren spezielle Programme für bestimmte Arten von Malware: z. B. Entschlüsseler für Dateien, die mit Ransomware infiziert sind. Aber Antivirus-Programme kommen auch alleine zurecht – und manchmal sind sie die bessere Option, da sie Zugriff auf Systemtreiber und andere Technologien bereitstellen, die nicht in ein Programm passen.

Also, wie funktioniert die Entfernung von Malware? In wenigen Fällen entdeckt eine Maschine einen Infektor (normalerweise bevor ein Antivirus-Programm installiert wurde; Infektoren schlüpfen selten durch einen Antivirusschutz), der Infektor wirkt auf einige Dateien ein, und dann geht ein Antivirus durch infizierte Dateien und entfernt den schädlichen Code, indem er sie auf ihren ursprünglichen Zustand zurücksetzt. Die gleiche Prozedur wird implementiert, wenn durch Ransomware verschlüsselte Dateien entschlüsselt werden müssen; sie werden für gewöhnlich als Trojaner-Ransom erkannt.

Und in den restlichen 99 % der Fälle wird die Malware entdeckt, bevor sie Dateien infizieren kann, der Prozess besteht lediglich in der Entfernung der Malware. Wurden keine Dateien beschädigt, muss nichts wiederhergestellt werden.

Antivirus fundamentals: Viruses, signatures, disinfection

In den meisten Fällen ist das Löschen der schädlichen Datei ausreichend

Es gibt keine Ausnahme hier, und dennoch: Wenn die Malware kein Infektor ist – z. B. Ransomware – und bereits auf dem System aktiv ist, schaltet der Antivirus auf den Desinfektionsmodus, um sicherzustellen, dass der Threat für immer entfernt wurde und nicht zurückkommt. Hier erfahren Sie mehr über den Prozess.

Diese Ausnahme tritt für gewöhnlich aus zwei Gründen ein:

  1. Der Antivirus wurde auf einem bereits infizierten Computer installiert. Sie kennen das normale falsche Vorgehen: Erst infiziert werden und dann zum Entschluss kommen, dass es Zeit für einen Schutz wäre.
  2. Der Antivirus markiert etwas als „verdächtig“ und nicht „schädlich“ und beginnt, die Aktivitäten genauer zu überwachen. Sobald die Malware deutlich schädliche Aktivität zeigt, dreht der Antivirus alle schädlichen Aktivitäten zurück (die während der Überwachungsphase entdeckt wurden). Der Antivirus könnte verschlüsselte Dateien von unmittelbaren Backup-Kopien wiederherstellen, wenn der PC von Ransomware oder einem Infektor angegriffen wurde.

Fazit

Das ist alles für heute. Ich hoffe, dass Sie jetzt:

  1. Wissen, dass „Signaturen“ heutzutage grundsätzlich jeder Eintrag von Antivirusdatenbanken sind, einschließlich der Fortgeschrittensten.
  2. Sich besser mit den unterschiedlichen Arten von Malware auskennen.
  3. Verstehen, dass der Prozess zur Desinfektion eines Computers oder Geräts zu den Fähigkeiten eines Antivirusprogramms zählt – und warum es so wichtig ist, die Komponente System Watcher in Ihrem Antivirusprogramm zu aktivieren, um das Verhalten von verdächtigen Dateien zu analysieren.
Tipps