Schutzschirme für Windows

Die 2012er-Generation der Virenscanner

Test & Kaufberatung | Kaufberatung

Sicherheit ohne Spaßbremse: Wer auf die richtigen Maßnahmen setzt, hat ein performantes System und braucht keine Angriffe aus dem Internet zu fürchten. Ein Virenscanner ist natürlich ein Muss – welcher in der Praxis am wenigsten nervt, zeigt der Test.

Noch immer gibt es Windows-Anwender, die ihren Rechner ohne Virenschutz ins Netz lassen – Scanner nerven doch nur und rauben die teuer bezahlte CPU-Performance. Diese Einstellung ist grob fahrlässig: Nur allzu schnell wird ein ungeschützter Rechner mit Keyloggern unterwandert und in Botnetze eingemeindet, ohne dass der Besitzer etwas davon bemerkt.

Wahr ist, dass Virenschutz immer Kompromisse bedeutet: Starke Scan-Leistung geht zwangsläufig mit einer Verlangsamung des Systems einher; gute Erkennungsraten bedeuten auch, dass der Scanner irgendwann in Erscheinung treten wird, wenn man am wenigsten Zeit dafür hat. Unter den sieben vorgestellten Testkandidaten ist kein kompletter Versager, aber auch kein eindeutiger Sieger zu finden.

Vier namhafte Virenscanner fehlen, weil die Hersteller zum Redaktionsschluss noch keine finale Version des diesjährigen Updates veröffentlicht hatten. Avira AntiVir Premium, AVG Anti-Virus, ESET NOD32 Antivirus und F-Secure Anti-Virus befanden sich zwar in späten Entwicklungsphasen, waren aber noch nicht fertig.

Virenschutzprogramme bestehen aus zwei Kernkomponenten: Der Wächter kontrolliert in Echtzeit alle Dateizugriffe und blockiert verdächtige Vorgänge. Der Scanner durchsucht die Festplatte entweder in festen Abständen oder auf manuelle Anforderung nach Malware.

Das Scan-Modul prüft nicht nur das laufende System, sondern durchsucht auch Archive und Mail-Container auf schlummernde Schädlinge. Steigt der Scanner in die Pedale, bekommt man das meistens deutlich zu spüren: Zur Komplettüberprüfung des Systems greift er sich alle verfügbaren Ressourcen und lastet dabei meist auch alle Kerne aus. Um dem Anwender nicht zu sehr auf die Nerven zu gehen, starten rücksichtsvolle Virenschutzprogramme wie etwa G Data und Norton den Scan-Prozess erst, wenn der Rechner gerade sonst nichts tut oder zu Zeiten, zu denen der Anwender normalerweise nicht am PC sitzt. Einige Antivirusprogramme, darunter Bitdefender, nehmen vor der Installation erst einen Schnell-Scan der aktiven Prozesse vor, um nach aktiven Viren oder Rootkits zu suchen.

Meist tritt der Virenschutz aber in Form des Wächters auf den Plan. Da der Wächter den Rechner in Echtzeit schützen muss, ohne ihn dabei lahmzulegen, muss er mit reduzierten Ressourcen auskommen. Zur Begrenzung der Systembelastung werden Archive allenfalls bis zu einer bestimmten Größe untersucht; bei G Data macht eine Anpassung hier deutliche Unterschiede. Einige Wächter greifen erst bei der Ausführung der Malware ein, so gesehen bei Panda.

Grundsätzlich nutzen alle Virenschutzprogramme dieselben Methoden, um bösartige Dateien zu identifizieren. Die beste Erkennungsrate wird anhand von Signaturen erzielt: Hier vergleicht der Scanner jede analysierte Datei mit Erkennungsmerkmalen bekannter Schädlinge aus einer lokalen Datenbank.

Signatur-Scans haben den Nachteil, dass sie nur vom AV-Hersteller bereits erfasste Viren erkennen, aber keine neuen Bedrohungen. Deshalb schalten die Scanner eine heuristische Analyse hinzu. Diese erkennt Malware anhand allgemeiner gefasster Muster wieder, ähnliche Datei-Header etwa oder suspekte EXE-Packer. Die Heuristik hat jedoch eine wesentlich niedrigere Trefferquote.

Aus diesem Grund nutzen die meisten Scanner zusätzliche Techniken zur Malware-Erkennung. Bis auf Microsoft bieten alle eine Verhaltenserkennung. Einige Scanner wie Avast stellen eine programminterne Sandbox bereit. Diese überprüft, ob ein Verdächtiger bei der Ausführung auf sensible Systembereiche zuzugreifen versucht. Mitunter wird aber auch nur geraten: Baut ein unbekanntes Programm beim Start unvermittelt eine Internet-Verbindung auf, kann es sich dabei genauso gut um einen Trojaner handeln wie um den integrierten Update-Check eines obskuren MP3-Taggers.

Damit Heuristik und Verhaltenserkennung keine Unschuldigen in die Quarantäne stecken oder gar löschen, greifen Virenschutzprogramme auf Listen von bekanntermaßen unschädlichen Programmen (Whitelisting) und Internet-gestützte Erkennung zurück. Hierbei vergewissert sich die Software bei den Servern des Herstellers, ob ein Programm dort als bös- oder gutartig bekannt ist. Im Zweifelsfall lädt es die Datei zur Analyse hoch. Norton setzt schon länger stark auf die Intelligenz des Nutzerschwarms, Kaspersky seit dieser Version ebenfalls.

Großer Scan-Aufwand beansprucht viel Leistung. Die Hersteller nutzen unterschiedliche Kniffe, um die Performance ihrer Wächter zu steigern: Kaspersky, Norton und Panda bewerten die Vertrauenswürdigkeit von Dateien unter anderem anhand der Verbreitung bei anderen Nutzern. Zudem speichern Scanner die Prüfsummen von bereits untersuchten Dateien: Sofern dieser Wert gleich bleibt und kein Signatur-Update die Datei als Malware anschwärzt, wird die Datei von Folge-Scans ausgenommen.

Bis vor gar nicht allzu langer Zeit bestand das Standardverhalten jedes Scanners darin, erkannte Malware in einen abgeschotteten Bereich zu verschieben (Quarantäne). Im Zweifel konnte man Dateien wieder aus der Einzelhaft befreien, zu einem Multi-Scanner wie VirusTotal hochladen und so herausfinden, ob die Beurteilung des Virenschützers stimmte.

Mittlerweile versteifen sich immer mehr Scanner darauf, erkannte Malware selbstständig zu „desinfizieren“. Das läuft letztlich oft auf Löschen hinaus – die Datei ist futsch und der Anwender wird vor vollendete Tatsachen gestellt. Im Test machten Bitdefender, G Data und Panda auf diesem Weg kurzen Prozess mit vermeintlicher Malware, bei der es sich tatsächlich um unschuldige PC-Intros handelte. G Data warnt immerhin beim ersten Mal, dass die Datei bei der Desinfektion gelöscht wird. Bitdefender und Panda bieten hingegen nicht einmal die Möglichkeit, das Verschieben in die Quarantäne als Standard zu definieren.

Rein von der Sicherheit her ist keiner der im Folgenden vorgestellten Scanner ein Fehlgriff – alle schützen im Vergleich zum Branchendurchschnitt sehr gut vor Malware-Befall. Deshalb stand bei diesem Test die Benutzbarkeit im Vordergrund. Der Kasten „Und was ist mit der Sicherheit?“ fasst die qualitative Bewertung der Virenschützer anhand der Testergebnisse zweier unabhängiger Virentestlabors zusammen.

Bis auf die Microsoft Security Essentials bieten alle hier vorgestellten Scanner einen Spielemodus – läuft eine Vollbildanwendung im Vordergrund, fährt der Wächter seine Überwachung zurück und unterdrückt alle Warnmeldungen. Das soll verhindern, dass Gamer mitten im Spiel plötzlich auf einen Sicherheitsdialog starren.

Mehrere Antivirenprogramme klinken sich in den Traffic verbreiteter Instant Messenger ein. Trillian ist dabei der einzige unterstützte Multiprotokoll-Client; Miranda und Pidgin sind den AV-Herstellern offenbar zu obskur, um sie zu unterstützen. (ghi)

Den vollständigen Artikel finden Sie in c't 20/2011.

So viel Schutz muss sein

Artikel zum Thema "So viel Schutz muss sein" finden Sie in c't 20/2011:

  • Die 2012er-Generation der Virenscanner - Seite 112
  • Sicherheitsratgeber für Windows - Seite 120

Kommentare

Kommentare lesen (34 Beiträge)

Anzeige