Wie weiß das Antivirus Programm ob eine Datei ein Virus ist oder nicht? Wie funktioniert das?

5 Antworten

Da gibt es nicht nur einen Weg, dies zu testen, nehme ich an.

Da wird erstmal ein Hash gebildet und mit einer Datenbank auf einem Webserver verglichen. Skripten werden eventuell in einer sicheren Umgebung ausgeführt, Programme mit potenziell gefährlichen Codezeilen werden direkt analysiert, wenn sie unverschlüsselt sind. Aktionen von Programmen werden überwacht, insbesondere das Upload-Datenvolumen oder allgemein das Verhalten auf der Festplatte.

Allgemein halte ich nichts von Antivirensoftware da mir die Funktionsweise zu esoterisch ist. :)

Aber die Heuristik vieler Antivirenprogramme schlägt Alarm, wenn dein Programm eine Reihe von Systemfunktionen aufruft, welche allgemein beliebt bei Trojanern sind, und diese in der Summe über einem gewissen Schwellenwert liegen, verglichen mit den anderen harmlosen Funktionen.

Wenn dein Programm also unter Windows zum Beispiel die Funktion IsDebuggerPresent() aus der kernel32.dll aufruft, ist das schon mal ein Indiz dafür, dass der Autor der Software eine Untersuchung derselben irgendwie unterbinden möchte. (Was natürlich absolut schwachsinnig ist, und nicht funktioniert, da jeder Reverser diese Funktion sowieso gepatcht hat, aber egal ...)

Genauso wird geschaut, welche Registry-Schlüssel oder Dateien eine Software abfragt / liest / schreibt, usw. ... in der Summe wird dann danach gewichtet, ob es sich um Malware handeln könnte.

Wie du siehst, erzeugt dieses Verfahren natürlich massenhaft False-Positives und ist leicht auszutricksen.

Viele Antiviren suchen einfach nach Strings, aber in den letzten Jahren haben sich Sandboxen etabliert, um Malware für ein paar Millisekunden untersuchen zu können. Funktioniert aber genauso wenig und lässt sich ebenso leicht austricksen. Alles reiner Marketing-Quatsch! :)

Im Endeffekt ist eine Malware eben nur ein "ganz normales Programm" und wenn die Antivirensoftware versucht diese zu untersuchen, erinnert das Ganze an ein Ratespiel.

Und weil diese schöne Methode seit Jahrzehnten nicht richtig funktioniert, pflegen die AV-Hersteller eine dicke fette Datenbank mit Prüfsummen und / oder Codefragmenten von bereits bekannter und untersuchter Malware, die man ständig übers Internet auf dem Laufenden halten muss.

Insgesamt findet moderne Antivirensoftware mit diesen ganzen Frickellösungen rund 45% an aktueller Malware. Die restlichen 55% rutschen durch das Sieb und können - trotz installiertem Antivirenschutz - das System infizieren. Toll.

Ich habe hier zu diesem Thema schon oft einen Rant geschrieben; hier ist ein Link:

https://www.gutefrage.net/frage/was-haltet-ihr-von-der-behauptung-deinstallieren-sie-ihren-virenschutz-sofort-denn-er-ist-gefaehrlich-die-ich-auf-chipde-gefunden-hab?foundIn=list-answers-by-user#answer-237429801

Lies dir bitte auch meine darin verlinkten anderen Antworten durch! Das ist zwar ne ganze Menge Text, aber damit bekommst du mal ein Gefühl dafür, um was für einen riesigen Betrug es sich bei der Sache handelt.

Also dann ... viel Spaß! :)

PS: Falls du Probleme damit haben solltest, dass deine Software fälschlicherweise (oder sogar richtigerweise) als Malware erkannt werden sollte, dann google mal nach "stealthing". Es gibt sehr sehr viele leicht anzuwendende Techniken, die ein Anspringen von AV-Software effektiv verhindern können. :)

Danke, sehr hilfreiche Antwort

0

Die meisten Windows-Virenscanner (andere gibt es nicht) bieten keinen guten Schutz, sagt Stiftung Warentest. Die durchschnittliche Reaktionszeit auf neue Schädlinge beträgt im Schnitt 11 Tage (Stiftung Warentest, Bezahlartikel). Laut dem BSI fluten täglich 380000 neue Windows-Schädlingsvarianten das Netz. Das ein ernstzunehmender Schutz bei Windows nicht gegeben ist, erkennt hier jeder.

Das BSI empfiehlt das freie Linux (Ubuntu, Mint, Debian), da gibt es diesen Wildwuchs nicht.

PC - Virus obwohl ich keinen download zugestimmt habe?

Hallo,

also ich bin auf eine Seite gekommen die natürlich die Standard Sachen erzählt hat und einen Download wollte. Es hieß sie würden mein PC sperren, es der Netzangetur weitergeben. Nun, sofort startet ein Download der durch Chrome blockiert wurde und es kam auch "Speichern unter" was ich nicht erlaubt habe.

Trotzdem ist eine Befehls Datei wo Windows auf dem Destop erschienen die die Dateiendung von ".temp" hatte aber bei Eigenschaften stand auch dran das es so eine Windows Befehlsausführungs Seite ist.

Was meint ihr was passiert wenn ich mein PC Herunterfahre? Das Programm hat keinen Namen und es steht nichts im Internet darüber.. sind irgendwelche Zahlen. Ich habs entfernt und AdwCleaner sowie Malewarebytes können nichts finden. Was jetzt?

Sowelche Programme sind ja die das nachdem Neustart der PC gesperrt ist wie bei dem Virus Annabell oder Saw. Glaubt ihr da passiert was oder soll ich noch weitere Schritte probieren und wenn ja, welche?

Mfg :)

...zur Frage

Bot 6 Virus auf meinem Computer/Handy. Was tun?

Hallo. Ich habe vor kurzem Post vom Telekom-Sicherheitsservice bekommen, dass in unserem Netzwerk ein Virus/Trojaner eingedrungen ist.

Hier die Post

https://i.imgur.com/QAlLERo.png

Infektion: Bot 6. Ich weiß nicht ob es ein Virus oder Trojaner ist. Mit einem Virus könnte ich aber eher leben als mit einem Trojaner. Mein Antivirus Pogram hat zumindest nichts gefunden. Und mir wurde gesagt, dass man zumindest Trojaner nicht so einfach mit einem Antivirus Pogram loswerden kann, sondern den PC/Handy komplett resetten sollte

Wobei handelt es sich bei dieser Infektion? Im Internet habe ich nicht viel dadrüber gefunden. Kann mir einer erklären was es genau ist und wie ich am besten damit umgehen? (Abgesehen von den Vorschlägen in der Mail)

...zur Frage

Gewisse Datei kann nicht mehr aus dem Avast Container gelöscht und hergestellt werden, jedoch alle anderen Dateien schon. Was nun tun?

Hallo zusammen, ich habe folgendes Problem und zwar benutze ich Avast Free Antivirus als Antivirenprogramm auf meinem Rechner und dort gibt es ja einen sog. "Virus Container". Nun habe ich eben ein Spiel auf Steam heruntergeladen und dabei ist eine Datei in den Virus Container gerutscht und diese bekomm ich nun nicht mehr gelöscht aus dem Container, nicht wiederhergestellt etc. Habe das Spiel auch wieder deinstalliert und erneut installiert, aber wieder war dasselbe vorzufinden. Ich habe es mit allen anderen Dateien in diesem auch versucht und dort hat es geklappt, sie zu löschen etc. Könnte mir jemand helfen? MfG Nornares

PS: Bei der Datei handelt es sich um die Stronghold3.exe

...zur Frage

Ist ein Antivirus Programm nötig wie Kaspersky?

Ist es wirklich wichtig das man ein Antivirus Programm auf seinem Notebook haben soll? Ich habe gehört das diese Programme selbst auf dem Pc einen Virus machen das man dann die vollversion kaufen sollte.

...zur Frage

Ich habe probleme mit 100% cpu usage svchost.exe , wenn ich task manager öffne dann wird cpu usage gegen 20%,was ist los und ist das virus?

Welcher Antivirus funktioniert dagegen??

...zur Frage

Programm nicht löschbar Virus?

Hey Leute ich möchte ein Anti Malware Programm löschen bei dem ich ziemlich sicher bin es ist ein Virus aber ich kann es nicht löschen und Trotz Admin Rechte kann ich mir nicht die rechte dazu geben lol?!

...zur Frage

Was möchtest Du wissen?