Hinweise zur Funktionsweise des Antivirenprogramms

  • Virenanalyse durch Virendefinitionsdateien

Grundsätzlich nutzen alle Antivirenprogramme dieselben Methoden, um Schadsoftware auf dem PC zu entlarven. Sie bedienen sich zum Erkennen von bösartigen Programmen der sog. (Viren)Definitionsdatei, in welcher die Erkennungsmerkmale (Signaturen) der Viren verzeichnet sind. Die Hersteller aktualisieren diese  regelmäßig. Für die Funktionstüchtigkeit des Antivirenprogramms ist es daher essenziel, die Deifinitionsdateien regelmäßig zu aktualisieren. Viele Anbieter haben dazu eine automatische Update-Funktion in das Programm integriert. Konzeptbedingt ergibt sich daraus ein Nachteil, dass nur bereits bekannte Schadprogramme identifiziert und gelöscht werden können.

  • Virenanalyse durch Heuristik und die sog. Sandbox

Weitere Möglichkeiten zum Erkennen von Schadsoftware sind die Heuristikfunktion und die sog. Sandbox. Sie erkennen Schadprogramme an ihren Verhaltensmustern, an ähnlichen Dateiheadern (Kopfeinträge in einer Datei) oder anhand suspekter Dateiformaten. In der sog. Sandbox  wird die Datei in einem geschützten und abgedichteten Raum ausgeführt, sodass potenzieller Schaden die Sandbox nicht verlassen kann. Die Verhaltensanalyse entscheidet dann, ob ein Programm als schädlich, wenn es bspw. versucht, auf Systemdaten manipulativ zuzugreifen, oder als unbedenklich eingestuft werden kann. Mitunter kann aber auch nur ein Raten des Antivirenprogramms vermutet werden.

Anleitung: Zehn-Punkteplan nach einem Virenbefall

Nachdem ein Antivirenprogramm Schadsoftware auf dem PC gefunden hat, ist es ratsam, den Rechner neu aufzusetzen, da niemand zweifelsfrei nachvollziehen kann, welche Auswirkungen das Schadprogramm auf den PC hatte und ob es tatsächlich restlos durch das Antivirenprogramm gelöscht werden konnte.

  1. Bewahren Sie Ruhe!
  2. Benutzen Sie einen anderen PC, um ihre Kennwörter, die Sie auf dem befallenen System benutzt haben, zu ändern. Die alten Passwörter müssen als kompromittiert, d.h. als unsicher, bewertet werden.
  3. Fertigen Sie ein Backup der Daten des befallenen Computers an.1
  4. Installieren Sie den befallenen Computer neu. Formatieren Sie dabei die Festplatte komplett und installieren Sie das Betriebssystem neu. Achten Sie darauf, nur Originalsoftware zu verwenden, d.h. Software aus einer legalen Quelle mit legalem Installationsschlüssel.
  5. Prüfen Sie ggf. die Echtheit der Programme durch einen Prüfsummencheck.
  6. Verbinden Sie den frisch installierten Rechner vorerst nicht mit dem Internet: Trennen Sie das Netzwerkkabel vor der Installation des Betriebssystems und erstellen Sie keine WLAN-Verbindung.
  7. Installieren Sie zuerst die Windows-Updates. Am besten nutzen Sie dafür eine Offline-Quelle2.
  8. Installieren Sie ein Antivirenprogramm. Erwerben Sie eines im Handel oder laden Sie eines über einen sicheren Computer herunter und führen Sie die Installation auf dem ehemals befallenen System durch.
  9. Nun können Sie sich "gefahrenfrei" mit dem Netzwerk bzw. Internet verbinden.
  10. Wenn Sie die restlichen Windows-Updates eingespielt und ihre Antivirenlösung aktualisiert haben, installieren Sie die restlichen von Ihnen benötigten Programme.
  11. Führen Sie noch einmal alle Update-Routinen aus. Für installierte Programme empfiehlt sich der Gebrauch der Update-Software Secunia PSI (Personal Software Inspector).
  12. Kopieren Sie die zuvor gesicherten Daten zurück auf Ihren PC.

1 Im Allgemeinen wird ein Schadprogramm keine ihrer persönlichen Dateien so infizieren, dass ein Kopieren der Daten auch vom befallenen System auf einen externen Speicher unmöglich und inakzeptabel ist. Sollten Sie dadurch aber einen Sicherheitsverlust befürchten, können Sie entweder das Speichermedium mit den Daten ausbauen und in einen vor Schadprogrammen geschützten PC einbauen oder mit einer sog. Boot-CD virenfrei starten und dann die Daten kopieren. Beide Möglichkeiten gelten auch, wenn ein Zugriff auf das Betriebssystem nicht mehr möglich ist. Quelle für Boot-CDs: http://www.knoppix.org/ oder http://www.nu2.nu/pebuilder/ (Stand Oktober 2012).

2 Mittels „WSUS Offline Update“ können Sie Microsoft Windows- und Office-Anwendungen sicher aktualisieren. Offline-Updates sind komfortabel zu benutzen und erweisen sich als Zeitersparnis, da alle benötigten Dateien in einem großen Paket heruntergeladen werden. Laden Sie auf einem nicht von Schadsoftware befallenem System das Update-Programm herunter und führen Sie es aus. Befolgen Sie die weiteren Schritte im Programm, durch das ein Installationsmedium erstellt wird, das Sie zum Einspielen der Updates auf dem frisch installierten PC benutzen können. Quelle: http://www.wsusoffline.net (Stand Oktober 2012).

Hilfe im ZIV

Als Student/-in oder Mitarbeiter/-in können Sie das Antivirenprogramm namens Sophos Antivirus, solange Sie an der Universität studieren bzw. beschäftigt sind, herunterladen und über den gesamten Zeitraum die benötigten Viren-Definitionsdateien für eine Virensuche über das Programm beziehen.

Die Installationsdatei für Windows 7 ist von den Mitarbeitern des ZIV so vorbereitet worden, dass Anwender Sie nur herunterzuladen und auszuführen brauchen. Alle weiteren Einstellungen, wie das Eintragen der Update-Mechanismen werden automatisch vorgenommen. Akzeptieren Sie bei der Installation die Rückfrage der Benutzerkontensteuerung.

Diese Seite:
Impressum | © 2012 Universität Münster
Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13
· 48149 Münster
 Tel.: +49 251 83-31600 · Fax: +49 251 83-31555
 E-Mail: ziv@uni-muenster.de