Im Laufe der Zeit wurde es für Virenschutzprogramme immer bedeutender, unterschiedliche Dateiformate (und nicht nur die ausführbaren Dateien) auf versteckte Schädlinge zu scannen. Später waren Emailprogramme, vor allem Microsoft Outlook Express und Outlook, anfällig für in Emails eingebettete Virus. Diese sperren den Zugriff, entfernen die Dateien, bringen sie in Isolierung oder, wenn möglich, versuchen sie zu reparieren.
Möglicherweise wurde eine Virulenzdatei gesichert, bevor eine Virussignatur zur Verfügung stand. Ein Scan beim öffnen der Dateien ist in diesem Falle einem Scan beim Erstellen der Dateien vorzuziehen. Online-Virenscanner sind Anti-Viren-Programme, die ihren Programm-Code und ihre Virenmuster über ein Netz (online) auslesen.
Anders als permanent installierte Viren-Scanner funktionieren sie nur im On-Demand-Modus. Häufig werden Online-Scanner auch als so genannte Second Opinion Scanner eingesetzt, um neben dem eingebauten Viren-Scanner eine "zweite Meinung" über einen möglichen Befall zu erhalten. Darüber hinaus gibt es Websites, die es erlauben, individuelle Daten mit unterschiedlichen Viren-Scannern zu durchsuchen. Bei diesem Scantyp muss der Anwender die Daten selbst aktivieren, es handelt sich also um eine spezielle Form des On-Demand-Scans.
Bei einem solchen Download wird die heruntergeladene Akte zunächst am Stellvertreter überprüft und auf Kontamination überprüft. Prinzipiell kann zwischen zwei Detektionstechniken differenziert werden. Aufgrund der Vor- und Nachteile heutiger Virenscanner werden beide Verfahren genutzt, um sich gegenseitig aufzulösen. Reaktionsfähig: Bei dieser Erkennungsart wird eine Malware nur entdeckt, wenn eine zugehörige Unterschrift (oder ein in der Cloud vorhandener Hash-Wert) vom Hersteller der Virenschutzsoftware bereitgestellt wurde.
Das ist die klassischste Form der Viruserkennung, die von nahezu allen Antivirenprogrammen eingesetzt wird. Proactive: Hierbei handelt es sich um die Entdeckung von Schadprogrammen ohne geeignete Unterzeichnung. Vorteile: Erkennen von unbekanntem Schadcode. Eine Scan-Engine ist der Teil eines Viren-Scanners, der für das Scannen eines Rechners oder Netzwerks auf Schadsoftware zuständig ist.
In der Regel sind Scan-Engines Software-Module, die sich aktualisieren und nutzen lassen, ohne dass der restliche Virusscanner benötigt wird. Daher ist es fraglich, ob es Sinn macht, mit mehreren Scan-Engines zu arbeiten. Das Leistungsvermögen eines Signatur-basierten Antiviren-Scanners bei der Suche nach bösartigen Daten ist nicht nur von den eingesetzten Virussignaturen abhängig. Auf diese Weise kann ein tatsächlich bekanntes Virenproblem der Entdeckung durch einige Scanners entkommen, da sie nicht in der Lage sind, den Archivinhalt zu überprüfen.
Bei einem Umpacken des Archivs (ohne dessen Inhalte zu verändern) müßte auch dieses in die Signatur miteinbezogen werden. Auch oder vor allem für den Echtzeitschutz: Einige Virus-Scanner haben auch die Option, nach allgemeinen Funktionen (Heuristiken) zu recherchieren, um fremde Schädlinge zu entdecken, oder sie sind mit einem rudimentären IDS ( "Intrusion-Detection-System") ausgestattet.
Diese - präventive - Erkennungsart gewinnt immer mehr an Bedeutung, da die Zeiten, in denen neue Virusinfektionen und Virusvarianten im Handel kursieren (Markteintritt), immer kleiner werden. Die Heuristik sollte nur als zusätzliche Funktion des Virusscanners betrachtet werden. Das Aufspüren von noch nicht bekannter Malware ist relativ niedrig, da die Malware-Autoren ihre "Werke" meist mit den besten bekannten Virenscannern prüfen und so modifizieren, dass sie nicht mehr wiedererkannt werden.
Der norwegische Hersteller von Antivirenprogrammen Norman hat 2001 eine neue Technologie eingeführt, die die Software in einer sicheren Arbeitsumgebung, der Sandkiste, laufen lässt, um die Erkennungsrate von fremden Schädlingen zu steigern. Einfach gesagt, arbeitet dieses Gerät wie ein Rechner in einem anderen. Hier wird die Akte durchgeführt und ausgewertet.
Der Sandkasten rechnet mit einem typischen Verhalten für diese Datenbank. Weichen die Dateien bis zu einem bestimmten Grade davon ab, stuft der Sandkasten sie als potenzielle Gefährdung ein. Dadurch ergibt sich auch eine Meldung, die anzeigt, welche Handlungen die Akte auf dem Rechner durchgeführt hätte und welchen Schäden sie verursacht hätte.
Mit Hilfe der Sandbox-Technologie wurden 39% der unbekannten Schädlinge und Schädlinge entdeckt, bevor eine Unterschrift nach einem Test von AV-Test verfügbar war[17]. Gegenüber der konventionellen heuristischen Methode ist dies ein echter Vorteil bei der proaktiven Aufdeckung. Die verhaltensanalytische Analyse wird jedoch nur für die Echtzeit-Überwachung verwendet, da die Handlungen eines Programmes - im Unterschied zur Sandkiste - auf dem realen Rechner verfolgt werden und eingreifen können, bevor eine Schwelle überschritten wird (Summe der suspekten Handlungen) oder wenn gewisse Verhaltensregeln verletzt werden, bevor offenkundig destruktive Handlungen (Festplatte formatieren, System-Dateien löschen).
Wenn zu einem spÃ?teren Zeitpunkt eine gleichartige Anlage von einem Virenscanner ausgefiltert wird, können die vorher mit dem bösartigen Code gelieferten Botschaften anhand der Checksumme ermittelt und der Admin und der EmpfÃ?nger sofort gewarnt werden. Grundlegender Unterscheid zwischen Cloud-Technologie und "normalen" Virenscannern ist, dass sich die Unterschriften "in der Cloud" (auf den Rechnern der Hersteller) und nicht auf der eigenen Rechnerfestplatte oder in der Signaturart (Hash-Werte anstelle von klassischen Virenscannern wie der Byte-Sequenz ABCD an der Stelle 123) befinden.
Dies bedeutet, wenn sich die Daten eines (bösartigen) Programms nur um 1 Byte ändern, werden sie nicht mehr berücksichtigt. Bislang ist nicht bekannt (obwohl davon auszugehen ist), ob auch " Fuzzy " Hashwerte (z.B. ssdeep[35]) verwendet werden, die eine bestimmte Genauigkeit zulassen. Ressourcenersparnis: Bereits ausgewertete Daten werden nicht mehr in einem Simulator oder einer Sandkiste auf dem Rechner des Endbenutzers ausgewertet.
Besonders wichtig für Viren-Scanner ist die so genannte Auto-, Internet- oder Live-Update-Funktion, die automatische Downloads der neuesten Viren-Signaturen vom jeweiligen Anbieter ermöglicht. Weil Viren-Scanner sehr stark in das Gesamtsystem eindringen, stoßen einige Applikationen beim Scannen auf Probleme. Zur Vermeidung von Schwierigkeiten mit diesen Applikationen können Sie bei den meisten Viren-Scannern eine Ausnahmeliste erstellen, in der Sie festlegen können, welche Dateien nicht vom Echtzeit-Scanner kontrolliert werden sollen.
Dies ist besonders dann der Fall, wenn auf einen Datenzugriff über eine Netzwerk-Freigabe zurückgegriffen wird und auch auf diesem Remote-Computer Antiviren-Software abläuft. Die meisten Echtzeit-Scanner können diese Files entschlüsseln und somit Virus löschen. Der Mailserver kann diese Distanz jedoch nicht kennen und "vermisst" diese auch.
Oftmals lassen Viren-Scanner einen zweiten Viren-Scanner nicht zu. Falschmeldungen, d.h. Falschmeldungen, die bei manchen Viren-Scannern zum automatisierten Löschen, Umbenennen usw. führt und manchmal sehr aufwendig ist. Bei einem Umbenennen "erkennt" das Progamm diese Akte wieder und nennt sie wieder um. Der Viren-Scanner kann nach der Installierung und nach umfangreichen System-Updates auf seine Funktionalität geprüft werden.
Um zu vermeiden, dass zum Testen der Viren-Scanner-Konfiguration ein "echter" Schädling eingesetzt werden muss, hat das European Institute of Computer Anti-Virus Research gemeinsam mit den Viren-Scanner-Herstellern die so genannte EICAR Testdatei erarbeitet. Es ist kein Virenbefall, wird aber von jedem bekannten Viren-Scanner als solcher anerkannt. Anhand dieser Testdatei kann geprüft werden, ob das Virenschutzprogramm richtig eingestellt ist und ob alle Schritte des Viren-Scanners einwandfrei funktionieren.
? Joe Wells: Viren-Zeitleiste. 30. Aug. 1996 Zurückgeholt am Sechsten. Jänner 2008. http://www.eecs.umich.edu/ http://www.eecs.umich.edu/%7Eaprakash/eecs588/handouts/cohen-virus. HTML Fred Cohen 1984 "Computerviren - Theorie und Experimente". html Fred Cohen 1984 "Computerviren - Theorie und Experimente". ? Sicherheit bei Panda: II) Entwicklung der Computerviren. Aprils 2004. Zurückgeholt am Zwanzigsten. Jänner 2009. Peter Szor: Die Kunst der Forschung und Abwehr von Computerviren.
Februar 2009. Abgerufen am 18. Juni 2009. ? Antiviren-Hersteller in Abstimmung mit Stiftung Warentest. Das Antivirus Wörterbuch: Was macht.... Retrieved March June 2010 (Deutsch). Das Antivirus Wörterbuch vom 12. Mai 2012. Das Antivirus Wörterbuch: What does.... Retrieved March 6, 2018 (Deutsch).
Sieger des Netzwerks: 2. August 2017 (abgerufen am 7. Mai 2018). Zurückgeholt August 2017. Jürgen Schmidt: Schutzerklärung. Nr. 2, 2009, S. 77 (Heise.de).
Retrieved February 27, 2011. - Tom Espiner: Tom Espiner: Trends Micro: Die Antiviren-Branche hat 20 Jahre lang gelogen. 3. Mai 2008. 11. November 2008. 11. November 2014. Kim Rixecker: Sicherheitsstudie: Viren-Scanner machen Computer anfällig. 3 n. de, 3. Juli 2014. Joxean Koret: Breaking Antivirus Software (PDF; 2,9 MB).
coseinc, syscan 360, 2014. ? Virenschutzprogramm. BSI, aufgerufen am 28. Juli 2016. Sicherheitssoftware: Welche Software wehrt Angriffe ab? Stiftungswarentest, eingesehen am 10. Juni 2017.