An­ti­vi­ren­pro­gramm

Wenn man der Wer­bung Glau­ben schenkt, sind alle Vi­ren­pro­gram­me das bes­te Vi­ren­pro­gramm, Ent­schul­di­gung, na­tür­lich An­ti­vi­ren­pro­gramm. Und da­mit Sie sich si­cher füh­len, ma­chen die­se Pro­gram­me so vie­le wich­ti­ge Sa­chen, von de­nen Sie zwar vor­her nichts wuss­ten, aber in der Wer­bung als enorm wich­tig her­aus­ge­stellt wer­den. Doch das di­cke Ende kommt noch.

In­halts­ver­zeich­nis

Vi­rus

Ein Vi­rus ist eine Schad­soft­ware, des­sen Ur­he­ber ge­richt­lich be­langt wer­den kann. Aus­ge­nom­men sind die Vi­ren­schrei­ber mit staat­li­chem Auf­trag. Die Schä­den kön­nen viel­fäl­ti­ger Na­tur sein.

  • Die ers­ten Vi­ren die ich kann­te, ha­ben nur sich selbst ko­piert und da­mit die Fest­plat­te und den Ar­beits­spei­cher auf ab­seh­ba­re Zeit be­füllt.
  • Nächs­ter Schritt wa­ren die Ma­kro­vi­ren. In Mi­cro­soft­pro­duk­ten konn­te man recht ein­fach Funk­tio­nen hin­zu­fü­gen, bei­spiels­wei­se über Vi­su­al­Ba­sic.
  • Dann ka­men die “Tro­ja­ner”, die­se tarn­ten sich als nütz­li­che Pro­gram­me und hat­ten zu­sätz­lich un­ge­woll­te Soft­ware im Ge­päck.
  • Spä­ter sind die “Wür­mer” auf­fäl­lig ge­wor­den, sie ver­schick­ten sich selbst mas­sen­haft über das E‑­Mail-Adress­buch.
  • Die “Root­kits” sind eben­falls sehr raf­fi­niert, sie ent­zie­hen sich der Win­dows­ober­flä­che und kön­nen da­her nur schwer er­kannt wer­den.
  • Der letz­te gro­ße Hype ist die “Ran­som­ware”, die Da­ten ver­schlüs­selt und dann da­mit Lö­se­geld er­presst.
  • Und wei­ter und so wei­ter.

Ge­ne­rell kann man sa­gen, die­se Din­ger will kein ver­nünf­ti­ger Mensch. Zu un­ser al­ler Glück, hat die An­ti­vi­ren­in­dus­trie die ul­ti­ma­ti­ve All­zweck­waf­fe er­fun­den.

Kom­ple­xer Vi­rus

Es gibt auch Vi­ren, die im Um­feld gro­ßer Struk­tu­ren ein­ge­setzt wer­den. Alle er­in­nern sich an “Stux­net”. Die­se Vi­ren sind in der Re­gel kom­plex und kön­nen oft meh­re­ren Vi­ren­funk­tio­nen zu­ge­ord­net wer­den. Im Fal­le “Stux­net” war es ein “Com­pu­ter­wurm” mit “Rootkit”-Funktion.

Sol­che Art von kom­ple­xen Pro­gram­men ha­ben es auf grö­ße­re Struk­tu­ren ab­ge­se­hen wie folgt.

  • Frem­de Netz­wer­ke zu in­fil­trie­ren
  • Tech­ni­sche An­la­gen der Pro­duk­ti­on zu schä­di­gen
  • Da­ten­ban­ken aus­zu­spä­hen
  • Com­pu­ter­sys­te­me zu über­neh­men, na­tür­lich nur die frem­den und feind­li­chen

Die­se Kom­ple­xi­tät ist sehr zeit­auf­wen­dig und teu­er, da­her sind meist ein­zel­ne Per­so­nen und klei­ne Struk­tu­ren gar nicht be­trof­fen. Der Weg der In­fi­zie­rung läuft ver­mut­lich über “So­ci­al En­gi­nee­ring” oder ver­schlei­er­tem Ein­bruch be­zie­hungs­wei­se “Be­tre­tungs­recht”. Seit Ed­ward Snow­den darf man den Ge­heim­diens­ten auch ei­ni­ges zu­trau­en.

An die­ser Stel­le noch ein Gruß an den “Bun­destro­ja­ner” und sei­nem gro­ßen Bru­der dem “Staats­tro­ja­ner”.

Wie kommt ein Vi­rus auf den Com­pu­ter

Die Fra­ge in der Über­schrift ist falsch. Rich­tig, wie kommt ein Vi­rus auf ei­nen Win­dows-PC. Selt­sa­mer­wei­se sind alle an­de­ren Desk­top-Be­triebs­sys­te­me ge­gen Win­dows-Vi­ren re­sis­tent.

Also das Ein­falls­tor Num­mer Eins ist das In­ter­net. Mit In­ter­net ist wirk­lich das In­ter­net ge­meint. Also E‑Mails, On­line-Ga­mes, Web­sei­ten, Chat­pro­gram­me und so wei­ter.

In­ter­net zum Zwei­ten, es gibt die Ei­gen­heit von Win­dows-Be­nut­zern ihre Pro­gram­me von Web­sei­ten zu la­den. Ob die Web­sei­ten die Ori­gi­nal-Soft­ware-Web­sei­te ist, in­ter­es­siert of­fen­sicht­lich fast nie­man­den, denn ich sehe so vie­le “Down­loa­der” und an­de­re “Helper”-Software un­ter den in­stal­lier­ten Pro­gram­men.

In­ter­net zum Drit­ten, auf den Web­sei­ten von Win­dows-Soft­ware, aus­ge­nom­men we­ni­ge Open-Source-Soft­ware, ist sel­tenst ein Hash-Wert zu fin­de, um die je­wei­li­ge Da­tei zu prü­fen, ob sie auch die Ori­gi­nal­da­tei ist, die man her­un­ter ge­la­den hat.

Ab­ge­se­hen da­von, sind Win­dows-Be­nut­zer gar nicht so struk­tu­riert et­was zu prü­fen, Haupt­sa­che es ist kei­ne zip-Da­tei, son­dern eine exe-Da­tei für den Dop­pel­klick zum So­fort­start. Was aber ein an­de­res The­ma wäre und letzt­lich die Schuld von der ver­nach­läs­sig­ten Päd­ago­gik der Fir­ma “Mi­cro­soft” ist.

Als Zwei­tes er­leich­tert den Vi­ren­schrei­bern die Ar­beit, das Win­dows nur alle hal­be Jah­re ein grö­ße­res Up­date , das so­ge­nann­te “Funk­ti­ons­up­date”, er­hält. Bis da­hin blei­ben manch­mal er­kann­te Si­cher­heits­lü­cken of­fen, so­gar noch vie­le Jah­re lang, wenn es von Mi­cro­soft als nicht so wich­tig an­er­kannt ist.

Drit­tens, mit der Mög­lich­keit ei­nen Zu­gang zu ei­nem frem­den Sys­tem zu Er­lan­gen, kön­nen dort ge­zielt Vi­ren ein­ge­schleust wer­den, bei­spiels­wei­se mit ei­nem USB-Stick oder E‑­Mail-An­hang.

Vier­tens, das The­ma “So­ci­al En­gi­nee­ring” wur­de oben schon an­ge­spro­chen. Es ist kei­ne Aus­bil­dung zum Tech­ni­ker not­wen­dig, um ein Ge­burts­tags­da­tum, den Haus­tier­na­men, den Ge­burts­ort, das Hoch­zeits­da­tum oder die E‑­Mail-Adres­se als Pass­wort frem­der Sys­te­me zu tes­ten. Wo­bei, das Hoch­zeits­da­tum kam mir noch nie vor.

Hier ein Bei­spiel. Al­lein ein Name ei­ner Se­kre­tä­rin ei­ner Uni oder Fir­ma die auf ei­ner Web­sei­te steht, kann aus­ge­nutzt wer­den. Wer­den E‑Mails im Na­men der all­seits be­kann­ten Se­kre­tä­rin ver­sen­det, wer­den Mit­ar­bei­ter die E‑­Mail-An­la­gen zu öff­nen. Denn wer prüft nach le­sen des Na­mens, ob die E‑­Mail-Adres­se auch dazu ge­hört?

Zu­letzt noch das The­ma Fire­wall un­ter Win­dows. Es ist un­er­schöpf­lich, weil die Diens­te un­ter Win­dows wie un­kon­trol­liert agie­ren. Man könn­te eine Pos­se nach der an­de­ren be­schrei­ben.

Wie ist das bei­spiels­wei­se bei Li­nux

Ganz ein­fach, mein “Arch Linux”-Betriebssystem wech­selt alle paar Tage den ge­sam­tem Be­triebs­kern ge­gen ei­nen ak­tu­el­le­ren aus und das un­ter ei­ner Mi­nu­te! Mei­ne Soft­ware hole ich aus ge­si­cher­ten Re­po­si­to­ri­en, fer­tig aus.

Ach so Fire­wall, al­les bleibt ge­sperrt, bis es frei­ge­ge­ben wird, das war´s. SSH auf den vor­ge­schla­ge­nem Port 22 wird auch im­mer sel­te­ner.

Noch was zum Schmun­zeln. Es gibt auch An­ti­vi­ren­pro­gram­me für Li­nux. Und schon ist der letz­te Satz falsch. Es gibt An­ti­vi­ren­pro­gramm die in Li­nux lau­fen um Win­dows-Be­nut­zern Ihre Da­tei­en zu scan­nen, wie im Netz­werk, E‑Mails und so wei­ter. In der Re­gel sind die E‑­Mail-Ser­ver auf Li­nux ge­setzt.

Doch das heißt nicht, dass es kei­ne Schad­soft­ware für Li­nux gibt und ge­ben wird. Nur muss die­se mit ei­ge­nem Wil­len und be­wusst mit bei­spiels­wei­se der Ein­ga­be des sudo-Pass­wort zu­ge­las­sen wer­den. Und auch noch raf­fi­nier­te­re Tricks sind nicht aus­ge­schlos­sen. Doch es ist für Schrei­ber von Schad­soft­ware für Li­nux höchst ris­kant, eine Un­men­ge an Ar­beit zu in­ves­tie­ren, wenn 4 Tage spä­ter ein neu­er Li­nux-Ker­nel al­les zu­nich­te macht, weil die­ses Ein­falls­tor, wor­auf er ziel­te, nicht mehr exis­tiert.

An­ti­vi­ren­soft­ware-In­dus­trie

Die An­ti­vi­ren­soft­ware-In­dus­trie wird ho­fiert durch Un­wis­sen­heit. Spar­kas­sen emp­feh­len An­ti­vi­ren-Soft­ware und so­gar die Bun­des­po­li­zei schreibt von “Gute An­ti­vi­ren-Soft­ware” im Fe­bru­ar die­sen Jah­res.

Da­bei ist es durch Kas­pers­ky so­gar amt­lich, das Win­dows mit frem­den An­ti­vi­ren­pro­gram­men nicht mehr ge­hol­fen wer­den kann.

In­si­der wis­sen was wirk­lich los ist und Zei­tun­gen ma­chen sich schon lus­tig über dies An­ti­vi­ren­soft­ware-Her­stel­ler. Selbst ei­ner von de­nen, also ein An­ti­vi­ren­soft­ware-Her­stel­ler kam schon aus der De­ckung.

Wie ar­bei­tet ein An­ti­vi­ren­pro­gramm

Bei al­len Ver­spre­chun­gen der An­ti­vi­ren­soft­ware-Her­stel­ler und Soft­ware-Ver­käu­fer,  muss man erst ein­mal fest­stel­len, das nur ge­fun­de­ne Vi­ren be­kämpft wer­den kön­nen. Das alle Vi­ren und im­mer ge­fun­den wer­den ist zu 100% aus­zu­schlie­ßen! Das ist die der­zei­ti­ge Si­tua­ti­on.

Und an der Si­tua­ti­on än­dert sich auch nichts bei “Wir ha­ben 2 un­ab­hän­gi­ge En­gi­nes …” oder das Sie zwei ver­schie­de­ne Vi­ren­scan­ner in­stal­lie­ren, was oh­ne­hin noch an­de­re Nach­tei­le mit sich bringt, so­fern ein Be­triebs­sys­tem das über­haupt ver­kraf­tet.

Ich ken­ne drei Me­tho­den die ob­jek­tiv die Vi­ren­su­che an­ge­hen.

  1. Ver­gleich mit schon be­kann­ten Vi­ren­si­gna­tu­ren
  2. Heu­ris­ti­sches Ab­ar­bei­ten  von Ver­hal­tens­mus­tern
  3. Über­wa­chen von Da­tei­en in Sys­tem­ord­nern

Wo­bei nur der Ver­gleich mit Vi­ren­si­gna­tu­ren wirk­lich funk­tio­niert, die bei­den an­de­ren Me­tho­den sind schon hin­rei­chend ver­ris­sen wor­den we­gen ih­rer Un­taug­lich­keit. Die Heu­ris­tik nervt mit Fehl­alar­men und an­ge­pass­te Vi­ren um­ge­hen sie gleich. Und die An­ma­ßung des “Schutz von Sys­tem­ord­nern” ist so was von un­se­ri­ös.

Wenn schon die “Heu­ris­tik” ver­sagt, dann dürf­ten alle an­de­ren, so­ge­nann­ten “Ana­ly­sen” und “Dia­gno­sen” ei­nes An­ti­vi­ren­pro­gramms, of­fen­sicht­lich nichts mit der ei­gent­li­chen Vi­ren­be­kämp­fung zu tun. Es sind dem­nach ein­fach nur Schnüf­fe­lei­en.

Ge­nau die­ses Ver­hal­ten führt zum Ge­gen­teil, es macht das Be­triebs­sys­tems erst recht an­greif­bar. Denn so­viel par­sen und ent­pa­cken öff­net je­dem An­grei­fer Tür und Tor.

Das di­cke Ende

Jetzt zu dem was mich är­gert.

  • Im Screen­shot steht, das Vi­ren und Mal­wa­re blo­ckiert wer­den. Kön­nen die­se nicht auch ge­löscht wer­den, also eine Ab­si­che­rung des Her­stel­lers für sein Un­ver­mö­gen?
  • Was hat mein WLAN mit der An­ti­vi­ren­soft­ware zu tun, war­um schnüf­felt sie dort rum?
  • War­um wol­len die alle mei­ne Pass­wör­ter ha­ben?
  • Wes­halb wol­len die auf mei­ne Web­cam?
  • Wozu wol­len die mich beim On­line-Shop­ping be­ob­ach­ten?
  • Und wie­so sol­len ver­däch­ti­ge Pro­gram­me doch aus­ge­führt wer­den?
  • Ver­trau­li­che Da­ten wol­len sie auch wis­sen, da­mit sie ver­nich­tet wer­den kön­nen?
  • On­line-Ban­king mehr schüt­zen als “https://”? Bit­te schön, wie soll das ge­hen?

Das hat NICHTS mit ei­nem An­ti­vi­ren­pro­gramm zu tun! Im Ge­gen­teil, wenn, wie ich ver­mu­te, die ge­si­cher­ten On­line-Ver­bin­dun­gen über “https://” auf­ge­bro­chen wer­den, ist es ge­nau das Ver­hal­ten ei­nes Vi­ren­pro­gram­mes. Zu­min­dest läuft je­der On­line-Ban­king-Ver­kehr über ge­si­cher­te Ver­bin­dun­gen.

Und die Über­wa­chung hört hier bei dem Her­stel­ler die­ses An­ti­vi­ren­pro­gramms noch nicht ein­mal auf, son­dern der CClea­ner wur­de nun eben­falls zum Trüf­fel­schwein um­ge­baut.

Auch das noch, die Web­sei­te ei­nes be­kann­ten und nicht ge­nann­ten An­ti­vi­ren­soft­ware­her­stel­lers mit Ver­dacht auf Cross-Site-Scrip­ting.

Was mir auf­ge­fal­len ist, je hö­her der Preis der An­ti­vi­ren­soft­ware um so mehr Über­wa­chung fin­det statt. Das ist wie beim Smart­pho­ne. Je teu­er das Smart­pho­ne ist, um so mehr und fei­ne­re Sen­so­ren hat die Wan­ze. Es geht noch ein­fa­cher: Die von Ih­nen ge­wünsch­te “Su­per-Ta­schen­lam­pe-App” be­nö­tigt den Zu­griff auf Ihr Adress­buch, Bil­der, Ge­sund­heits­da­ten, Pass­wör­ter und Ihre E‑Mails für den be­stim­mungs­ge­mä­ßen Ge­brauch. Bit­te be­stä­ti­gen Sie, um die­se “Su­per-Ta­schen­lam­pe-App” so­fort nut­zen zu kön­nen. Man ver­kauft wirk­lich sich selbst als Ge­gen­wert für ein in­dus­tri­el­les Pro­dukt ohne ei­nen tie­fer ge­hen­den Nut­zen. Oder ist die er­wor­be­ne Be­quem­lich­keit für das Schrump­fen der ei­ge­nen …, nein, das führt jetzt zu weit und ist ja auch un­mög­lich.

Die “Su­per-Ta­schen­lam­pe-App” soll­te ein Bei­spiel sein, wie es auch Mo­du­le von An­ti­vi­ren­pro­gram­men schaf­fen, Sie zu über­re­den, die­se zu ak­ti­vie­ren um Din­ge zu tun, von de­nen Sie nicht wis­sen, was wirk­lich da­hin­ter steckt.

Cla­mAV

Bis 2008 gab es “Moon Se­cu­re An­ti­vi­rus” als Open-Source-An­ti­vi­ren­pro­gramm. Doch seit 2009 sind kei­ne wei­te­ren Ak­ti­vi­tä­ten zu fin­den.

Es ist mir seit Jah­ren nur noch ein Open-Source-An­ti­vi­ren­pro­gramm be­kannt, das von “Cis­co”. Es heißt “Cla­mAV” ist ein CLI-pro­gramm und hat eine gra­fi­sche Ober­flä­che in Win­dows mit Na­men “Clam­Win”. Un­ter Li­nux ist “ClamTK” als GUI be­kannt, um für Win­dows-Sys­te­me die Vi­ren zu fin­den und zu lö­schen. Bis jetzt hat­te ich “Cla­mAV” in je­dem Re­po­sito­ry der ver­schie­dens­ten Dis­tri­bu­to­ren ge­fun­den.

Zum Preis, es ist kos­ten­los und auch wenn im­mer wie­der die Da­ten­bank ak­tua­li­siert wur­de, es blieb kos­ten­los und das seit Jah­ren.

So weit wie ich das Pro­gramm nut­ze, hat­te es nie mein WLAN “über­prüft” oder mein On­line-Shop­ping “be­glei­tet”. Es hat nur Vi­ren ge­sucht und ver­nich­tet.

Ver­rück­te Welt, “Cla­mAV” macht was es soll, ist kos­ten­los und man kann im Quell­code nach­se­hen wie es ar­bei­tet. Was ha­ben sich die Ent­wick­ler nur da­bei ge­dacht. Da die Ent­wick­ler kei­nen in­dus­tri­el­len Ver­trieb ha­ben, ist die­ser kos­ten­lo­sen Ver­trieb ohne Ein­nah­men und so kann auch kei­ne Wer­bung ge­schal­tet wer­den.  Nur für den Fall das Sie sich wun­dern, dass Sie die­ses Pro­gramm noch nicht kann­ten oder das es nicht im Ver­kaufs­re­gal steht.

Eine Hür­de für den Win­dows-Nor­mal­be­nut­zer be­steht je­doch. Um es als stän­dig lau­fen­den Dienst zu nut­zen, also als Echt­zeit­scan­ner, müs­sen Sie es sel­ber als Dienst ein­tra­gen um die Da­ten­bank beim Start des Be­triebs­sys­tems in den Ar­beits­spei­cher zu la­den. Ganz ein­fach.

Ein Nach­teil, für ma­chen Win­dows-Be­nut­zer könn­te sein, die gra­fi­sche Ober­flä­che ist so klein, so un­schein­bar und so sach­lich, das man im Ver­gleich zu den an­de­ren Bo­li­den der ver­kauf­ten An­ti­vi­ren­soft­ware ins Grü­beln kommt. War­um ist da kei­ne rie­sen­gro­ße Gra­fik die mich in grün und mit Pro­zent und schö­ner Pro­gres­si­ons­an­zei­ge über­zeugt, al­les ist in Ord­nung? Oder die vie­len Ein­stel­lun­gen, wo sind die in “Clam­Win”?

Noch­mal, “Cla­mAV” sucht Vi­ren und löscht sie.

Fa­zit

Kann denn das al­les wahr sein? Ja, es ist die Wahr­heit, die Vi­ren­schrei­ber kön­nen nicht so vie­le Da­ten ab­fas­sen, wie ein An­ti­vi­ren­pro­gramm, mit der mir be­kann­ten Aus­nah­me von Cla­mAV. Dann blei­ben Sie lie­ber gleich bei Ih­rem Win­dows-10-De­fen­der, denn der ist in Pro­fi­qua­li­tät und auch noch kos­ten­los und Mi­cro­soft weis ja eh schon über al­les Be­scheid, also über Vi­ren und so. Schö­ne Ne­ben­ef­fek­te, ohne frem­de An­ti­vi­ren­soft­ware bleibt Ihr Win­dows-PC ei­ni­ger­ma­ßen schnell und Sie wer­den nicht von den häu­fi­gen so­wie “hilf­rei­chen Mel­dun­gen” Ih­res be­sorg­ten An­ti­vi­ren­pro­gram­mes er­schreckt. Dazu gibt es ei­nen schö­nen Bei­trag in der Wi­ki­pe­dia, Sca­re­ware.

Wei­te­re Bei­trä­ge zum The­ma

Quel­len

  • https://de.wikipedia.org/wiki/Makrovirus
  • https://de.wikipedia.org/wiki/Stuxnet
  • https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
  • https://www.heise.de/newsticker/meldung/Staatstrojaner-Polizei-soll-in-Wohnungen-einbrechen-duerfen-4075115.html
  • https://de.wikipedia.org/wiki/Edward_Snowden
  • https://de.wikipedia.org/wiki/Online-Durchsuchung_(Deutschland)#.E2.80.9EBundestrojaner.E2.80.9C
  • https://www.heise.de/security/meldung/Exploit-bringt-Nutzer-aller-Windows-Versionen-in-Gefahr-2457372.html
  • https://www.sparkasse.de/service/sicherheit-im-internet/wege-in-die-datensicherheit.html
  • https://www.bundespolizei-virus.de/virenscanner/
  • https://www.heise.de/newsticker/meldung/Microsoft-weist-Vorwuerfe-von-Antivirenhersteller-zurueck-3754148.html
  • https://www.heise.de/security/artikel/Ex-Firefox-Entwickler-raet-zur-De-Installation-von-AV-Software-3609009.html
  • https://www.n‑tv.de/technik/Windows-10-zu-sicher-fuer-Antivirus-Anbieter-article19787838.html
  • https://www.heise.de/security/meldung/Symantec-erklaert-Antivirus-Software-fuer-tot-2183311.html
  • https://de.wikipedia.org/wiki/Antivirenprogramm#Heuristik[15][16]
  • https://de.wikipedia.org/wiki/Antivirenprogramm#Probleme_mit_Virenscannern
  • https://www.avast.com/de-de/compare-antivirus
  • https://blog.avast.com/de/avast-secure-browser
  • https://www.netzwelt.de/betrugswarnungen/166614-kritik-ueberwachungsfunktion-avast-loescht-ccleaner-545.html
  • https://www.google.com/search?q=avast+verteidigt+sich&ie=utf‑8&oe=utf‑8&client=firefox-b-ab
  • https://www.focus.de/gesundheit/werden-menschen-duemmer-umwelthormone-eine-gefahr-fuer-das-menschliche-gehirn_id_7847170.html
  • https://www.giga.de/apps/google-play-store/die-besten-taschenlampen-apps-fuer-android/page/2/
  • https://sourceforge.net/projects/moonav/files/Binary%20Releases%20Version%202.0/
  • https://de.wikipedia.org/wiki/ClamAV
  • https://www.microsoft.com/de-de/windows/comprehensive-security
  • https://de.wikipedia.org/wiki/Scareware
  • https://www.heise.de/security/meldung/Google-Forscher-entdecken-dramatische-Windows-Luecke-3705864.html

Ihr Kom­men­tar | Ihre Spen­de[Pos1] Sei­ten­an­fang