Zusätzlich zu traditionelleren Methoden der Virensuche mit Signaturen, etwa dem „Masken“-Abgleich, gibt es eine Reihe neuer Entdeckungstechnologien, die auch die neuesten, bisher unbekannten Schadprogramme finden können. Die Qualität dieser neuen Technologien hilft, den Schutz jedes individuellen Produkts zu erhöhen. Solche proaktiven Methoden enthalten heuristische Technologien sowie Verhaltensanalysen.
Immer wieder einmal versuchen die Hersteller von Antivirus-Programmen, innovative Technologien zu entwickeln, die alle bisher angesprochenen Probleme auf einen Schlag lösen sollen. Sie suchen nach einer Art Allheilmittel, das den Computer für alle Zeit vor jeder Attacke schützt. Sie versuchen, den Anwender „proaktiv“ zu schützen und Viren und andere neu auftauchende Schädlinge schon zu erkennen, bevor sie erstellt und auf die Welt losgelassen werden.
Leider bleibt diese gut gemeinte Suche erfolglos. Universelle Lösungen können nur für allgemeine Probleme genutzt werden, zudem halten sich Computerviren nicht an die Regeln. Sie sind kein Produkt eines gut dokumentierten Prozesses, sondern kommen aus den oft hochentwickelten Gehirnen der Hacker. Viren nutzen laufend neue Wege, die stark von den Zielen und Wünschen der Hintermänner abhängen.
Lassen Sie uns einmal ansehen, wie sich eine Verhaltensanalyse im Gegensatz zu traditionellen, signaturbasierten Antivirus-Lösungen verhält. Beides sind verschiedene Ansätze für die Entdeckung von Viren, haben aber das gleiche Ziel. Die signaturbasierte Entdeckung vergleicht den Programm-Code mit dem Code bekannter Viren und sucht nach einem positiven Gegenstück. Die Verhaltensanalyse überwacht dagegen den Start und die Arbeit von Programmen, um sicherzustellen, dass sie sich an vordefinierte Regeln halten, und blockiert diese, falls sie verdächtig erscheinen oder ganz klar schädlich handeln. Beide Methoden haben Vorteile und Nachteile.
Auf der einen Seite fängt ein Signatur-Scanner garantiert jedes „Biest“, das er kennt. Auf der anderen Seite lässt er aber alle anderen durch, die ihm nicht bekannt sind. Zudem gibt es zahllose Antivirus-Datenbanken, was die Systemressourcen stark beanspruchen kann. Die Verhaltensanalyse hat den Vorteil, dass sie schädliche Programme entdecken kann, selbst wenn sie diese noch nicht kennt. Allerdings kann es passieren, dass sie altbekannte Varianten von Schadprogrammen durchlässt, da das Verhalten moderner Viren und Trojaner so unvorhersehbar ist, dass kein Regelwerk alles abdecken kann. Ein weiterer Nachteil der Verhaltensanalyse ist, dass sie hin und wieder Fehlalarme (False Positives) auslösen kann, da sogar legitime Programme sich oft unerwartet verhalten. Daher wird eine Verhaltensanalyse hin und wieder ein schädliches Programm nicht entdecken, dafür aber die Arbeit eines legitimen Programms blockieren.
Eine Verhaltensanalyse hat noch einen weiteren Nachteil: Ihre Unfähigkeit, mit manchen neueren Viren klar zu kommen. Nehmen wir als Beispiel die Firma X, die das Verhaltensanalyse-Programm AVX entwickelt hat, das 100 Prozent aller aktuellen Viren entdeckt. Wie würde ein Hacker darauf reagieren? Er würde sicher eine andere Möglichkeit erfinden, um einen Computer zu infizieren, ohne dass AVX dies bemerkt. Das Programm AVX muss dann seine Verhaltensregeln aktualisieren. Die Firma X veröffentlicht also Updates. Dann kommen mehr Updates und noch mehr Updates, da die Hacker und Virenschreiber laufend neue Möglichkeiten finden, den Viren-Scanner zu umgehen. Und schließlich haben wir wieder einen signaturbasierten Scanner, bei dem die Signaturen die Form von Verhaltensweisen statt Code-Fragmenten annehmen.
Dieses Szenario gilt auch für heuristische Analysen, einer anderen proaktiven Schutzmethode, die den Programmstart und das Programmverhalten überwacht und im Fall schädlicher Aktionen beendet. Sobald solche Antivirus-Technologien den Hackern ernsthaft gefährlich werden und sie davon abhalten, ihre Opfer anzugreifen, tauchen neue Virus-Technologien auf, die heuristische Schutzmethoden umgehen sollen. Und sobald ein Produkt mit fortschrittlichen heuristischen und Verhaltenstechnologien beliebt wird, kann es nicht mehr effizient sein.
Daher haben diese neu entwickelten proaktiven Technologien meist ein recht kurzes Verfallsdatum. Während Amateur-Hacker vielleicht Wochen oder Monate brauchen, um neue proaktive Technologien zu umgehen, gelingt erfahreneren Cyberkriminellen dies vielleicht schon innerhalb einiger Stunden oder sogar Minuten. So effektiv Verhaltensanalysen auch sind, benötigen sie doch laufend Verbesserungen und Aktualisierung. Das hinzufügen neuer Signaturen zu einer Antivirus-Datenbank dauert nur wenige Minuten, doch die Fertigstellung und das Testen proaktiver Technologien benötigt viel mehr Zeit. Die Geschwindigkeit, in der Virensignaturen zur Datenbank hinzugefügt und als Updates veröffentlicht werden können, ist meist erheblich höher als aktualisierte Lösungen für ähnliche proaktive Technologien ausgeliefert werden können. Das ist auch der Fall bei vielen E-Mail- und Netzwerk-Wurm-Epidemien sowie bei Spyware und anderen kriminellen Schädlingen.
All das bedeutet natürlich nicht, dass proaktive Methoden nutzlos sind. Sie funktionieren ganz gut und können eine Menge einfacher Schadprogramme, die von relativ unerfahrenen Hackern entwickelt wurden, blockieren. Deshalb sind sie eine wichtige Ergänzung für traditionelle Signatur-Scanner, aber man sollte sich nicht ausschließlich auf sie alleine verlassen.