Bitdefender Antivirus Plus im Überblick - Seite 3

Bitdefender Active Virus Control

Active Virus Control ist eine Funktion der Bitdefender Produktlinie, zu der Bitdefender Antivirus, Bitdefender Internet Security und Bitdefender Total Security gehören. Um maximale Sicherheit zu erreichen, scannen alle Bitdefender Produkte in vier Schritten:

• Schritt 1: Jedes Mal, wenn auf eine Datei über das Web, E-Mail oder Instant Messenger zugegriffen, kopiert oder heruntergeladen wird, wird die Datei entweder vom Bitdefender-Dateisystemtreiber oder vom entsprechenden Proxy abgefangen und zum Scannen gesendet.
• Schritt 2: Die Datei wird mit der Bitdefender-Signaturdatenbank (mit Malware-„Fingerabdrücken“) verglichen, die stündlich aktualisiert wird. Wenn der Dateiinhalt mit einer der Signaturen übereinstimmt, versucht das Produkt automatisch, den Virus zu desinfizieren. Wenn diese Aktion fehlschlägt, wird die Datei in den Quarantäne-Ordner verschoben. Wenn keine Signatur übereinstimmt, wird die Datei zur Überprüfung an B-HAVE übergeben.
• Schritt 3: B-Have überprüft die Datei, indem sie in einer virtuellen Umgebung innerhalb der Bitdefender Engine ausgeführt wird. Wenn die Datei verdächtige, Malware-ähnliche Aktivitäten aufweist, meldet B-Have die Datei als bösartig. Wenn nicht, wird die Datei als sauber deklariert und der entsprechende Prozess kann ausgeführt werden.
• Schritt 4: Active Virus Control überwacht die Aktionen der Prozesse (bestimmte Prozesse), die auf dem Computer ausgeführt werden. Es sucht nach virenspezifischen Anzeichen und vergibt für jede dieser Aktionen eine bestimmte Punktzahl. Wenn die Gesamtpunktzahl für einen Prozess einen bestimmten Schwellenwert erreicht, wird der Prozess als schädlich gemeldet und je nach Benutzerprofil entweder beendet oder der Benutzer wird aufgefordert, die auszuführende Aktion anzugeben (abhängig vom Modus, in welcher Bitdefender ausgeführt wird).

Im Gegensatz zu B-HAVE und anderen heuristischen Scannern überwacht Active Virus Control alles, was Anwendungen tun, solange sie aktiv sind, und kann daher nicht durch die Verzögerungstaktik ausgehebelt werden, die einige fortschrittliche Malware besitzt. Darüber hinaus verhindert diese ständige Überwachung, dass Malware bereits vertrauenswürdige Anwendungen ausnutzt oder übernimmt.

Funktionsweise von Active Virus Control im Überblick

Active Virus Control überwacht kontinuierlich alle laufenden Anwendungen und Prozesse, außer:

• Prozesse, die vom Benutzer ausdrücklich von der Überwachung ausgeschlossen sind (Prozesse auf der Whitelist).
• Systemprozesse wie crss.exe, lsass.ese oder smss.exe, von denen bekannt ist, dass sie sauber sind.
• Alle Prozesse, die vor dem Sicherheitsdienst (vsserv.exe) geladen wurden.
• Unter Windows überwacht Active Virus Control nur Prozesse, die im 64-bit-Modus ausgeführt werden (Prozesse, die im 32-bit-Modus ausgeführt werden, werden nicht überwacht).

Anwendungen und Prozesse werden kontinuierlich auf Anzeichen verdächtiger, Malware-ähnlicher Aktivitäten überwacht, solange sie aktiv sind, einschließlich:

• Nicht auf irgendeine Form von Benutzerinteraktion warten oder keine anfordern
• Beim Ausführen oder Beenden der Anwendung wird keine Benutzeroberfläche angezeigt
• Kopieren oder Verschieben von Dateien in C:\Windows\ oder C:\Windows\System32\
• Einen nicht passendes Icon verwenden – z.B. ein Prozess mit einem Ordnersymbol
• Ausführen von Code innerhalb eines anderen Prozesses, um mit höheren Berechtigungen ausgeführt zu werden
• Ausführen von Dateien, die mit Informationen erstellt wurden, die in einer Binärdatei gespeichert sind
• Selbstreplizierende
• Erstellen eines Autostart-Eintrags in der Registrierung
• Versuch, sich vor Prozesszählungsanwendungen zu verstecken
• Löschen und Registrieren von Treibern in C:\Windows\System32\

Da legitime Anwendungen manchmal eine oder mehrere dieser Aktionen ausführen (z.B. das Erstellen eines Autostart-Eintrags), ermittelt Active Virus Control anhand einer einzelnen Aktion nicht, ob ein Prozess böswillig ist. Stattdessen wird die laufend Punktzahl beibehalten oder erhöht und eine Anwendung nur dann als bösartig eingestuft, wenn ein bestimmter Schwellenwert erreicht wird. Dies minimiert das Auftreten von Fehlidentifikationen (Falsepositives) und vermeidet unnötige Eingriffe des Benutzers.

Bei Internet-Tests wurden 63,5 Prozent der Malware-Beispiele, die weder von der Standard-Bitdefender-Scan-Engine noch von B-HAVE erkannt wurden, von Active Virus Control erkannt. Angesichts der Tatsache, dass B-HAVE eine der fortschrittlichsten und effektivsten heuristischen Scan-Engines auf dem Markt ist, soll Active Virus Control einen wesentlich besseren Schutz als andere Lösungen bieten und das Risiko einer Systemkompromittierung durch eine neue oder sich ausbreitende Bedrohung drastisch verringern.