Die Meldungen beginnen immer mit „HEUR“, anschließend folgt der Name der Malware oder des Trojaners, die das heuristisch arbeitende Anti-Viren-Programm, entdeckt zu haben glaubt. Häufig erscheinen derzeit beispielsweise „HEUR: Trojan win32 generic“ oder „HEUR: Trojan winInk“. Was sagen diese Meldungen aus? Wie gefährlich ist ein Trojaner im System? Und was bedeutet HEUR?
HEUR: Was bedeutet diese Zeichenfolge?
HEUR bezeichnet die Methode, mit der ein Trojaner oder eine andere schädliche Software vom Anti-Viren-Programm auf dem PC identifiziert werden. Wenn also eine Meldung mit diesem Kürzel erscheint, bedeutet es, dass die betreffende Software mit einer heuristischen Analyse entdeckt und eingeschätzt wurde.
Heuristik ist ein analytisches Vorgehen, bei dem mit begrenztem Wissen über ein System mit Hilfe von mutmaßenden Schlussfolgerungen Aussagen über dieses System getroffen werden. Bekannte heuristische Methoden sind Versuch und Irrtum (Trial and Error) und das Ausschlussverfahren.
Wie funktioniert die HEUR-istische Analyse?
Ein Virenscanner, der heuristisch arbeitet, z.B. Kaspersky Anti-Virus, analysiert den Code des betreffenden Objekts und kann aufgrund von indirekten Merkmalen einschätzen, ob das Objekt eine Gefährdung für das System darstellt. Im Gegensatz zum Signatur-basierten Ansatz, kann die heuristische Methode (HEUR) nicht nur bereits bekannte Viren, sondern auch unbekannte, ganz neu entwickelte Viren erkennen.
Bei der Analyse wird zunächst im Code der Software bzw. der Datei nach verdächtigen Merkmalen bzw. Befehlen gesucht, die für schädliche Software typisch sind. Gefährliche Anwendungen suchen beispielsweise nach ausführbaren Programmen, öffnen Dateien und verändern sie. Jede dieser Aktivitäten wird bewertet, und wenn ein bestimmter Grenzwert verdächtiger Aktivitäten erreicht ist, schlägt die Software Alarm.
Der Vorteil dieser sog. statischen Arbeitsweise ist die hohe Arbeitsgeschwindigkeit, allerdings ist die Erkennungsrate neuer Codes eher gering und dafür die Wahrscheinlichkeit einer falschen Warnung relativ hoch. Daher kombinieren neue Virenscanner zumeist die statische mit der sog. dynamischen Arbeitsweise: Bevor die Anwendung auf dem Computer startet, wird sie in einer virtuellen Testumgebung (Sandbox) getestet. Dieses Verfahren kann einige Zeit benötigen und lässt manchen User verzweifeln, ist aber trotz des zeitlichen Aufwands sehr effektiv un erzeugt wesentlich weniger Falschmeldungen.
HEUR: Trojaner oder falsche Warnung?
Aus den obigen Ausführungen geht bereits hervor, dass die heuristische, statische Analysemethode nicht immer mit ihren Warnungen richtig liegt. Dennoch solltet ihr die Meldung solange ernst nehmen, bis ihr vom Gegenteil überzeugt seid. Die Analyse könnte ein Fehler sein, wenn mindestens einer der folgenden Punkte zutrifft:
- Das betreffende Programm ist euch bekannt und schon lange in Benutzung.
- Das Programm wurde von euch selbst installiert.
- Das Programm ist aus einer vertrauenswürdigen Quelle
Trifft von diesen Punkten keiner zu, habt ihr wahrscheinlich schädliche Software auf dem Rechner und der Virenscanner hat recht. Vorsicht ist dringend geboten, die wenigsten Viren, Trojaner und Würmer sind heutzutage alles andere als harmlos. In der Regel können sie potenziell einschneidende Veränderungen an eurem System vornehmen, in die Rechteverwaltung eingreifen, Daten versenden, weitere schädigende Software auf den Rechner laden und viele unangenehme Dinge mehr.
Oftmals kann auch gute Software den Schädling nicht komplett vernichten, weil er sich an unzähligen Stellen und unter verschiedenen Namen tief in euer System integriert hat. Daher solltet ihr nie vor dem Aufwand zurückschrecken, den Computer neu aufzusetzen.
In schlimmen Fällen kann auch die Kaspersky Rescue Disk die letzte Rettung sein, aber oftmals ist die sicherste Vorgehensweise der Komplett-Reset und wer regelmäßig ein Back-Up seiner Daten macht, muss sich auch nicht vor Datenverlust fürchten.
Hat dir der Beitrag gefallen? Folge uns auf WhatsApp und Google News und verpasse keine Neuigkeit rund um Technik, Games und Entertainment.
