HEUR: Trojaner oder False-Positiv-Meldung?

Kristina Kielblock

Die Meldungen beginnen immer mit „HEUR“, anschließend folgt der Name der Malware oder des Trojaners, die das heuristisch arbeitende Anti-Viren-Programm, entdeckt zu haben glaubt. Häufig erscheinen derzeit beispielsweise „HEUR: Trojan win32 generic“ oder „HEUR: Trojan winInk“. Was sagen diese Meldungen aus? Wie gefährlich ist ein Trojaner im System? Und was bedeutet HEUR?

HEUR: Trojaner oder False-Positiv-Meldung?

HEUR: Was bedeutet diese Zeichenfolge?

HEUR bezeichnet die Methode, mit der ein Trojaner oder eine andere schädliche Software vom Anti-Viren-Programm auf dem PC identifiziert werden. Wenn also eine Meldung mit diesem Kürzel erscheint, bedeutet es, dass die betreffende Software mit einer heuristischen Analyse entdeckt und eingeschätzt wurde.

Heuristik ist ein analytisches Vorgehen, bei dem mit begrenztem Wissen über ein System mit Hilfe von mutmaßenden Schlussfolgerungen Aussagen über dieses System getroffen werden. Bekannte heuristische Methoden sind Versuch und Irrtum (Trial and Error) und das Ausschlussverfahren. 

android-viren-infografik-kaspersky-2012

Wie funktioniert die HEUR-istische Analyse?

Ein Virenscanner, der heuristisch arbeitet, z.B. Kaspersky, analysiert den Code des betreffenden Objekts und kann aufgrund von indirekten Merkmalen einschätzen, ob das Objekt eine Gefährdung für das System darstellt. Im Gegensatz zum Signatur-basierten Ansatz, kann die heuristische Methode (HEUR) nicht nur bereits bekannte Viren, sondern auch unbekannte, ganz neu entwickelte Viren erkennen.

Bei der Analyse wird zunächst im Code der Software bzw. der Datei nach verdächtigen Merkmalen bzw. Befehlen gesucht, die für schädliche Software typisch sind. Gefährliche Anwendungen suchen beispielsweise nach ausführbaren Programmen, öffnen Dateien und verändern sie. Jede dieser Aktivitäten wird bewertet, und wenn ein bestimmter Grenzwert verdächtiger Aktivitäten erreicht ist, schlägt die Software Alarm.

HEUR

Der Vorteil dieser sog. statischen Arbeitsweise ist die hohe Arbeitsgeschwindigkeit, allerdings ist die Erkennungsrate neuer Codes eher gering und dafür die Wahrscheinlichkeit einer falschen Warnung relativ hoch. Daher kombinieren neue Virenscanner zumeist die statische mit der sog. dynamischen Arbeitsweise: Bevor die Anwendung auf dem Computer startet, wird sie in einer virtuellen Testumgebung (Sandbox) getestet. Dieses Verfahren kann einige Zeit benötigen und lässt manchen User verzweifeln, ist aber trotz des zeitlichen Aufwands sehr effektiv un erzeugt wesentlich weniger Falschmeldungen.

HEUR: Trojaner oder falsche Warnung?

Aus den obigen Ausführungen geht bereits hervor, dass die heuristische, statische Analysemethode nicht immer mit ihren Warnungen richtig liegt. Dennoch solltet ihr die Meldung solange ernst nehmen, bis ihr vom Gegenteil überzeugt seid. Die Analyse könnte ein Fehler sein, wenn mindestens einer der folgenden Punkte zutrifft:

  • Das betreffende Programm ist euch bekannt und schon lange in Benutzung.
  • Das Programm wurde von euch selbst installiert.
  • Das Programm ist aus einer vertrauenswürdigen Quelle

trojaner

Trifft von diesen Punkten keiner zu, habt ihr wahrscheinlich schädliche Software auf dem Rechner und der Virenscanner hat recht. Vorsicht ist dringend geboten, die wenigsten Viren, Trojaner und Würmer sind heutzutage alles andere als harmlos. In der Regel können sie potenziell einschneidende Veränderungen an eurem System vornehmen, in die Rechteverwaltung eingreifen, Daten versenden, weitere schädigende Software auf den Rechner laden und viele unangenehme Dinge mehr.

Oftmals kann auch gute Software den Schädling nicht komplett vernichten, weil er sich an unzähligen Stellen und unter verschiedenen Namen tief in euer System integriert hat. Daher solltet ihr nie vor dem Aufwand zurückschrecken, den Computer neu aufzusetzen.

Video-Bild: Giga Trojaner entfernen Video

In schlimmen Fällen kann auch die Kaspersky Rescue Disk die letzte Rettung sein, aber oftmals ist die sicherste Vorgehensweise der Komplett-Reset und wer regelmäßig ein Back-Up seiner Daten macht, muss sich auch nicht vor Datenverlust fürchten.

 

Zu den Kommentaren

Kommentare zu diesem Artikel

Neue Artikel von GIGA SOFTWARE

  • Sat.1 Mediathek: So seht ihr eure Lieblingssendungen im Netz

    Sat.1 Mediathek: So seht ihr eure Lieblingssendungen im Netz

    Sat.1 ist für das deutsche Fernsehen ein Stück Geschichte. Immerhin war Sat.1 der erste deutsche Privatsender – noch bevor RTL Plus an den Start ging. Seitdem ist jedoch viel Zeit vergangen und das lineare Fernsehen gerät hinter On-Demand-Diensten, wie auch der Sat.1 Mediathek selbst, immer weiter ins Hintertreffen. Wo ihr die Mediathek von Sat.1 findet und welche Features euch erwarten, verraten wir euch hier auf...
    Thomas Kolkmann 1
  • Darktable

    Darktable

    Mit dem Darktable Download bekommt ihr ein Tool für die Verwaltung und Bearbeitung von Digitalfotos, dass auf RAW-Dateien spezialisiert ist und eine kostenlose Alternative zu Adobe Photoshop Lightroom darstellt.
    Marvin Basse
  • iDevice Manager

    iDevice Manager

    Mit dem iDevice Manager Download greift man direkt auf die Datei-Struktur von iPhone, iPod touch und iPad zu und lädt bzw. überträgt Daten per USB.
    Marvin Basse
* Werbung