Heuristische Analyse

Der Virenscanner verwendet zwei Methoden zum Erkennen von Viren: Signaturen und heuristische Analyse. Eine Virussignatur ist ein binäres Muster in einer mit einem Virus infizierten Datei. Der Scanner sucht mithilfe der in seinen Viren-Definitionsdateien (DAT) verfügbaren Daten nach solchen Mustern. Bei dieser Vorgehensweise können neue Viren nicht erkannt werden, da ihre Signaturen noch nicht bekannt sind. Deshalb werden unbekannte Viren mit der sogenannten heuristischen Analyse gesucht.

Programme, die einen Virus enthalten, weisen oft ausgeprägte Merkmale auf. Sie versuchen möglicherweise, Dateien ohne Aufforderung zu ändern oder Mail-Clients aufzurufen oder verwenden andere Methoden zur Verbreitung. Der Scanner analysiert den Programmcode, um diese Arten von Computeranweisungen zu erkennen. Der Scanner sucht außerdem nach berechtigtem Verhalten, wie zum Beispiel Aufforderungen an den Benutzer vor dem Einleiten von Aktionen, und vermeidet dadurch Fehlalarme.

Manche Viren sind verschlüsselt, um nicht so leicht erkannt zu werden. Jede Computeranweisung ist einfach eine binäre Zahl, es werden aber nicht alle möglichen Zahlen verwendet. Der Scanner kann einen verschlüsselten Virus erkennen, indem er in einer Programmdatei nach unerwarteten Zahlen sucht.

Mit diesen Methoden kann der Scanner bekannte Viren sowie viele neue Viren und Varianten erkennen.