McAfee VirusScan
Ihr Goalkeeper im Einsatz gegen virale Offensiven

von Michaela Bociurko (Ausgabe 04/1, März 2004)

 

Die gegnerische Offensive prescht vor, doch kein Verteidiger, kein Schlussmann in Sicht! Der Angreifer kickt in Richtung des unbewachten Tores - die Menge brüllt: TOR! TOR! TOR!

Wäre dieses Szenario wirklich denkbar? Jene, welche dem runden Leder zugetan sind, schütteln jetzt wohl nur verständnislos den Kopf. Dennoch verhalten sich einige EDV-AnwenderInnen durchaus vergleichbar, wenn sie auf den Einsatz effektiver Antivirensoftware verzichten: Ihr Rechner verbleibt ungeschützt gegen jegliche virale Offensive. Was im Sport schlimmstenfalls eine Niederlage herbeiführt, kann jedoch für Ihren Rechner fatale Auswirkungen haben. Hat ein Virus erst einmal "erfolgreich" zugeschlagen, sind Arbeitsaufwand, Datenverlust und - nicht zuletzt - meist beträchtliche Kosten die unweigerlichen Folgen. Für infizierte Notebooks sind noch weitreichendere Konsequenzen denkbar, da diese Geräte aufgrund ihrer Mobilität ein deutlich höheres Risikopotential darstellen. Infektionen können hiermit von einem Netzwerk in ein anderes übertragen werden und in der Folge beispielsweise alle Rechner eines Betriebs verseuchen.

Um Sie vor derartigen Geschehnissen zu bewahren, haben wir Ihnen den folgenden kleinen Crashkurs zusammengestellt, der Ihnen - als frisch gebackenem Manager, Trainer und Präsidenten in einer Person - Schritt für Schritt helfen soll, eine schlagkräftige Verteidigung für Ihren Rechner aufzubauen.

Punkt 1: Kaderauswahl

Selektion einer geeigneten Antivirensoftware

Der Entschluss, eine effektive Abwehr für Ihren Rechner aufzustellen, ist gefällt. Nun drängt sich die Frage auf, wen Sie mit der anspruchsvollen Position des Torwächters betrauen möchten.

Grundsätzlich wird am Softwaremarkt eine breite Palette von Antivirenprogrammen angeboten. Da die Uni Wien für den Virenscanner von McAfee eine Campuslizenz besitzt, steht dieser allen Uni-MitarbeiterInnen kostenlos zur Verfügung. Voraussetzung für den Download vom SWD-Server der Universität Wien ist in jedem Fall eine gültige Mailbox-UserID.

Derzeit sind zwei Versionen in Gebrauch: McAfee VirusScan Enterprise 7.x und die Version 4.5.x.

  • McAfee VirusScan Enterprise 7.x ist die aktuellere Version und weist einige neue, durchaus brauchbare Features auf. Betriebssystemvoraussetzung ist für diese Version Windows NT 4.0 (SP6 oder höher), Windows 2000 Professional oder Windows XP.

  • Sollten Sie einen Rechner mit Windows 95, 98 bzw. ME-Betriebssystem verwenden, installieren Sie bitte die Version 4.5.x.

Beachten Sie, dass sich die detaillierten Anleitungen in diesem Artikel auf die neuere Version Enterprise 7.x beziehen. Die beiden Versionen sind in Prinzip und Funktionsumfang zwar weitgehend ident, jedoch können diverse Darstellungen bei der Version 4.5.x etwas abweichen.

Download und Installation

  1. Rufen Sie in Ihrem Browser den URL http://swd.univie.ac.at/ auf, klicken Sie auf Weiter und identifizieren Sie sich anhand Ihrer Mailbox-UserID und Ihres Mailbox-Passworts.

  2. Sie erhalten eine Liste aller für Sie verfügbaren Softwareprodukte. Klicken Sie ganz oben in der Liste auf Gratissoftware und auf der folgenden Seite auf McAfee Virenscanner.

  3. Sie finden dort einen Link zum Server von NAI (Network Associates International, der Herstellerfirma von McAfee) und genaue Informationen für den Download des Virenscanners.

  4. Nachdem die komprimierte .zip-Datei auf Ihren Rechner übertragen wurde, muss sie entpackt werden. Falls Sie dafür keine geeignete Software installiert haben, müssen Sie noch unter Gratissoftware - WinZip die Datei winzip81.exe (für Windows 95/98/ME/NT/2000/XP, Englisch) auf Ihren Rechner übertragen.

  5. Entpacken Sie nun die .zip-Datei durch einen Doppelklick und installieren Sie das Antivirenprogramm durch einen Doppelklick auf setup.exe. Dabei können Sie getrost die Standardvorgaben verwenden; die Installation selbst geht automatisch vor sich.

  6. Da die Uni Wien nur über eine begrenzte Anzahl von Lizenzen für McAfee bzw. WinZip verfügt, bitten wir Sie, die Verwendung der Programme per eMail bekannt zu geben (To: peter.wienerroither@univie.ac.at; Subject: McAfee-Registrierung bzw. WinZip-Registrierung; Inhalt: Name, Institut, Tel., Anzahl der Lizenzen).

Hinweis: Für Studierende ist McAfee VirusScan (Version 7.0) als Shareware unter http://tucows.univie.ac.at/ erhältlich.

Punkt 2: Training

Halten Sie Ihre Defensive up-to-date

Der Gegner schläft nicht. Täglich ersinnt er neue Taktiken, Ihren Torhüter auszuspielen. Verhindern können Sie dies nur, indem Sie ihn für die jeweils aktuellen Herausforderungen fit erhalten. Zu diesem Zweck sind Updates vorgesehen. Sie sind das unbedingt notwendige, regelmäßige "Training" Ihres "Spielers": Der Virenscanner ist mit einer internen Virendatenbank ausgestattet, in welcher Signaturen von bereits bekannten Viren enthalten sind. Werden während eines Scanprozesses verdächtige Codes entdeckt, vergleicht der Virenscanner seine Untersuchungsergebnisse mit dem Inhalt seiner Datenbank und kann so mutmaßliche Viren einwandfrei identifizieren. Da täglich neue Viren auftauchen, muss dieser Erkenntnisstand regelmäßig aufgefrischt werden. Ohne die aktualisierten Dateien kann die Software neue Viren unter Umständen nicht erkennen oder nicht entsprechend auf diese reagieren. Die Aktualität der Virendatenbank ist demnach entscheidend für die Effektivität der Erkennung.

AutoUpdate

McAfee VirusScan bietet eine AutoUpdate-Funktion, anhand derer das Updaten ohne großen Aufwand für den Benutzer und in garantierter Regelmäßigkeit durchgeführt werden kann. Bei diesem automatisierten Prozess greift das Programm auf eine Download-Seite (ein so genanntes Repository) zu und lädt die entsprechenden Aktualisierungen von dort herunter. Standardmäßig bezieht Ihr VirusScan seine Aktualisierungen vom FTP- bzw. HTTP-Repository des Herstellers Network Associates International. Die hierfür notwendige Konfiguration wird nach Abschluss der Installation automatisch vorgenommen. Sie müssen sich also nicht weiter mit der Frage beschäftigen, woher Sie Ihre Updates beziehen. Viel wichtiger ist die Überlegung, wann Sie diese abrufen.

Mithilfe der AutoUpdate-Funktion kann das Updaten sowohl manuell per Direktanfrage als auch anhand eines Zeitplanes durchgeführt werden. Nutzen Sie die äußerst praktische Möglichkeit des Updatens via Zeitplan. Dieser ermöglicht es Ihnen, die verschiedenen Parameter nach Ihren persönlichen Präferenzen festzulegen. Die Aktualisierungen werden dann automatisch anhand dieser Zeitsteuerung vorgenommen. Die Enterprise-Version von McAfee bietet einen vordefinierten Aktualisierungs-Task, der jeden Freitag um 17:00 Uhr durchgeführt wird (mit einstündiger Zufallsfunktion). Es ist ratsam, diesen standardmäßigen Aktualisierungs-Task neu zu konfigurieren. Nehmen Sie sich kurz Zeit, die Einstellungen auf Ihre persönlichen Bedürfnisse abzustimmen. Die entsprechenden Änderungen sind einfach und schnell durchgeführt:

Wählen Sie Start - Programme - Network Associates - VirusScan-Konsole (siehe Abb. 1).

 

Abb. 1: Die VirusScan-Konsole von McAfee

 

Doppelklicken Sie auf AutoUpdate. Das Fenster Eigenschaften von VirusScan AutoUpdate1) öffnet sich (siehe Abb. 2).

 

Abb. 2: Fenster Eigenschaften von VirusScan AutoUpdate

 

Durch Anklicken der Schaltfläche Zeitplan gelangen Sie in das Fenster Zeitplaneinstellungen. Da der Task hier bereits aktiviert ist, wechseln Sie gleich mit einem Klick auf die Registerkarte Zeitplan (siehe Abb. 3).

 

Abb. 3: Fenster Zeitplaneinstellungen, Registerkarte Zeitplan

 

Unter Geplanter Task finden Sie die standardmäßige Konfiguration vor (Wöchentlich). Ändern Sie diese, indem Sie den Listenpfeil rechts neben dem Kästchen anklicken. Die nun sichtbare Liste präsentiert Ihnen eine Reihe von Optionen:

  • Für BenutzerInnen mit Wählleitungszugang ist es naheliegend, das AutoUpdate Beim Einwählen durchführen zu lassen.

  • Rechner, die via Breitband mit dem Internet verbunden bzw. in LAN-Netze eingebunden sind und beinahe täglich ein- und ausgeschaltet werden ("Werktagsrechner"), sollten zumindest Bei Systemstart aktualisiert werden.

  • Bei Geräten, die auch in der Nacht nicht ausgeschaltet werden, ist wenigstens ein Update Täglich zu einer von Ihnen gewählten Uhrzeit (z.B. 07:00) empfehlenswert.

Wählen Sie die für Sie passende Einstellung und schließen Sie den Task ab, indem Sie auf Übernehmen klicken und mit OK bestätigen.

Punkt 3: Techniken

Automatisches und manuelles Scannen

Die ersten beiden Punkte haben Sie souverän absolviert. Ihr "Goalie" ist in Ihr Team integriert und erhält ein regelmäßiges, perfekt auf Ihren Spielplan abgestimmtes Fitnessprogramm. Vor einem Einsatz auf dem Feld sollten Sie sich allerdings unbedingt mit den Fertigkeiten Ihres Neuerwerbs vertraut machen. Es gilt, zumindest einige wichtige Techniken Ihres Virenscanners zu kennen und zu wissen, wie Sie diese effektiv anwenden können.

Mit McAfee VirusScan können zwei Arten von Scanvorgängen ausgeführt werden:

  • Automatisches Scannen,

  • Scannen in regelmäßigen Abständen, bei Auswahl oder zu festgelegten Zeiten.

Scannen bei Zugriff

Die automatische Virenprüfung wird als Scannen bei Zugriff bezeichnet. Diese Funktion scannt in allen Dateien, die Sie öffnen, kopieren, speichern oder anderweitig bearbeiten sowie in allen Dateien, die Sie von Disketten oder Netzwerklaufwerken lesen oder auf diese schreiben. Sie bietet somit ständigen Schutz vor Viren, welche in diesen Quellen lauern.

Scannen bei Zugriff ist gewöhnlich nach erfolgreicher Installation aktiviert. Überprüfen Sie dies, indem Sie nach dem VShield-Symbol im Windows-Infobereich (rechts unten) Ausschau halten. Sollte wider Erwarten Scannen bei Zugriff deaktiviert sein, erkennen Sie dies an einem kleinen durchgestrichenen roten Kreis innerhalb des VShield (siehe Abb. 4). In diesem Fall doppelklicken Sie darauf und wählen Sie dann Aktivieren. Schließen Sie das Fenster. Ihr Virenscanner ist nun stets wachsam.

 

Abb. 4: Infobereich von Windows XP - Scannen bei Zugriff ist deaktiviert

 

Detailliertere Optionen können Sie ebenso mit einem Doppelklick auf das VShield aufrufen: Unter Eigenschaften ist es möglich, umfangreiche Konfigurationen für den Scanvorgang bei Zugriff vorzunehmen. So kann hier speziell definiert werden, welche Bereiche bei Anwendung dieses Tasks mit einbezogen werden sollen, welchen Ordner man für die Quarantäne-Funktion heranziehen möchte und wie lange der Scanvorgang für einzelne Bereiche dauern darf. Darüber hinaus lassen sich Aktionen wie das Versenden von Benutzernachrichten über Virusaktivitäten (Wer bekommt welche Nachricht?) oder das Erstellen von Protokollen (Soll protokolliert werden, wenn ja wo und wie viel?) genauer spezifizieren.

Unter Alle Vorgänge können Sie außerdem Unterschiedliche Einstellungen für Vorgänge mit niedrigem oder hohem Risiko verwenden. Dieses Feature mag zum Teil nützlich sein für den erfahrenen Benutzer, der Wert darauf legt, jede Einstellung individuell festzulegen. Für die herkömmliche Anwendung empfiehlt es sich jedoch, die Standardeinstellung des Herstellers (Einstellungen auf diesen Registerkarten für alle Vorgänge verwenden) zu belassen.

Scannen auf Anforderung

Neben dem permanenten Scannen sollten Sie auch unbedingt regelmäßig die komplette Festplatte auf Viren durchsuchen. Vielleicht haben Sie ja vor einigen Wochen schon ein Virus auf der Festplatte gespeichert, das der Virenscanner damals noch nicht kannte und das bei Ihnen bis dato noch nicht aktiviert wurde. Mit dem Scannen auf Anforderung verfügen Sie über eine Methode, mit der Sie alle Teile des Computers zu für Sie günstigen Zeiten oder in regelmäßigen Abständen auf Viren scannen können. Verwenden Sie den Anforderungsscan als Ergänzung zum kontinuierlichen Schutz durch den Zugriffsscanner. Der integrierte Zeitplan hilft Ihnen dabei, die regelmäßigen Scanvorgänge so festzulegen, dass Ihre Arbeitsabläufe nicht eingeschränkt werden. Wählen Sie vorzugsweise eine Zeitspanne aus, in der Sie nicht am Gerät arbeiten (beispielsweise um die Mittagszeit oder nachts), da der Vorgang in den meisten Fällen die Systemleistung Ihres PCs beeinträchtigt.

Die VirusScan-Konsole enthält einen Standard-Task für das Scannen auf Anforderung mit dem Namen Alle stationären Datenträger. Sie können diesen Task umbenennen und/oder eine unbegrenzte Anzahl von (neuen) Anforderungstasks anlegen. Einen neuen Anforderungsscan erstellen Sie, indem Sie aus dem Menü Task die Option Neuer Scan-Task auswählen. In der Task-Liste der VirusScan-Konsole wird jetzt ein Neuer Scan angezeigt. Doppelklicken Sie darauf um die Konfiguration des Anforderungsscans vorzunehmen. Im Fenster VirusScan - Scannen auf Anforderung - Eigenschaften - Neuer Scan können Sie nun festlegen, welche Elemente zu welchem Zeitpunkt gescannt werden sollen, welche Reaktion erfolgt, wenn Viren gefunden werden, und wie Sie in einem solchen Fall benachrichtigt werden wollen.

Jene Bereiche, die gescannt werden sollen, werden auf der Registerkarte Ort definiert (siehe Abb. 5).

 

Abb. 5: Fenster VirusScan - Scannen auf Anforderung - Eigenschaften - Neuer Scan - Registerkarte Ort

 

Standardmäßig werden folgende Einstellungen verwendet: Auf allen lokalen Laufwerken, im Speicher der laufenden Prozesse, in den Unterordnern sowie in den Bootsektoren. Diese voreingestellte Auswahl hat Sinn, kann aber unter Umständen sehr lange dauern. Ändern Sie sie nur in Ausnahmefällen, beispielsweise wenn für den Scanvorgang lediglich ein sehr beschränkter Zeitrahmen zur Verfügung steht.

Auf der Registerkarte Entdeckung werden die Elemente definiert, die überprüft werden sollen. Auch hier ist die Voreinstellung Alle Dateien als sinnvoll zu erachten und zu belassen. Unter Erweitert können Sie - nomen est omen - erweiterte Optionen festlegen. Standardmäßig ist lediglich die Heuristik aktiviert. Mit diesem Begriff wird ein Suchverfahren bezeichnet, bei dem Programme nach "verdächtigen" Befehlsfolgen durchsucht werden, also nach (noch) nicht bekannten Virencodes. Die Effizienz dieser Methode ist derzeit jedoch laut Sicherheitsexperten eher minimal. Zudem ist sie äußerst fehleranfällig, was sich in zahlreichen False Positives bemerkbar macht. Sie können diese Funktion also unbesorgt deaktivieren.

Unter Aktionen wird festgelegt, wie der Virenscanner vorgehen soll, wenn er ein Virus gefunden hat. Generell wird empfohlen, im Zweifelsfall immer die Aktion Säubern zu wählen. Dies ist auch standardmäßig in VirusScan Enterprise vorgegeben. Wenn das Säubern der Datei fehlschlägt, verschiebt Ihr Scanner die Datei automatisch in den Ordner Quarantäne, der bereits bei der Installation des Programms angelegt wurde.

Auf der letzten Registerkarte Berichte können Sie schließlich diverse Einstellungen zu den Protokolleinträgen vornehmen, die der Virenscanner zu Ihrer Information erstellt. Die Optionen ermöglichen es Ihnen, den Ablageort selbst zu bestimmen (Durchsuchen) bzw. die Größe der Protokolldatei zu begrenzen (1 bis 999 MB). Wenn Sie keine Protokollierung wünschen, deaktivieren Sie einfach die Option In Datei protokollieren.

Nachdem Sie sich mit den umfangreichen Konfigurationsmöglichkeiten vertraut gemacht haben und eventuell einige individuelle Adaptionen durchgeführt haben, schreiten wir letztendlich zum wichtigsten Kriterium: Und zwar zu jenem der regelmäßigen Durchführung des Tasks.

Garantieren können Sie eine solche regelmäßige Durchführung wiederum am besten mit Hilfe eines Zeitplans. Die weitere Vorgangsweise wird Ihnen schon wie Routine erscheinen: Kehren Sie im Fenster VirusScan - Scannen auf Anforderung - Eigenschaften - Neuer Scan auf die Registerkarte Ort zurück (siehe Abb. 5) und wählen Sie rechts mit einem Klick die Schaltfläche Zeitplan. Sie sehen nun die Registerkarte Task des Fensters Zeitplaneinstellungen vor sich (siehe Abb. 6).

 

Abb. 6: Fenster Zeitplaneinstellungen, Registerkarte Task

 

Um weitere Einstellungen vorzunehmen, müssen Sie hier zunächst in das leere Kästchen vor Aktivieren klicken. Das Häkchen bezeichnet, dass der Task nun aktiviert wurde. Wählen Sie als nächsten Schritt die Registerkarte Zeitplan (siehe Abb. 7).

 

Abb. 7: Fenster Zeitplaneinstellungen, Registerkarte Zeitplan

 

Unter Geplanter Task können Sie festlegen, wann der Anforderungsscan durchgeführt werden soll. Optimal wäre hier Täglich (idealerweise unmittelbar nach der Aktualisierung der Virendatenbank) zu einer Uhrzeit, in der der Rechner eingeschaltet ist, jedoch eine Weile nicht von Ihnen benötigt wird. (Beispiel: Wenn Sie täglich um 13 Uhr Mittagspause machen, entscheiden Sie sich für die Einstellungen Geplanter Task: Täglich und Startzeit: 13:00.) Als absolutes Minimum für die Durchführung des Tasks sollte jedenfalls einmal Wöchentlich gelten. Schließen Sie den Task ab, indem Sie auf Übernehmen klicken und mit OK bestätigen.

Punkt 4: Agieren im Vorfeld
Umsicht ist die beste Verteidigung

Kein Tormann vermag es, alle Bälle abzublocken. Ebenso kann auch die beste Antivirensoftware nicht alle viralen Attacken abwehren. Es verbleibt ein gewisses Restrisiko, das sich nur durch umsichtiges Handeln auf eine vernachlässigbare Größe reduzieren lässt.

Öffnen Sie deshalb prinzipiell keine eMail-Attachments unbekannten oder verdächtigen Ursprungs. Oft lässt sich bereits anhand des (nicht selten allzu "verlockenden") Betreffs die (Un-) Seriosität des Inhalts abschätzen. Lassen Sie zudem Vorsicht walten bei Downloads aus dem Internet und achten Sie dabei stets auf namhafte Quellen. Weitere hilfreiche Ratschläge finden Sie im Artikel Goldene Regeln für ein intaktes (Windows-)Betriebssystem. Im Zweifelsfall empfiehlt sich immer die alte Weisheit: Vorsicht ist besser als Nachsicht.

Verlängerung: Golden Goal
Der Fall der Fälle

Wenn Ihr Virenscanner erfolgreich ein Virus aufgespürt hat, erhalten Sie umgehend eine Meldung (siehe Abb. 8), die Ihnen mitteilt, wann und wo das Virus entdeckt wurde, um welches Virus es sich handelt und wie Ihr Virenscanner gegen den mutmaßlichen Angreifer vorgegangen ist (nachzulesen unter Status).

 

Abb. 8: Warnmeldung bei erfolgreichem Zugriffsscan

 

Keine Panik, Ihr Virenscanner hat bereits verlässlich das erste Krisenmanagement übernommen. Im dargestellten Fall hat er die Datei korrekt als eicar testfile erkannt und - wie in den Einstellungen festgelegt - in den Quarantäne-Ordner verschoben, weil eine Säuberung fehlschlug. Sollte auf Ihrem Rechner ebenfalls einmal die Situation eintreten, dass die Säuberung einer Datei misslingt, so empfiehlt es sich im Anschluss einen Neustart durchzuführen und die verschobene Datei erneut zu scannen. In den meisten Fällen wird dem Virenscanner die Säuberung nun gelingen.

Sollte dies nicht der Fall sein, ist es besser den Rat von Experten einzuholen, da die Alternative Datei löschen eventuell mehr schaden als nutzen könnte. Wenden Sie sich deshalb bei Fragen vertrauensvoll an unser Helpdesk-Team (eMail: helpdesk.zid@univie.ac.at, Tel.: 4277-14060).

Wenn Sie selbst überprüfen wollen, wie McAfee VirusScan arbeitet, können Sie unter http://www.eicar.org/ ein Testvirus herunterladen. Das eicar testfile gibt es in mehreren Versionen: Als DOS-Programm, das zur Gänze aus einem ASCII-String besteht, als Kopie mit einem anderen Dateinamen sowie in einfach und doppelt gezippter Form. Ein guter Virenscanner wird das einfach gezippte "Virus" erkennen und vielleicht sogar das doppelt gezippte. Seien Sie unbesorgt, es handelt sich bei dem eicar testfile um kein "echtes" Virus, es enthält keinerlei Viruscode-Fragmente. Dennoch reagieren die meisten Virenscanner darauf, als ob es tatsächlich ein Virus wäre. Es eignet sich deshalb optimal für ein kleines "Freundschaftsspiel".

PS - speziell für jene, die einen neuen Rechner unter Windows XP in Betrieb nehmen wollen: Bedenken Sie, dass dieser bis zur Installation eines Antivirenprogramms völlig ungeschützt ist! Es empfiehlt sich daher, den Rechner während dieser Zeitspanne mit Hilfe der im Betriebssystem integrierten Firewall abzusichern. Eine Anleitung hierfür finden Sie im Artikel Sicherheit von Anfang an - Windows XP mit Firewall-Schutz installieren.

 

1) Hier können Sie auch manuell per Direktanfrage neue Updates abrufen, indem Sie auf Jetzt aktualisieren klicken. Ein AutoUpdate wird dann umgehend durchgeführt.