Doch, weil eine im Hintergrund aktive Antivirensoftware der Antivirensoftware noch unbekannten Code beim Starten vor dessen eigentlichen Ausführung noch scannt. Dafür braucht man aber einen im Hintergrund aktiven Scanner.
Das gleiche gilt beim Download von irgendwelchen Dateien oder Dateien die im E-Mail Account landen.

Lediglich bei manuell aufgerufenen Scannern sieht das anders aus, aber hier kommt es halt auf die Intelligenz des Nutzers an, wenn der so schlau ist und alle seine Dateien scannt, dann wird eine Schädlingsdatei vorher entdeckt, bevor sie ausgeführt wird.


Sicherheitsupdates allein genügen nicht wirklich gegen Viren, da Viren, wenn sie denn ausgeführt werden, die entsprechenden Programme sowieso selbst manipulieren.
Die Sicherheitsupdates sind in diesem gesonderten Fall bezügl Viren nur dann relevant, wenn man seine ganze Arbeit mit eingeschränkten Benutzerrechten macht, denn nur hier bringt eine Sicherheitslücke einem Virus etwas, in dem er sich Adminrechte besorgt und noch mehr befällt.
Arbeitet man aber sowieso als Admin, was bei Windows XP bei vielen Usern leider immer noch recht häufig der Fall ist, dann sind die Sicherheitslücken irrelevant, weil der Virus mit diesen Rechten sowieso jedes Programm befallen kann und daher auf Sicherheitslücken um Adminrecht zu erlangen gar nicht angewiesen ist, denn die hat er in diesem Fall ja schon.

Es kommt also ganz auf das Verhalten des Benutzers an.
Natürlich sollte man trotzdem seine Sicherheitsupdates einspielen, denn es gibt ja nicht nur Viren, sondern auch Würmer und Exploits und die funktionieren etwas anders als Viren.

Das beduetet also, du kannst alle deine Sicherheitsupdates einspielen,
aber das wird dich vor einem Virenbefall nicht bewahren, wenn du ein mit einem Virus befallenes Programm ausführst.
Eine Antivirensoftware würde dich aber genau davor schützen wenn sie den Virus kennt.



Das ist falsch und typisches unqualifiziertes Stammtischgerede. Ein Virenscanner kann nämlich sehr wohl verhindern das ein Virus überhaupt aktiv werden kann.
Das ist eine der wesentlichen Aufgaben von Antivirensoftware.
Vorraussetzung dafür ist natürlich, wie ich schon bereits sagte, daß der Antivirensoftware die Virensignatur oder entsprechender Heuristiken bekannt ist.


.
EDIT (autom. Beitragszusammenführung) :
Cordess schrieb nach 23 Minuten und 11 Sekunden:


Angriffe lohnen sich bei jedem, bei dem der Aufwand zum eindringen nicht hoch ist, auch bei völlig normalen Usern.


Würde sich z.B. jemand für Kinderpornos interessieren und hätte Ahnung wie man in Rechner eindringt, Exploits, Würmer und Viren schreibt, dann würde er versuchen jeden Rechner zu kapern den er auf einfache Weise kriegen kann.
Er würde also auch deinen Rechner kapern, um dann selbst ohne eigene Gefahr über deinen Rechner und deinen Internetanschluß die Kinderpornos downloaden zu können.

Er selbst holt sich die Kinderpornos dann verschlüsselt und gefahrfrei über und von deinem Rechner, während bei dir die Polizei klingelt und dich wegen Kinderpornos einbuchtet.

Das ist ein durchaus plausibles Szenario.


Auch das Verbreiten und Downloaden von Raubkopien über derartig unter Kontrolle gebrachte Systeme bietet sich an.
Ich würde mal sagen, daß ganze urheberrechtlich geschützte Zeug, daß auf Downloaddiensten wie ********** und Co hochgeladen wird, kommt genau von solchen gekaperten Rechnern.
Die Gefahr für den Täter erwischt zu werden sinken nämlich dadurch deutlich und der unbedarfte Nutzer der muß es dann ausbaden, weil es sein Internetanschluß war.


Es gibt hier dutzende Möglichkeiten. Auch Aufruf zum Terror, das Beleidigen von prominenten Personen usw. wäre denkbar.


Es ist nämlich keineswegs so, als wären nur deine privaten Daten gefährded.
In diesem Irrglauben sind leider die meisten unbedarften User, weswegen sie meinen, daß sie bezügl. Sicherheit keinen großen Aufwand betreiben müßte, da sie ja meinen, was durchaus zutreffen kann, daß ihre Daten nicht wichtig wären.
Aber das der eigene Computer dadurch unwichtig wird, dem ist halt leider nicht so.
Prinzipiell lohnt sich jeder an das Internet angeschlossene Rechner, da man diesen als Werkzeug zu eigenen Zwecken mißbrauchen kann.



Im Prinzip ist es so, als hättest du eine registrierte Schußwaffe zu Hause.
Mit welcher Schußwaffe wäre es wohl besser einen Mord zu begehen?

Mit deiner oder der eigenen des Täters?
Die Antwort ist klar, natürlich mit deiner.
Der Täter will ja schließlich nicht die Aufmerksamkeit der Polizei auf sich lenken.


.
EDIT (autom. Beitragszusammenführung) :
Cordess schrieb nach 19 Minuten und 56 Sekunden:


Das würde ich so pauschal nicht sagen.

Im speziellen Fall wäre ein HTTP Proxy und eine wirklich dichte Firewall in beide Richtungen auf einem LAN Router wohl ausreichend um zu verhindern, daß der Angreifer mit der Backdoor irgendetwas anrichten kann.

Für eine CMD Shell wäre nämlich AFAIK das RDP Protokoll notwendig, aber wenn die Firewall dicht ist und der Proxy nur für das HTTP Protokoll Daten durchläßt bzw. übersetzt, dann müßte der Angreifer vorgesehen haben, RDP über HTTP zu tunneln und ob er daran dachte, das würde ich bezweifeln.
Limited Firefox Zero-Day Attack in the Wild | Symantec Connect

Naja Filsharing läuft eher über einen Tracker und die unvollständigen Dateien werden über ein Seeder und Leecher System zusammengefügt.Was erstmal noch nichts mit einem gekaperten Rechner zu tun hat.
Ich warne aber ausdrücklich vor dem Gebrauch von illegalen Downloads, da es mittlerweile schon ganze Anwaltsfirmen gibt die Abmahnungen via download stellen.

BitTorrent ? Wikipedia
Soweit ich informiert bin ist definitiv auch in der Filesharing Szene Kinderpornografie geächtet.
Allerdings wird hier auch der Warenwert eines Produkts auf Null reduziert, somit kommt auch kein Geld in die Kasse. Wenn ich überzeugt von einem Produkt bin dann Kaufe ich es einfach.

Ich benutze mittlerweile Norton als gängiges Sicherheitsystem, die einfache Handhabung ist nicht schlecht. Der Schutz ist auch optimal.

LG Infinitas

Peer2Peer Netze zum Filesharing von urheberrechtlich geschütztem Material ist längst ein alter Hut und das habe ich auch nicht gemeint.
Sondern ich spreche von Sharehoster (wie z.b. **********) bei denen man Dateien uploaden kann und dann eine lange URL erhält, über die man dann auf diese Daten zugreifen und downlaoden kann.
Diese Dienste werden heutzutage auch zum Verbreiten von Raubkopien ausgenutzt und die URLs landen dann auf irgendwelchen dubiosen Webseiten wo sie sich jeder holen kann.
Auch Kinderpornos könnten darunter fallen, wenn der Uploader seine upgeloadeten Daten vorher verschlüsselt und die Passwörter nur auf den dubiosen Webseiten mit den URLs oder über andere Wege preisgibt.


Klassische Peer2Peer Tauschbörsen sind ein alter Hut und machen gerade wegen der von dir besprochenen juristischen Konsequenzen nur noch ahnungslose Computeruser die der Zeit hinterherhinken, oder Computeruser die in einem Land wohnen in dem das legal oder egal ist oder eben Computeruser die darüber nur ausschließlich legale Sachen tauschen.


EDIT:
Wieso wird hier RS. mit Sternchen unkenntlich gemacht?
Diesen Dienst kann man auch völlig legal nutzen, es kommt nur auf das Downzuloadende Material an.

Die Antivirensoftware kann einen Zero Day aber per definitionem nicht erkennen und alles andere sollte längst gepatcht sein. Wer regelmäßig seine AV Software updatet, könnte stattdessen auch einfach sein OS updaten.

Sicherheitsupdates verhindern ja gerade die unerwünschte Ausführung von Code. Nochmal: Was der User ausführt ist eh egal.

Wenn der User code ausführen will, wird ihn auch die AV nicht schützen, weil er die dann einfach abschalten wird.

Stammtischgerde ja? Ein Virenscanner kann eben nichts verhindern, was sonst nicht verhindert würde. Er nutzt einfach nix.

Exploits kosten Geld. Es lohnt sich eben nicht bei jedem. Stuxnet z.B. hätte jeden Windows Rechner geknackt.

Nein ist es nicht. Wenn überhaupt, dann kauft der sich einen Bot von einem Botnetz. Macht er aber auch nicht, weil er kein Geld hat.

Oh mann, CSU Propaganda im Reinsten. Aber um das mal zum Thema zurückzubringen: Da nutzt dir dein AV eben auch nix.

Ersteinmal hat ein Proxy überhaupt nix damit zu tun, da der Javascript Code der den Exploit ausführt natürlich auch über den Proxy getragen wird. Zweitens ist das zweckentfremden von Port 80 absolut logisch, denn der Kanal ist per def. offen. Und achja: warum um alles in der Welt sollte der Angreifer RDP benutzen?

Ach du meinst diese: rrrrtzabndbefjfbvsajetrfammnbcasHTTP://XYZ.runfehfkckdiegfuieweihnahtsmannblablabla
Die im übrigen auch über Mesenger verschickt werden.Anschließend gelangt man auf den Sogenannten Sharehoster.Sorry den ich habe mich tatsächlich schon länger nicht mit der Thematik befasst.

Klingt für mich allerdings nach einem ähnlichem System das es Anwälten genauso erlauben kann Abmahnungen auszustellen wenn die IP aus einem Land kommt wo es eben nicht egal oder gar Legal ist.Einen Bug kann man sich danach mit jedem Download ziehen und selbst die beste Sicherheitsoftware erkennt nicht jeden.

Für jemanden der jetzt glaubt die obige Adresse führt zum direktdownload eines Star Wars 3 D Films, den muss ich leider enttäuschen sie ist völlig unnütz und lediglich ein Beispiel das zur Klärung anregen soll.

Allerdings zu deiner obengenannten Frage nach der Unkenntlichmachung,
Das beantwortet ein Post von Miles im Ankündigungsforum http://www.scifi-forum.de/news-ank-n...angeboten.html


LG Infinitas

Mit "noch unbekannten Code" bezog ich mich nicht auf eine noch unbekannte Virensignature, sondern um Code, der von der Antivirensoftware noch nicht gescannt wurde. Es gibt nämlich Antivirensoftware die eine Art Datenbank von den bereits gescannten Dateien anlegen, der Code wird quasi als bekannt/gescannt markiert und soll weitere unnötige redunante Überprüfungen vermeiden helfen.


Das eine Antivirenscanner die Virensignatur für einen erfolgreichen Scan kennen muß, das schrieb ich ja schon in Posting #10.
Und was ich in Posting #10 schrieb, gilt auch für alle weiteren Postings von mir. Ich werde nicht jedesmal alles nochmal und ausführlich schreiben, sondern ich setze das dem Leser als bekannt vorraus.

Nochmal, wenn der Benutzer einen Code der einen Virus enthält mit Adminrechten ausführt (bei WinXP meistens der Fall), dann bringt ein gepatches Betriebssystem rein gar nichts. Da der Virus auf etwaige Sicherheitslücken nicht angewiesen ist.
Letzteres ist er nur dann, wenn der Benutzer mit einfachen Benutzerrechten den Code ausführt, dann braucht der Virus Sicherheitslücken um Adminrechte zu erlangen. Aber das schrieb ich bereits schon alles weiter oben.




Nein, das tun sie nicht. Wenn der Benutzer z.B. sein Spiel XY startet, dann ist das erwünschter Code, aber der Virus den die Spiele.exe enthält ist unerwünschter Code. Dieser wird dann ausgeführt, ganz egal ob das Betriebssystem gepatched wurde.

Ein gepatches Betriebssystem schützt also nicht gegen Viren.
Eine Antivirensoftware tut das aber schon, da sie den Benutzer auf den Virus hinweist. Das ist hier der springende Punkt.



Sollte eine AV im Hintergrund laufen und der Benutzer einen Code der einen Virus enthält versuchen zu starten, dann wird die AV Software ein großes rotes Fenster mit einer Virenmeldung einblenden und den Benutzer deutlich vor dieser Datei warnen und eine Entfernung des Virus oder eine Quarantäne der Datei empfehlen.
Sollte der Benutzer dann die Warnung des AV immer noch ignorieren und auf weiter klicken, dann ist er schlicht und einfach selber schuld.
Daraus, aus der Dummheit & Ignoranz des Benutzers ableiten zu wollen, daß eine AV Software nichts bringt ist doch totaler Quatsch. Ich bitte dich.
Mit dieser Argumentation könnte man jede Sicherheitsvorkehrung gegen Schadsoftware für unnötig erklären.



Siehe oben, deine Aussage ist nicht richtig, sondern schlichtweg falsch.


Wie ich bereits schrieb, bezieht sich das "lohnt sich bei jedem" vornehmlich auf die Person bzw. dessen Rechner an sich, möge sie noch so unbedeutet sein. Es ging hier also um eine Grundsatzfrage und die Bedeutung einer Person bzw. dessen Rechner.
Das gut gesicherte Rechner die eine größere Hürde zum Eindringen darstellen, weniger attraktiv sind und sich somit technisch gesehen weniger lohnen, schrieb ich im gleichen Absatz ebenfalls und ist aber auch wieder ein komplett anderes Thema.
Denn an der Grundsatzaussage, daß sich die Rechner, auch von völlig unbedeutenden Personen, für einen Angriff lohnen, ändert das ja nichts.


So ein Quatsch.
Wenn er sich auskennt und selber Würmer usw. schreiben kann, dann braucht er sich kein Botnetz oder einen Bot davon zu kaufen, sondern macht sich seinen Bot einfach selber.
Mehr als ne verlockende Datei auf irgendwelchen Filehostern zu plazieren und zu warten muß er nicht tun.
Es wird schon irgendein dummer User den NoCD Crack usw. abholen und bei sich installieren.
Danach kann der Virenschreiber dann den Rechner kapern und vorher die Datei auf dem Filehoster noch schnell löschen um die Spuren zu beseitigen und schon hat er einen Rechner der ihm gehört und den er nicht mit anderen Botnetzbetreibern teilen muß.



Jetzt wirfst du hier zwei verschiedene Dinge durcheinander.

Die erste Frage war, was bringt Antivirensoftware.
Die zweite Frage kam von antivirus mit der Frage, wann sich denn Angriffe lohnen würden.

Du mußt das also schon getrennt betrachten.
Das ein AV Software, bei einem selbstgeschriebenen Virus, dessen Virensignatur der AV nur unbekannt sein kann, nichts bringt, das habe ich dir schon längst mehrfach hier geschrieben.
Die AV Software muß die Signature des Virus kennen oder zumindest der Virus bestimmte Verhaltensmuster (Heuristiken) enthalten, damit er in das Fadenkreuz der AV Software fällt.

Im übrigen wird umgekehrt ein Schuh draus.
Ein gepatches Betriebssystem das eine Sicherheitlücke enthält, aber von der niemand, auch der Hersteller nicht, außer der Angreifer bescheid weiß, bringt auch nichts. Denn für diese Sicherheitslücke gibt es noch keinen Patch.




Richtig, aber entscheident ist doch, daß in diesem speziellen Fall die auf dem lokalen Rechner dann geöffnete Tür nicht rauswählen kann. Das ist der Punkt den ich hier mit dem Proxy anführte, siehe oben.
Denn im erwähnten Fall öffnet der Schadcode eine in Windows eingebaute Command Shell und diese nutzt RDP, womit auch deine zweite Frage beantwortet ist.
Sprich die Frage ist einfach unnötig, denn der Angreifer benutzt in diesem Fall RDP.


.
EDIT (autom. Beitragszusammenführung) :
Cordess schrieb nach 26 Minuten und 6 Sekunden:

Der Unterschied bei Filehostern liegt darin, daß deren Server meist selbst irgendwo im Ausland stehen und die Anwälte somit gar nicht an die IPs die illegale Sachen Up- oder Downloaden herankommen.
Die Anzeige läuft also ins Leere.

Und selbst eine Vorratsdatenspeicherung, würde man sie für solche Zwecke mißbrauchen, wäre hier nutzlos, da bei dieser ja nur die Verbindungen, welche IP kommunizierte mit welcher IP, protokolliert werden, welcher Inhalt bei der Kommunikation übertragen wurde, das weiß man allerdrings nicht bzw. wird nicht protokolliert. (aus Datenschutzgründen wäre das übrigens auch nicht zulässig)


Denn für eine Erfolgreiche Anzeige müssen zwei Dinge bekannt sein.
Wer steckt hinter der IP, also der Anschlußinhaber und was hat er über diese IP verbrochen.
Die bloße IP genügt nicht.


Bei klassischen* Tauschbörsen bzw. Peer2Peer Netzen wie z.B. Gnutella, eDonkey, Bittorrentservern ist das anders.
Hier weiß jeder, wer mit wem verbunden ist bzw. kann man hier direkt erfahren, wer was anbietet und wer was downloaded.

* Lediglich bei anonymisierenden Tauschbörsen ist sieht es anders aus und ist es auch deutlich komplizierter, aber diese setzt heutzutage noch kaum einer ein, weil sie, wenn sie effektiv anonymisierend sein sollen, einfach viel zu langsam beim Download sind. Da sind die Filehoster deutlich schneller.


Richtig. siehe dazu mein Posting #10.


Naja, nicht wirklich. Denn das war ja nicht einmal ein Link, sondern nur der bloße blanke Firmenname einer Aktiengesellschaft. (ja, die heißt wirklich so).
Es war nicht einmal der Domainname der Aktiengesellschaft.
Die Hintergründe lassen sich zwar in Miles Posting erahnen, aber die Forenfiltersoftware scheint hier etwas stark überzureagieren.
Aber was soll's, mir ist das momentan eh nicht wichtig.

Der Virenscanner müsste dazu jedes ausführbare Code Segment prüfen. Tut er aber aus Performancegründen nicht (und weil er nicht an den Speicher kommt). Was ein Virenscanner tun kann, ist eine Betriebssystemfunktion zu nutzen, die ihm erlaubt sich in exec() einzuhängen. Mehr nicht. Um am Virenscanner vorbeizukommen reicht es also, irgendein plugin oder etwas ähnliches zu infizieren, dass dann per dlopen o.Ä. geladen wird. Zur Not lagert man den Schadcode halt in eine Scriptsprache aus, die irgendwann geladen wird. Wenn der user etwas mit admin Rechten ausführt, ist Polen offen! Wer ausführbaren Code auf seinen Rechner holt, sollte gefälligst auch der Quelle vertrauen oder eben mit den Konsequenzen leben.

Das nennt man dann zero-day exploit und ist genau das Problem. Alles andere ist Schuld des Anwenders!

@blueflash

Nur ein vergleichsweise winziger Teil der Viren ist dazu in der Lage den Virenscanner zu umgehen oder sogar ganz abzuschalten. Bei solchen Viren hilft der Virenscanner natürlich überhaupt nichts. Dafür gibt es nur sehr wenige solcher Viren/ oder sie haben nur eine sehr geringe Verbreitung. Bei allen anderen (was fast alle Viren sind) hilft ein Virenscanner. Ein normaler Virus ist nur dazu gedacht de Nutzer zu ärgern wie zum Beispiel ein bluescreen der einem sagt man soll ein Bier trinken und entspannen, also nicht um das gesamte System lahmzulegen. Gegen erstere hilft ein Virenscanner mit einer Erkennungsrate von über 95% durchaus. Es sollte auch noch gesagt werden dass viele der Viren einfach nur schlampig programmiert wurden und deshalb nicht ordentlich funktionieren.

Es stimmt auch dass Viren durch Lücken in diversen Programmen wie z. B. im Adobe Flash Player auf den Computer gelangen. Regelmäßige Updates schaffen auch dort Abhilfe - das dauert nur etwas bis die patches erstmal da sind. Wieder mal hilft ein guter Virenscanner

Bei Lücken im OS muss ich dir leider recht geben dabei hat der User den Kampf verloren

Ich meine du hattest auch mal kurz die Sinnlosigkeit einer personal Firewall angesprochen. Sie dient auch nicht dazu einem Trojaner den Internetzugang zu verwehren, sondern dazu dass der Nutzer bescheid weiß welches Programm mit dem Internet verbinden will, wie zum Beispiel Shareware, die versucht Werbung anzuzeigen.

Die "harmlosen" Viren sind auch nur dann auf dem System, wenn der Benutzer sie reinholt. Ein Desktop-Virenscanner ist ungefähr so, als ob man die Haustür sperrangelweit offenlässt und sich dann einen Türsteher mietet, damit nix passiert. Schutzgeld.

Und was die PFW angeht: Welcher user erkennt denn an den Meldungen einer solchen, dass da ein shareware tool nach Hause telefonieren will? Warum sollte er das überhaupt unterbinden wollen, wo er doch genau dieses Tool mit Absicht benutzt und wie unterscheidet Average Joe zwischen gewollten und ungewollten Connections? Wireshark?

Bei dem Vergleich ist leider nur das Problem dass man die Haustür nicht richtig zumachen kann, das heißt es gibt immer ein Loch. Da hilft dann einfach ein kostenloser Türsteher mit wenigen Prozent Geschwindigkeitsverlust.

Zur PFW: bei allen Programmen, die keine Internetverbindung zum Funktionieren benötigen ist es sinnlos sie mit dem Internet verbinden zu lassen. Besonders solche Starts im Autostart verlangsamen das System sehr und sollten sofort entfernt werden.

Der Virenscanner kommt in den Speicher, weil er im Gegensatz zum infizierten Anwendungsprogramm mit Systemrechten arbeitet.
Das infizierte Anwendungsprogramm hat bestenfalls nur Adminrechte und mehr hat der Virus erstmal* auch nicht.

Das ist übrigens auch der Grund, warum fast alle guten Virenscanner einen Systemtreiber installieren. Dank diesem Treiber können sie nämlich mit Systemrechten arbeiten und die erlauben deutlich mehr als Adminrechte inkl. dem Zugriff auf den Speicher anderer Prozesse.


* Auch hier gilt wieder. Er bräuchte eine Sicherheitslücke um bessere Rechte zu kriegen.

Ich wiederhole mich ja gerne: Wenn das "Loch" nicht bekannt ist, kann auch der Virenscanner nix tun.

Auch hier gilt das Prinzip: Warum installiere bzw. starte ich dann solche Programme? Jedes dieser Programme könnte eine PFW problemlos ausschalten.

Der Virenscanner hat keine Chance, alle ausführbaren Code Segmente zu erkennen. Die sind nämlich nicht statisch sondern durch eine Turing vollständige Maschine erzeugt und da kann man mathematisch zeigen, dass man per "Draufgucken" nicht erkennen kann, was die tut. Der Virenscanner müsste also nach jedem Schreibzugriff einen Suchlauf über den Adressraum des Programms durchführen, um das zu tun, was du hier konstruierst.

Es gibt zwar sich selbst verändernden Code und damit auch Viren die so etwas nutzen, aber auch dafür braucht man einen kleinen Basis Code der für diese initiale Umwälzung sorgt und das kann durchaus Code sein, der für eine Entlarvung des Viruses über Heuristiken oder schlichtweg Prüfsummensignaturen geeignet ist.
Außerdem sprechen wir hier von der Antivirensoftware bekannten Viren, siehe Posting #10, d.h. die Antivirensoftware wird den Virus auch an dem restlichen zuerst noch nicht funktionalen Code erkennen können, das geht schon, darüber zerbrechen sich nämlich erfahrene Antivirensoftwareprogrammierer täglich den Kopf und deren Aufgabe ist es auch, solche komplizierten Viren entdecken und entfernen zu können.
Wenn du es nicht glaubst, dann kannst du ja auch einfach mal so einen Virus , der seinen Code während der Laufzeit verändert, in den Virendatenbanken der Antivirensoftwareentwickler nachschlagen.
Wenn der Virus nicht absolut neu ist, dann denke ich nämlich schon, daß die ein oder andere Antivirensoftware dafür inzwischen eine Entdeckungs- und möglicherweise auch Entfernungsstrategie entwickelt hat. Der beste Angriffspunkt ist natürlich der Teil mit dem initalen Code.

Spich, ein Virus, der seinen Code per Laufzeit verändert, bei dem mag es zwar schwerer sein, eine Abwehr- bzw, Entdeckungsstrategie zu entwickeln, aber gänzlich unmöglich ist das auf keinen Fall. Sobald die Virensignatur aber fertig ist, hat die Antivirensoftware hier kein großen Schwierigkeiten mehr.

Du verstehst einfach das Grundprinzip nicht. Unbekannten Code auszuführen birgt immer unbekannte Risiken. Da hilft keine auch magische Antivirensoftware! Bekannten Code auf bekannte Risiken zu untersuchen, ist schlicht nutzlos, weil damit keine Bedrohung verhindert wird, die sich nicht auch einfacher verhindern ließe!

Ich verstehe die Grundprinzipen sehr wohl, nur verstehst du eben nicht, daß dein Gedankengang, gar keinen fremden Code auszuführen, schlichtweg praxisfremd ist.

Wenn ich z.B. ein Spiel habe, dann werde ich es wohl patchen müssen, sobald ein Patch draußen ist.
Und heutzutage gibt es keine Garantie, daß selbst ein Patch vom Hersteller keinen Virus enthalten würde. Es kam sogar schon vor, daß Viren sogar selbst auf gepressetem CD-ROMs drauf waren.

Fremden Code gar nicht auszuführen ist also weltfremd, es sei denn dir reicht das, was Windows von Haus aus mitliefert.