Heute ist Antivirenprogramm ein Thema, das in der Gesellschaft großes Interesse und Debatte hervorruft. Mit dem Fortschritt der Technologie und der Globalisierung ist Antivirenprogramm zu einem entscheidenden Bestandteil des täglichen Lebens der Menschen geworden. Ob am Arbeitsplatz, im persönlichen oder akademischen Bereich, Antivirenprogramm hat es geschafft, alle Aspekte des modernen Lebens maßgeblich zu beeinflussen. Daher ist es wichtig, die Auswirkungen von Antivirenprogramm auf unser tägliches Leben sowie seine kurz-, mittel- und langfristigen Auswirkungen detailliert und objektiv zu analysieren. In diesem Artikel werden verschiedene Perspektiven und Meinungen zu Antivirenprogramm untersucht, um dem Leser eine umfassende und vollständige Sicht auf dieses heute so relevante Thema zu vermitteln.
Ein Antivirenprogramm, Virenscanner oder Virenschutz-Programm (Abkürzung: AV) ist eine Software, die Schadprogramme wie z. B. Computerviren, Computerwürmer oder Trojanische Pferde aufspüren, blockieren, gegebenenfalls betroffene Nutzer informieren und die Schadsoftware beseitigen soll.
Die meisten Computerviren die Anfang und Mitte der 1980er Jahre geschrieben wurden, waren auf Selbstreproduktion beschränkt und verfügten oft nicht unbedingt über eine spezifische Schadfunktion. Erst als die Technik der Virenprogrammierung breiteren Kreisen bekannt wurde, tauchten zunehmend Schadprogramme auf, die gezielt Daten auf infizierten Rechnern manipulierten oder zerstörten. Damit entstand die Notwendigkeit, spezielle Antivirenprogramme zur Bekämpfung dieser Schadsoftware zu erwägen.
Es gibt konkurrierende Ansprüche, wer sich Erfinder des ersten Antivirenprogramms nennen darf. Das erste Programm zur Bekämpfung des Creeper-Virus im ARPA-Net wurde bereits 1971 entwickelt. Die wahrscheinlich erste öffentlich dokumentierte Entfernung eines Computervirus mit einem Tool wurde von Bernd Fix im Jahr 1987 durchgeführt. Fred Cohen, der schon 1984 durch seine Arbeiten das Thema Computerviren öffentlich gemacht hatte, entwickelte ab 1988 Strategien zur Virenbekämpfung. Diese wurden später für Antivirenprogramme genutzt und weiterentwickelt.
Ebenfalls 1988 entstand im BITNET/EARN-Rechnerverbund eine Mailingliste namens VIRUS-L, in der vor allem über das Auftauchen neuer Viren sowie die Möglichkeiten zur Virenbekämpfung diskutiert wurde. Einige Teilnehmer dieser Liste wie zum Beispiel John McAfee oder Eugene Kaspersky gründeten in der Folge Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon Arcen Data (heute Norman ASA) gegründet worden, das sich Ende der 1980er Jahre, mit dem Auftauchen der ersten Computerviren in Norwegen, ebenfalls auf Antivirenprogramme spezialisierte. Im Jahr 1987 stellte das Unternehmen G DATA Software das weltweit erste kommerzielle Virenschutzprogramm vor, welches speziell für den Atari ST entwickelt worden ist.
Bevor eine Internet-Verbindung üblich wurde, verbreiteten sich Viren typischerweise über Disketten. Antivirenprogramme wurden zwar manchmal verwendet, aber nur unregelmäßig auf einen aktuellen Stand gebracht. Während dieser Zeit prüften Antivirenprogramme nur ausführbare Programme sowie die Boot-Sektoren auf Disketten und Festplatten. Mit der Verbreitung des Internets begannen Viren auf diesem Weg, neue Rechner zu infizieren, damit eine allgemeinere Gefahr darzustellen und sich sehr viel schneller weiterzuverbreiten.
Mit der Zeit wurde es für Antivirenprogramme immer wichtiger, verschiedene Dateitypen (und nicht nur ausführbare Programme) auf verborgene Viren zu untersuchen. Dies hatte unterschiedliche Gründe:
Mit der steigenden Anzahl vorhandener Viren wurde auch die kontinuierliche Aktualisierung der Antivirenprogramme notwendig. Aber selbst unter diesen Umständen konnte sich ein neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor Hersteller von Antivirenprogrammen darauf mit einer Aktualisierung reagieren konnten.
Der Echtzeitscanner (englisch on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, die die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies ist das Blockieren des Zugriffs, das Löschen der Datei, das Verschieben in die Quarantäne oder, wenn möglich, ein Reparaturversuch. Generell kann beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:
Es kann der Fall eintreten, dass eine virulente Datei gespeichert wurde, bevor eine Virensignatur für sie verfügbar war. Nach einem Signatur-Update ist es aber möglich, sie beim Öffnen zu erkennen. In diesem Fall ist also ein Scanvorgang beim Öffnen der Datei dem Scanvorgang beim Schreiben der Datei überlegen. Um die Belastung durch den Echtzeitscanner zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt.
Der manuelle Scanner (englisch on-demand scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell oder zeitgesteuert gestartet werden (On-Demand). Findet ein Scanner schädliche Software, erscheint eine Warnmeldung und in der Regel auch eine Abfrage der gewünschten Aktion: Reinigung, Quarantäne oder Löschung der befallenen Datei(en).
Als Online-Virenscanner werden Antivirenprogramme bezeichnet, die ihren Programmcode und die Viren-Muster über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das heißt, der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu eventuellem Befall einzuholen.
Weiterhin gibt es Webseiten, die es ermöglichen, einzelne Dateien mit verschiedenen Virenscannern zu prüfen. Für diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-Demand-Scans.
Ein Beispiel für eine solche Seite ist VirusTotal, welche mithilfe von mehreren Antivirenprogrammen sowie YARA feststellt ob eine gegebene Datei schädlich einzuordnen ist.
Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.
Virenscanner können prinzipiell nur bekannte Schadprogramme (Viren, Würmer, Trojaner etc.) bzw. Schadlogiken (englisch Evil Intelligence) erkennen und somit nicht vor allen Viren und Würmern schützen. Daher können Virenscanner generell nur als Ergänzung zu allgemeinen Vorsichtsmaßnahmen betrachtet werden, die Vorsicht und aufmerksames Handeln bei der Internetnutzung nicht entbehrlich macht. So fand die Stiftung Warentest bei einem „internationalen Gemeinschaftstest“ von 18 Antivirusprogrammen Anfang 2012 mit 1.800 eingesetzten „aktuellen“ Schädlingen Werte von 36 % bis 96 % aufgespürten Signaturen. Symantec-Vizechef Brian Dye gestand gegenüber dem Wall Street Journal ein, dass Antivirensoftware nur etwa 45 % aller Angriffe erkenne.
Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden. Auf Grund der Vor- und Nachteile werden bei aktuellen Virenscannern beide Techniken eingesetzt, um die Schwächen der jeweils anderen auszugleichen.
Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines Computers oder Netzwerkes auf Schadprogramme verantwortlich ist. Eine Scanengine ist somit unmittelbar für die Effizienz von Antivirensoftware verantwortlich. Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig vom Rest eines Virenscanners aktualisiert und eingesetzt werden können. Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Hersteller einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragwürdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch oder dem Anspruch an Systemperformance ab und muss von Fall zu Fall entschieden werden.
Die Leistungsfähigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schädlichen Dateien hängt nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen. Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu ändern), müsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der Fähigkeit, möglichst viele Formate entpacken zu können, ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts über die Erkennungsleistung aus.
Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und miteinander interagieren:
Weiters oder vorrangig beim Echtzeitschutz eingesetzt:
Einige Virenscanner verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik), um unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser – präventiven – Art der Erkennung nimmt stetig zu, da die Zeiträume, in denen neue Viren und Varianten eines Virus in Umlauf gebracht werden (auf den Markt drängen), immer kürzer werden. Für die Antivirenhersteller wird es somit immer aufwändiger und schwieriger, alle Schädlinge zeitnah durch eine entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden. Die tatsächliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren meistens ihre „Werke“ mit den bekanntesten Scannern testen und sie so ändern, dass sie nicht mehr erkannt werden.
Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen Antivirenhersteller Norman im Jahr 2001 eine neue Technik vorgestellt, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgeführt und es wird analysiert, welche Aktionen sie startet. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die Sandbox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweise. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie folgende Gefährdungen unterscheiden:
Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen. Durch die Technik der Sandbox konnten nach Tests von AV-Test 39 % noch unbekannter Viren und Würmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung. Nachteil der Sandbox-Technik ist, dass sie durch die Code-Emulation recht ressourcen-intensiv und langsamer als klassisches Signaturenscannen ist. Daher wird sie primär in den Labors der Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.
Ähnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberflächen ihrer Sandboxen zur Analyse einzelner verdächtiger Dateien zur Verfügung. Dabei werden Basisfunktionen oft kostenlos und erweiterte Funktionen gegen ein Entgelt zur Verfügung gestellt.
Die Verhaltensanalyse (englisch Behavior Analysis/Blocking, oft auch als Host-based Intrusion Detection System bezeichnet, vgl. NIDS) soll ähnlich wie SandBox und Heuristik anhand von typischen Verhaltensweisen Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeitüberwachung eingesetzt. Dies deshalb, da dabei die Aktionen eines Programms – im Gegensatz zur Sandbox – auf dem echten Computer mitverfolgt werden. Sie kann damit vor Überschreiten einer Reizschwelle (Summe der verdächtigen Aktionen) oder bei Verstößen gegen bestimmte Regeln (vor offensichtlich destruktiven Aktionen wie z. B. Festplatten-Formatierung, Löschen von Systemdateien) einschreiten. Bei der Verhaltensanalyse wird oft mit Statistik (Bayes Spamfilter), neuronalen Netzwerken, genetischen Algorithmen oder anderen „trainierbaren/lernfähigen“ Algorithmen gearbeitet.
Einen neuartigen Ansatz verfolgt der Münchner IT-Dienstleister Retarus mit seiner Lösung Patient Zero Detection. Diese bildet Hash-Werte über alle Anhänge von E-Mails, die über die Infrastruktur des IT-Dienstleisters ankommen, und schreibt sie in eine Datenbank. Wird zu einem späteren Zeitpunkt ein identischer Anhang von einem Scanner als virenverseucht aussortiert, können die zuvor bereits mit dem Schadcode zugestellten Nachrichten anhand der Prüfsumme nachträglich identifiziert und dann Administrator und Empfänger umgehend benachrichtigt werden. Wurden die infizierten Mails noch nicht geöffnet, lassen sie sich ungelesen löschen; in jedem Fall wird die IT-Forensik erleichtert.
Der prinzipielle Unterschied der Cloud-Technik (dt. ‚Wolke‘) zu „normalen“ Scannern ist, dass die Signaturen „in der Cloud“ (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123). Die Signaturen werden nicht bei allen Produkten lokal zwischengespeichert, sodass ohne Internetverbindung nur eine reduzierte oder keine Erkennungsleistung verfügbar ist. Manche Hersteller bieten für Unternehmen eine Art „Cloud Proxy“ an, der Hash-Werte lokal zwischenpuffert. Ein großer Vorteil der Cloud-Technik ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ansätze. Bekannt sind die Programme Panda Cloud Antivirus (arbeitet inzwischen mit einem lokalen Cache), McAfee Global Threat Intelligence – GTI (früher Artemis), F-Secure Realtime Protection Network, Microsoft Morro SpyNet und Immunet ClamAV für Windows sowie Symantec mit Nortons SONAR 3 und das Kaspersky Security Network.
Die sogenannte Auto-, Internet- oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicherzugehen, dass das Programm wirklich auf dem aktuellen Stand ist.
Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner das Führen einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:
Die Zuverlässigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Umfrage aus dem Jahr 2009 drei Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. Hauptgrund sei die tägliche Flut neuester unterschiedlichster Varianten von Schädlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten. 40 Prozent der befragten Administratoren hatten bereits darüber nachgedacht, die Virenscanner zu entfernen, weil diese die Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Unternehmensrichtlinien dieses forderten, so die Umfrage. Diese Studie wurde allerdings von einem Unternehmen in Auftrag gegeben, das eine konkurrierende Software vertrieb, die anhand von Positivlisten das Ausführen von Programmen erlaubt. Dieser „Whitelisting“-Ansatz hat je nach Einsatzgebiet ebenso Vor- und Nachteile. Im Jahr 2008 sagte Eva Chen, CEO von Trend Micro, dass die Hersteller von Antivirenprogrammen die Wirksamkeit ihrer Produkte seit 20 Jahren übertrieben und ihre Kunden damit angelogen hätten. Sinngemäß: Kein Antivirusprogramm könne alle Viren blockieren, dafür gäbe es zu viele.
Eine Sicherheitsstudie ergab 2014, dass nahezu alle untersuchten Antivirenprogramme verschiedenste Fehler aufweisen und damit teilweise die Systeme, auf denen sie installiert sind, angreifbar machen.
Das BSI fasst die grundlegende Problematik des Einsatzes von Virenscannern wie folgt zusammen:
„Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.“
Signaturen sollen sicherstellen, dass Dateien (z. B. von einer Software) tatsächlich vom erwartenden Urheber (Hersteller/Entwickler) stammen und nicht unbemerkt von Dritten manipuliert wurden. Hierfür besitzt der erwartende Urheber ein Zertifikat, womit er die Signatur in seinem Namen durchführen lassen kann. Die Gegenstelle (z. B. das System eines Nutzers) prüft, ob eine Signatur vorhanden und gültig ist. Signierte Software wird beispielsweise vom Betriebssystem Microsoft Windows als vertrauenswürdig erachtet und kann dadurch eine Reihe an Sicherheitsmaßnahmen umgehen. Auch Antivirensoftware verhält sich ähnlich.
2017 zeigte eine Untersuchung jedoch noch weitaus schwerwiegende Mängel in Antivirenscannern: Sicherheitsforscher signierten bekannte Schadprogramme (die folglich von den Virenscannern erkannt wurden) mit einem ungültigen Zertifikat. Sämtliche Antivirenprogramme erkannten mindestens eine der zehn Schadprogramme nicht und vertrauten der abgelaufenen Signatur. Die schlechtesten Produkte erkannten bis zu 8/10 ungültig signierte Schadprogramme nicht. Viele Computer ließen sich über diesen Weg trotz Antivirenprogramm relativ einfach infizieren.
Darüber hinaus existieren tiefer gehende Probleme mit digitalen Signaturen, die durch das pauschale Vertrauen von Virenscannern und Betriebssystemen zu Sicherheitsproblemen führen. So stellten die Forscher fest, dass 75 von 189 analysierte Malware-Proben mit einer gültigen Signatur versehen waren, die zuvor bereits für legitime Programme genutzt wurde. In diesen Fällen hat der rechtmäßige Inhaber des Zertifikats dieses nicht ausreichend geschützt, sodass es zur Signierung von Schadsoftware in seinem Namen missbraucht werden konnte.
Die Funktion des Virenscanners kann nach der Installation und nach größeren Systemupdates überprüft werden. Damit kein „echter“ Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European Institute of Computer Antivirus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des Virenscanners fehlerfrei arbeiten.
Antivirensoftware gibt es kostenlos oder als kostenpflichtige Angebote. Häufig bieten kommerzielle Hersteller auch kostenlose Versionen mit abgespecktem Funktionsumfang an. Die Stiftung Warentest kam im Frühjahr 2017 zum Ergebnis, dass guter Schutz auch ohne Kosten zur Verfügung steht. Die folgende Tabelle gibt nur einen kleinen Überblick über einige relevante Hersteller, Produkte und Marken.
Hersteller | Relevante Produkte / Marken | Angebote für die folgenden Plattformen | Lizenz | deutschsprachig | darunter kostenlose Angebote |
---|---|---|---|---|---|
/ Avira | Avira Antivirus | Windows, macOS, Android, iOS | Proprietär | ja | ja |
// Avast | Avast Antivirus | Windows, macOS, Android, iOS | Proprietär | ja | ja |
AVG Antivirus | Windows, macOS, Android | Proprietär | ja | ja | |
Bitdefender | Bitdefender Antivirus | Windows, macOS, Android | Proprietär | ja | ja |
Cisco | ClamAV | Windows, Unixähnliche (darunter Linux) | GPL | nein | ja |
Emsisoft | Emsisoft Anti-Malware | Windows, Android | Proprietär | ja | nein |
ESET | ESET NOD32 Antivirus | Windows, macOS, Linux, Android | Proprietär | ja | nein |
F-Secure Corporation | F-Secure Anti-Virus | Windows, macOS, Android | Proprietär | ja | nein |
G Data CyberDefense | G Data Antivirus | Windows, macOS, Android, iOS | Proprietär | ja | nein |
Kaspersky Lab | Kaspersky Anti-Virus | Windows, macOS, Android, iOS | Proprietär | ja | ja |
Malwarebytes Inc. | Malwarebytes | Windows, macOS, Android | Proprietär | ja | ja |
McAfee | McAfee VirusScan | Windows, macOS, Android, iOS | Proprietär | ja | nein |
Microsoft | Microsoft Defender | Windows | Proprietär | ja | ja |
// NortonLifeLock (ehemals Symantec) | Norton AntiVirus | Windows, macOS, Android, iOS | Proprietär | ja | nein |
Trend Micro | Trend Micro Internet Security | Windows | Proprietär | ja | nein |