Die grundlegenden Schadsoftware-Programme sind Trojaner, Würmer und Viren. Trojaner (Trojanische Pferde) sind Programme, die wie nach der Geschichte gezielt in fremde Computer eingeschleust werden. Sie sind als nützliche Programme getarnt, indem sie beispielsweise den Dateinamen einer nützlichen Datei verwenden. Gut programmierte Trojaner führen neben ihrer versteckten, bösartigen Funktion tatsächlich nützliche Funktionen aus.
Viren brauchen bekannterweise einen Wirt, um zu überleben und sich zu vermehren. Anders als ein Trojaner ist ein Virus ein sich selbst verbreitendes Schadprogramm. Diese Programme schleusen sich in andere Programme ein und genau wie dem medizinischem Virus reproduzieren sie sich, also erstellen Kopien von sich selbst und sich weiter in bestehende Programme einpflanzt (infiziert), sobald es einmal ausgeführt wird.
Würmer brauchen hingegen keinen Wirt und können auch ohne den Eingriff eines Users den Computer befallen. Zudem verbreiten sich Würmer, anders als Viren, ohne fremde Dateien oder Bootsektoren mit seinem Code zu infizieren.
Um Schadprogramme zu entdecken gibt es Virenscanner, die den Computer nach ungewollter Malware absuchen. Hierbei verwendet der Scanner zwei Erkennungstechniken. Zum einen die reaktive-Methode, die als klassische Variante bezeichnet wird. Sie erkennt Schädlinge, wenn diese mit einer bestimmten Signatur zusammenpassen.
Der Vorteil bei dieser Technik liegt darin, dass eine Signatur schnell erstellt werden kann. Die Signaturen bilden im Allgemeinen das Rückgrat eines Scanners. Um eine Signatur zu erstellen, wird zum Beispiel ein Virus nach gewissen Mustern und Regelmäßigkeiten durchsucht und ein Art Steckbrief für die jeweilige Schadsoftware erstellt. Der Nachteil besteht darin, dass ohne aktualisierte Signaturen keine neuen Schadprogramme gefunden werden können.
Die zweite Technik ist die proaktive Methode und bezeichnet die Erkennung von Malware, ohne dass eine bestimmte Signatur zur Verfügung steht. Diese Art der Technik ist der hohen Zuwachsrate von Schadsoftware geschuldet. Proaktive Verfahren sind zum Beispiel Heuristik oder Verhaltensanalysen. Ein Vorteil, der sich daraus ergibt, ist die Erkennung von neuen oder unbekannten Schadprogrammen. Der Nachteil liegt in der Fehlalarmquote. Nach dem Prinzip des proaktiven Verfahrens können auch unschädliche Programme als Malware gewertet und gemeldet werden.
Beide Verfahren haben Vor- und Nachteile. Moderne Virenscanner nutzen beide Techniken, um die Schwächen der jeweiligen anderen Technik auszugleichen. Ein guter Schutz ist folglich nur dann gewährleistet, wenn der Virenscanner immer auf dem neusten Stand ist. Mit jedem Signaturen-Upgrade werden die Möglichkeiten erweitert, um Viren und Co. zu entdecken. Auf diese Weise lernt der Scanner immer mehr dazu und ist bei der Suche effektiver.
Ende 2018 hat das deutsche Unternehmen Gdata eine neue Technologie auf den Markt gebracht, welche laut Hersteller einen großen Schritt gegen die Cyberkriminalität schaffen soll. Die Rede ist von der Deep-Ray-Technologie, welche mit Hilfe einer künstlichen Intelligenz hinter die Tarnung der Schadsoftware schauen kann. Genauer gesagt werden ausführbare Dateien verschiedener Art anhand einer Vielzahl von Indikatoren kategorisiert. Entscheidet DeepRay dann, dass eine Datei verdächtig ist, erfolgt eine Tiefenanalyse im Speicher des zugehörigen Prozesses. Hierzu werden Muster identifiziert, die dem Kern bekannter Malware-Gruppen zugeordnet werden können. Das Katz- und Mausspiel zwischen moderneren Scannern und neuen Schadprogrammen geht also weiter.