Jump to content
Galileo 39

Ein Warnfenster ist erschienen - was tun?

Recommended Posts

Autoren dieses Themas: redbull21 und Galileo 39.

Letzte Änderung: 27. Juli 2007

 

KAV und KIS 7.0 weisen die Benutzer(innen) durch Warnfenster auf Bedrohungen, verdächtige Aktivitäten, Veränderungen an Systemdateien und Netzwerkangriffe hin. Die Farbe des Warnfensters gibt einen ersten Hinweis auf die Art der Gefährdung:

Rot: Gefährliches Objekt, gefährliche Aktivität oder Netzwerkangriff festgestellt.

Gelbbraun: Potenziell gefährliche Aktivität festgestellt.

Blau: Zugriff auf Systemregistrierung und Meldungen der Firewall.

 

Nachfolgend wird eine Auswahl häufig vorkommender Warnfenster gezeigt. Der Begleittext gibt Hinweise auf die Bedeutung der Warnung und die empfohlene Reaktion der Benutzer(innen).

 

Inhaltsverzeichnis

1 Datei-Anti-Virus

1.1 Virus anhand der Signatur erkannt

1.2 Virus anhand der heuristischen Analyse erkannt

 

2 Mail-Anti-Virus

2.1 Trojanisches Programm

 

3 Web-Anti-Virus

3.1 Trojanisches Programm

3.2 Virus anhand heuristischer Analyse erkannt

 

4 Proaktiver Schutz - Aktivitätsanalyse

4.1 Start des Internet-Browsers

4.2 Verdächtige Installation eines Treibers

4.3 Keylogger

4.4 Eindringender Prozess (invader)

4.5 Ausführende Datei verändert

 

5 Proaktiver Schutz - Integritätskontrolle

 

6 Proaktiver Schutz - Überwachung der Systemregistrierung

6.1 Zugriff auf Systemregistrierung

 

7 Firewall - Objektüberwachung

7.1 Datei verändert

7.2 Netzwerkangriff (nur KIS)

 

8 Anti-Spy

8.1 Schutz von vertraulichen Daten

 

9 Selbstschutz

 

10 Weitere Informationsquellen in der Programmhilfe

 

 

1 Datei-Anti-Virus

Diese Komponente untersucht Objekte, die bereits auf einem Laufwerk oder im Arbeitsspeicher gespeichert sind. Die Untersuchung findet beim Zugriff auf das Objekt statt.

 

1.1 Virus anhand der Signatur erkannt

 

user posted image

 

Bedeutung:

Bei der Untersuchung wurde ein Objekt (Datei) als infiziert erkannt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds sowie Name und Speicherort der betroffenen Datei. Es handelt sich um einen Virus mit der Bezeichnung Eicar-Test-File, der nicht desinfizierbar ist. Viele, aber nicht alle Viren sind desinfizierbar, das heisst die Datei kann vollständig gereinigt und nachher weiterverwendet werden. Durch Klick auf die Viren-Bezeichnung erhält man in manchen, aber nicht allen Fällen zusätzliche Information von der Kaspersky-Virendatenbank.

 

Empfohlene Reaktion:

Löschen. (Das infizierte Objekt wird in den Back-up-Speicher verschoben.)

 

Benutzeroptionen:

- Löschen: Dies ist die zu bevorzugende Option, falls die Desinfektion nicht angeboten wird. Falls es sich um eine Datei des Betriebssystems oder die Programmdatei einer Anwendung handelt, ist anschliessend eine Reparatur erforderlich. Sollte sich die Warnung später als Fehlalarm erweisen, lässt sich das gelöschte Objekt aus dem Back-up-Speicher wieder herstellen.

- Überspringen: Diese Option ist zu meiden. Die infizierte Datei bliebe unverändert auf dem Computer und könnte Schaden anrichten.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

1.2 Virus anhand der heuristischen Analyse erkannt

 

user posted image

 

Bedeutung:

Bei der Untersuchung wurde ein Objekt (Datei) als wahrscheinlich infiziert erkannt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds sowie Name und Speicherort der betroffenen Datei. Auf Grund des Zusatzes "(Modifikation)" und des fehlenden eindeutigen Namens des Schädlings lässt sich erkennen, dass der Befund durch die heuristische Analyse erfolgte. In seltenen Fällen kann es sich auch um einen Fehlalarm handeln.

 

Empfohlene Reaktion:

Löschen. (Das infizierte Objekt wird in den Back-up-Speicher verschoben.)

 

Benutzeroptionen:

- Quarantäne: Diese Option ist zu wählen, wenn man eine Falscherkennung vermutet und die Datei später nochmals untersuchen will. Falls es sich um eine Datei des Betriebssystems oder die Programmdatei einer Anwendung handelt, ist anschliessend eine Reparatur erforderlich. Sollte sich die Warnung später als Fehlalarm erweisen, lässt sich das gelöschte Objekt aus dem Quarantäne-Speicher wieder herstellen.

- Löschen: Dies ist die empfohlene Option. Das vermutlich infizierte Objekt ist nicht desinfizierbar und sollte nicht auf dem Computer als Schläfer geduldet werden.Falls es sich um eine Datei des Betriebssystems oder die Programmdatei einer Anwendung handelt, ist anschliessend eine Reparatur erforderlich. Sollte sich die Warnung später als Fehlalarm erweisen, lässt sich das gelöschte Objekt aus dem Back-up-Speicher wieder herstellen.

- Überspringen: Diese Option ist zu meiden. Die infizierte Datei bliebe unverändert auf dem Computer und könnte Schaden anrichten.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

2 Mail-Anti-Virus

Diese Komponente untersucht E-Mails und deren Anhänge, nachdem sie vom E-Mail-Server heruntergeladen wurden.

 

2.1 Trojanisches Programm

 

user posted image

 

Bedeutung:

Bei der Untersuchung der heruntergeladenen E-Mail wurde ein Anhang als infiziert erkannt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds sowie fragmentarisch die Absenderadresse und den Namen des infizierten E-Mail-Anhangs. Es handelt sich um das Trojanische Programm "Trojan-Downloader.Win32.small.eup". Durch Klick auf die Trojan-Bezeichnung erhält man in manchen Fällen zusätzliche Information von der Kaspersky-Virendatenbank.

 

Empfohlene Reaktion:

Löschen. (Das infizierte Objekt des E-Mail-Anhangs wird in den Back-up-Speicher verschoben.)

 

Benutzeroptionen:

- Löschen: Dies ist die unbedingt empfohlene Option. Trojanische Programme sind grundsätzlich nicht desinfizierbar und dürfen keinesfalls auf dem Computer als Schläfer geduldet werden.

- Überspringen: Diese Option ist unbedingt zu meiden. Die infizierte Datei bliebe unverändert auf dem Computer und könnte Schaden anrichten.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

3 Web-Anti-Virus

Diese Komponente untersucht den aus dem Internet kommenden Datenstrom, bevor er auf dem Computer gespeichert wird.

 

3.1 Trojanisches Programm

 

user posted image

 

Bedeutung:

Bei der Untersuchung des vom Internet ankommenden Datenstroms wurde ein eingebettetes gefährliches Objekt erkannt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds, den eindeutigen Namen des Trojaners und unter Datei die Webadresse des Servers. Durch Klick auf den Trojaner-Namen kann man in manchen Fällen zusätzliche Information von der Kaspersky-Virendatenbank erhalten.

 

Empfohlene Reaktion:

Verbieten. (Das infizierte Objekt wird weder im Browser noch auf der Festplatte gespeichert.)

 

Benutzeroptionen:

- Erlauben: Diese Option ist unbedingt zu meiden. Die infizierte Datei würde dadurch vollständig heruntergeladen und gespeichert. Sie könnte zwar später durch Datei-AV auch erkannt werden, es besteht aber die Gefahr, dass in jenem Warnfenster, wenn auch nur versehentlich, wieder "Erlauben" gewählt würde.

- Verbieten: Dies ist die unbedingt empfohlene Option. Trojanische Programme sind grundsätzlich nicht desinfizierbar und dürfen keinesfalls auf dem Computer als Schläfer geduldet werden.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

3.2 Virus anhand heuristischer Analyse erkannt

 

user posted image

 

Bedeutung:

Bei der Untersuchung des vom Internet ankommenden Datenstroms wurde ein eingebettetes potenziell gefährliches Objekt erkannt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds, den summarischen Namen des Schädlings und unter Datei die Webadresse des Servers samt Dateinamen. Auf Grund des Zusatzes "(Modifikation)" und des fehlenden eindeutigen Namens des Schädlings lässt sich erkennen, dass der Befund durch die heuristische Analyse erfolgte. In seltenen Fällen kann es sich auch um einen Fehlalarm handeln.

 

Empfohlene Reaktion:

Verbieten. (Das infizierte Objekt wird weder im Browser noch auf der Festplatte gespeichert.)

 

Benutzeroptionen:

- Erlauben: Diese Option ist unbedingt zu meiden. Die infizierte Datei würde dadurch vollständig heruntergeladen und gespeichert. Sie könnte zwar später durch Datei-AV auch erkannt werden, aber nur, wenn die heuristische Analyse dieser Komponente eingeschaltet ist.

- Verbieten: Dies ist die unbedingt empfohlene Option. Weder die Funktion des potenziellen Schädlings noch sein Schadenspotenzial sind zu diesem Zeitpunkt bekannt.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

4 Proaktiver Schutz - Aktivitätsanalyse

Diese Komponente überwacht die Aktionen aller Programme. Durch Vergleich mit den in der Datenbank gespeicherten Kriterien vermag sie potenziell gefährliche Folgen von Aktionen zu erkennen und zu blockieren.

 

4.1 Start des Internet-Browsers

 

user posted image

 

Bedeutung:

Ein Programm hat versucht, mittels eines Befehls der Windows-Kommandozeile den Internet-Browser zu starten.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Starting Internet Browser") und Nummer und Name des auslösenden Prozesses (im Beispiel ist es der Datei-Explorer). Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar (siehe rechtes Bild), die in erster Linie für Experten gedacht sind.

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall Doppelklick auf die Datei "release_notes_kis7.0_de.mht") und das Starten des Browsers als Folge dieser Aktion plausibel ist, darf der Browserstart erlaubt werden.

Im Zweifelsfall soll die Option "Verbieten" gewählt werden.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist. Im vorliegenden Beispiel hat der Benutzer im Datei-Explorer ein lokal gespeicherte MHTML-Dokument geöffnet. Dieses kann nur im Browser angezeigt werden, daher ist die Aktion "Starting Internet Browser" plausibel.

- Verbieten: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist.

- Zur vertrauenswürdigen Zone hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Öffnen dieses MHTML-Dokuments) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt und dem Benutzer zur Genehmigung vorgelegt. Für die spätere Erinnerung empfiehlt sich der Eintrag eines Kommentars. In unserem Beispiel gibt die Regel nur das Öffnen genau dieses MHTML-Dokuments frei. Erfahrene Benutzer können die Regel manuell so bearbeiten, dass z.B. das Öffnen aller MHTML-Dokumente auf dem Laufwerk ohne Warnmeldung möglich ist. Die Hilfe vermittelt das dazu nötige Wissen.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Regeln für Ausnahmen jederzeit eingesehen, geändert oder gelöscht werden.

 

 

4.2 Verdächtige Installation eines Treibers

 

user posted image

 

Bedeutung:

Ein Programm hat versucht, durch Installation eines Treibers die Kontrolle über fremde Prozesse zu erhalten.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Suspicious driver installation") und Nummer und Name des auslösenden Prozesses (im Beispiel ist es das Programm Process Explorer). Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar, die in erster Linie für Experten gedacht sind.

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall Starten des Process Explorers über die Datei procexp.exe) und die Warnung als Folge dieser Aktion plausibel ist (Process Explorer informiert über laufende Prozesse und muss sich also in diese einklinken), darf die Installation erlaubt werden.

Im Zweifelsfall soll die Option "Verbieten" gewählt werden.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist. Im vorliegenden Beispiel hat der Benutzer den Process Explorer gestartet, der zur Erfüllung seines Zwecks Zugriff auf alle laufenden Prozesse haben muss. Daher ist die verdächtige Aktion in diesem Fall plausibel.

- Verbieten: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist.

- Zur vertrauenswürdigen Zone hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Starten des Process Explorers) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt und dem Benutzer zur Genehmigung vorgelegt. Für die spätere Erinnerung empfiehlt sich der Eintrag eines Kommentars. In unserem Beispiel gibt die Regel für procexp.exe nur das Installieren einer bestimmten Treiberdatei an einen bestimmten Ort frei. Erfahrene Benutzer können die Regel manuell so bearbeiten, dass der Anwendung z.B. auch das Installieren einer beliebigen Treiberdatei an einen beliebigen Ort freigestellt ist, um sich häufende Einzelausnahmen zu vermeiden. Das ist hier aber nicht erforderlich. Die Hilfe vermittelt das dazu nötige Wissen.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Regeln für Ausnahmen jederzeit eingesehen, geändert oder gelöscht werden.

 

 

4.3 Keylogger (Tastaturspion)

 

user posted image

 

Bedeutung:

Ein Programm bzw. Prozess zeigt das Verhalten eines Tastaturspions.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Keylogger") und Nummer und Name des auslösenden Prozesses (im Beispiel ist es das Programm Skype mit dem Prozess skype.exe).

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall Starten von Skype) und die Warnung als Folge dieser Aktion plausibel ist, darf der Prozess erlaubt werden.

Im Zweifelsfall soll die Option "Schließen" gewählt werden.

Skype ist ein Programm für die Internet-Telefonie. Ein plausibler Bezug für ein Verhalten als Keylogger ist zunächst nicht erkennbar. Somit empfiehlt sich die Option „Schließen“. Skype kann dann jedoch nicht mehr benutzt werden. Man sollte also weitere Informationen einholen (z. B. im Skype-Forum oder auch im KL-Forum, wo sich unter dem Suchbegriff „Keylogger“ etliche Hinweise wie z. B. dieser finden lassen). Demnach ist das Programm (seriöse Downloadquelle vorausgesetzt) vertrauenswürdig und der Prozess kann erlaubt werden.

 

Benutzeroptionen:

- Schließen: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist und/oder keinen erkennbaren Bezug zur Art der Anwendung hat.

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist und/oder keine Zweifel an der Vertrauenswürdigkeit bestehen. Im vorliegenden Beispiel sind Zweifel wegen mangelnder Plausibilität berechtigt, lassen sich jedoch durch entsprechende Information ausräumen. Der verdächtige Prozess kann somit erlaubt werden.

- Zur vertrauenswürdigen Zone hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Starten von Skype) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt und dem Benutzer zur Genehmigung vorgelegt. Für die spätere Erinnerung empfiehlt sich der Eintrag eines Kommentars. In unserem Beispiel gibt die Regel den Bedrohungstyp „Keylogger“ für skype.exe frei, sodass weitere Warnungen unterbleiben.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Regeln für Ausnahmen jederzeit eingesehen, geändert oder gelöscht werden.

Edited by redbull21

Share this post


Link to post

4.4 Eindringender Prozess (Invader)

 

user posted image

 

Bedeutung:

Ein Programm hat versucht, ein eigenes Modul in einen fremden Prozess zu integrieren, um diesen für seine Zwecke zu verändern und nutzbar zu machen.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Invader (loader)") und Nummer und Name des auslösenden Prozesses (im Beispiel ist es das Programm GMX Upload-Manager, ausführende Datei ist DAVSRV.EXE). Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar (rechtes Bild), die in erster Linie für Experten gedacht sind. Hier ist z. B. erkennbar, um welches verdächtige Modul es sich handelt (ExplorerHook.dll).

Neben dem Bedrohungstyp "Invader (loader)" gibt es noch die gefährlichere Variante "Invader". In diesem Fall versucht ein Prozess, den Code des Zielprozesses durch Einfügen zusätzlicher Kommandos direkt zu verändern.

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall Starten des GMX Upload-Managers) und die Warnung als Folge dieser Aktion plausibel ist, darf die Installation erlaubt werden. Als weitere Entscheidungshilfe kann die Herkunft des Programms dienen. Wenn es zur Erstausstattung beim Kauf des Computers gehörte oder später aus sicherer Quelle (z.B. hier vom Anbieter GMX) selbst installiert wurde, darf es als vertrauenswürdig betrachtet werden.

Im Zweifelsfall sollten die Optionen „Schließen“ oder "Verbieten" gewählt werden.

 

Benutzeroptionen:

- Schließen: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist und/oder keinen erkennbaren Bezug zur Art der Anwendung hat. Der verdächtige Prozess (hier DAVSRV.EXE) wird damit beendet und in unserem Beispiel der GMX Upload-Manager nicht gestartet.

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist. Im vorliegenden Beispiel hängt die Warnung eindeutig mit dem Start einer vertrauenswürdigen Anwendung zusammen. Die Aktion kann erlaubt werden.

- Verbieten: Diese Option ist die „Light-Variante“ von „Schließen“. Die Anwendung selbst wird dadurch nicht beendet, sondern es wird lediglich das Einschleusen des verdächtigen Moduls unterbunden. Das kann jedoch erhebliche Auswirkungen auf die Funktion der Anwendung haben.

- Zur vertrauenswürdigen Zone hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Starten des GMX Upload-Managers) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt und dem Benutzer zur Genehmigung vorgelegt. Für die spätere Erinnerung empfiehlt sich der Eintrag eines Kommentars. In unserem Beispiel gibt die Regel den Bedrohungstyp „Invader“ nur dann frei, wenn DAVSRV.EXE versucht, das Modul ExplorerHook.dll zu integrieren. Erfahrene Benutzer können die Regel bei Bedarf manuell verändern. Die Hilfe vermittelt das dazu nötige Wissen.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Regeln für Ausnahmen jederzeit eingesehen, geändert oder gelöscht werden.

 

 

4.5 Ausführende Datei verändert

 

user posted image

 

Bedeutung:

Der Proaktive Schutz hat beim Starten einer Anwendung festgestellt, dass deren ausführende Datei (hier firefox.exe) verändert wurde.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Application changed") und Ort und Name der betroffenen Datei.

 

Empfohlene Reaktion:

Die Datei könnte, auch wenn sie zu einem vertrauenswürdigen Programm gehört, mit Schadcode infiziert worden sein, der über den Virenscan bisher nicht identifiziert und beseitigt werden konnte. In den meisten Fällen wird die Veränderung der Datei auf ein Programmupdate zurückzuführen sein, an das sich der Benutzer normalerweise erinnern kann. Man sollte immer darauf achten, automatische Updatefunktionen von Programmen so einzustellen, dass sie nicht unbemerkt im Hintergrund ablaufen können.

Manche Programme (z. B. einige Spiele) haben jedoch die unangenehme Eigenschaft, ihre *.exe bei jedem Neustart zu verändern. Hier könnte man versuchen, die betreffende Anwendung in die vertrauenswürdige Zone/Regeln für Ausnahmen zu stellen (Objekt=die betroffene exe-Datei, Bedrohungstyp=Application changed, Komponente=proaktiver Schutz).

Wenn es für die Veränderung der Datei keinen plausiblen Grund gibt, sollte zunächst „Verbieten“ gewählt werden. Ergeben auch weitere Nachforschungen keine Entwarnung, sollte das Programm frisch installiert werden.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung z. B. aufgrund eines vorherigen Updates plausibel ist. Der Start der veränderten Anwendung wird zugelassen.

- Verbieten: Diese Option sollte gewählt werden, wenn es für die Veränderung der Datei keinen plausiblen Grund gibt. Der Start der Anwendung wird verhindert.

 

 

5 Proaktiver Schutz - Integritätskontrolle

 

user posted image

 

Vorbemerkung:

Die Integritätskontrolle ist ein mächtiges Instrument zur Überwachung der Aktivität kritischer Anwendungen und Prozesse. Dazu gehören insbesondere Systemanwendungen, sowie Prozesse, die zur Verbindung mit dem Internet und bei der Arbeit mit E-Mails und anderen Dokumenten verwendet werden. Die Integritätskontrolle ermöglicht eine äußerst detaillierte und individuell erweiterbare Komponentenüberwachung. Ihre Bedienung erfordert jedoch Expertenwissen, um auf die zahlreichen Warnmeldungen richtig reagieren zu können. Für den Normalbenutzer ist diese Funktion nicht zwingend erforderlich und deshalb standardmäßig deaktiviert. Wir empfehlen die Benutzung nur Personen mit umfangreichen Systemkenntnissen. Aus diesem Grund beschränken wir uns hier auf die Erläuterung eines Einzelbeispiels.

 

Bedeutung:

Es wurde festgestellt, dass die kritische Anwendung firefox.exe ein neues oder verändertes Programmodul (softokn3.dll) laden möchte.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Integrity violation“=Integritätsverletzung) und Ort und Name des betroffenen Prozesses. Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar, die in erster Linie für Experten gedacht sind.

 

Empfohlene Reaktion:

In vielen Fällen wird die Veränderung der Datei auf ein Programmupdate zurückzuführen sein, an das sich der User normalerweise erinnern kann. Man sollte immer darauf achten, automatische Updatefunktionen von Programmen so einzustellen, dass sie nicht unbemerkt im Hintergrund ablaufen können. Es kann sich jedoch auch um ein gemeinsam von mehreren Anwendungen genutztes Modul handeln, was Rückschlüsse auf den tatsächlichen Grund der Veränderung erheblich erschweren kann. Hier wird deutlich sichtbar, weshalb die Integritätskontrolle nur ein Experteninstrument ist. Demzufolge ist es unmöglich, an dieser Stelle pauschale Empfehlungen über richtige oder falsche Reaktionen abzugeben.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn man sich über den Hintergrund der Warnung im Klaren ist und keine Bedenken hinsichtlich der Vertrauenswürdigkeit hat. Das Laden des neuen oder veränderten Moduls wird für diese Anwendung (hier firefox.exe) erlaubt.

- Verbieten: Diese Option sollte gewählt werden, wenn es für die Veränderung der Datei keinen plausiblen Grund gibt. Das Laden des neuen oder veränderten Moduls wird für diese Anwendung verboten.

- Zur gemeinsamen Liste hinzufügen: Diese Option bietet die Möglichkeit, das betreffende Modul zur Liste der gemeinsam genutzten (vertrauenswürdigen) Komponenten hinzuzufügen. Dabei hat man die Auswahl, nur dieses Modul, oder gleich alle von der Anwendung benutzten Module der Liste hinzuzufügen.

Alle Module in dieser Liste dürfen in jede beliebige Anwendung geladen werden. Das betreffende Modul wird also auch bei Verwendung durch andere Anwendungen nicht mehr beanstandet werden. Die gemeinsame Komponentenliste enthält standardmäßig nur Module, die von KIS/KAV benutzt werden, sowie Module, die über eine Microsoft-Signatur verfügen.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

6 Proaktiver Schutz - Überwachung der Systemregistrierung

 

6.1 Zugriff auf Systemregistrierung

 

user posted image

 

Bedeutung:

Ein Programm versucht, Änderungen an sicherheitsrelevanten Registrierungseinstellungen vorzunehmen.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion, den ihr zugeordneten Bedrohungstyp ("Zugriff auf Registrierung") und Nummer und Name des auslösenden Prozesses (im Beispiel ist es das Programm Skype). Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar (Bild rechts), die in erster Linie für Experten gedacht sind. Erkennbar ist hier, welcher kontrollierten Gruppe (System Security) der betroffene Registrierungswert angehört und was genau verändert oder gelöscht werden soll.

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall Starten von Skype) und die Warnung als Folge dieser Aktion plausibel ist (Skype versucht, sich in die Ausnahmen-Liste der Windows-Firewall einzutragen), darf die Änderung erlaubt werden. Als weitere Entscheidungshilfe kann die Herkunft des Programms dienen. Wenn es zur Erstausstattung beim Kauf des Computers gehörte oder später aus sicherer Quelle (z.B. hier vom Anbieter Skype) selbst installiert wurde, darf es als vertrauenswürdig betrachtet werden.

Im Zweifelsfall soll die Option "Verbieten" gewählt werden.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist. Im vorliegenden Beispiel hat der Benutzer das Internet-Telefonie-Programm Skype gestartet, dem in der Windows-Firewall die Erlaubnis für ein- und ausgehende Verbindungen erteilt werden muss, damit es funktioniert. Daher ist die verdächtige Aktion in diesem Fall plausibel und kann erlaubt werden. Außerdem hängt die Warnung eindeutig mit dem Start einer vertrauenswürdigen Anwendung zusammen. Die Erlaubnis gilt einmalig für die Dauer der Sitzung.

- Verbieten: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist und außerdem die Vertrauenswürdigkeit des Programms nicht zweifelsfrei feststeht. Im vorliegenden Beispiel kann diese Option auch gewählt werden, wenn die Windows-Firewall deaktiviert ist, weil z. B. eine andere Firewall mit eigenen Regeln für Skype eingesetzt wird. Die Einstellungen der Windows-Firewall sind in diesem Fall ohne Belang. Das Verbot gilt einmalig für die Dauer der Sitzung.

- Zu vertrauenswürdigen Anwendungen hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Starten von Skype) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt (hier: Zugriff auf Registrierung nicht kontrollieren) und dem Benutzer zur Genehmigung vorgelegt. Damit werden der Anwendung jegliche Registrierungsänderungen erlaubt.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Vertrauenswürdige Anwendungen jederzeit eingesehen, geändert oder gelöscht werden.

- Regel erstellen: Wird dieses Kontrollkästchen vor Betätigung des „Erlauben“- oder „Verbieten"-Buttons aktiviert, so wird für die gemeldete Aktion eine dauerhafte Regel erstellt. Die Erlaubnis (oder das Verbot) gilt ausschließlich für den Zugriff der Anwendung auf den betroffenen Registrierungwert. Ein genereller Registry-Zugriff ist damit nicht möglich. Diese Option bietet sich vorrangig für Verbotsregeln an, oder wenn man die Anwendung nicht zu den vertrauenswürdigen (mit erweiterter Berechtigung) stellen möchte.

Die Regel kann später unter Einstellungen > Proaktiver Schutz > Überwachung der Systemregistrierung > Einstellungen > zutreffende Registrierungsgruppe > Reiter Regeln jederzeit eingesehen, geändert oder gelöscht werden. Dort lässt sich z. B. die standardmäßig eingeschaltete Protokollierung der Regelanwendung abschalten.

 

 

7 Firewall - Objektüberwachung

 

7.1 Datei verändert

 

user posted image

 

Bedeutung:

Die Objektüberwachung der Firewall hat beim Verbindungsversuch einer Anwendung festgestellt, dass deren ausführende Datei (hier adobeupdater.exe) verändert wurde.

Der obere Fensterteil zeigt eine kurze Beschreibung der verdächtigen Aktion und die Angaben zur betroffenen Datei.

 

Empfohlene Reaktion:

Die Datei könnte, auch wenn sie zu einem vertrauenswürdigen Programm gehört, mit Schadcode infiziert worden sein, der über den Virenscan bisher nicht identifiziert und beseitigt werden konnte. In den meisten Fällen wird die Veränderung aber auf ein Programmupdate zurückzuführen sein, an das sich der Benutzer normalerweise erinnern kann. Man sollte immer darauf achten, automatische Updatefunktionen von Programmen so einzustellen, dass sie nicht unbemerkt im Hintergrund ablaufen können.

Wenn es für die Veränderung der Datei keinen plausiblen Grund gibt, sollte zunächst „Verbieten“ gewählt werden. Ergeben auch weitere Nachforschungen keine Entwarnung, sollte das Programm frisch installiert werden.

Die Firewall überwacht die Prüfsumme von ausführbaren Dateien, die in ihren "Regeln für Anwendungen" stehen. Falls die Firewall bei einem Verbindungsversuch feststellt, dass die Prüfsumme der Anwendung nicht mehr der ursprünglichen entspricht, erscheint das Warnfenster.

Manche Programme (z. B. einige Spiele) haben die unangenehme Eigenschaft, ihre *.exe bei jedem Neustart zu verändern. KIS bietet momentan nicht die Möglichkeit, die Objektüberwachung der Firewall generell oder für bestimmte Anwendungen abzuschalten. Umgehen lässt sich das nur durch Löschen der betreffenden Anwendungsregeln und anschließendes Betreiben der Firewall im minimalen Schutzmodus. Dadurch wird jedoch allen Anwendungen der Netzwerkzugriff grundsätzlich erlaubt, sofern nicht eine ausdrückliche Verbotsregel existiert. Vom Standpunkt der Sicherheit aus gesehen ist es daher besser, die beim Start des Spiels erscheinende Warnung zu erdulden.

 

Benutzeroptionen:

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung z. B. aufgrund eines vorherigen Updates plausibel ist. Die Netzwerkaktivität der veränderten Anwendung wird bis zu einer erneuten Veränderung zugelassen.

- Verbieten: Diese Option sollte gewählt werden, wenn es für die Veränderung der Datei keinen plausiblen Grund gibt. Die Netzwerkaktivität der Anwendung wird einmalig verhindert. Bei einem erneuten Verbindungsversuch erscheint die Warnung wieder. Die Alternativen sind somit nur Erlauben der Veränderung, oder Neuinstallation der Anwendung.

 

 

7.2 Netzwerkangriff (nur KIS)

 

user posted image

 

Hinweis: Auf einem über einen Router an das Internet angeschlossenen Computer erscheinen diese Warnungen in der Regel nicht, weil der Router die Angriffe blockiert.

 

Bedeutung: Der Schutz gegen Netzwerkangriffe, auch Intrusion Detection System (IDS) genannt, ist vor dem Paketfilter der Firewall angeordnet. Er blockiert Netzwerkpakete, die auf die Ausnutzung von Softwareschwachstellen gerichtet sind. Die als gefährlich bekannten Paketmuster sind in der aktualisierbaren Angriffsdatenbank gespeichert.

Das Warnfenster zeigt den Namen der Bedrohung, in diesem Beispiel den bekannten MSSQL-Wurm "Helkern", die IP-Adresse des Absenders (Angreifers), Protokoll und angegriffenes Port sowie Datum und Lokalzeit.

Für die Benutzer(innen) besteht kein Anlass zur Besorgnis, weil KIS oder der Router die gefährlichen Pakete zuverlässig blockieren.

 

Benutzeroptionen: Keine. Alle weiteren Pakete von der angreifenden Adresse werden automatisch während der in den Einstellungen definierten Zeit blockiert.

 

 

8 Anti-Spy

 

8.1 Schutz von vertraulichen Daten

 

user posted imageuser posted image

 

Aufgabe:

Das Modul „Schutz von vertraulichen Daten“ arbeitet zweistufig:

1. Verhinderung unerlaubten Datensammelns:

Das Modul analysiert und meldet Anwendungsaktivitäten, die auf einen Versuch, vertrauliche Informationen zu stehlen, hinweisen könnten. Zu den vertraulichen Informationen zählt in erster Linie der Inhalt des geschützten Speichers von Windows (Dienst Geschützter Speicher): lokale Kennwörter für Mailprogramme, Kennwörter für den Internetzugang, Webinformationen (gespeicherte Inhalte von Webformularen zur Auto-Vervollständigung) usw.

2. Verhinderung unerlaubten Versendens:

Es analysiert und meldet auch alle Versuche, mit Hilfe versteckter Prozesse Informationen nach außen zu übertragen. Dazu zählt auch die verborgene Nutzung vertrauenswürdiger Prozesse (z. B. Webbrowser), denen die Netzwerkaktivität in der Firewall üblicherweise erlaubt ist und wodurch die Schutzwirkung der Firewall leicht zu umgehen wäre.

 

Bedeutung:

Bild links:

Es wurde ein verdächtiger Zugriff der Anwendung IE PassView auf den geschützten Datenspeicher festgestellt.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds, den Bedrohungstyp (Private data and password access) sowie Name und Speicherort der verdächtigen Datei.

Nebenbei interessant: Das dem Programm eigene Verhaltensmuster, welches sich hier realisiert, wird bereits beim Download des Installationspakets durch Web-AV, sowie bei dessen Ausführung durch Datei-AV erkannt.

Bild rechts:

Das Programm SuperAntiSpyware versucht das verborgene Senden von Daten.

Der obere Fensterteil zeigt eine kurze Beschreibung des Befunds, den Bedrohungstyp (Hidden data sending) sowie Name und Speicherort der verdächtigen Datei. Über den Link "Details" sind ausführliche technische Angaben zur Aktion abrufbar (Bild rechts), die in erster Linie für Experten gedacht sind.

 

Empfohlene Reaktion:

Wenn dem Warnfenster eine eindeutige Benutzeraktion unmittelbar vorangegangen ist (in diesem Fall das Installieren oder Starten zweier Anti-Spy-Programme) und die Warnung als Folge dieser Aktion plausibel ist (KIS hält die Aktivität dieser Programme für verdächtig, weil sie, genau wie eventuelle Schadprogramme, Zugriff auf die von KIS überwachten Bereiche verlangen), dann darf die Aktion erlaubt werden. Als weitere Entscheidungshilfe kann die Herkunft des Programms dienen. Wenn es zur Erstausstattung beim Kauf des Computers gehörte oder später aus sicherer Quelle selbst installiert wurde, darf es als vertrauenswürdig betrachtet werden.

Im Zweifelsfall sollen die Optionen „Quarantäne“ oder "Verbieten" gewählt werden.

 

Benutzeroptionen:

- Quarantäne: Diese Option beendet den laufenden Prozess und verschiebt die ausführende Datei in den Quarantäneordner, wo sie in einem speziellen Format gespeichert wird und keine Gefahr mehr darstellt. Quarantäne ist zu wählen, wenn man eine Falscherkennung vermutet und die Datei später nochmals mit aktualisierten Bedrohungssignaturen untersuchen will. Falls es sich um eine Datei des Betriebssystems oder die Programmdatei einer Anwendung handelt, ist anschliessend eine Reparatur erforderlich. Sollte sich die Warnung später als Fehlalarm erweisen, lässt sich das gelöschte Objekt aus dem Quarantäne-Speicher wieder herstellen.

- Erlauben: Diese Option darf man guten Gewissens nur wählen, wenn die Warnung auf Grund der vorangegangenen Benutzeraktivität plausibel ist. Im vorliegenden Beispiel hängen die Warnungen eindeutig mit dem Start einer vertrauenswürdigen Anwendung zusammen. Die Aktion kann erlaubt werden. Die Erlaubnis gilt einmalig.

- Verbieten: Diese Option soll man wählen, wenn man sich die Warnung nicht erklären kann, weil sie auf Grund der vorangegangenen Benutzeraktivität nicht plausibel ist. Sie verhindert einmalig die Ausführung der verdächtigen Aktion, beendet jedoch nicht den laufenden Prozess, sodass ein Weiterarbeiten mit der Anwendung u. U. möglich bleibt.

- Zur vertrauenswürdigen Zone hinzufügen: Diese Option ist zweckmässig, falls die der Warnung vorangegangene Benutzeraktion (in diesem Fall das Starten der betreffenden Programme) häufig wiederholt wird. Es wird automatisch die passende Regel erstellt und dem Benutzer zur Genehmigung vorgelegt. Für die spätere Erinnerung empfiehlt sich der Eintrag eines Kommentars.

Die Regel kann später unter Einstellungen > Bedrohungen und Ausnahmen > Vertrauenswürdige Zone > Regeln für Ausnahmen jederzeit eingesehen, geändert oder gelöscht werden.

- In allen ähnlichen Fällen anwenden: Die Aktivierung dieser Option bewirkt, dass die ausgewählte Aktion während der laufenden KIS/KAV-Sitzung für alle gleichartigen Objekte automatisch und ohne erneute Meldung wiederholt wird.

 

 

 

9 Selbstschutz

KAV und KIS enthalten einen Mechanismus zum Schutz der Anwendung vor dem Verändern oder Löschen von eigenen Dateien auf der Festplatte, Prozessen im Arbeitsspeicher und Einträgen in der Systemregistrierung.

 

user posted image

 

Bedeutung: Der Fenstertext zeigt den zugreifenden Prozess mit Namen (hier der Dateiexplorer explorer.exe) und Prozess-ID (Prozessnummer) sowie den geschützten Kaspersky-Prozess mit seiner Prozess-ID. Es ist nicht ungewöhnlich, dass neben schädlichen auch durchaus vertrauenswürdige Prozesse versuchen, auf andere Prozesse zuzugreifen. KAV und KIS tolerieren dies grundsätzlich nicht, weil die Programmsicherheit darunter leiden könnte.

Was bedeutet die Prozess-ID? Das Betriebssystem Windows weist jedem Prozess (für ein Programm können mehrere Prozesse laufen) beim Start eine Nummer, eben die Prozess-ID, zu, welche bis zur Beendigung des Programms gültig bleibt. Die Prozess-ID und das ihr zugeordnete Programm kann man im Task-Manager sehen, sofern die Ansicht der Spalte PID aktiviert ist.

 

Benutzeroptionen: Keine.

 

 

10 Weitere Informationsquellen in der Programmhilfe

Empfehlenswert sind darüberhinaus auch die folgenden Kapitel der Programmhilfe:

- "Proaktiver Schutz für Ihren Computer / Verdikte für den Proaktiven Schutz"

- "Arten von Meldungen"

Edited by redbull21

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.