MS Antispy (Beta1)

Neben Viren und Würmern, sind Trojaner mindestens eine so hohe Gefahr wie die anderen Blagegeister. Die Zahl der Trojaner und Backdoorprogramme wächst mit erschreckender Geschwindigkeit. Wenn sich solch ein Programm erst einmal in einem System eingenistet hat, kann es ziemlich schwer sein, dieses zu identifizieren und dann aus dem System zu entfernen.

MS hat eine Technologie zugekauft und ein neues Antispy Tool entwickelt. Streng genommen ist es nur eine Weiterentwicklung des Tools Antispyware der Firma Giant. (www.giantcompany.com)

Warnhinweis : Der Einsatz eines Antispytools, ersetzt nicht den Virenscanner und die Firewall, es ist eine weitere Schutzmaßnahem, um ein System zu schützen !!!!

Man kann die Software von folgender Seite runterladen:

http://www.microsoft.com/athome/security/spyware/software/default.mspx

Während der Betaphase steht die Software nur in englisch zu Verfügung und ist selbstverständlich vom Support ausgeschlossen. Für den Testzeitraum ist das Antispytool kostenfrei, ob es so bleiben wird, ist noch nicht bekannt.

Systemvoraussetzungen :

OS : Windows 2000,  Windows XP oder Server 2003
CPU : min. 300 MHz
RAM: 64 MB
HDD: 10 MB freier Plattenplatz
Zusätzlich : Internet Explorer 6.o und eine Internetverbindung (für die Updates)

1.) Installation :

Nachzulesen ist es im EULA während der Installation.

Der Standardpfad für die Installation kann übernommen werden, oder man wählt mit dem Button Change einen alternativen Pfad aus.

Nachdem die Installation erfolgreich abgeschlossen ist, und man das Programm zum Ersten mal startet, dann wird man durch den Konfigurationsassistenten begrüsst :)

Step 1: Automatisches Update.

Hier kann man nur das automatische Update des Programms aktivieren. Dadurch kontrolliert das Programm, ob es ein neues Signaturenfile gibt.

Hier kann man den Echtzeitschutz für das System aktivieren.

Durch die Aktivierung dieser Option, werden neu erkannte Angriffe an eine Community gemeldet, damit diese Infos eine schnelle Verbreitung finden. Dadurch soll die Entwicklungszeit der neuen Signaturfiles verkürzt werden.

Nachden der Assistent durchlaufen ist, schlägt das Programm nun einen Fullscan des Systems vor. Diesen kann man auch zu einem späteren Zeitpunkt durchführen.

Wenn man die untere Checkbox aktiviert, dann startet man eine Art Zeitplandienst (Scheduler). Danach wird das System zum ausgewählten Zeitpunkt gescannt. Die Änderung der Scannzeit kann später erfolgen, im Setup kann man nur den Zeitplan aktivieren.

2.) Systemscan

Wenn man das System durchscannen möchte kann man zwischen einem Quickscan und einem Intensivem Scann wählen. Für den ersten Scan ist eine intensive Analyse zu empfehlen.

Im Schedule Scan Detail kann man den Zeitplan für das automatische Scannen abändern.

Mann kann zwischen täglich, wöchentlich und monatlich wählen. Alternativ kann man auch einzelne Tage auswählen, an denen der Scan erfolgen soll (mehrfach Nennung möglich) Die Startzeit kann man frei konfigurieren. Die Schedules Scan Options beziehen sich auf Einstellungen die ein Administrator treffen kann, um User nicht zu verunsichern. Die Checkbox Disable Schedule deaktiviert die Zeitplanung, ohne die Konfiguration zu verlieren.
Bestätigt wird die Konfiguration mit dem Button Update Schedule.

Der Scanvorgang läuft ohne Usereingriff ab, man kann ihn aber vorzeitig stoppen.

Nach Abschluss bekommt man eine Zusammenfassung des Ergebnisses angezeigt.

3.) Real Time Protection

Die Realtime Protection arbeitet mit Agents, die für die Erkennung des verdächtigen Codes zuständig sind. Dabei werden 3 Bereiche Unterschieden:

• Internet Agents
• System Agents
• Application Agents

Zum jetzigen Zeitpunkt sind 59 Agents im Antispy Tool konfigruriert. Durch die Updates können neue Agents eingespielt werden. Man kann diese Checkpoints mit einer Regel die man in einer Firewall definiert hat vergleichen ! Auch hier werden Allow/Deney Zugriffe gesteuert.

Bei den Internet Agents gibt es Zugriffsregeln die sich mit der Internetverbindung befassen.

Wenn man einen Checkpoint anklickt, dann sieht man auf der rechten (blauen) Seite Detailinformation zu diesem Checkpoint. Man kann nun den Checkpoint deaktivieren oder wieder aktivieren. Der Menüpunkt Manage allowed/blocked Items kann genutzt werden, um eine (evt. Voreilig) erteilte Denyregel zu ändern. Allerdings gibt es keine Regeln by default,
das System muss diese Zugriffe dynamisch lernen, wenn man die Software einsetzt !
Auch ist nicht bekannt, ob MS einmal vordefinierte Checkpoint bereitstellt.

Im Menüpunkt Learn more about this Checkpoint erhält man eine etwas ausführlicher Erklärung über die Arbeitsweise des Checkpoints, diese ist meist detailierter als die Beschreibung im Bereich Description. Hier hat man auch die Möglichkeit die Erläuterungen zu drucken.

Die Beschreibung der Checkpoints ist für alle Agents gleich !

4.)  Advanced Tools

In diesem Bereich bekommt man 3 kleine Tools mit denen man sein System von Internetnutzungsspuren säubern kann. Hierbei wird zwischen System Tools und Privacy Tools unterschieden.

Systems Tools :

System Explorer :

Der System Explorer bietet dem Anwender die Möglichkeit sein System zu konfigurieren, hierbei kann man auf Bereiche zugreifen die normalerweise „nicht angezeigt" oder schwer zu verändern sind. Vergleichbar mit dem bekannten TweakUI oder TuneUP Tool.

Unter Startup Programs kann man z.B. den mitgelieferten Windows Messenger deaktivieren, damit dieser nicht mehr automatisch beim Start des Systems ausgeführt wird !
Wenn man das entsprechende Programm anklickt bekommt man im rechten (blauen) Bereich detailinformation über das Programm das man deaktivieren, oder sogar permanent aus dem Startup entfernen möchte.

Es werden eine Kurzbeschreibung, Herausgeber, Programmpfad, Versionsnummer und der Registrierungsschlüssel angezeigt.

Dieses Prinzip der Konfiguration ist bei allen System Explorers identisch und wird deswegen nicht weiter erklärt.

Browser Hijack:

Browser Hijack Restore ist eine Möglichkeit, um den Internet Explorer wieder in die Standardkonfiguration zu versetzten, falls sich ein Hijacker (Entführer) erfolgreich eingenistet hat. Durch markieren des Bereichs der Verändert worden ist, kann man mit einem Klick diesen in den Urzustand zurückstellen.

Track Eraser :

Dieses Tool bewirkt, das im System sämtliche Spuren eines Benutzers gelöscht werden können. Man kann damit URL Histories, Search Histories, WinZip Histories etc löschen.
Alles was man durch aufrufen der Programme über einen User erfahren könnte, kann hiermit gelöscht werden, damit ein PC wieder privat ist !

Dieses Tool greift in die Regestry ein und entfernt z.B. die Einträge  wenn Kennwörter bei FTP Accounts gespeichert wurden. Somit kann man hinterher nicht mehr ausspioniert werden.

Wenn man einen Intrag anklickt wird im rechten (blauen) Bereich eine Kurzbeschreibung dr Aktion eingeblendet, die dieser Agent durchführt. Man kann Mehrfachnennung vornehmen, oder durch anklicken des Schalters Check all alle Einträge aktivieren.

Wenn man einzelnen, spezielle Einträge immer und immer wieder löschen muss, dann kann man durch die Box - Remember checked tracks - ein Profil erzeugen, dass einem die Auswahlarbeit abnimmt.

(c) by unterwegs-im.net, Frank Solinske