Norton Internet Security 2008 vs. Kaspersky 7.0 Einstellungen

[Gast_Jacomofive_*]

Bitte eure Meinungen ! Danke
Ich finde beide sehr gut

Der Beitrag wurde von Jacomofive bearbeitet: 23.09.2007, 12:23

[chris30duew]

Antibot überwacht aber keine registryveränderungen in der art wenn sich was in den autostart einträgt etc oder die registry ändert. nur in verbindung, wenn n unbekannter prozess gefunden oder gestartet wurde......und darum gings ja glaub ich demjenigen der den "schrott" nicht leiden kann..
also bliebe diese "Lücke" bestehen

Der Beitrag wurde von chris30duew bearbeitet: 23.11.2007, 21:19

[Solution-Design]

Antibot überwacht aber keine registryveränderungen in der art wenn sich was in den autostart einträgt etc oder die registry ändert. nur in verbindung, wenn n unbekannter prozess gefunden oder gestartet wurde.

Das ist fast richtig. Die Registrierdatei wird dagegen auch schon von der NIS/Sonar selbst überwacht und im Sicherheitsverlauf "Überwachung verdächtige Aktivitäten" lassen sich solche Änderungen recht leicht rückgängig machen. Aber wer eine vollständige Überwachung der Registry benötigt, nutzt andere Tools wie Winpatrol und lässt dann Scotty bellen. Ich persönlich halte dies für überflüssig.

Hier ein Beispiel, wie NAB den Scanner Avira in die Quarantäne packt. Also eine Anwendung, welche keine Code-Injektion durchführt.



Auch wenn es nichts zum Thread-Titel beiträgt, hier mal die Funktionsweise von NAB (und vielleicht auch der Grund, warum es so viele Nutzer gerne in NIS2008 integriert hätten:



NAB überwacht folgende Prozesse:

Schreibt in das Programmverzeichnis
Der Prozess erstellt eine andere ausführbare Datei im Programmverzeichnis, in dem die meisten normalen Programme standardmäßig installiert sind. Dies deutet darauf hin, dass es sich höchstwahrscheinlich um ein normales Installationsprogramm handelt, obwohl sich einige schädliche Programme in diesem Verzeichnis selbst installieren.

Registriert ausführbare Dateien, um einen Neustart zu vermeiden
Der Prozess ändert die Registrierung, so dass diese bei jedem Windows-Start neu gestartet wird. Dieses Verhalten kann verdächtig sein, obwohl legale Programme dieses Merkmal ebenfalls aufweisen können.

Ändert die Zuordnung von ausführbaren Dateien
Dieser Prozess ändert den Mechanismus, mit dem ausführbare Dateien von Windows gestartet werden. Dieses Verhalten ist äußerst verdächtig.

Überwacht Registrierungsschlüssel
Dieser Prozess überwacht bestimmte Registrierungsschlüssel auf Änderungen. Dieses Verfahren wird häufig von Malware angewendet, um Löschaktionen zu verhindern. Malware überwacht Schlüssel und schreibt diese zurück, sobald sie geändert werden.

Kleine ausführbare Datei
Die ausführbare Datei ist klein. Schädliche Programme schleichen sich ein, indem sie die Auswirkungen auf das zu Grunde liegende System minimieren. Viele normale ausführbare Dateien, wie zum Beispiel einige Systemprozesse und Dienstprogramme, sind jedoch ebenfalls klein.

Ordnungsgemäß installiert
Die Installation der ausführbaren Datei scheint ordnungsgemäß zu sein. Dies deutet in der Regel auf ein normales Programm hin, obwohl sich einige Adware- und Spyware-Programme ebenfalls ordnungsgemäß selbst installieren.

Signierte ausführbare Datei
Die ausführbare Datei ist digital signiert. Dies bedeutet nicht, dass die ausführbare Datei auch vertrauenswürdig ist. Stellen Sie sicher, dass auch das Installationsprogramm explizit als vertrauenswürdig gekennzeichnet ist. Dies bedeutet, dass Symantec die Signatur bestätigt und die ausführbare Datei als vertrauenswürdig eingestuft hat.

Systemdienst
Dieser Prozess ist ein vom Windows-Dienststeuerungs-Manager verwalteter Systemdienst.

Versteckt eine ausführbare Systemdatei
Dieser Prozess hat den gleichen Namen wie eine legale ausführbare Datei. Malware wendet diesen Mechanismus häufig an, um sich auf einem Computer zu verstecken - sie wird unter demselben Namen wie eine legale ausführbare Datei ausgeführt, befindet sich jedoch in einem anderen Teil des Dateisystems. Im Task-Manager werden diese beiden Dateien als legale Prozesse angezeigt.

Eine ausführbare Datei mit diesen Merkmalen ist verdächtig. Die echte SERVICES.EXE-Datei (der legale Windows-Dienststeuerungs-Manager) beispielsweise wird unter C:\WINDOWS\SYSTEM32\SERVICES.EXE ausgeführt. Ein Trojanisches Pferd kann die Bezeichnung SERVICES.EXE aufweisen, wird jedoch als C:\WINDOWS\SERVICES.EXE. installiert. Bei Anzeige im Task-Manager, der den gesamten Pfad der ausführbaren Dateien nicht einblendet, werden beide Dateien als legale SERVICES.EXE-Prozesse dargestellt. Die einzige legale ausführbare Datei, die dieses Merkmal gelegentlich aufweist, ist die Java SDK und JRE. Java wird häufig an vielen verschiedenen Speicherorten auf einem Computer abgelegt, und häufig werden mehrere Versionen installiert. Dies kann dazu führen, dass bestimmte Java-Prozesse dieses Merkmal aufweisen.

Weist eine doppelte Dateierweiterung auf
Die ausführbare Datei hat die Form MALWARE.JPG.EXE mit Erweiterungen bestehend aus zwei oder drei Buchstaben. Bei der standardmäßigen Windows-Konfiguration werden bekannte Dateierweiterungen nicht angezeigt, so dass die Datei auf dem Bildschirm als MALWARE.JPG angezeigt wird. Ein nichts ahnender Benutzer geht daher davon aus, anstelle einer ausführbaren Datei eine JPG- oder Bilddatei zu öffnen. Dieses Verhalten ist äußerst verdächtig.

Ausführbare Datei wurde geändert
Die ausführbare Datei wurde auf der Festplatte geändert, da Norton AntiBot zur Überwachung dieser ausführbaren Datei gestartet wurde. Diese Änderung hat möglicherweise stattgefunden, da die ausführbare Datei als Teil eines normalen Updateprozesses aktualisiert oder von einem schädlichen Programm zur Ausführung von schädlichem Code aktualisiert wurde.

Versteckt im Dateisystem
Die ausführbare Datei ist mit dem Kennzeichen Ausgeblendet im Dateisystem markiert. Diese Markierung wird normalerweise für Systemprozesse verwendet, bietet jedoch Malware die Möglichkeit, sich selbst auszublenden.

Mehrere Möglichkeiten, eine Neustart zu vermeiden
Die ausführbare Datei hat mehrere Methoden, einen Neustart zu vermeiden (sie ist beispielsweise an mehreren Stellen in der Registrierung registriert). Dieses Verhalten ist verdächtig.

Fenster nicht sichtbar
Der Prozess verfügt nicht über ein Fenster, dass auf dem Desktop angezeigt wird. Dies deutet darauf hin, dass das Programm versucht sich einzuschleichen und für den Benutzer nicht sichtbar ist. Die Mehrheit der schädlichen Programme weist dieses Merkmal auf, wobei auch bei vielen Systemprozessen keine entsprechenden Fenster angezeigt werden.

Ausgeblendete Prozesse
Der Prozess ist für den Benutzer nicht sichtbar, was möglicherweise auf Technologie zurückzuführen ist, die Rootkits ähnelt. Die einzigen legalen Prozesse, die nicht angezeigt werden, sind diejenigen, die mit Sicherheitssoftware verknüpft sind. Dieses Verhalten ist äußerst verdächtig.

Prozessspeicher ist gefährdet
Der Speicher für diesen Prozess ist gefährdet, da durch einen anderen Prozess Code eingeschleust wurde. Codeeinschleusung dieser Art wird auch als DLL-Einschleusung bezeichnet. Die durch diesen Prozess ausgeführten Aktionen weichen möglicherweise von ihrer ursprünglichen Programmierung ab, da der Prozess den eingeschleusten Code ausführt. Einige Sicherheitssoftwareprogramme schleusen Code in aktive Prozesse ein, so dass nahezu alle Prozesse diese Merkmale aufweisen.

Ein Notepad-Prozess kann beispielsweise Code ausführen, der ihn veranlasst, einen bestimmten Netzwerkport abzuhören und Remotezugriff auf den Computer zu gewähren. Diese Verhalten liegt außerhalb der normalen Aktionen eines einfachen Texteditors. Ein Prozess mit diesen Merkmalen ist verdächtig. Die Änderung ist nicht dauerhaft, da die ausführbare Datei nicht auf der Festplatte geändert wird. Wenn der Computer neu gestartet wird, wird der Prozess wieder normal ausgeführt, es sei denn, er wird erneut gefährdet.

Network Facing Stdio
Die In- und Out-Standardhandles eines Prozesses sind mit einem Netzwerkport verbunden. Dies kann bedeuten, dass der Prozess das Ergebnis einer Ausnutzung ist.

Verwendet das Netzwerk
Der Prozess verwendet das Netzwerk entweder als Clientszugriffsdienste auf anderen Computern oder zum Abhören an einem bestimmten Netzwerkport. Schädliche Programme müssen das Netzwerk zur Kommunikation mit ihren Controllern, zum Senden von Informationen bzw. zum Empfangen von Softwareupdates verwenden. Viele legale Programme verwenden ebenfalls das Netzwerk.

Ungewöhnliche Netzwerkverwendung
Der Prozess verwendet das Netzwerk auf ungewöhnliche Weise.

Beendet Prozesse
Bestimmte schädliche Programme versuchen, Sicherheitsprogramme (z.B. Antivirus- oder Spyware-Programme) zu beenden, um nicht erkannt zu werden. Es ist sehr selten, dass Programme durch normale Programme vorsätzlich beendet werden. Ausnahmen stellen Sicherheitsprogramme und Dienstprogramme wie z.B. Task-Manager dar.

Installiert ein Kernelmodul
Die ausführbare Datei hat versucht, den Betriebssystemkernel zu zwingen, ein Kernelmodul zu laden, mit dem das Verhalten des Betriebssystems geändert werden soll. Dieses Merkmal kann auf den Versuch hinweisen, ein Rootkit auf Kernelebene zu installieren. Mehrere normale Programme installieren Kernelmodule, wie z.B. Antivirus-Software, Firewalls und Tools wie Process Explorer, Regmon und Filemon (über http://www.sysinternals.com).

Deaktiviert die Windows-Firewall
Der Prozess deaktiviert die Windows-Firewall. Dieses Verhalten ist verdächtig.

Ändert die Hostdatei
Der Prozess hat die Datei hosts geändert, die für die Konfiguration von Netzwerken auf dem Computer verwendet wird. Durch Hinzufügen oder Ändern von Einträgen in dieser Datei, können schädliche Programme Netzwerkverbindungen ohne Kenntnis des Benutzers an bestimmte Sites umleiten.

Ändert die Datei "config.sys"
Der Prozess hat die Datei config.sys geändert, die die Liste der Standardlaufwerke enthält, die vom System beim Start geladen werden. Dies kann auf den Versuch hinweisen, ein schädliches Kernelmodul als Teil einer Rootkit-Installation zu laden.

Ändert die Datei "autoexec.bat"
Der Prozess hat die Datei autoexec.bat geändert, die den Windows-Start steuert. Schädliche Programme können versuchen, die Datei autoexec.bat so zu ändern, dass sie bei jedem Windows-Start geladen werden.

Geänderte Browsereinstellungen
Der Prozess hat Webbrowsereinstellungen wie die Startseite oder die Sucheinstellungen geändert. Obwohl bestimmte legale Installationsprogramme diese Einstellungen ändern können, ist dies ein typisches Merkmal für Adware, Spyware und Browser-Hijacker.

Gestartete Systemdienste
Der Prozess hat einen Systemdienst unter Verwendung der Datei net.exe der Helper-Anwendung gestartet.

Beendete Systemdienste
Der Prozess hat einen Systemdienst unter Verwendung der Datei net.exe der Helper-Anwendung gestoppt.

Vermeidet einen Neustart
Bei jedem Neustart führt Windows automatisch dieses Programm aus. Schädliche Programme vermeiden in der Regel einen Neustart, um die Effizienz des Datendiebstahls zu erhöhen. Für viele legale Programme ist ein Neustart ebenfalls nicht erforderlich.

Vermeidet wahrscheinlich einen Neustart
Die Vermeidung eines Neustarts ist für die ausführbare Datei nicht explizit registriert, sie wird jedoch direkt nach dem Systemstart ausgeführt und erweckt den Eindruck, einen Neustart zu vermeiden. Schädliche Programme vermeiden in der Regel einen Neustart, um die Effizienz des Datendiebstahls zu erhöhen. Für viele legale Programme ist ein Neustart ebenfalls nicht erforderlich.

Macht sich andere Prozesse zu Nutze
Der Prozess macht sich untergeordnete Prozesse zu Nutze.

Wird über den Cache ausgeführt
Programme, die über den Cache ausgeführt werden, sind verdächtig. Entweder wurden sie heruntergeladen und direkt in einem Browser oder E-Mail-Client ausgeführt, oder es handelt sich um Programme, die über den Cache ausgeführt werden, um sich zu verstecken.

Protokolliert Tastatureingaben mit einem Windows-Hook
Der Prozess installiert einen Windows-Hook zur Protokollierung von Tastatureingaben (Keylogger). Schädliche Programme installieren Keylogger, um Anmeldeinformationen, Kennwörter oder Kreditkartennummern zu stehlen. Einige legale Programme wie Instant Messaging-Programme verwenden Keylogger zum Überwachen von Benutzeraktivitäten, um den Status eines bestimmten Benutzers anzuzeigen.

Ausführung über das Windows-Verzeichnis
Der Prozess wird über das Windows-Verzeichnis im Dateisystem ausgeführt. Viele schädliche Programme werden über das Windows-Verzeichnis ausgeführt, um unter den wichtigen ausführbaren Windows-Dateien und Dienstprogrammen, die dort gespeichert sind, nicht erkannt zu werden.

Ausführung über das Programmverzeichnis
Der Prozess wird über das Programmverzeichnis im Dateisystem ausgeführt. Dies ist das Standardverzeichnis für die Installation legaler Software, bestimmte Adware-Programme werden jedoch auch über dieses Verzeichnis ausgeführt.

Protokolliert Tastatureingaben
Das Programm hat versucht, Tastatureingaben zu protokollieren, und ist wahrscheinlich schädlich.

Wird über das Dateisystem ausgeführt
Der Prozess wird über einen Bereich des Dateisystems ausgeführt, der vom Windows-, Programm- oder Cache-Verzeichnis getrennt ist.

Registriert COM-Objekte
Der Prozess hat ein COM-Objekt registriert, bei dem es sich um ein Codemodul handelt, das zum Erweitern der Windows-Funktionalität verwendet wird. Legale Installationsprogramme installieren häufig COM-Objekte, bestimmte Spyware-Programme tun dies jedoch auch.

Registriert Protokollerweiterung
Der Prozess hat eine Protokollerweiterung registriert, die zur Verbesserung der Netzwerkleistung unter Windows verwendet wird. Dieses Verhalten ist verdächtig.

Registriert eine Symbolleiste
Der Prozess registriert eine Internet Explorer-Symbolleiste. Neben legalen Symbolleisten ist eine erhebliche Anzahl an schädlichen Symbolleisten vorhanden.

Registriert "appinit_dlls"
Der Prozess registriert eine dll-Datei (ausführbares Modul), die in jeden Windows-Prozess geladen wird. Neben schädlichen Programmen, die diese Methode zur Implementierung von Rootkit-ähnlichen Funktionen verwenden, wird diese Methode auch von Sicherheitsprodukten angewendet.

Registriert eine Winlogon-Erweiterung
Dieser Prozess hat eine Winlogon-Erweiterung registriert. Hierbei handelt es sich um Code, der auf Systemereignisse wie Starten und Herunterfahren des Systems sowie An- und Abmelden von Benutzern reagiert. Der Winlogon-Prozess ist einer der ersten Prozesse, der gestartet, und einer der letzten, der beendet wird. Bestimmte Sicherheitsanwendungen verwenden diese Erweiterungen, schädliche Software allerdings auch.

Registriert ein Browserhilfsobjekt
Der Prozess hat ein Browserhilfsobjekt oder BHO registriert. Hierbei handelt es sich um Code, der die Funktionalität der Windows-Shell (explorer.exe) sowie von Internet Explorer erweitert. Diese Objekte sind häufig verdächtig.

Registriert einen LSP
Der Prozess fügt einen LSP (Layered Service Provider) im Netzwerkstapel des Systems ein. Hiermit wird die Art und Weise geändert, in der bestimmte Netzwerkereignisse vom Netzwerkstapel verarbeitet werden. Trotz der legalen LSP-Instanzen ist diese Methode äußerst verdächtig.

Wird beendet
Der Prozess wird beendet.

Schreibt in das Windows-Verzeichnis
Der Prozess hat eine andere ausführbare Datei im Windows-Verzeichnis erstellt. Obwohl bestimmte legale Installationsprogramme ausführbare Dateien in dieses Verzeichnis kopieren, verwenden auch schädliche Programme dieses Verzeichnis, um nicht erkannt zu werden.

Schleust Code ein
Der Prozess hat Code in andere aktive Prozesse eingeschleust und zwingt diese, fremden Code auszuführen. Dieser Vorgang wird auch als DLL-Einschleusung bezeichnet und weist häufig auf eine schädliche Aktivität hin. Sicherheitsprogramme wie Antivirus- und Anti-Spyware-Programme sind die einzigen legalen Programme, die Code in andere Programme einschleusen.

Vertrauenswürdig
Die ausführbare Datei ist eine vertrauenswürdige Symantec-Datei.

Registriert einen URL-Suchhook
Der Prozess registriert einen URL-Suchhook, der die Art und Weise ändert, in der Suchläufe von Internet Explorer verarbeitet werden. Dieses Verfahren ist in der Regel mit Malware verbunden.

Installiert Malware neu
Der Prozess installiert Malware neu. Dieses Verhalten ist eindeutig äußerst verdächtig.

Schreibt in das Dateisystem
Der Prozess schreibt eine ausführbare Datei in das Dateisystem. Dieses Verfahren wird in der Regel bei Installationsprogrammen durchgeführt.

Sichtbares Fenster
Der Prozess wird in einem Fenster sichtbar. Dies deutet in der Regel auf normale und nicht auf schädliche Programme hin.

Deaktiviert den Windows-Dateischutz
Der Prozess hat versucht, den Windows-Dateischutz zu deaktivieren, der wichtige ausführbare Windows-Dateien vor Fälschung schützt. Diese Aktion ist äußerst verdächtig.

Stellt ein Kernelmodul dar
Die ausführbare Datei ist als Kernmodul registriert.

Registriert einen Filtertreiber
Der Prozess hat einen Filtertreiber registriert, der die Leistung des Windows-Kernels erhöht.

Stellt einen LSP dar
Die ausführbare Datei ist als Layered Service Provider (LSP) registriert. Hierbei handelt es sich um ein Codemodul, das die Art und Weise ändert, in der der Computer Netzwerkereignisse verarbeitet.

Ändert den allgemeinen Startbereich
Dieser Prozess ändert das Verzeichnis, in dem die Dateien gespeichert sind, die beim Systemstart automatisch ausgeführt werden. Dieses Verhalten ist äußerst verdächtig.

Vertrauenswürdiges Installationsprogramm
Die ausführbare Datei ist von einem Unternehmen digital signiert, das von Symantec als vertrauenswürdig eingestuft wird. Die Signatur wurde überprüft, und die ausführbare Datei wird als vertrauenswürdig eingestuft.

.
COM-Objekt
Die ausführbare Datei ist als COM-Objekt registriert.

Protokollhandler
Die ausführbare Datei ist als Netzwerkprotokollhandler registriert.

Winlogon-Erweiterung
Die ausführbare Datei wird als Winlogon-Erweiterung registriert.

Browserhilfsobjekt
Die ausführbare Datei wird als Browserhilfsobjekt (BHO) registriert.

URL-Suchhook
Die ausführbare Datei wird als URL-Suchhook registriert.

Symbolleiste
Die ausführbare Datei wird als eine Internet Explorer-Symbolleiste registriert.

Appinit dll
Die ausführbare Datei wird zum Laden in alle Windows-Prozesse unter Verwendung des Registrierungsschlüssels appinit_dlls registriert.

Über IM installiert
Die ausführbare Datei wird über ein Instant Messaging-Programm installiert.

Über E-Mail installiert
Die ausführbare Datei wird über ein E-Mail-Programm installiert.

Über einen Browser installiert
Die ausführbare Datei wird über einen Browser installiert.

Die ausführbare Datei ist gepackt
Die ausführbare Datei ist gepackt (komprimiert oder verschlüsselt). Im Allgemeinen wird hierdurch die Größe einer ausführbaren Datei reduziert. Viele schädliche Programme sind gepackt, um von Mechanismen, die auf Signaturen beruhen, nicht erkannt zu werden.

Versteckter Dienst
Die ausführbare Datei ist als Systemdienst registriert, der für den Benutzer nicht sichtbar ist. Dieses Rootkit-ähnliche Verhalten ist äußerst verdächtig.



/OT

Edit: Nachtrag

Der Beitrag wurde von Solution-Design bearbeitet: 23.11.2007, 22:40