Spyware

Wie Windows Defender Spyware identifiziert

Veröffentlicht: 13. Februar 2006

Wie Windows Defender Spyware identifiziert

Das Identifizieren und Analysieren von Spyware ist eine komplexe Herausforderung. Neue Formen von Spyware werden permanent entwickelt, und dieselbe Technologie, die Spyware schädlich und lästig macht, wird auch in Software genutzt, die für Benutzer hilfreich ist, beispielsweise in Antivirensoftware. Nicht in jedem Fall kann automatisch erkannt werden, ob eine Software für den Kunden nützlich oder schädlich ist.

Die Strategie von Microsoft zur Lösung dieses Problems beruht auf zwei Pfeilern:

1.

Zusammenarbeit mit anderen führenden Anbietern zum Austausch bewährter Praktiken hinsichtlich der Identifizierung und Analyse von Spyware.

2.

Sicherstellen, dass Microsoft-Kunden über die erforderlichen Informationen und Tools verfügen, um entscheiden zu können, welche Software heruntergeladen und auf dem Computer installiert werden kann.

Als bösartige oder schädliche Software werden Programme bezeichnet, die ein illegales, virenartiges, betrügerisches oder schädliches Verhalten zeigen. Windows Defender erleichtert das Identifizieren und Blockieren bekannter schädlicher Spyware-Programme. Windows Defender lässt Sie entscheiden, ob Sie Programme installieren möchten, die als legitim erkannt werden, und rät davon ab, Programme zu installieren, die noch nicht analysiert und definiert wurden.

Außerdem können Sie an dem von Microsoft eingerichteten weltweiten Netzwerk teilnehmen, in dem Benutzer vermeintliche neue Spyware oder unerwünschte Software zur Analyse an die Experten bei Microsoft schicken können. Auf diese Weise helfen Sie Microsoft, schädliche Programme zu identifizieren, sodass sie der Definitionsliste von Windows Defender hinzugefügt werden können.

Software, die als bösartig bzw. schädlich erkannt wird, wird in die Spyware-Definitionsbibliothek von Microsoft aufgenommen. Diese Definitionsbibliothek enthält eine äußerst umfangreiche Datenbank mit bedrohlichen Spyware-Dateien und -Einstellungen. Wenn die Experten neue Bedrohungen identifizieren, erstellen sie neue Definitionen und fügen sie der Bibliothek hinzu. Microsoft gibt regelmäßig Definitionsaktualisierungen heraus, um optimalen Schutz für Computer und persönliche Daten zu gewährleisten.

Abbildung des Anti-Spyware-Zyklus von Windows Defender.

Wie Microsoft-Experten Softwareprogramme analysieren

Microsoft-Experten überprüfen Software nach folgenden Gesichtspunkten:

Kontext, Absicht und Quelle des Programms.

Verhaltensweisen, die das Programm zeigt.

Auswertung anhand von Kriterien, die von einzelnen Verbrauchermeinungen bis hin zur Auswirkung der Software auf Computerleistung, Benutzersicherheit und Datenschutz reichen.

(Neue Formen von Spyware und anderer unerwünschter Software werden rasch entwickelt und verbreitet. Aus diesem Grund behält sich Microsoft das Recht vor, seine Analysekriterien ohne vorherige Ankündigung anzupassen, auszuweiten und zu aktualisieren.)

Kontext und Absicht der Software
Viele in Zusammenhang mit Spyware bekannte Verhaltensweisen werden auch für legitime Zwecke genutzt. Beispielsweise wird Spyware typischerweise automatisch gestartet. Dasselbe gilt jedoch auch für Antiviren- und Firewallsoftware. Diese Programme können ebenfalls so eingerichtet werden, dass sie nach dem Laden automatisch gestartet werden (eine Funktion, die als „Autostart“ bezeichnet wird), und sie können sich ebenfalls automatisch aktualisieren, um dem Benutzer Arbeit abzunehmen. Ein wichtiger Unterschied zwischen Spyware und legitimer Software besteht jedoch darin, dass bei legitimer Software eine klar erkennbare Möglichkeit gegeben sein sollte, solche Funktionen ein- oder auszuschalten bzw. die Einstellungen zu ändern.

Quelle der Software
Microsoft prüft auch das Verhalten von Programmen, die von bestimmten Softwareanbietern und ihren Partnern installiert werden. Die Experten bestimmen, ob die Anbieter bzw. ihre Partner selbst in die Definitionsbibliothek aufgenommen werden sollen.

Softwareverhalten
Das Softwareverhalten wird nach seinem Schädigungs- bzw. Störungspotenzial bewertet. So wird etwa wurmartiges Verhalten als extrem gefährlich eingestuft. Popupverhalten („Adware“) wird als potenziell weniger schädlich, aber als störend für den Benutzer charakterisiert.

Fünf Bewertungskriterien

Microsoft-Experten bestimmen anhand der folgenden Kategorien, ob ein Programm zu Erkennungszwecken in die Definitionsbibliothek aufzunehmen ist und welche Klassifizierung, Risikostufe und Empfehlung ihm zugewiesen wird.

Irreführendes Verhalten und unbemerkte Aktionen. Software dieser Kategorie führt auf dem Computer des Benutzers Prozesse oder Programme aus, ohne dass der Benutzer darüber informiert oder um Zustimmung gebeten wurde. Sie verhindert, dass der Benutzer die auf dem Computer gestarteten Prozesse kontrollieren kann. Sie verhindert, dass der Benutzer das Programm bewusst deinstallieren oder entfernen kann.

Datenschutz. Software dieser Kategorie sammelt, verwendet oder übermittelt die persönlichen Daten und Verhaltensweisen des Benutzers (z. B. Surfgewohnheiten), ohne dass dies explizit genehmigt wurde.

Sicherheit. Software dieser Kategorie versucht, die Sicherheitsfunktionen auf dem Computer des Benutzers zu umgehen oder zu deaktivieren oder die Computersicherheit auf andere Weise zu gefährden.

Leistung. Software dieser Kategorie unterwandert die Leistung, Zuverlässigkeit und Qualität des Computersystems. Sie verringert die Geschwindigkeit des Computers, reduziert die Produktivität oder beschädigt das Betriebssystem.

Meinungen von Industrievertretern und Verbrauchern. Die Hinweise von Vertretern der Softwareindustrie und einzelnen Benutzern werden als wichtige Faktoren herangezogen, um neue Verhaltensweisen und Programme zu identifizieren, die eine Gefahr für die Computernutzung darstellen könnten.

Irreführendes Verhalten und unbemerkte Aktionen: mangelnde Information und Zustimmung

Benutzer müssen darüber informiert werden, was auf ihrem Computer geschieht, auch darüber, was ein Programm bewirkt und ob es aktiv ist.

Software mit unzureichender Information

bietet keine Informationen über den Herausgeber, die Website, von der sie stammt, o. Ä.

zeigt dem Benutzer unter normalen Umständen keinen Endbenutzer-Lizenzvertrag.

bietet keine klar erkennbaren Informationen über das Verhalten des Programms und dessen Zweck und Absicht.

lässt nicht in klarer Weise erkennen, ob die Software aktiv ist, und versucht oftmals sogar, ihr Vorhandensein zu verschleiern oder zu tarnen.

Software mit unzureichender Zustimmung

installiert oder entfernt Software ohne Berechtigung, Interaktion oder Zustimmung des Benutzers. Dies gilt u. U. auch für Aktionen von Partnerfirmen des Softwareanbieters.

startet eine ausgehende Verbindung (Modem, Internet usw.) ohne Zustimmung des Benutzers.

installiert andere Software ohne klaren Hinweis auf einen Zusammenhang mit dem primären Programm.

stellt Registrierungsschlüssel oder Dateieinträge wieder her, die der Benutzer entfernt hat.

bietet keine Möglichkeit, die Erfassung benutzerspezifischer Informationen (nicht nur Lizenzbedingungen) explizit zu genehmigen oder abzulehnen. Den Benutzer über das Vorhandensein von Lizenzbedingungen zu informieren, gilt nicht als ausreichendes Mittel, um seine Zustimmung zur Funktionalität der Software zu erlangen.

Irreführendes Verhalten und unbemerkte Aktionen: mangelnde Kontrollmöglichkeit

Benutzer müssen stets die Kontrolle über die Programme auf Ihrem Computer behalten können. Sie müssen in der Lage sein, ein Programm zu starten, zu stoppen oder andernfalls die Genehmigung zur Verwendung dieses Programms zu verweigern.

Software mit mangelnder Kontrollmöglichkeit

ignoriert Versuche des Benutzers, ein Programm zu schließen oder zu entfernen.

öffnet Browserfenster ohne Genehmigung.

startet Prozesse, die vom Benutzer nicht manuell beendet werden können.

leitet Suchläufe, Abfragen, vom Benutzer eingegebene URLs oder Zugriffe auf andere Sites um oder blockiert sie, ohne dass der Benutzer darüber klar informiert und um Zustimmung gebeten wird.

Initiiert Autostart- oder automatisches Aktualisierungsverhalten ohne Zustimmung des Benutzers.

Autostart und automatische Aktualisierung
Diese Funktionen können den Benutzern die Kontrolle über das Programm zugunsten des Programms selbst entziehen. Dieses Verhalten ist an sich nicht bösartig oder unzulässig, kann aber problematisch sein. Zudem fehlt bei solchen Programmen in der Regel eine Benutzeroberfläche, sodass die Benutzer oftmals gar nicht wissen können, dass das Programm ausgeführt wird, wie es sich deaktivieren lässt oder ob es sich überhaupt deaktivieren lässt.

Bei der Analyse des Kontexts und der Absicht des Programms berücksichtigt Microsoft nicht nur, inwieweit den Benutzern bekannt ist, dass diese Programme ausgeführt werden, sondern auch, ob sie in der Lage sind, in angemessenem Umfang die Kontrolle über diese Funktionen zu behalten.

Popups und Werbeprogramme
Popups und andere Programme, die zu kommerziellen Zwecken für ein Produkt oder eine Dienstleistung werben, sind häufig anzutreffende Formen von Software, die den Benutzer bei seiner Computernutzung stört.

Popups und Werbeprogramme

treten unabhängig, d. h. außerhalb des Kontexts eines Programms, einer Website oder einer sonstigen Quelle, für die die Popups werben, in Erscheinung.

bieten keinen klaren Hinweis auf die Quelle, aus der sie stammen.

weisen falschen oder irreführenden Inhalt auf.

bieten dem Benutzer keine oder nur unzureichende Steuermöglichkeiten, sodass es schwierig ist, die Software zu schließen oder zu löschen.

Windows Defender weist den Benutzer auf das Vorhandensein automatischer Popup-Werbung hin, die außerhalb des Kontexts des gerade verwendeten Programms eingeblendet wird, und zwar unabhängig davon, ob das Popup Informationen über seinen Ursprung bietet. Zudem wird der Benutzer auf Programme hingewiesen, die Popups hervorrufen, über die der Benutzer keine wirksame Kontrolle besitzt.

Irreführendes Verhalten und unbemerkte Aktionen: Installation und Deinstallation

Der Benutzer muss in der Lage sein, ein Programm zu starten, zu stoppen oder andernfalls die Genehmigung zur Verwendung dieses Programms zu verweigern. Bevor ein Programm installiert wird, sollte hierzu eine entsprechende Genehmigung des Benutzers eingeholt werden. Das Programm muss sich auf klare und einfache Weise installieren, deinstallieren oder deaktivieren lassen.

Software mit unzureichendem Installationsverhalten

verwendet Namen, die mit anderen Softwareprogrammen verwechselt werden könnten oder in anderer Weise irreführend oder trügerisch sind.

wird in einem unüblichen Verzeichnis installiert.

installiert ein ActiveX-Steuerelement, ohne dass das Einrichten dieser Funktion für den Benutzer deutlich wird.

verwendet irreführende Eingabeaufforderungen, durch die der Benutzer zum Herunterladen oder Installieren von Software verleitet werden soll.

verbirgt oder verschleiert das Vorhandensein zusätzlicher Software, die mit der zum Download bestimmten Software gebündelt ist.

Software mit unzureichenden Entfernungsmöglichkeiten

bietet keine Hilfeinformationen zu ihrer Deinstallation.

verwendet keine standardmäßigen Installations- bzw. Deinstallationsfunktionen wie z. B. Software in der Systemsteuerung.

kann erst nach dem Herunterladen eines separaten Deinstallationsprogramms von einer Website oder erst nach dem Herstellen einer Internetverbindung deinstalliert werden.

präsentiert beim Versuch einer Deinstallation zahlreiche verwirrende oder irreführende Eingabeaufforderungen oder Popups.

lässt sich auf Befehl des Benutzers nicht entfernen oder deaktivieren.

entfernt das Dienstprogramm zur Systemwiederherstellung, die Systemsteuerung oder einzelne Elemente davon oder verhindert, dass diese Programme angezeigt werden können.

entfernt oder deaktiviert andere Software, ohne den Benutzer darüber zu informieren oder um seine Zustimmung zu bitten.

Gebündelte Programme

Manche Softwareprogramme sind mit anderen Programmen „gebündelt“, wobei diese zusätzlichen Programme spezielle Features aufweisen können, die mit der Hauptsoftware in Beziehung stehen oder unabhängige Funktionen erfüllen. Bedingungen, die sich auf alle Softwareprogramme in einem Bündel beziehen, sollten in der Lizenzvereinbarung erläutert werden. Programme müssen die gebündelten Programme nennen, die gleichzeitig ausgeführt werden müssen, damit die Software funktioniert, und müssen auch sonstige praktische Auswirkungen erwähnen, die sich aus der Lizenzvereinbarung ergeben.

Gebündelte Software kann schädliche Software sein, wenn dem Benutzer die Beziehung zwischen den gebündelten Programmen nicht klargemacht wird. Beispiel:

Der Benutzer sollte wissen, ob die Programme X, Y und Z gebündelte Komponenten von Programm A sind. Andernfalls weiß der Benutzer nicht, wozu diese Programme auf dem Computer vorhanden sind (da er möglicherweise nur über die Installation von Programm A informiert wurde).

Der Benutzer muss die Möglichkeit haben, auch die Programme X, Y und Z zu entfernen, wenn er Programm A entfernt.

Der Benutzer muss vor dem Installieren von Programm A darüber informiert werden, dass dieses ggf. nur funktioniert, wenn auch die Programme X, Y und Z installiert werden.

Datenschutz

Benutzer haben im Allgemeinen ein Interesse daran, die Kontrolle über ihre persönlichen Daten behalten. Sie erwarten, dass sie selbst bestimmen können, wie ihre persönlichen Daten erfasst, genutzt und an andere übermittelt werden, sei es in der Kommunikation mit Privatpersonen, mit Unternehmen oder im Rahmen von geschäftlichen Transaktionen. Zum Datenschutz gehört auch die Möglichkeit, auf unerwünschte Kommunikation verzichten zu können.

Software mit unzureichendem Datenschutz

bietet keine leicht zugängliche Datenschutzbestimmung, in der die Datenerfassung und andere vom Programm oder der Website verwendete Praktiken erläutert werden.

protokolliert ohne ausdrückliche Erlaubnis des Benutzers dessen Internet-Surfverhalten.

verlangt die Eingabe zusätzlicher Informationen, z. B. E-Mail-Adresse oder Kontaktinformationen des Benutzers, um deinstalliert werden zu können.

lässt zu, dass die Benutzerkommunikation ohne Ankündigung und Genehmigung überwacht, umgeleitet oder geändert wird.

verwendet Software-Entschlüsselungsfunktionen, die die Verschlüsselung, Autorisierung und/oder die Nichtanerkennung von Daten ohne Autorisierung unterlaufen.

Manche Arten von Programmen befinden sich außerhalb des Betriebssystems, können aber dennoch den Datenschutz des Benutzers unterwandern. Hierzu zählen u. a. folgende Programme:

Überwachungsprogramme. Software, die Benutzeraktivitäten durch die Aufzeichnung von Tastatureingaben, Bildschirmbildern oder anderer identifizierbarer Elemente überwacht.

Remotezugriffprogramme. Software, die dazu dient, einen Computer von einem anderen Ort aus fernzusteuern.

Hinweis: Überwachungs- und Remotezugriffprogramme sind nicht in jedem Fall bösartig. Als Kindersicherung dienende Zugangskontrollprogramme verfügen mitunter über Funktionen zur Überwachung der Tastatureingaben, und Remotezugriffprogramme werden oft von Geschäftscomputerbesitzern und Administratoren als Add-Ons zu Standardkonfigurationen installiert. Doch solche Programme können eine Gefahr für den Datenschutz des Benutzers darstellen, wenn der Benutzer nicht erwartet oder nicht weiß, dass diese Programme vorhanden sind.

Sicherheit

Benutzer müssen erwarten können, dass ihre Computersysteme häufigen und raffinierten Angriffen aus dem Netz standhalten können. Sie sollten in der Lage sein, die Vertraulichkeit, Integrität und Verfügbarkeit ihres Systems und ihrer Daten zu wahren.

Software mit unzureichender Sicherheit

deaktiviert oder stört die Funktion von Firewalls, Antivirenprogrammen oder anderer Sicherheitssoftware.

nützt Sicherheitslücken aus.

ändert ohne Zustimmung des Benutzers die Sicherheitseinstellungen des Betriebssystems oder einer Software (z. B. eines Webbrowsers).

nimmt ohne Zustimmung des Benutzers entscheidende Konfigurationsänderungen vor (z. B. Änderungen an der Systemstartregistrierung, an Hostdateien oder an Sicherheitseinstellungen).

stellt ohne Zustimmung des Benutzers eine ausgehende Verbindung her (z. B. eine Modem- oder Internetverbindung).

wird in einem Modus ausgeführt, in dem Prozesse vor dem Benutzer oder vor den Systemtools des Computers versteckt werden.

öffnet ohne Wissen des Benutzers einen Port auf dem Computer.

bietet anderen Personen Anreize, Software in illegaler oder unwürdiger Weise zu verbreiten. Dies gilt unter anderem (aber nicht nur) für schädliche Software.

Schädliche Software

Die oben genannten sicherheitsgefährdenden Verhaltensweisen sind auch für schädliche Software charakteristisch. Es gibt viele Arten von schädlicher Software, darunter u. a. folgende:

Hintertürprogramme. Solche Software verschafft sich unbemerkt Zugriff auf ein Programm, einen Onlinedienst oder ein ganzes Computersystem.

Dialer. Solche Software installiert sich in den Anwähleinstellungen eines Computers und ruft ohne das Wissen des Benutzers bestimmte Nummern an.

Wurm. Solche Software verbreitet sich ohne menschliches Zutun automatisch unter den Computern eines Netzwerks. Anschließend verbleibt sie im Speicher des Computers und richtet von dort aus Schaden an.

Trojanische Pferde (Trojaner). Solche Software wirkt anfänglich nützlich oder harmlos, um den Benutzer dazu zu verleiten, sie auszuführen. Während sie ausgeführt wird, kann sie Hackern den Zugriff auf den Computer ermöglichen, Dateien auf der Festplatte zerstören oder andere Schäden anrichten.

Remotezugriffstrojaner (RAT). Diese Art der trojanischen Pferde ermöglicht Hackern unter Nutzung von Administratorrechten die Fernsteuerung eines Computers über eine Internetverbindung.

Phishing. Solche Software erstellt betrügerische E-Mails oder Webseiten, die scheinbar von einem bekannten, angesehenen Unternehmen stammen. Dadurch soll der Benutzer dazu verleitet werden, private Informationen preiszugeben, die dann für den Diebstahl ihrer persönlichen Daten missbraucht werden.

Spyware-basierte Anschläge auf die Sicherheit werden ständig weiterentwickelt, werden immer komplexer und raffinierter und verbreiten sich mit immer größerer Geschwindigkeit. Deshalb ist es wichtig, dass Benutzer vor neuen, bestehenden und zu erwartenden Gefahren gewarnt werden.

Leistung

Leistungsverringerndes Softwareverhalten

beeinträchtigt in hohem Maße die Systemressourcen, was sich in deutlich verringerter Arbeitsgeschwindigkeit des Computers bemerkbar macht.

beansprucht einen ungewöhnlich großen Teil der Bandbreite von Internetverbindungen.

verringert die Zuverlässigkeit des Computers.

erzeugt scheinbare Inkompatibilitäten zwischen einem Softwareprogramm und dem Betriebssystem.

beeinträchtigt die Gesamtqualität der Computernutzung.

Windows Defender warnt den Benutzer vor Softwareprogrammen, die die Leistung des Computersystems deutlich reduzieren, insbesondere wenn die von der Software erzeugten Probleme mit bekannten Problemen, wie trügerisches Verhalten, Missachtung des Datenschutzes oder Gefährdung der Sicherheit einhergehen.

Meinungen von Industrievertretern und Verbrauchern

Um neue Formen potenziell unerwünschter Software identifizieren zu können, sind die Microsoft-Experten auf entsprechende Hinweise aus der Softwareindustrie und von Privatanwendern angewiesen. Bei der Klassifizierung solcher Software berücksichtigen die Experten die Auswirkungen, die die unerwünschte Software auf die Computernutzung hat.

Kundenmeinung
Windows Defender informiert seine Benutzer über die Meinungen anderer Benutzer zu der jeweils analysierten Software. Das Programm zeigt den aktuellen Anteil der Benutzer an, die die jeweilige Software bei sich zugelassen bzw. blockiert haben. Auf diese Weise stehen Ihnen noch mehr Kontextinformationen zur Verfügung, anhand derer Sie sich für oder gegen die betreffende Software entscheiden können.

Windows Defender-Kunden
Microsoft hat ein weltweites Netzwerk aufgebaut, in dessen Rahmen die Benutzer vermeintliche neue Spyware oder unerwünschte Software zur Analyse an die Experten bei Microsoft schicken können. Die Teilnehmer des Netzwerks unterstützen Microsoft in entscheidendem Maß bei der schnellen Identifizierung neuer verdächtiger Programme. Anschließend kann Microsoft Definitionen für Programme erstellen, die den Analysekriterien entsprechen, und diese Definitionen allen Benutzern über Windows Defender zur Verfügung stellen.

Bestehende und neue Datenquellen
Microsoft untersucht zudem kontinuierlich eine Vielzahl bestehender und neuer Datenquellen zur Analyse und Klassifizierung der Software. Im Rahmen dieser Bemühungen arbeitet Microsoft ständig mit Industriegruppierungen und -organisationen zusammen, beispielsweise mit dem Center for Democracy and Technology und seiner Consumer Software Working Group, um auf entsprechende Gesetze und deren Anwendung zur Bekämpfung eindeutig irreführenden Softwareentwicklungspraktiken hinzuwirken.

Kontaktaufnahme mit Microsoft zur Meldung potenzieller Spyware

Wenn Sie vermuten, dass sie ein Opfer von Spyware geworden sind, sollten Sie Windows Defender downloaden und installieren. Wenn sich die Probleme dadurch nicht lösen lassen, können Sie Microsoft darüber informieren.


Download von Microsoft Windows Defender
Windows Defender-Startseite
Produktinformationen
• Übersicht
• Häufig gestellte Fragen (FAQs)
• Systemanforderungen
• Versionshinweise
Support und Training
• Erste Schritte
• Weiterführende Informationen
Spyware im Fokus von Microsoft
**
Links zu verwandten Themen
Die Anti-Spyware-Strategie von Microsoft
**