Ereignisse
|
Beschreibung
|
---|---|
Duplikat-Systemdateien
|
Zahlreiche bösartige Programme erstellen Kopien von sich selbst oder anderen bösartigen
Programmen unter Verwendung von Dateinamen, die von Windows Systemdateien verwendet
werden. Das geschieht in der Regel, um Systemdateien zu überschreiben oder zu ersetzen
und eine Erkennung zu verhindern oder Benutzer davon abzuhalten, die bösartigen Dateien
zu löschen.
|
Änderung der Hosts-Datei
|
Die Hosts-Datei ordnet Domänennamen den IP-Adressen zu. Zahlreiche bösartige Programme
verändern die Hosts-Datei so, dass der Webbrowser zu infizierten, nicht existierenden
oder falschen Websites umgeleitet wird.
|
Verdächtiges Verhalten
|
Verdächtiges Verhalten kann sich in einer bestimmten Aktion oder einer Reihe von Aktionen
zeigen, die normalerweise nicht von rechtmäßigen Programmen durchgeführt werden. Programme,
die verdächtiges Verhalten aufweisen, sollten mit Vorsicht verwendet werden.
|
Neues Internet Explorer Plug-in
|
Spyware-/Grayware-Programme installieren oft unerwünschte Plug-ins für den Internet
Explorer, wie z. B. Symbolleisten und Browser Helper Objects.
|
Einstellungsänderungen im Internet Explorer
|
Viele Viren-/Malware-Programme verändern die Einstellungen im Internet Explorer, einschließlich
Startseite, vertrauenswürdige Websites, Proxy-Server-Einstellungen und Menü-Erweiterungen.
|
Änderungen der Sicherheitsrichtlinien
|
Durch Änderungen der Sicherheitsrichtlinien können unerwünschte Anwendungen ausgeführt
und Systemeinstellungen verändert werden.
|
Einbringen einer Programmbibliothek
|
Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch
eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL
bei jedem Start einer Anwendung ausgeführt werden.
|
Shell-Änderungen
|
Zahlreiche bösartige Programme verändern die Windows Shell-Einstellungen und fügen
sich selbst bestimmten Dateitypen hinzu. Durch diese Routine können bösartige Programme
automatisch gestartet werden, wenn Benutzer die verküpften Dateien im Windows Explorer
öffnen. Durch Änderungen in den Windows Shell-Einstellungen können bösartige Programme
außerdem verwendete Programme nachverfolgen und diese parallel zu rechtmäßigen Programmen
starten.
|
Neuer Dienst
|
Windows-Dienste sind Prozesse, die spezielle Funktionen haben und in der Regel ständig
mit Administratorberechtigungen im Hintergrund ausgeführt werden. Bösartige Programme
installieren sich in manchen Fällen als versteckte Dienste selbst.
|
Änderung von Systemdateien
|
Einige Windows Systemdateien legen das Systemverhalten einschließlich der Startprogramme
und der Bildschirmschonereinstellungen fest. Zahlreiche bösartige Programme verändern
Systemdateien so, dass sie beim Start automatisch ausgeführt werden und das Systemverhalten
kontrollieren.
|
Änderungen der Firewall-Richtlinien
|
Die Windows Firewall-Richtlinie legt die Anwendungen fest, die Zugriff zum Netzwerk haben, die Ports, die für die Kommunikation offen sind und die IP-Adressen, die mit dem Computer kommunizieren können. Zahlreiche bösartige Programme verändern die Richtlinie und ermöglichen sich dadurch selbst den Zugriff auf das Netzwerk und das Internet. |
Änderungen an Systemprozessen
|
Viele bösartige Programme führen verschiedene Aktionen an integrierten Windows Prozessen
durch. So beenden oder ändern sie beispielsweise aktive Prozesse.
|
Neues Startprogramm
|
Zahlreiche bösartige Programme konfigurieren Windows so, dass alle Anwendungen automatisch
eine Programmbibliothek (.DLL) laden. Dadurch können bösartige Routinen in der DLL
bei jedem Start einer Anwendung ausgeführt werden.
|
Aktion
|
Beschreibung
|
||
---|---|---|---|
Bewerten
|
OfficeScan lässt mit einem Ereignis verbundene Programme immer zu, zeichnet diese
Aktion aber in den Protokollen zur Bewertung auf.
Dies ist die Standardaktion für alle überwachten Systemereignisse.
|
||
Zulassen
|
OfficeScan lässt mit einem Ereignis verbundene Programme immer zu.
|
||
Bei Bedarf nachfragen
|
OfficeScan fordert Benutzer auf, mit einem Ereignis verbundene Programme zuzulassen
oder abzulehnen, und die Programme der Ausschlussliste hinzuzufügen.
Wenn der Benutzer nicht in einem bestimmten Zeitraum reagiert, lässt OfficeScan die
Ausführung des Programms automatisch zu. Der Standardzeitraum beträgt 30 Sekunden.
Informationen zur Anpassung des Zeitraums finden Sie unter Den Zeitraum ändern, bevor die Ausführung eines Programms zugelassen wird..
|
||
Verweigern
|
OfficeScan sperrt alle mit einem Ereignis verbundenen Programme und zeichnet diese
Aktion in den Protokollen auf.
Wenn ein Programm gesperrt wird und Benachrichtigungen aktiviert sind, zeigt OfficeScan
auf dem OfficeScan Client-Computer eine Benachrichtigung an. Weitere Informationen zu Benachrichtigungen finden Sie unter Benachrichtigungen der Verhaltensüberwachung für OfficeScan Client-Benutzer.
|