Ansichten:
Das Anti-Malware-Modul bietet Agenten-Computern sowohl Echtzeit- als auch bedarfsorientierten Schutz vor dateibasierten Bedrohungen, einschließlich Malware, Viren, Trojanern und Spyware. Um Bedrohungen zu identifizieren, überprüft das Anti-Malware-Modul Dateien auf der lokalen Festplatte anhand einer umfassenden Bedrohungsdatenbank. Das Anti-Malware-Modul überprüft auch Dateien auf bestimmte Merkmale, wie Kompression und bekannten Exploit-Code.
Teile der Bedrohungsdatenbank werden auf Trend Micro Servern gehostet oder lokal als Muster gespeichert. Agenten laden regelmäßig Anti-Malware-Muster und Updates herunter, um den Schutz vor den neuesten Bedrohungen sicherzustellen.
Hinweis
Hinweis
Ein neu installierter Agent kann keinen Anti-Malware-Schutz bieten, bis er einen Update-Server kontaktiert hat, um Anti-Malware-Muster und Updates herunterzuladen. Stellen Sie sicher, dass Ihre Agenten nach der Installation mit einem Relay oder dem Trend Micro Update-Server kommunizieren können.
Das Anti-Malware-Modul beseitigt Bedrohungen, während es die Auswirkungen auf die Systemleistung minimiert. Das Anti-Malware-Modul kann bösartige Dateien bereinigen, löschen oder in Quarantäne stellen. Es kann auch Prozesse beenden und andere Systemobjekte löschen, die mit identifizierten Bedrohungen in Verbindung stehen.
Um das Anti-Malware-Modul zu aktivieren und zu konfigurieren, siehe Aktivieren und konfigurieren von Anti-Malware.

Arten von Malware-Suchen

Das Anti-Malware-Modul führt mehrere Arten von Scans durch. Siehe auch Wählen Sie die zu durchzuführenden Scan-Typen aus.

Echtzeitsuche

Sofort scannen, wenn eine Datei empfangen, geöffnet, heruntergeladen, kopiert oder geändert wird, durchsucht der Agent die Datei nach Sicherheitsrisiken. Wenn der Agent kein Sicherheitsrisiko erkennt, verbleibt die Datei an ihrem Speicherort und Benutzer können darauf zugreifen. Wenn der Agent ein Sicherheitsrisiko entdeckt, wird eine Benachrichtigung angezeigt, die den Namen der infizierten Datei und das jeweilige Sicherheitsrisiko zeigt.
Echtzeitsuchen sind kontinuierlich aktiv, es sei denn, ein anderer Zeitraum wird über die Planungsoption konfiguriert.
Hinweis
Hinweis
Für macOS-Agenten wird die Echtzeitsuche kontinuierlich unterstützt, aber die Zeitplan-Option (Anti-MalwareAllgemeinEchtzeitsuche) wird derzeit nicht unterstützt.
Tipp
Tipp
Sie können die Echtzeitsuche so konfigurieren, dass sie ausgeführt wird, wenn sie keine große Auswirkung auf die Leistung hat; zum Beispiel, wenn ein Dateiserver geplant ist, Dateien zu sichern.
Dieser Scan kann auf allen Plattformen ausgeführt werden, die vom Anti-Malware-Modul unterstützt werden.

Manuelle Suche

Führt eine vollständige Systemsuche auf alle Prozesse und Dateien auf einem Computer durch. Die Zeit, die benötigt wird, um eine Suche abzuschließen, hängt von der Anzahl der zu durchsuchenden Dateien und den Hardware-Ressourcen des Computers ab. Eine manuelle Suche erfordert mehr Zeit als eine Schnellsuche.
Eine manuelle Suche wird ausgeführt, wenn Full Scan for Malware angeklickt wird.
Dieser Scan kann auf allen Plattformen ausgeführt werden, die vom Anti-Malware-Modul unterstützt werden.

Zeitgesteuerte Suche

Wird automatisch zum konfigurierten Datum und zur konfigurierten Uhrzeit ausgeführt. Verwenden Sie die zeitgesteuerte Suche, um die routinemäßige Suche zu automatisieren und die Verwaltung der Virensuche zu optimieren.
Eine zeitgesteuerte Suche wird gemäß dem Datum und der Uhrzeit ausgeführt, die Sie angeben, wenn Sie eine Scan computers for Malware-Aufgabe mit zeitgesteuerten Aufgaben erstellen (siehe Planen Server- und Workload Protection zur Durchführung von Aufgaben.
Dieser Scan kann auf allen Plattformen ausgeführt werden, die vom Anti-Malware-Modul unterstützt werden.

Schnellsuche

Durchsucht nur die kritischen Systembereiche eines Computers nach derzeit aktiven Bedrohungen. Eine Schnellsuche sucht nach aktuell aktiver Malware, führt jedoch keine tiefgehenden Dateiscans durch, um ruhende oder gespeicherte infizierte Dateien zu finden. Sie ist deutlich schneller als eine Vollständige Suche auf größeren Laufwerken. Die Schnellsuche ist nicht konfigurierbar.
Eine Schnellsuche wird ausgeführt, wenn Sie auf Quick Scan for Malware klicken.
Hinweis
Hinweis
Schnellsuche kann nur auf Windows-Computern ausgeführt werden.

Objekte und Sequenz durchsuchen

Die folgende Tabelle listet die Objekte auf, die während jeder Art von DURCHSUCHEN durchsucht werden, sowie die Reihenfolge, in der sie durchsucht werden.
Ziele
Vollständige Suche (manuell oder geplant)
Schnellsuche
Treiber
1
1
Trojaner
2
2
Image des Vorgangs
3
3
Speicher
4
4
Bootsektor
5
-
Dateien
6
5
Spyware
7
6

Malware-Suche-Konfigurationen

Malware-Suche-Konfigurationen sind Sätze von Optionen, die das Verhalten von Malware-Suchen steuern. Wenn Sie Anti-Malware mithilfe einer Richtlinie oder für einen bestimmten Computer konfigurieren, wählen Sie eine Malware-Suche-Konfiguration aus, die verwendet werden soll. Sie können mehrere Malware-Suche-Konfigurationen erstellen und sie mit verschiedenen Richtlinien verwenden, wenn unterschiedliche Gruppen von Computern unterschiedliche Suchanforderungen haben.
Echtzeit-, manuelle und zeitgesteuerte Suchläufe verwenden alle Malware-Suche-Konfigurationen. Server- und Workload Protection bietet eine Standardkonfiguration für die Malware-Suche für jeden Suchlauf-Typ. Diese Suchlaufkonfigurationen werden in den standardmäßigen Sicherheitsrichtlinien verwendet. Sie können die Standardkonfigurationen unverändert verwenden, sie anpassen oder eigene erstellen.
Hinweis
Hinweis
Schnellsuchen sind nicht konfigurierbar und verwenden keine Malware-Suche-Konfigurationen.
Sie können festlegen, welche Dateien und Verzeichnisse während eines Scans ein- oder ausgeschlossen werden und welche Maßnahmen ergriffen werden, wenn auf einem Computer Malware erkannt wird (zum Beispiel bereinigen, in Quarantäne verschieben oder löschen).
Für weitere Informationen siehe Malware-Suche konfigurieren.

Malware-Ereignisse

Wenn der Agent Malware erkennt, löst er ein Ereignis aus, das im Ereignisprotokoll erscheint. Dort können Sie Informationen über das Ereignis einsehen oder eine Ausnahme für die Datei erstellen, falls es sich um einen Fehlalarm handelt. Sie können auch Dateien wiederherstellen, die tatsächlich harmlos sind.
Weitere Informationen finden Sie unter:

intelligente Suche

Die intelligente Suche verwendet Bedrohungssignaturen, die auf Trend Micro Servern gespeichert sind, und bietet mehrere Vorteile:
  • Bietet schnelle, Cloud-basierte, Echtzeit-Sicherheitsstatusabfragen
  • Verkürzt die Zeit, die benötigt wird, um Schutz vor neuen Bedrohungen bereitzustellen
  • Reduziert die Netzwerkbandbreite, die während Pattern-Updates verbraucht wird (der Großteil der Pattern-Definitions-Updates muss nur an die Cloud geliefert werden, nicht an viele Computer)
  • Reduziert Kosten und Aufwand bei unternehmensweiten Musterbereitstellungen
  • Verringert den Arbeitsspeicherbedarf auf den Computern (der Bedarf erhöht sich mit der Zeit auch kaum)
Wenn die intelligente Suche aktiviert ist, durchsucht der Agent zuerst lokal nach Sicherheitsrisiken. Wenn der Agent das Risiko der Datei während der Suche nicht bewerten kann, versucht er, eine Verbindung zu einem lokalen Smart Scan Server herzustellen. Wenn kein lokaler Smart Scan Server erkannt wird, versucht der Agent, eine Verbindung zum globalen Smart Scan Server von Trend Micro herzustellen. Weitere Informationen zu dieser Funktion finden Sie unter Smart Protection in Server- und Workload Protection.

Vorausschauendes Maschinenlernen

Server- und Workload Protection bietet erweiterten Schutz vor Malware für unbekannte Bedrohungen und Zero-Day-Angriffe durch Vorausschauendes Maschinenlernen. Trend Micro Vorausschauendes Maschinenlernen verwendet eine erweiterte Technologie für Maschinenlernen, um Bedrohungsinformationen in Beziehung zu setzen und detaillierte Dateianalysen durchzuführen, mit denen aufkommende Sicherheitsrisiken über digitale DNA-Fingerabdrücke, API-Zuordnungen und andere Dateifunktionen ermittelt werden können.
Vorausschauendes Maschinenlernen ist effektiv beim Schutz vor Sicherheitsverletzungen, die durch gezielte Angriffe mit Techniken wie Phishing und Spear-Phishing entstehen. In diesen Fällen kann Malware, die speziell entwickelt wurde, um Ihre Umgebung anzugreifen, traditionelle Malware-Suchtechniken umgehen.
Während der Echtzeitsuche, wenn der Agent eine unbekannte oder selten vorkommende Datei erkennt, durchsucht der Agent die Datei mit Hilfe der Funktion "Fortgeschrittene Bedrohungssuchmaschine", um Dateifunktionen zu extrahieren. Anschließend sendet er den Bericht an das Modul "Vorausschauendes Maschinenlernen" im Trend Micro Smart Protection Network. Durch die Verwendung von Malware-Modellen wird beim 'Vorausschauendes Maschinenlernen' das Beispiel mit dem Malware-Modell verglichen, ein Wahrscheinlichkeitswert zugewiesen und der mögliche Malware-Typ ermittelt, der in der Datei enthalten ist.
Wenn die Datei als Bedrohung identifiziert wird, bereinigt, quarantänisiert oder löscht der Agent die Datei, um zu verhindern, dass sich die Bedrohung weiter in Ihrem Netzwerk ausbreitet.
Weitere Informationen zur Verwendung von Vorausschauendem Maschinenlernen finden Sie unter Erkennen aufkommender Bedrohungen mit Vorausschauendem Maschinenlernen.

Malware-Typen

Das Anti-Malware-Modul schützt vor vielen dateibasierten Bedrohungen. Siehe auch Scannen nach bestimmten Arten von Malware und Maßgeschneiderte Maßnahmen zur Malware-Beseitigung.

Virus

Viren infizieren Dateien, indem sie bösartigen Code einfügen. Typischerweise wird beim Öffnen einer infizierten Datei der bösartige Code automatisch ausgeführt und liefert eine Nutzlast, zusätzlich zur Infizierung anderer Dateien. Im Folgenden sind einige der häufigeren Virentypen aufgeführt:
  • COM and EXE infectors infizieren DOS- und Windows-Programmdateien, die normalerweise die Erweiterungen COM und EXE haben.
  • Macro viruses infizieren Microsoft Office-Dateien, indem sie bösartige Makros einfügen.
  • Boot sector viruses infiziert den Abschnitt der Festplatten, der die Startanweisungen des Betriebssystems enthält
Das Anti-Malware-Modul verwendet verschiedene Technologien, um infizierte Dateien zu identifizieren und zu bereinigen. Die traditionellste Methode besteht darin, den tatsächlichen bösartigen Code zu erkennen, der zur Infektion von Dateien verwendet wird, und infizierte Dateien von diesem Code zu befreien. Andere Methoden umfassen die Regulierung von Änderungen an infizierbaren Dateien oder das Sichern solcher Dateien, wann immer verdächtige Änderungen an ihnen vorgenommen werden.

Trojaner

Einige Malware verbreitet sich nicht, indem sie Code in andere Dateien injiziert. Stattdessen hat sie andere Methoden oder Auswirkungen:
  • Trojans: Malware-Dateien, die beim Öffnen ausgeführt werden und das System infizieren (ähnlich dem mythologischen Trojanischen Pferd).
  • Backdoors: Bösartige Anwendungen, die Portnummern öffnen, um unbefugten Remote-Benutzern den Zugriff auf infizierte Systeme zu ermöglichen.
  • Worms: Malware-Programme, die das Netzwerk nutzen, um sich von System zu System zu verbreiten. Würmer sind dafür bekannt, sich durch soziale Manipulation zu verbreiten, indem sie attraktiv gestaltete E-Mail-Nachrichten, Sofortnachrichten oder freigegebene Dateien verwenden. Sie kopieren sich auch auf zugängliche Netzwerkfreigaben und verbreiten sich auf andere Computer, indem sie Schwachstellen ausnutzen.
  • Network viruses: Würmer, die nur im Speicher oder nur als Paketprogramme existieren (nicht dateibasiert). Anti-Malware kann Netzwerkviren nicht erkennen oder entfernen.
  • Rootkits: Dateibasierte Malware, die Aufrufe an Betriebssystemkomponenten manipuliert. Anwendungen, einschließlich Überwachungs- und Sicherheitssoftware, müssen solche Aufrufe für sehr grundlegende Funktionen durchführen, wie das Auflisten von Dateien oder das Identifizieren laufender Prozesse. Durch die Manipulation dieser Aufrufe können Rootkits ihre Anwesenheit oder die Anwesenheit anderer Malware verbergen.

Packer

Packer sind komprimierte und verschlüsselte ausführbare Programme. Um einer Erkennung zu entgehen, packen Malware-Autoren häufig bestehende Malware unter mehreren Schichten von Komprimierung und Verschlüsselung. Anti-Malware überprüft ausführbare Dateien auf Komprimierungsmuster, die mit Malware in Verbindung stehen.

Spyware/Grayware

Spyware und Grayware umfassen Anwendungen und Komponenten, die Informationen sammeln, um sie an ein separates System zu übertragen oder von einer anderen Anwendung gesammelt zu werden. Spyware/Grayware-Suchmaschine, obwohl sie potenziell bösartiges Verhalten zeigen, können Anwendungen umfassen, die für legitime Zwecke wie Fernüberwachung verwendet werden. Spyware/Grayware-Anwendungen, die von Natur aus bösartig sind, einschließlich solcher, die über bekannte Malware-Kanäle verbreitet werden, werden typischerweise als andere Trojaner erkannt.
Spyware- und Grayware-Anwendungen werden typischerweise kategorisiert als:
  • Spyware:-Software, die auf einem Computer installiert ist, um persönliche Informationen zu sammeln und zu übermitteln.
  • Dialers: Bösartige Dialer sind darauf ausgelegt, über Premium-Nummern zu verbinden, was zu unerwarteten Kosten führt. Einige Dialer übertragen auch persönliche Informationen und laden bösartige Software herunter.
  • Hacking tools: Programme oder Programmsätze, die entwickelt wurden, um unbefugten Zugriff auf Computersysteme zu ermöglichen.
  • Adware (advertising-supported software): jedes Softwarepaket, das automatisch Werbematerial abspielt, anzeigt oder herunterlädt.
  • Cookies:-Textdateien, die von einem Webbrowser gespeichert werden. Cookies enthalten webseitenbezogene Daten wie Authentifizierungsinformationen und Seiteneinstellungen. Cookies sind nicht ausführbar und können nicht infiziert werden; sie können jedoch als Spyware verwendet werden. Selbst Cookies, die von legitimen Websites gesendet werden, können für bösartige Zwecke verwendet werden.
  • Keyloggers: Software, das Benutzertastatureingaben aufzeichnet, um Passwörter und andere private Informationen zu stehlen. Einige Keylogger übertragen Protokolle an entfernte Systeme.
What is grayware?
Obwohl sie ein aufdringliches Verhalten zeigen können, werden einige spyware-ähnliche Anwendungen als legitim angesehen. Zum Beispiel können einige kommerziell erhältliche Fernsteuerungs- und Überwachungsanwendungen Systemereignisse verfolgen und sammeln und dann Informationen über diese Ereignisse an ein anderes System senden. Systemadministratoren und andere Benutzer könnten sich dabei ertappen, diese legitimen Anwendungen zu installieren. Diese Anwendungen werden als "Grayware" bezeichnet.
Um Schutz vor der unrechtmäßigen Nutzung von Grayware zu bieten, erkennt das Anti-Malware-Modul Grayware, bietet jedoch die Möglichkeit, erkannte Anwendungen zu "genehmigen" und deren Ausführung zuzulassen.

Cookie

Cookies sind Textdateien, die von einem Webbrowser gespeichert und bei jeder HTTP-Anfrage an den Webserver zurückgesendet werden. Cookies können Authentifizierungsinformationen, Präferenzen und (im Falle von gespeicherten Angriffen von einem infizierten Server) SQL-Injection- und XSS-Exploits enthalten.

Andere Bedrohungen

Andere Bedrohungen umfassen Malware, die keiner der Malware-Typen zugeordnet ist. Diese Kategorie umfasst Spaßprogramme, die falsche Benachrichtigungen anzeigen oder das Bildschirmverhalten manipulieren, aber im Allgemeinen harmlos sind.

Mögliche Malware

Mögliche Malware ist eine Datei, die verdächtig erscheint, aber nicht als spezifische Malware-Variante klassifiziert werden kann. Wenn mögliche Malware erkannt wird, empfiehlt Trend Micro, dass Sie sich an Ihren Support-Anbieter wenden, um Unterstützung bei der weiteren Analyse der Datei zu erhalten. Standardmäßig werden diese Erkennungen protokolliert und Dateien werden auf geschützte Weise an Trend Micro zur Analyse zurückgesendet.