|
|
TDM
Spyware: Symantec Norton Internet Security 2005 gegen Webroot SpySweeper In einem Alltagstest verbucht
Spezialist Webroot einen klaren Sieg
Anzeige
Von Rainer Annuscheit (27.06.05) - Wem soll man vertrauen: der Suite eines
bekannten Herstellers, die alles verspricht, oder dem ausgewiesenen
Spezialisten, der ein Best-of-Breed-Produkt offeriert? Das Versprechen auf
der Packung der "Symantec Norton Internet Security 2005" war
eindeutig und wird sogar mit einer "Geld-zurück-Garantie" untermauert:
"Umfangreicher Schutz vor Hackern und Übergriffen auf persönliche Daten; dient zur Erkennung von Spyware und bestimmten Bedrohungen, die nicht zur Kategorie der Viren gehören, wie beispielsweise Adware und Programme zum Aufzeichnen von Tastaturein-gaben." Aber auch Webroot drückt aufs Gas, verweist auf einen Test des PC Magazine "Effektivste Lösung für das Erkennen, Entfernen und Blocken von Spyware" und sagt. "Spy Sweeper: erkennt und beseitig schädliche Spyware, die den Datenschutz gefährdet und zu Identitätsdiebstahl führen kann." In der Redaktion IT SecCity.de simulierten wir das mögliche Verhalten eines Anwenders mit all seinen Unwägbarkeiten. Heraus kam eine Überraschung.
Spyware - eine unterschätzte Gefahr Eine oft gehörte Meinung, die einen doch irgendwie an den Spruch erinnert: "Wer Backup macht, ist ein Feigling":
·
Wer sich halbwegs
intelligent anstellt, beim Surfen ein gesundes Misstrauen walten lässt und
keine risikoreichen Sites im Internet besucht, mit Downloads sparsam umgeht, wird auch heute noch ohne Schutzmaßnahmen
auskommen. Gilt dies auch in den Zeiten von Spyware, Adware und Keyloggern - Programme, die dem Rechner nicht unbedingt per Mail oder Download einen Besuch abstatten, sondern auch schon bei Kurz-Visits von X-beliebigen Websites eingefangen werden können? Eigentlich sind Spyware-Programme ein alter Hut: Cookies kennt ein jeder, Webbugs kennen viele, und die meisten Anwender, die sich halbprofessionell mit Computern befassen, sind irgendwann auch schon mal über die gute alte "Alexa" gestolpert, die absolute Ober-Schnüffel-Schwuchtel schlechthin, die das Surfverhalten von Windows-Nutzer ausspioniert (www .alexa.com) und sich daher besonders gut mit Microsoft verträgt.
Besonders dramatisch beispielsweise ist der ahnungslose Einsatz der Alexa-Toolbar, eine Browser-Erweiterung, die angeblich das Surfen angenehmer gestaltet. Wer sich ihr anvertraut, ist mehr als nur ein offenes Buch. Das Problem der Spyware ist, dass sie sich nur in den seltensten Fällen als solche zu erkennen gibt (z.B. in Form von Toolbars). In den harmlosen Fällen überträgt Spyware · die aktive IP-Adresse des aktuellen Nutzers, · den in der Registry eingetragenen Namen des PC-Besitzers, · ermittelt die DNS des Internet Providers, um die Nationalität bestimmen zu können, · erstellt eine Liste der letzten Internet-Sitzungen samt ihrer Dauer und der besuchten Seiten, · notiert Namen, Größe, Typ, Zeit und Quelle von Downloads, · registriert alle Werbe-Banner, die angeklickt wurden und · notiert die Einwahlnummer der DFÜ-Verbindung zum Internet Provider. In schwerwiegenden Fällen werden Schlüsseleinträge der Windows Registry auf Passwörter durchsucht und diese dann an den kriminelle Aktivisten übertragen oder der Rechner wird gar als "Client" in ein Botnet eingebunden.
Die Vorgeschichte Vorwegschicken sollten man vielleicht Folgendes: Seit mehreren Jahren vertraut die Redaktion IT SecCity.de beim Schutz ihrer diversen Clients auf die Norton Internet Security-Suite in ihren diversen Versionen (2002 - 2004). Und auch das sollte man sagen: Vieles was in den diversen Foren an Negativem über diese Software berichtet wird, ist wahr, besonders was den Ressourcen-Verbrauch der Norton-Suite betrifft: · Ja, Norton-Pakete machen selbst aus "vor Hardwarepower nur so strotzenden Systemen ein kleines, schwächelndes Etwas" - Siehe Meldungen in diversen Foren: (http://www.amazon.de/exec/obidos/tg/stores/detail/-/software/B0000B3A6N/customer-reviews; http://www.amazon.de/exec/obidos/tg/stores/detail/-/software/B0000B3A4Y/customer-reviews Viele der beschriebenen Nachteile der Symantec-Software hat die Redaktion der IT SecCity.de in den vergangenen Jahren mehr oder weniger ähnlich erlebt. Allerdings - auch das sei gesagt - viele Suiten haben ein ähnliches Problem und bisher verrichtete Norton stets brav ihren angedachten Dienst und sorgte - soweit sich dies überhaupt halbwegs beurteilen lässt - für ein virenfreies System. Ob auch wirklich der allerpfiffigste Trojaner erkannt wird? - Wer mag das schon beurteilen. Für eine ausreichende Performance sollte man beim Einsatz von Symantec allerdings genügend Arbeitsspeicher besitzen, sonst geht der Rechner in die Knie. So kann es durchaus passieren, dass ein älterer Rechner für den Systemstart mehrere Minuten benötigt. Einer der größten Schwächen der Symantec-Software ist allerdings der unsinnige "Selbst"-Test des PCs auf Viren, der sich zur gegebenen Stunde ungefragt einschaltet, und der nur mit gewisser Kenntnis der Software abgestellt werden kann. Abgesehen davon, dass dieser Test - je nach Dateien-Umfang - auf dem System durchaus mehrere Stunden in Anspruch nehmen kann (!), verträgt er sich absolut nicht mit dem Ruhestands-Modus von Windows: Ein Absturz des Systems war in der IT SecCity-Redaktion die Regel, wenn Ruhestands-Modus und Selbsttest ihre unheilvolle Allianz eingingen - allerdings auch ein bis zum "D-Day" unbeeinträchtigtes Wiederanfahren des Systems aus eigener Kraft. Der Krug geht jedoch solange zum Brunnen bis er bricht: Irgendwann war D-Day: Das System lag flach und ließ sich auch mit diversen Tricks nicht mehr zum Laufen bringen. Nachdem der Client mit viel Mühe, Schweiß und permanentem Fluchen neu aufgesetzt wurde, kam natürlich in der Redaktion sofort die Frage auf,
a)
ob man sich Symantec noch
einmal antun oder aus gegebenem Anlass die Suite eines anderen Herstellers
testen sollte.
b)
daran anschließend die
Frage: Löst Symantec wirklich jedes Problem – auch das der Spyware, wie schon
auf der Norton Internet Security 2004-Packung versprochen?
Die Testdingungen Norton Internet Security 2005 gegen Spy Sweeper 3.2i Der aus dem Rechner-Absturz resultierende Gedanke war: Lasst uns doch den Einsatz von Security-Software testen!" Spielen wir doch einmal Glückritter wie so viele PC-/Client-Besitzer, verzichten auf völligen Schutz und gönnen uns einige vergnügliche Stunden (und Nächte) auf Porn- und Gambler-Sites und besuchen aus gegebenen Anlass die diversen Cialis- und Viagra-Offerten im Netz. So wurde ein mit allen Micosoft-Patches versehener Rechner, der nicht mit einer Antiviren-, Antispam-, IDS-, Anti-Spyware-Lösung ausgerüstet war, zwei Wochen lang über all die anrüchigen Sites gehetzt, die die reelle Chance boten, sich einschlägige Malware einzufangen. Abgebrochen wurde die Aktion,
nachdem der Rechner deutlich sichtbare Merkmale einer Infizierung aufwies:
·
Eine im Internet-Explorer
eigenmächtig installierte Toolbar von Mirar zeigte nun brav, welche Sites man
neben der gerade gewählten ansteuern sollte und
·
ein in regelmäßigen
Zeitabständen ausgeführtes http: //540.filost.com/randomsites/banner.aspx in der Internet Explorer-Browser-Eingabezeile entführte einen zwangsweise auf entsprechende Gambler- oder Pornsites - auch wenn keine hiermit inhaltlich korrespondierende Seite zuvor aufgerufen wurde. Das Werk war also vollbracht: Ganz offensichtlich hatte der Rechner Spyware und Adware an Bord. Frage: Wie würde ein
potentieller (unbedarfter) Anwender nun vorgehen? · Erst einmal: ja nichts kaufen und schauen, welche Plagegeister sich überhaupt auf dem Rechner befinden. Dazu würde der Anwender wahrscheinlich nach eifriger Suche im Netz irgendwann auf einen Anbieter eines kostenlosen Spyware-Scans stoßen. Wir vertrauten uns dem Scan von Webroot Software an, der sich bereits als Spezialist für Anti-Spyware einen Namen gemacht hat. Das Resultat: · Auf dem Rechner würde sich "Mirar WebBand" und · PurityScan befinden. Frage: Was würde dieser
Anwender nun als Zweites tun? Er könnte den Weg einschlagen, dem Problem mit Freeware bzw. Shareware auf dem Leib zu rücken. Allerdings: Es ist gibt durchaus einige Shareware-Programme auf dem Markt, mit denen man Spyware entfernen kann. Jedoch ist für den unbedarften Anwender immer Vorsicht geboten: Die meisten Spyware-Dateien sind dll-Dateien, und dll-Dateien sind für Windows lebenswichtig. Wenn man sich, wie bei Shareware-Programmen oft der Fall, nun entscheiden muss, ob man eine dll-Datei löscht oder nicht, kann es durchaus auch einmal zu einer Fehlleistung kommen. Wesentlich komfortabler sind kommerzielle Tools, die einem "das Denken abnehmen" - Spyware wird eindeutig identifiziert - in der Regel sogar schon mit Namen klassifiziert. Das heißt, man (bzw. der Anwender) muss sich eine Software kaufen. Frage: Was wird der Anwender
nun kaufen? Kauft er sich eine Stand-alone-Lösung eines Spezialisten oder setzt er auf eine Suite eines bekannten Herstellers? Bei einem Problem, wie dem geschilderten, könnte sich beim Anwender durchaus die Erkenntnis durchsetzen, sich angesichts einer nachvollziehbar eingetretenen Gefahr nun komplett gegen alle möglichen Bedrohungen zu schützen. Was läge da näher, als auf eine Suite zu setzen. Wir ahmten dieses prognostizierte Verhalten nach und besorgten uns (mit einem gewissen Hang zum Masochismus) die Suite des Marktführers Symantec in der zu diesem Zeitpunkt (Ende April) erhältlichen aktuellen Version "Norton Internet Security 2005" Die Redaktion war neugierig: Schafft es die Norton Internet Security-Suite die Spyware-Spuren zu beseitigen? - Aber warum sollte sie es nicht tun? Das Versprechen auf der Symantec-Packung war eindeutig und wird sogar mit einer "Geld-zurück-Garantie" untermauert:
·
Umfangreicher Schutz vor
Hackern und Übergriffen auf persönliche Daten und (das gab den Ausschlag)
·
dient zur Erkennung von
Spyware und bestimmten Bedrohungen, die nicht zur Kategorie der Viren
gehören, wie beispielsweise Adware und Programme zum Aufzeichnen von Tastatureingaben. Die Suite enthält im einzelnen:
·
Norton
AntiVirus
·
Norton
Personal Firewall
·
Norton
Privacy Control
·
Norton
AntiSpam
·
Norton
Parental Control
Ablauf des Tests · Durchgeführung des Tests zwischen dem 28.04.05 und 01.05.05 · Was wurde getestet: Erkennen und Entfernen von Spyware auf einer Stand-alone-Rechner · Getestet wurde nicht: das Blocken von Spyware Nach der Installation der Symantec-Suite erfolgte ihr Update. Danach wurde der (zeitlich sehr aufwändige) Scan des Systems angestoßen. Dass man fast zwei Stunden warten muss, bevor der Scan abgeschlossen ist, war man in der Redaktion aber schon aus der Historie gewohnt. Und siehe da: Symantec Norton Internet Security 2005 erkannte
·
Adware MirarSetup.exe
(gleich 3 Dateien) sowie außerdem:
·
WinDmy.dll · WinNB57.dll Nun gibt es sicherlich einen Unterschied zwischen dem Erkennen von Spyware und dem Beseitigen. Schon die Symantec-Packung verspricht: "Dient zur Erkennung von Spyware" - von Beseitigung ist da keine Rede - könnte man zynisch sagen. Wie gut würde die Software Norton Internet Security 2005 ihren Job bei der Beseitigung der Spyware machen? Die Beseitigung wurde angestoßen und das System danach wieder hochgefahren. Ein schneller Blick auf den Internet Explorer: Die elende Mirar-Toolbar war verschwunden. Offensichtlich hatte Symantec funktioniert. Dennoch wurde das System zum kurzen Gegencheck wieder auf der Webroot-Homepage eingeloggt und siehe da: · Mirar WebBand" und · PurityScan befanden sich nach Ansicht von Webroot immer noch auf dem System. Frage: Was würde der Anwender
nun tun? Nachdem der Anwender etliche "Euronen" für die Symantec-Suite hingelegt hat, würde er sich sicherlich nicht gleich eine neue Software kaufen wollen - zumal nur auf bloßen Verdacht hin. Also gingen wir in der Redaktionen den gleichen Weg und nahmen das System in den Alltagsbetrieb auf, d.h. ohne ein extensives Surfverhalten an den Tag zu legen. Das ging ungefähr eine halbe Stunde gut, spätestens dann tauchte das ach so bekannte : //540.filost.com/randomsites/banner.aspx in der Browser-Zeile auf, und der erste entblößte "Leckerbissen" wurde serviert. Spätestens jetzt war offenkundig: Symantec hatte versagt - in welchem Umfang war bis dato aber noch nicht klar. Frage: Wie würde der Anwender nun reagieren? Wir gingen davon aus, dass der Anwender nun eine Spezialisten-Lösung für das Spyware-Problem einsetzen würde. In der Redaktion entschieden wir uns für "Spy Sweeper " von Webroot Software. Diese lag uns in der Version 3.2i vor. Auch hier ist die Packung sehr "gesprächig", klärt auf, wirbt und lässt werben:
·
PC Magazine: Als
effektivste Lösung für das Erkennen, Entfernen und Blocken von Spyware
·
Spy Sweeper: erkennt und
beseitig schädliche Spyware, die den Datenschutz gefährdet und zu
Identitätsdiebstahl führen kann. Wir installierten nun die Spy Sweeper-Software, ohne
einen Update zu fahren und ließen den Scan laufen. Geladene Spyware-Fingerprints: 27.701 Überprüfte Speicherelemente: 1.571 Überprüfte Registrierungselemente: 13.999 Überprüfte Dateien und Ordner: 1.489 Das Ergebnis:
·
3 Spyware-Dateien
·
207 weitere Spuren befanden sich auf dem Rechner. Gefunden und beseitigt wurden:
·
Alexa Toolbar (Internet
Explorer)
·
Mirar WebBand
·
Web Search Toolbar Der Scan lief extrem schnell ab und war innerhalb von 2 bis 3 Minuten erledigt. In der nun aktuellen Version "Spy Sweeper 4.0" soll der gesamte Systemscan sogar viermal schneller ablaufen als in der ohnehin schon schnellen Vorgängerversion.
Spyware, Adware ist ein schnelles Geschäft, die Schreiber sind fleißig und oft tauchen neue Malware-Exemplare auf. Der Webroot-Scan im Web hatte PurityScan diagnostiziert - diese Datei tauchte aber nicht unter den gefundenen Spyware-Dateien auf. Ganz offensichtlich fehlten der nicht upgedatete Version noch diverse Fingerprints. Das Update von Spy Sweeper war schnell über die Bühne
gebracht. Wiederum ließen wir den Scan laufen und siehe da: Geladene Spyware-Fingerprints: 85.697 Überprüfte Speicherelemente: 1.564 Überprüfte Registrierungselemente: 53.600 Überprüfte Dateien und Ordner: 1.484 Das Ergebnis:
·
4 Spyware-Dateien
·
42 weitere Spuren befanden sich auf dem Rechner. Gefunden und beseitigt wurden:
·
Logih Adware – vbsys.dll
·
Mirar WebBand (immer noch!)
·
PurityScan
·
SICRO Dialer (!) Der Suchvorgang selbst lief wie auch beim ersten Scan außerordentlich schnell ab. Es ist müßig zu erwähnen, dass seit dem 1. Mai 2005
(bezeichnender Weise der Tag der Arbeit) der Rechner einwandfrei läuft und
keine weiteren Spyware-Infektionen festzustellen sind. Spy Sweeper von Webroot hat sich also in jeder Hinsicht
bewährt.
Zusammenfassung: Internet Security-Suite gegen einen Stand-alone-Spezialisten. Ist das ein fairer Test? · Ja, wenn Symantec derartige Versprechungen (wie oben zitiert) auf der Packung tätigt. Streng genommen handelt es
sich dabei schon um arglistige Täuschung, denn weder mit dem Beseitigen noch
mit dem Erkennen von Spyware hat die Software viel am Hut. Sie ist auf andere Aufgaben ausgerichtet: E-Mail-Security, Virenschutz, Trojaner-Abwehr und das gelegentliche Flachlegen von Rechner-Infrastruktur. Natürlich: Da gibt es die Geld-zurück-Garantie, die innerhalb von 60 Tagen in Anspruch genommen werden muss, sollte man mit der Software nicht zufrieden sein. (Geld-zurück verspricht zumindest die Packung, die allerdings viel verspricht, wenn der Tag lang ist - das haben wir ja gelernt). Wir haben uns in der Redaktion entschlossen, nicht das Geld für den Kauf der Software zurückzufordern. Wir fassen die Aktion als zu bezahlendes Lehrgeld auf und sind sogar der Meinung, dass wir damit noch billig weggekommen sind. Für die diversen Rechner in der Redaktion, die mit Symantec bestückt sind, ist allerdings die Abend-Dämmerung angebrochen.
Nachgekartet Es sei an dieser Stelle nicht verschwiegen, das Symantec Ende Mai mit einer Ankündigung der besonderen Art aufwartete, die besonders in der Redaktion IT SecCity für Frohsinn sorgte: Norton
Internet Security jetzt mit verbesserter Antispyware-Funktion Lösung
erkennt Spionageprogramme in Echtzeit München, 30. Mai 2005 - Symantec, Weltmarktführer in der Informationssicherheit, stellt die Norton Internet Security 2005 AntiSpyware Edition vor, die Anwendern jetzt einen verbesserten Schutz vor Spyware und Adware bietet. Die erweiterte Antispyware-Funktion entdeckt und entfernt Spionageprogramme in Echtzeit und ist nahtlos in das Sicherheitspaket integriert. Die Lösung ist voraussichtlich ab Anfang Juni im Handel für 89,95 Euro erhältlich. Zudem können Nutzer von Norton Internet Security 2005 auf die AntiSpyware Edition zum Preis von 49,95 Euro upgraden. Bravo !!! Wenn man das liest, fällt einem gar nichts mehr ein. Eine mehr oder weniger gelungene Kundenverarschung: 50 Euro Mehrpreis für eine Funktion, die einem schon seit der 2004er Packung (!!) versprochen wird. Eigentlich eine grandiose Frechheit. Zum Glück gibt es
qualifizierte Stand-alone-Lösungen, die wesentlich preiswerter sind: · z.B. das von uns getestete und in jeder Hinsicht überzeugende Spy Sweeper für 29,95 Euro (inkl. der Software WindowWasher !) Es bleibt zu hoffen, dass die bisherigen Symantec-Anwender schlau genug sind und erkennen, wann sie über den Tisch gezogen werden. (Symantec:
Webroot: ra) |
