Indizien zur Erkennung von Spyware, Adware und anderer Greyware

Das Gefahrenpotenzial der einzelnen Greyware-Applikationen ist unterschiedlich hoch

(19.06.05) - "Greyware" gehört zu den wichtigsten Bedrohungen der IT-Sicherheit. Unter Greyware versteht man eine große Bandbreite an verdeckten Anwendungen, die sich selbst installieren, um User-Informationen auszuspionieren und an externe Quellen weiterzuleiten. Diese Bedrohung, die bislang nur als eine Gefahr für Home/SoHo-User eingestuft wurde, wird immer mehr auch für Unternehmen, Konzerne und Regierungsbehörden relevant, wie zahlreiche aktuelle Berichte von Analysten betonen.

Als Bestandteil eines Whitepapers mit dem Titel "Protecting Networks Against Spyware, Adware and Other Forms of Greyware" hat Fortinet eine Top-Ten-Liste mit Selbstdiagnosetipps für Anwender und Netzwerk-Manager veröffentlicht. Damit lässt sich auf einfache Weise ermitteln, ob schädliche, illegale oder unerwünschte Applikationen auf ihren Systemen präsent und aktiv sind. Dabei sind die Indizien für das unerwünschte Agieren von Adware, Spyware, Dialern, Hijackern, Key Loggern und anderer Greyware im Hintergrund durchaus leicht zu erkennen. Wer folgende Symptome bei seinem System feststellen kann, sollte agieren:

1. Der Computer ist langsamer, da die Greyware-Applikation mehr CPU- und Speicher-Ressourcen in Anspruch nimmt.

2. Der Windows Task Manager zeigt an, dass "unbekannte" Applikationen aktiv sind.

3. Die Senden/Empfangen-Lichtanzeige an Ihrem Kabel/DSL-Modem oder das Network/Modem-Symbol der Taskleiste zeigen Netzwerkverkehr von und zu Ihrem Computer an, obwohl der Rechner offline ist.

4. Der Computer zeigt Pop-up-Meldungen und Werbung, auch wenn keine Verbindung zum Internet besteht oder der Browser nicht aktiv ist.

5. Die Homepage des Web-Browsers weist Veränderungen auf, die nicht vom Anwender getätigt wurden. Eine Wiederherstellung der ursprünglichen Form ist dann zwar möglich, beseitigt aber nicht die Greyware.

6. Die Einstellungen der Suchmaschine des Internet Explorer wurden verändert und der Explorer liefert nun Suchergebnisse von einer nicht bekannten Website.

7. Die Favoriten-Liste im Web Browser wurde verändert. Eine Wiederherstellung der ursprünglichen Einstellungen ist nicht möglich.

8. Die Toolbar für die Internet-Suche oder für den Web-Browser wurden modifiziert und neue Optionen installiert. Versuche, diese neuen Icons wieder zu löschen, schlagen fehl.

9. Die Telefonrechnung ist höher als gewöhnlich und weist die Nutzung von Premium-Service-Nummern auf, die nicht benutzt wurden.

10. Ihre Antivirus-, Anti-Spyware- oder andere sicherheitsrelevante Programme sind nicht mehr aktiv. Sie erhalten Warnungen über verschwundene Anwendungsdateien, auch nachdem diese ersetzt wurden.

Zwischen dem Gefahrenpotenzial der einzelnen Greyware-Applikationen muss unterschieden werden. Während einige nur lästig sind, bergen andere eine erhebliche Gefahr. Sie können zum Beispiel unbemerkt Kreditkartennummern, persönliche Nachrichten, Passwörter oder Web-Browsing-Aktivitäten aufzeichnen oder sich in teure Premium-Services einwählen. Eine weitere Gefahr besteht darin, dass einige Greyware-Applikationen in der Lage sind, bestehende Desktop-basierte Anti-Virus-Programme außer Kraft zu setzen, so dass der Computer verwundbar ist. Manche Applikationen gehen dabei so geschickt vor, dass der Benutzer selbst die Schutzsoftware unwissentlich deaktiviert. (Fortinet: ma)