NIS Antispyware Beta: Erste Erfahrungen

#1 Hallo!

Mittlerweile haben sich wohl einige die Norton Internet Security 2005 AntiSpyware Edition heruntergeladen. Zeit für einen Erfahrungsaustausch. Meine Bilanz ist eher durchwachsen...

Positiv: Abstürze habe ich keine erlebt, egal welche Software ich gleichzeitig laufen ließ oder anschließend installierte. Auch wenn ich der Firewall Arbeit gab, indem ich mich über Stunden von Securityspace.com „angreifen“ ließ, oder mir von Heise Viren-Dummies mailen ließ, gab es keine Probleme. Uneingeschränkt stabil ist das Ding also. Securityspace hatte nach all seinen Testangriffen auch nur eine gravierende Sicherheitslücke zu bemängeln. (Bei der kostenlosen Version erfährt man leider nicht, welche.)

Negativ: Das Ding ist schon eine schlimme Systembremse. Pcworld bemängelt das auch in einem ersten Test. Kernsatz:

Zitat

„The 33MB download installs approximately 314MB of files, 11 services, 3 startup items, 2 toolbars, and 2 BHOs (Browser Helper Objects), all of which results in 8 additional processes running in memory on the PC, which made my test system noticeably less responsive.”

Das kann ich nur bestätigen.Verglichen mit dieser Beta läuft mein PC (Athlon XP 2200+) mit Outpost 2.6 wie ein geölter Blitz. Auch die derzeit käufliche Version von NIS 2005 hat ihn längst nicht so ausgebremst.

Mit all dem Aufwand wird aber trotzdem kein vollständiger Schutz erzielt. Bei den Testmails wird zwar der Eicar-Teststring mit großem Getöse erkannt – Netsky.P aber nicht. Wenn der Full System Scan durch ist, findet Spybot immer noch 5 Tracking-Cookies. Und AdAware nochmals 8 weitere. Ich habe mir jetzt den Cookie-Culler zugelegt und Mozilla auf weitgehend keksfreie Diät gesetzt. Das ist wahrscheinlich viel wirksamer.

Daß man mit Hilfe von Program Control und Component Control zumindest mitbekommt, wenn Spyware zum ersten mal nach Hause telefonieren will, hatte ich hier schon geschrieben. Wegen diesem Feature braucht man die neue Version aber nicht, das hat NIS 2005 auch schon. (Und Outpost auch.)

Ich denke ich kehre zur „alten“ NIS 2005 zurück. Keinesfalls würde ich 49$ für ein Upgrade ausgeben. Eher würde ich den Scanner von Microsoft dazunehmen. Hab ich grade installiert. Der verträgt sich mit Norton, kostet (noch) nix und ist garnicht so dumm, wie man vermuten würde.

Soviel dazu. Und wie sind Eure Erfahrungen? Hat jemand gute oder schlechte Seiten bei der Beta gefunden, die mir entgangen sind? Oder gibt es andere Tools, mit denen man eine Antispyware-Funktion nachrüsten kann die vielleicht besser ist, als die bei Norton erhältliche?

Grüße,

Maxtor

#2 vielen Dank für Deinen interessanten Bericht.

viele User haben schon traurig berichtet, als Symantec das schlanke Atquard übernommen hat und daraus die Bloatware namens Norton Internet Security gebastelt hat, die durch das aufblasen unglaublich instabil geworden ist.

Greetz Lp

#3 Zum Thema NIS kann ich nichts sagen da ich keine Produkte von Symantec verwende.
Meine frühere Erfahrung mit Symantec:
eine bunte graphische Oberfläche die den Newbie beeindrucken soll, eine aufgeblähte Software die sich tief in das BS breitmacht und mit dem Prädikat Mittelmaß bestens bedient ist.
Vor längerer Zeit als noch Hr Norton seine kleine Firma führte, da gab es einen sehr guten AV mit diesen Namen doch diese Zeiten sind längst vorbei.

Zitat

Oder gibt es andere Tools, mit denen man eine Antispyware-Funktion nachrüsten kann die vielleicht besser ist, als die bei Norton erhältliche?

Eine ketzerische Frage:
Muss man sich denn Spyware unbedingt auf den Rechner installieren?
Wer es nicht tut, braucht auch keine Tools um Spyware aufzuspüren und zu beseitigen. Das sage ich mal aus eigener Erfahrung und ja, es funktioniert.
Es würde schon reichen, nur Anwendungen ohne Spyware/Adware mit Sorgfalt auszusuchen und einen sicheren Browser zu verwenden .
Wer sorglos eine jede ausführbare Datei aus Neugierde anklickt, den kann auch eine endlos lange Sicherheitssoftwareliste auf Dauer nicht schützen. Für Naturen die gerne Versuchskaninchen spielen möchten wäre ein Testrechner das Ideale
Ja ich weiss, die einfachste Lösung ist immer die schwerste

Gruß
Ajax

#4 Ajax,

jetzt sind Dir aber die Pferde durchgegangen. Wenn ich der Logik folge, dann brauche ich ja auch keinen Virenscanner mehr. Ich öffne nur noch Mails und Dateien aus verlässlicher Quelle, schon bin ich sicher. ;-)

Und was sichere Browser angeht... Mozilla hat ja kürzlich die Version 1.03 nachgeschoben, um Sicherheitslücken zu schließen. Ein Projekt dieser Größe kann man wohl nicht programmieren, ohne daß irgendwo Lücken bleiben. Sich auf einen „inhärent sicheren“ Browser zu sehr zu verlassen, ist schlicht gefährlich.

Spyware bedeutet heute mehr als Tracking-Cookies oder eine RealJukebox, die dann Deine Hörgewohnheiten weitermeldet. Vielmehr werden klassische Malware-Vehikel wie manipulierte Webseiten, Mails oder nachgebaute Downloadseiten benutzt, um Keylogger und Backdoors zu verbreiten. Ein Ding wie „I love you“ ist ja noch vergleichsweise harmlos gegen Software, die Kreditkartendaten, PayPal-Paßwort oder PIN und TANs ausschnüffelt. Auch Resourcen-Diebstahl durch Eingliederung in ein BotNet gehört in eine ähnliche Kategorie. Das ist Malware die einen konkreten Zweck verfolgt und nicht bloß zeigen will, daß der Autor der genialste aller Wurm-Programmierer ist. In der Presse wird schon seit einiger Zeit darauf hingewiesen und langsam tut sich bei den Gegenmitteln auch was.

Ein bischen Vorsicht kann einem einiges vom Leib halten, klar. Des weiteren sollte man sich bei Verdacht mal seine Autostarts ansehen. Schwieriger wird es schon, wenn das Zeug z. B. erst mit dem Browser startet. Darüber hinaus telefoniert es nach Hause, und auch da kann man es kriegen. Wenn man sich diese Microsoft Antispyware Beta genauer ansieht... da wurde doch an einiges gedacht, sowohl in Bezug auf Erkennung von heimlichen Patches als auch bei unerlaubtem ausgehenden Datenverkehr. Aber natürlich, dasGros davon kommt nur IE zugute. Andere Browser müssen sehen wo sie bleiben.

Gruß,

Maxtor

#5 Gründsätzlich stimme ich dir zu Maxtor, aber auch dir gehen im Moment die Pferde durch. Denn du würfelst die Begriffe Spyware und Malware durcheinander.

Malware ist der Oberbegriff für schadhafte Programme, darunter fallen z.B.:
- Viren
- Würmer
- Trojaner
- Backdoors
- Keylogger
- Adware
- Spyware
- Hijacker
- (bösartige) Dialer

All diese Schadprogramme lassen sich säuberlich definieren und kategorisieren, leider wird das sehr oft nur mit mangelnder Präzision und Sorgfalt getan, so dass sogar Antivirensoftware-Hersteller des öfteren einmal einen Trojaner als Wurm bezeichnen.
Worauf ich jedenfalls hinaus wollte: Spyware ist eine Unterkategorie des breiten Metiers der Malware und bezeichnet explizit Software, welche darauf ausgelegt ist, den Nutzer auszupionieren, sein Verhalten zu analysieren und zu beobachten (deswegen tritt Spyware gerne in Kombination mit Adware auf). Backdoor-Funktionalitäten bzw. Keylog-Funktionen wie du sie dort oben beschreibst (Auslesen von PIN/TAn, sofern nicht durch Phishing oder auf HDD gespeichert) fallen nicht in den Bereich der Spyware, sondern eben unter die Kategorie Backdoor, Keylogger und in Kombination meistens noch Trojaner und Würmer. Meistens läuft es so ab, das ein Trojaner diverse Würmer und Backdoors mitbringt und nebenbei auch noch einen Keylogger installiert.
Du siehst also, Spyware an und für sich bedeutet 'heute' immer noch nicht viel mehr als eben TrackingCookies und Programme die nach Hause telefonieren, andere Funktionen sind schlichtweg dann nicht mehr als Spyware zu kategorisieren. Das Bespitzeln und Ausspionieren an und für sich ist jedoch schon schlimm genug.

Insofern stimme ich dir natürlich zu, das man niemals den Schutz auch unter zu Hilfe nahme von sinnvoller Software vernachlässigen sollte und ich denke auch Ajax wollte jetzt nicht aussagen, dass wir alle unsere Scanner wegwerfen sollten (hast du diese 'sanfte' Ironie bzw. Provokation in seinem Post überlesen? ). Ich denke er wollte vielmehr dazu anregen, das einige Leute dringendst ihr Surfverhalten überdenken sollten. Denn er hat schon Recht, wer umsichtig surft und aufpasst was er tut, der bekommt Malware (egal welcher Kategorie) eigentlich so gut wie nie zu Gesicht!
Ich z.B. hatte noch nie eine akute 'Infektion' auf meinem eigenen Rechner, natürlich habe ich auch die ein oder andere Wurmmail schon bekommen, jedoch sind diese nie an meinem (einzigsten!) Spamfilter 'Gehirn' v1.3 vorbei gekommen. Dazu sollte ich hinzufügen, das ich erst seit etwa zwei Jahren einen alternativen Browser (in meinem Falle Opera) benutze und mich schon seit mehreren Jahren im Internet bewege.
Im Nachhinein ist es in meinen Augen natürlich leichtsinnig gewesen nicht schon früher umzusteigen, aber was ich damit jetzt nur aussagen möchte ist: es macht durchaus einen gravierenden Unterschied ob man mit einem relativ ungeschützten (Softwaremäßig) System umsichtig und aufmerksam surft, oder ob man sich hinter x Schutzvorrichtungen verbarrikadiert, dafür aber jeden Unsinn herunterlädt oder jede .exe Datei anklickt. Es geht ja schon mit den simpelsten Dingen los, wie z.B. nicht als Admin im Netz zu surfen.

Fazit: ich stimme Ajax mit seinem Aufruf zu bedachtem Surfverhalten zu und dir zu deinem Aufruf sich auch auf Softwarebasis so gut wie möglich zu schützen. Ich denke es ist die Kombination die hier greift und zwar sehr Effektiv! Eben weil man nicht vorhersehen kann, welche Sicherheitslücke bald aufgedeckt bzw. ausgenutzt wird, ohne das es viel zutun des Nutzers bedarf.

P.S.: Der Hauptgrund für diese lange Leier von mir war jetzt, auf diesen kleinen aber feinen Unterschied der Begriffe hinzuweisen, da es mir persönlich ein kleiner Dorn im Auge ist, wenn diese immer durcheinander gewürfelt werden.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#6 @Maxtor

Nun ich habe Verständnis dafür dass Du meiner Logik nicht folgen kannst, Du wirst wohl auch nicht der einzige sein, ist aber nicht mein Problem Allerdings beweist deine Reaktion dass es ziemlich sinnlos ist gutgemeinte Ratschläge zu geben. Man wird entweder falsch oder gar nicht verstanden. Das wäre aber auch noch verständlich. Was aber deprimierend sein kann ist die Tatsache dass viele die gutgemeinte Ratschläge nicht einmal zu verstehen versuchen. Was soll's.

Zitat

Wenn ich der Logik folge, dann brauche ich ja auch keinen Virenscanner mehr. Ich öffne nur noch Mails und Dateien aus verlässlicher Quelle, schon bin ich sicher. ;-)

Ich habe nicht behauptet dass Du keinen AV brauchst. Es wäre aber leicht möglich dass dein AV nie zum Einsatz kommen würde wenn Du meiner Logik folgen könntest.
Ich habe mir seit Jahren keinen einzigen Schädling (Wurm,Virus,Trojaner,Adware,Spyware...) eingefangen. Malware die sich z.Z. auf meinen Rechner befinden habe ich mir bewusst aus unseriösen Quellen geladen

Zitat

Und was sichere Browser angeht... Mozilla hat ja kürzlich die Version 1.03 nachgeschoben, um Sicherheitslücken zu schließen.

Und diese Lücken waren ziemlich alt und bekannt. Sie wurden erst gestopft nachdem jemand sie veröffentlicht hat Allerdings ist soweit mir bekannt, niemand wegen diese Lücken zu Schaden gekommen.

Zitat

Sich auf einen „inhärent sicheren“ Browser zu sehr zu verlassen, ist schlicht gefährlich.

Wichtig erstmals ist so einen Browser zu benutzen, verlassen sollte man sich soweit dies möglich ist auf den eigenen Verstand.(z.B. auch daran denken dass schädliche JavaApplets u.U. auch Unheil anrichten könnten, unabhängig vom verwendeten Browser)
Persönlich benutze ich Opera seit v5. Seit v5 wurden auch da etliche Sicherheitslöcher (noch rechtzeitig) gestopft doch es gab nie die grosse Gefahr eines Massenexploits oder Browserhijacks aufgrund einer kritischen Browserlücke.

Zitat

Vielmehr werden klassische Malware-Vehikel wie manipulierte Webseiten, Mails oder nachgebaute Downloadseiten benutzt, um Keylogger und Backdoors zu verbreiten.

Darum sollte man sich auch vertrauenswürdige Software am besten direkt von der Herstellerseite saugen. (sogar bekannte Seiten wie download.com hatte vor nicht allzulanger Zeit infizierte Software auf seine Seiten , wurde inzwischen von der Seite genommen)

Zitat

Ein Ding wie „I love you“ ist ja noch vergleichsweise harmlos gegen Software, die Kreditkartendaten, PayPal-Paßwort oder PIN und TANs ausschnüffelt. Auch Resourcen-Diebstahl durch Eingliederung in ein BotNet gehört in eine ähnliche Kategorie.

Eigentlich ging es ursprünglich um Adware und Spyware, oder?
Sei's drum.
Die ganze Palette von Malware wird ja nicht durch schwarze Magie auf den Rechner des Opfers gezaubert. Da ist die Unerfahrenheit, Naivität und Unwissen des Users massgeblich daran beteiligt.
Jetzt fällt mir noch eine ketzerische Frage ein
Wie wäre es wenn die grosse Schar unbedarfter User unter einen eingeschränkten Konto (unter w2k/XP) ihr Internetspass erledigen würden?
Dem Grossteil der Schädlinge könnte man schon auf diese einfache Weise entgehen.
Wer mit Admin-Rechte unterwegs ist sollte sich das auch leisten können oder er ist dann selber schuld.

Zitat

Ein bischen Vorsicht kann einem einiges vom Leib halten, klar.

Gerade bei unbedarfte User wäre höchste Vorsicht geboten!

Zitat

Des weiteren sollte man sich bei Verdacht mal seine Autostarts ansehen.

Wenn's dann so weit ist kommt die quählende Rechnung für die Unvorsichtigkeit.
Da wird für viele auch ein Blick in seine Autostarts nicht viel bringen.
Windows Autostart zeigt ja bei weitem nicht alle dokumentierte Autostartmöglichkeiten an
Es gibt kaum Programme die dies tun und je mehr angezeigt wird umso schwerer wird es für den User die Anzeige auszuwerten.

Zitat

Wenn man sich diese Microsoft Antispyware Beta genauer ansieht... da wurde doch an einiges gedacht, sowohl in Bezug auf Erkennung von heimlichen Patches als auch bei unerlaubtem ausgehenden Datenverkehr. Aber natürlich, dasGros davon kommt nur IE zugute.

Der IE hat es aber auch bitter nötig

Gruß
Ajax

#7 Das Smilie an meiner Eingangsbemerkung sollte ja schon andeuten, daß ich mir den zwar jetzt nicht verkneifen konnte, es aber nicht gehässig meinte.

Zumindest bei mir trägt Ajax auch partiell Eulen nach Athen. Als ich mich zum Beispiel für das neue XP-Antispy interessierte, suchte ich bewußt NICHT über Google, sondern in diesem Forum. Und siehe da, auf der Homepage wurde vor nachgemachten Seiten mit ähnlich klingender URL gewarnt, auf denen man Dialer bekommt. Ob man die statt XP-Antispy bekommt oder als „Zugabe“ kann ich nicht sagen, weil ich da weg geblieben bin. Also: mein Gehirn schalte ich schon länger ein, das allein reicht mir aber nicht.

Die Aufschlüsselung der verschiedenen Kategorien von Malware ist schon wichtig damit man weiß, worüber hier eigentlich geredet werden soll. Ich folge da mehr der Definition, die der Konstruktion von MS-Antispyware zugrunde zu liegen scheint: Spyware ist danach alles, was heimlich und unerlaubt Informationen „nach Hause“ sendet, egal ob Browsing-Gewohnheiten oder Kreditkartennummer. In diesem Sinne sind eigentlich alle weiter oben genannten Programme Anti-Malware Programme, da sie mehrere Kategorien abdecken.

Und um noch mal ganz klar zu stellen, worum es hier gehen sollte:

* Erfahrungsaustausch über die NIS 2005 Antspyware Edition
* Alternativen, zum Beispiel die parallele Installation von NIS 2005 und MS-Antispyware Beta
* Flankierende Maßnahmen gegen Spyware im Sinne des vorigen Absatzes (Malware)

Der Hinweis auf „Safer Browsing“ hat im Sinne des letzten Punktes hier durchaus seinen Platz, aber das hatten wir hiermit. Bitte keine Zerfaserung wie hier.

In diesem Sinne... zum ursprünglichen Thema:

Ich habe zwischenzeitlich das „alte“ NIS 2005 wieder drauf gemacht. Deutlicher Geschwindigkeitsgewinn. Dabei gab es einen Totalschaden, der mich jedoch nicht weiter juckte. Mit Acronis True Image hatte ich die zuvor gesicherte Partition C: in weniger als 15 Minuten wieder. Wer sowas nicht hat, sollte sich den Einsatz von Betas zweimal überlegen.

Das ganze kam so: ich hatte ziemlich bald nach der Installation von NIS 2005 „Component Monitoring“ und „Program Launch Monitoring“ eingeschaltet. Dann rief ich bei MS-Antispyware den Updater auf, um Norton’s Liste von Programmen die ans Internet dürfen zu erweitern. Die Programme verhakten sich in einer Art Clinch, alles fror ein, nur Reset half noch. Danach Instabilitäten, also 1 x Restore.

Folgendermaßen klappte es: (1) MS-Antispyware und Norton Beta deinstallieren. (2) NIS 2005 installieren, danach die übliche Lernphase (Program Scan, etc.) ohne Component Monitoring und Launch Monitoring. (3) Diese Funktionen aktivieren und die Firewall erneut durch Aufruf aller Browser, etc. trainieren. (4) Erst jetzt MS-Antispyware Beta installieren, ihern Updater aufrufen und alle Anfragen der Firewall mit „Permit“ beantworten. Voila.

Vermutlich hängt sich Norton auf, wenn auf einen Schlag zu viele ihm unbekannte Programme und Module ans Internet wollen.

Die MS-Antispyware Beta gefällt mir als Ergänzung immer besser. Als ich zum Beispiel diesen Tip zur Sperrung von Dialerseiten mal ausprobierte, meldete die MS-Beta als einziges Programm sofort, daß Hosts verändert wurde. Dabei kann man damit einiges anrichten, siehe hier unter "Sicherheitshinweise", Stichwort Pharming. Kernsatz:

Zitat

Mit dem schädlichen Scripting-Code aus dem E-Mail wird in der Hosts-Datei eine IP-Adresse eingetragen, die auf einen präparierten Server des Betrügers verzweigt. Selbst wenn man keinem Link folgt und stattdessen die URL per Hand eingibt oder einen Bookmark aufruft, landet man durch diesen Trick der Angreifer auf der falschen Seite.

Zumindest die harmlose Umleitung auf 127.0.0.1 funktionierte bei mir auch mit Mozilla 1.03.

Soviel für diesmal.

Gruß,

Maxtor