Zweifelhafte Antiviren-Produkte
Seite 2: Abhilfe und Schutz
Abhilfe
Die zahmen Vertreter der Gattung wird man vergleichsweise einfach los. So weisen etwa neuere Versionen des AntiMalware Guard und von Antispyware Express mittlerweile sogar Uninstall-Funktionen auf. Vermutlich wollen die Anbieter damit ihren wertlosen Programmen einen seriöseren Anstrich geben und eine Aufnahme in die Virensignaturen der AV-Hersteller vermeiden. Bietet die Scare-Ware keine solche Option, muss man sie wohl oder übel manuell entfernen. Dazu genügt es oft bereits, die dazugehörigen Prozesse zu beenden und die Dateien sowie die vom Programm vorgenommen Registry-Einträge zu löschen. Einschlägige Foren zum Entfernen von Spyware und sonstigen Programmen enthalten oft aktuelle Beschreibungen zu gerade grassierender Spyware und gefälschten Antiviren-Produkten.
Leider lesen die Entwickler dieser Programme diese Anleitungen ebenfalls und ändern die Installationspfade und Namen der Dateien, damit sie nicht mehr ohne weiteres funktionieren. Im schlimmsten Fall muss man also selbst erkunden, welche Prozesse und Dateien für die nervigen Meldungen verantwortlich sind. Oft reicht dazu bereits der Task Manager von Windows. Mehr Informationen, um die verantwortlichen Programme ausfindig zu machen, liefert das Tool Process Explorer von Microsoft [2]. Das Tool Autoruns spürt zudem die Start-Einträge in der Registry auf, mit dem sich die Schreck-Ware nach dem Booten aktiviert. Mit Autoruns lassen sich die Einträge auch deaktivieren, ohne mit Regedit in der Registry rumfummeln zu müssen [3]..
Schutz
Den besten Schutz vor nachgemachten Antivirenprogrammen bietet ein gesundes Maß an Misstrauen gegenüber unaufgefordert angebotener Software auf zufällig angesurften Webseiten. Wie solche Seiten und die angebotenen Produkte aussehen und arbeiten, illustriert die Bilderstrecke am Anfang des Artikels.
Im Zweifel sollte man den Programm-Download von unbekannten Webseiten einfach ablehnen und interessante Software lieber von größeren Software-Portalen beziehen, da es dort in der Regel auch ein Anwenderfeedback gibt. Dies gilt umso mehr, da bei einem Kurztest von heise Security längst nicht alle regulären Virenscanner die ScareWare-Produkte als Bedrohung erkannten. Vor echter Schadsoftware wie Trojan-Downloader.FraudLoad warnen sie nur, wenn sie schon die Signatur für die jeweils aktuelle Variante aufweisen. Problematischer sind oft die Programme in der Grauzone, die wenn überhaupt als Fälschung oder Risk-Ware gemeldet werden.
Gegen ungewollte Drive-by-Downloads via Browser-Lücken hilft es, immer die aktuelle Version einzusetzen und darüber hinaus auch alle eingesetzten Plug-ins wie den Flash Player und Adobe Reader auf dem neuesten Stand zu halten.
Links
[1] Microsoft verklagt Anbieter von falscher Anti-Spyware, Bericht auf heise Security
[2] Process Explorer
