Spyware-Spuren (Traces) im Detail

  • 20. Januar 2007
  • 3 min Lesezeit

Im Dezember 2006 wurden mit dem Emsisoft Anti-Malware Scanner insgesamt mehr als 150.000 Malware Infektionen gemeldet. Die tatsächliche Anzahl mitsamt den nicht gemeldeten Funden liegt vermutlich noch wesentlich höher. Dabei mag es bedenklich stimmen, dass laut Statistik wirklich jeder Computer mit mehreren Arten von Malware infiziert war, bevor Emsisoft Anti-Malware zum Einsatz kam.

Weit mehr als die Hälfte aller gefundenen Objekte sind so genannte Spyware-Traces. Der Begriff Traces kommt wie fast immer aus dem Englischen und bedeutet nichts anderes als Spuren. Um zu erklären, um was es sich dabei genau handelt, machen wir  zunächst einen kleinen Exkurs in die Welt der Malware-Bekämpfung.

Schädliche Software wird in erster Linie durch Signaturen erkannt. Ähnlich wie die Polizei mit einem Fingerabdruck Verbrecher erkennt, vergleicht der Emsisoft Anti-Malware Scanner jede Datei auf der Festplatte mit einer Signaturen-Datenbank von bekannten schädlichen Programmen. Stimmen Datei und Signatur überein, wird die Datei als Malware deklariert und kann gegebenenfalls gelöscht oder unter Quarantäne gestellt werden.

Der Traces Scan funktioniert etwas anders. Anstelle eines Fingerabdrucks sucht der Emsisoft Anti-Malware Scanner nach bekannten Dateien, Ordnern, Registry-Einträgen und TrackingCookies, die typischerweise von Spyware angelegt wurden. Traces sind genau diese Spuren, die Spyware hinterlässt.

Daraus ergeben sich für die Malware Erkennung Vorteile, wie auch Nachteile. Die positive Eigenschaft der Traces ist, dass eine einfache Ordner-Spur sämtliche Versionen einer Spyware erkennen kann, solang alle Versionen den gleichen Dateipfad verwenden. So ergibt sich auch ein zusätzlicher Schutz vor neuer Spyware, für die noch keine Datei-Signaturen zur Verfügung stehen. Die Kehrseite der Traces ist aber, dass sie eine relativ ungenaue, oder besser gesagt, zu wenig differenzierte Malware-Erkennung bieten. Es könnte zum Beispiel eine gutartige Software fälschlicherweise erkannt werden, wenn sie dieselben Dateinamen oder Datei-Ordner wie eine gefährliche Spyware verwendet.

Traces Funde sind daher immer mit Vorsicht zu genießen und sollten doppelt überprüft werden, bevor ein Fund endgültig gelöscht wird.

Insgesamt gibt es  vier verschiedene Traces Typen, die wir folgend im Detail erklären möchten:

Fazit:

Wenn auf Ihrem Computer Traces gefunden werden, so deutet dies auf einen Spyware Befall hin. Löschen Sie nie blind alle gefundenen Objekte, sondern prüfen Sie zuerst, ob es sich nicht womöglich um eine wichtige gutartige Software handelt. Lediglich TrackingCookies können in der Regel ohne Bedenken gelöscht werden. Alle anderen Funde sollten auf jeden Fall immer zunächst erst unter Quarantäne gestellt werden, damit man sie gegebenenfalls wiederherstellen kann.

Wir wünschen einen guten (Malware-freien) Tag!

Weitere Artikel