Microsoft CLIP

 

 Wir werden von folgenden Partnern unterstützt:


 

 

redgate

 

 

 

 

community-radio.net wird überprüft von der Initiative-S

Microsoft Security Essentials leicht auszuschalten?

Kann man Microsofts kostenlose Antiviruslösung, die Microsoft Security Essentials (kurz MSE), einfach so im Vorbeigehen deaktivieren und den Anwender schutzlos zurück lassen?
SemperVideo, ein populärer YouTube-Channel mit fast 46.000 Abonnenten, veröffentlichte vor wenigen Tagen ein Video, welches demonstriert, wie angeblich einfach es ist, die Security Essentials auszuknipsen und damit den Schutz vor Viren und anderen Schadprogrammen aufzuheben.
Dieses Video ist gemeint:
Microsoft Security Essentials angreifen - YouTube

 


 

Auf den ersten Blick sieht das äußerst beunruhigend aus, daher haben die Kollegen von www.drwindows.de den Fall einmal genauer angeschaut und sie sind sich sicher, Entwarnung geben zu können.
In diesem angeblichen Enthüllungsvideo wird gezeigt, wie MSE zunächst einen Testvirus korrekt erkennt, Alarm schlägt und das System bereinigt. Danach wird eine Anwendung mit dem Namen "kill-msse" auf dem Desktop platziert und mit MSE gescannt - ohne dass das Programm diese als schädlich einstuft (warum das so ist, erklären wir weiter unten).
Nachdem das Programm gestartet wurde, verschwindet das Benachrichtigungssymbol von MSE aus der Infoleiste.
Damit wird suggeriert und im Video auch behauptet, die Security Essentials seien abgestürzt bzw. beendet worden und der Computer sei nun quasi schutzlos.
Das ist jedoch mitnichten der Fall, wie Dr. Windows im Selbsttest beweisen konnte.


Was passiert hier wirklich?

Was hier "abgeschossen" wird, ist der Prozess msseces.exe - hierbei handelt es sich um die grafische Oberfläche von MSE. Wird dieser Prozess beendet wird, kann der Anwender nicht mehr interaktiv mit dem Programm arbeiten - auf die Schutzfunktionen von MSE hat dies jedoch keinerlei Auswirkungen.

Die Kernkomponente der Security Essentials bildet nämlich der Systemdienst "Microsoft Antimalware Service" mit dem Prozess MsMpEng.exe - dieser läuft auch nach dem Beenden der Oberfläche weiter und unterbindet jeden Zugriff auf Dateien, die als schädlich eingestuft wurden, auch ohne dass eine Nachricht auf dem Desktop angezeigt wird.
Ein weiterer zu MSE gehöriger Systemdienst ist "Microsoft-Netzwerkinspektion" (NisSrv.exe), welcher den Einfall schädlicher Dateien über das Netzwerk verhindert - auch dieser läuft unbeeindruckt weiter, wenn das Oberflächenprogramm beendet wird.

Ein Blick in den Taskmanager verrät uns weitere wichtige Details:

 

Hier kann man sehen, dass der Prozess msseces.exe - also das Oberflächenprogramm - mit normalen Benutzerrechten ausgeführt wird. Das ist notwendig, damit der Anwender z.B. manuelle Definitionsupdates vornehmen oder die Einstellungen des Programms verändern kann - und es erklärt natürlich, warum es vergleichsweise einfach ist, diesen Prozess zu beenden - was dem Benutzer gehört, darf er auch selbst verwalten. Dennoch muss ein entsprechendes "Killer-Programm" von Hand gestartet werden.
Die beiden Systemdienste MsMpEng.exe und NisSrv.exe laufen jedoch unter den Konten "System" bzw. "Lokaler Dienst" - um diese zu beenden, sind Administratorrechte erforderlich. Außerdem starten diese Dienste sofort von selbst neu, wenn sie über den Taskmanager manuell beendet werden, wie die Kollegen in einem Video.

Wenn diese Dienste über ein externes Programm beendet werden, schlägt sofort das Wartungscenter von Windows 7 Alarm und weist uns darauf hin, dass das Antivirenprogramm außer Dienst ist - und mit nur einem Klick können Sie es wieder starten.

 

Natürlich lässt sich auch diese Warnmeldung durch eine geänderte Einstellung im Wartungscenter unterbinden, aber um all dies zu bewerkstelligen, müsste der Angreifer entweder selbst vor dem betroffenen Computer Platz nehmen können, um die Aktionen auszuführen - oder aber der Anwender müsste dazu verleitet werden, ein Programm zu starten, welches diese Änderungen vornimmt bzw. Fernzugriff auf das System ermöglicht. Da hierfür Administratorrechte erforderlich sind, würde die Benutzerkontensteuerung anschlagen und den Bestätigungsdialog anzeigen. Spätestens hier müsste der Anwender aufmerksam und misstrauisch werden.

Gegen Anwender, die sorglos drauf los klicken und "nervige" Sicherheitsabfragen ohne zu lesen bestätigen, ist dann leider auch die beste Schutzsoftware machtlos.
Sie fragen sich vielleicht noch, warum MSE beim Prüfen des oben erwähnten "kill-msse" keinen Alarm ausgibt?
Das hat den einfachen Grund, dass es sich weder um einen Virus noch um ein virusähnliches Programm handelt - es ist eine einfache Routine, welches ein im Kontext des angemeldeten Benutzers laufendes Programm beendet. Würden solche Routinen als gefährlich eingestuft, müssten im Minutentakt Alarme ausgegeben werden.

Zusammenfassend erscheint dieser Clip von SemperVideo als substanzlos und sieht eher nach Taschenspielerei als nach einem ernstzunehmenden Test aus. Dass die bloße Beendigung der Oberfläche keine Auswirkung auf die Schutzfunktionen von Microsoft Security Essentials hat, war den Machern des Videos entweder nicht klar, oder sie haben es bewusst verschwiegen, was wir aber nicht hoffen wollen.

Kritische Berichterstattung über Sicherheitssoftware ist richtig und wichtig. Wenn ein Programm Schwächen hat, dann sollten diese schonungslos aufgedeckt werden - schließlich geht es hier um Programme, denen die Anwender vertrauen.
Mit billiger Sensationsmache, die den Anwender verunsichert zurücklässt, ist jedoch niemandem geholfen.

Das folgende Video veranschaulicht, was wirklich geschieht, wie Microsoft Security Essentials trotz deaktivierter Oberfläche weiterhin schützt und welche Meldungen ausgegeben werden, wenn versucht wird, das Programm außer Kraft zu setzen.

Microsoft Security Essentials leicht auszuschalten?

Kommentar schreiben

Sicherheitscode
Aktualisieren

sideBar



Copyright © community-radio.net. All right Reserve.
Design by : community-radio.net.