Meinem Heutigem Thema widme ich dem Programm “Spybot S&D” – eine Art Spyware-Jäger.
Vielleicht habt ihr diesen Namen schon in den ein oder anderen Foren bzw. Zeitschriften und deren Internet-Präsenz gelesen oder gehört.
Es wird leider überall als eines der besten und effektivsten Programme zum entfernen von Malware bzw. Spyware empfohlen.
Nur leider wissen die meisten Leute nicht, dass dieses Programm nur eine sehr schlechte Alternative gegenüber Professionellen Programmen wie Malwarebytes oder Combofix ist.
In diesem Beitrag, werde ich euch erklären, warum ihr die Finger von diesem Programm lassen sollt und ein paar weitere pikante Infos in und um Spybot S&D bzw. Safer Networking.
Spybot S&D ist ein Anti-Spyware & Malware Programm des Herstellers “Safer Networking”.
Es besteht im Prinzip aus 3 Modulen: Dem Scanner, Teatimer und dem “Immunisierer”
Der Scanner ist im Prinzip nur dafür zuständig, laufende Prozesse, die Dateien auf der Festplatte und die Registry auf Unterschiede bzw. Veränderungen durch Schadsoftware zu untersuchen.
Hier kommen wir auch schon zum 1. Punkt weshalb ihr Spybot nicht benutzen sollt.
Die Scanleistung liegt seit geraumen Jahren bei gleichbleibenden Werten von 15% – 33% – im Vergleich dazu hat Malwarebytes eine Scanleistung von 95% – 99%.
Aber weshalb ist die Scanleistungen so unterschiedlich?
Das lässt sich kaum in einem Augeschlag beantworten, denn beide Programme nutzen verschiedene Methoden.
Spybot setzt auf die Erkennungsregel Variante – also im Prinzip eine Signatur, bei der jeder Eintrag mit der Lokalen Datenbank auf schädliche Spuren verglichen wird.
Wird eine Übereinstimmung gefunden, so wird Alarm geschlagen und die Datei als schädlich angezeigt.
Malwarebytes dagegen setzt auf die Signatur + Heuristik-Variante – für die Leute die nicht wissen was Heuristik ist.
Dies ist eine erweiterte Form von der Signatur-Erkennung – denn hier werden anhand von Erkennungsmerkmalen, Installationen etc. eine Erkennung vorgenommen und somit auch unbekannte Malware gefunden.
Dies hat Spybot S&D nicht, was mit der schlechten Datenbank und den schlechten bzw. langsamen Updates, diese schlechten Erkennungsraten erklären.
Dazu habe ich noch einen lustigen Beitrag eines Mitarbeiters des Safer-Networking Konzerns aus einem Forum-Link => http://bit.ly/duKnI8
Der Beitrag ist zwar 2 Jahre her, aber es ist immernoch belustigend mit welchen Tatsachen man die schlechten Erkennungsraten erklärt, und zwar so:
“Gab ja schon Tests, da wurde einfach irgendwo ein Verzeichnis mit Malware-Archiven, die ein Hersteller zur Verfügung gestellt hat, auf die Platte kopiert und dann gescannt, das wäre halt so ne Situation, wo Spybot bisher (Ausnahme weiter unten) schlecht abschneiden würde, ist halt eher auf “installierte” Malware ausgerichtet.”
Es stimmt, es gibt bis heute noch Tests – auch bei Antivirenprogrammen – bei der “Archive” mituntersucht werden.
Allerdings ist gibt es kein Unterschied wenn die Dateien auf die Platte kopiert werden und wenn sie installiert werden.
Denn eine Installation, erstellt im Prinzip nur Verzeichnisse und kopiert Dateien hinein und erstellt in der Regel auf Registry-Einträge.
Also hat Spybot in dieser Sache ebenfalls versagt <:
Der nächste Punkt ist der “TeaTimer” der ja “angeblich” eines der besten “Pro-Aktiven” Erkenner sein soll.
Da muss ich euch ebenfalls wieder enttäuschen, der TeaTimer überwacht nur die Registry auf Veränderung und schlägt direkt Alarm, wenn ein Windows-Dienst einen Wert von 0 auf 1 umstellen möchte.
Woran liegt es? Hier greifen wieder die Regeln ein – die für den TeaTimer extra geschrieben wurden.
Wenn etwas bekanntes auftritt wird erst überprüft => “Aha ok? Kennen wir lassen wir mal durchgehen”
Das kommt meist bei Windows Programmen vor – was wiederrum ein großer Fehler ist, denn wenn sich Malware als Windows eigenes Programm ausgibt bzw. sich in diese Dateien integriert, dann nutzt es diese “Regel” aus <:
Wenn wir aber nun eine Software installieren die der TeaTimer nicht kennt?
Dann heißt es Button klicken und dies Stundenlang, da der TeaTimer immer eine Bestätigung seitens des Users benötigt um die Änderungen an der Registry und an der Festplatte zu erlauben.
Natürlich kann es auch vorkommen, dass beim Installieren, Dateien oder Werte nicht auf der Platte abgespeichert werden, wenn man sich ausversehen verklickt.
Mitunter habe ich schon Fälle mitbekommen, dass es beim Scan-Vorgang von Antiviren-Programme oder Rootkits zu Problemen führte in Sachen, Entfernung und Quarantäne.
Das liegt daran, dass die “Scanner” gerne mal Werte bzw. Dateien (wie Quarantäne) umändern/umschreiben und der TeaTimer dies als unerlaubter Vorgang ansieht und dies blockiert.
Es ist leider nicht unbekannt, dass die Technik von Safer-Networking nicht dem Standard von heute entspricht, was man auch an den Punkten sieht.
Der einzigst positivste Punkt von Spybot ist der “Immunisierer” – eine Funktion, die die installierten Browser mittels Einstellungen und Umänderung der Host-Datei absichert.
Welches man auch unter diesem Link sieht, nachdem ich den Immunisierer benutzt habe => http://pastebin.com/m0TLKjip
Wenn Safer-Networking an solchen Positiven und Nötigen Funktionen weiterarbeitet, dann sehe ich kein Problem, dass Spybot in 5-6 Jahren in der Liga von Malwarebytes und Combofix mitspielen kann <: