Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Verhaltensanalyse

In Dr.Web 9-11.5 heißt dieses Modul Präventivschutz.

Dank der Verhaltensanalyse ist Dr.Web in der Lage,

  • neueste und gefährlichste Programme zu erkennen, die Evasions-Methoden gegen die Virenschutz-Heuristik und Signatursuche verwenden (weil z.B. die letzten Updates nicht installiert wurden).
  • unerwünschte Anpassungen von Benutzerdateien zu erkennen, indem alle Systemprozesse auf verdächtige Aktionen (z.B. auf Aktionen von Encodern) kontrolliert werden. Dadurch wird das Eindringen von Viren & Co. in Prozesse anderer Apps unmöglich.
  • neueste und unbekannte Bedrohungen zu erkennen – Erpressungstrojaner (Encoder), Inject-Malware, per Fernzugriff verwaltbare böswillige Dateien (für die Einrichtung von Botnets) sowie Packprogramme.

Einstellungen

Nachfolgend wird jede Einstellung detailliert beschrieben:

HOSTS-Datei

Durch diese Datei kann geprüft werden, ob der Domainname des Hosts mit seiner IP-Adresse übereinstimmt. Die Bearbeitung einer HOSTS-Datei ist prioritätsmäßig höher eingestuft als der Zugriff auf einen DNS-Server. Durch die HOSTS-Datei kann der Zugang zur Website eines Antivirensoftwareherstellers durch Übeltäter gesperrt werden. Anschließend können Benutzer auf eine böswillige Website weitergeleitet werden.

Der Dr.Web unterbindet jegliche Versuche von Malware, die HOSTS-Datei zu bearbeiten und Benutzer auf Phishing-Websites weiterzuleiten.

Integrität von gestarteten Anwendungen

Der Prozess ist ein Ressourcen- und Daten-Satz, der im Hauptspeicher eines Rechners läuft. Der Prozess, der einem Programm angehört, soll Prozesse anderer Programme nicht ändern. Wie sieht es mit böswilligen Programmen, z.B. Trojan.Encoder.686 (CTB-Locker) aus? Verletzen sie diese Regel?.

screen

Der Dr.Web unterbindet das Eindringen von Malware in Prozesse anderer Programme, u.a. durch das Sperren der Anpassung eines Browserprozesses durch den Trojaner. So wird Aktivitäten von Trojanern teilweise oder gänzlich vorgebeugt.

Laufwerkszugriff auf niedriger Ebene

Wenn Windows regulär läuft, erfolgt der Zugriff auf Dateien über ein Dateisystem, das dem Betriebssystem untergeordnet ist. Bootkit-Trojaner, die Bootsektoren einer Festplatte anpassen, greifen auf die Festplatte am Windows-Dateisystem vorbei zu.

Die Einschleusung eines Trojaners in den Bootsektor erschwert dessen Entdeckung und Neutralisierung.

screen

Der Dr.Web unterbindet alle Versuche von Malware, Bootsektoren der Festplatten zu bearbeiten, und beugt dem Starten von Trojanern vor.

screen

Herunterladen von Treibern

Viele Rootkits starten ihre Treiber und Dienste um ihre unerlaubten Aktivitäten zu verdecken, z.B. Versand von Benutzerdaten sowie anderer sensiblen Informationen.

Der Dr.Web unterbindet das Herunterladen von neuen oder unbekannten Treibern ohne Wissen des Benutzers.

Startparameter für Anwendungen

Im Windows-Registry gibt es einen Schlüssel (entry) Image File Execution Options, durch den man eine beliebige Windows-Anwendung starten kann. Man kann auch ein Reparaturprogramm zuweisen, das dem Programmierer hilft, den fehlerhaften Code zu reparieren. Durch diesen Schlüssel kann Malware als Reparaturprogramm eines gewissen Prozesses oder einer Anwendung, z.B. Internet Explorer oder Task-Manager, den vollen Zugriff auf beliebige Inhalte erhalten.

screen

Der Dr.Web sperrt den Zugriff auf den Schlüssel des Registry Image File Execution Options.
Die Benutzer haben keinen Bedarf an einer schnellen Reparatur von Anwendungen und das Risiko durch die Benutzung des Schlüssels Image File Execution Options durch Malware ist sehr hoch.

screen

Treiber von Multimedia-Geräten

Es gibt böswillige Programme, die ausführbare Dateien erstellen und diese als virtuelle Endgeräte registrieren.

Der Dr.Web sperrt Zweige des Registry, die für Treiber virtueller Endgeräte verantwortlich sind. Dies macht die Installation von neuen virtuellen Endgeräten unmöglich.

Parameter von Winlogon, Winlogon-Benachrichtiger

Die Benutzeroberfläche von Winlogon notification package ermöglicht die Bearbeitung von Ereignissen für das Ein- und Ausloggen der Benutzer, Starten und Herunterfahren des Betriebssystems usw. Malware, die den Zugriff auf Winlogon Anmeldeprozess erhalten haben, können das Betriebssystem neu starten, den PC ausschalten oder die Anmeldung im Arbeitsumfeld des Betriebssystems verhindern. So verfahren z.B. Trojan.Winlock.3020, Trojan.Winlock.6412.

screen
screen

Der Dr.Web sorgt für geschützte Registry-Zweige, die für Winlogon-Melder verantwortlich sind, und verhindert die Aufnahme von neuen Aufgaben durch Cyber-Kriminelle.

screen

Autostart der Windows Shell

Diese Option sperrt mehrere Parameter im Windows-Registry [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] auf einmal, u.a. AppInit_DLLs (lässt Windows definierte DLLs jedes Mal laden, wenn ein Programm startet), AppInit_DLLs (kann zur Einschleusung von Rootkits in Windows verwendet werden) und Run (für den Start von Software im minimierten Fenster erforderlich), IconServiceLib (verantwortlich für das Herunterladen der Bibliothek IconCodecService.dll, die für den Arbeitsplatz und Arbeitsplatz-Icons nötig ist).

Der Dr.Web sperrt Parameter im Windows-Registry, u.a. hindert Viren daran eine Anpassung der Desktopanzeige vorzunehmen, schützt vor der Tarnung von Trojanern durch Rootkits im System.

Verbindungen ausführbarer Dateien

Einige böswillige Programme stören Verbindungen unter Anwendungen. Das Ergebnis ist, dass sie nicht gestartet werden können oder eine zugewiesene böswillige Anwendung gestartet wird.

screen

Der Dr.Web sorgt dafür, dass Startregeln für Software unangetastet bleiben.

screen

Einschränkung von Richtlinien für das Starten von Software (SRP)

In Windows kann das Starten von Software eingeschränkt werden. So können Programme dann nur aus definierten Ordnern heraus gestartet werden, z.B. ProgrammFiles. Durch die Sperrung von entsprechenden Registry-Zweigen, die für diese Einschränkung verantwortlich sind, können die Richtlinien nicht angepasst werden. Dies stärkt auch den Virenschutz..

Der Dr.Web sorgt dafür, dass Ihr Betriebssystem vor Malware, die über E-Mails, temporäre Dateien und Wechseldatenträger auf den Rechner gelangt, geschützt wird. Diese Option ist für Geschäftsanwender besonders empfehlenswert.

Plug-ins für Internet Explorer

Durch diese Option können Sie die Installation von Plug-ins für Internet Explorer durch die Blockierung entsprechender Registry-Zweige sperren.

screen

Der Dr.Web sorgt dafür, dass der Browser gegen böswillige Plug-ins, u.a. Browser-Blockierer, geschützt wird.

screen

Autostart von Software

Sperrung der Anpassung mehrerer Registry-Zweige, die für den Autostart von Anwendungen verantwortlich ist.

Der Dr.Web sorgt dafür, dass der Autostart von Malware verhindert wird, indem Einträge im Registry gesperrt werden.

Autostart von Richtlinien

Durch diese Option können Sie einen Registry-Zweig sperren, während sich Benutzer anmelden.

screen

Der Dr.Web beugt dem automatischen Starten bestimmter Programme, z.B. Anti-Antivirensoftware, vor.

screen

Abgesicherten Modus konfigurieren

Einige Trojaner deaktivieren den abgesicherten Modus von Windows und machen das Desinfizieren eines Rechners schwieriger.

Der Dr.Web beugt dem Deaktivieren des abgesicherten Modus durch die Sperrung der Registry-Anpassung vor.

Parameter des Sitzungsmanagers

Durch diese Option schützen Sie Parameter des Windows-Sitzungsmanagers, von denen die Funktionsstabilität des Betriebssystems abhängt. Bei einer deaktivierten Option kann Malware folgende Aktionen bis hin zum Abschluss des Ladeprozesses vornehmen: böswillige Parameter initialisieren, Systemprozesse starten, Dateien löschen, kopieren oder verschieben usw.

screen

Der Dr.Web schiebt Viren & Co. beim Eindringen ins Betriebssystem einen Riegel vor, indem er die Ausführung von Malware während dem Ladevorgang des Betriebssystems (und vor dem Starten der Antivirensoftware) unterbindet.

screen

Systemdienste

Diese Option schützt vor der Anpassung von Registry-Parametern, die für eine reguläre Funktionsweise der Systemdienste verantwortlich sind. Einige Viren können den Registry-Editor sperren und die Arbeit des Benutzers stören, u.a. durch die Entfernung von Desktopverbindungen der installierten Software oder Sperrung der Verschiebung von Dateien.

Der Dr.Web unterbindet jegliche Versuche von Malware, die reguläre Funktionsweise von Systemdiensten zu stören, z.B. bei der Erstellung von Sicherungskopien der Dateien.

Einstellungsmodus

Der Benutzer kann unter vier Optionen auswählen: Optimal (nach Voreinstellungen aktiviert), Medium, Paranoid und Benutzerdefiniert.

screen

Bei einem optimalen Schutzniveau sind nur die Registry-Zweige geschützt, die durch Malware verwendet werden und sich (gegen Anpassung) sperren lassen — ohne wesentliche Auslastung des Betriebssystems.

Bei einem höheren Schutzniveau prüft Dr.Web das System auf Malware, die in die Dr.Web Virendefinitionsdatei noch nicht eingetragen ist. Gleichzeitig erhöht sich das Risiko der Konflikte zwischen Sperrungen des Aktivitätenwächsters und Bedürfnissen von gestarteten Apps.

screen

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2018

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt