Network Security Taskmanager bewertet das sicherheitsrelevante Risiko eines Prozesses nach objektiven Kriterien. Hierzu wird untersucht, ob der Prozess kritische Funktionsaufrufe oder verdächtige Eigenschaften enthält. Je nach potenzieller Gefährlichkeit dieser Funktionen und Eigenschaften werden Punkte vergeben. Die Summe ergibt dann die Gesamtwertung (0 bis maximal 100 Punkte).
Network Security Taskmanager untersucht die Prozesse nach folgenden Funktionalitäten (Sortierung nach Gefährlichkeit):
Der Prozess überwacht jede Tastatureingabe. Per Hook werden die Eingaben mitgelesen. Sauber programmierte, seriöse Programme nutzen diese Hook-Funktion nicht. |
Der Prozess tarnt sich durch Windows API Hooking. Interne Windows Systembefehle zum Auflisten von Prozessen werden manipuliert. Dieser Prozess ist deshalb im Windows Task-Manager oder mit anderen Prozess-Viewern nicht zu finden. Wir empfehlen, diesen Prozess unter Quarantäne zu stellen. Hierzu klicken Sie im Menü Bearbeiten auf Entfernen. |
Die Datei versteckt sich vor dem Windows Explorer. Die Datei ist mit einem Dateimanager nicht zu sehen. Diese Tarnfunktion ist nicht identisch mit dem harmlosen Dateiattribut "versteckt". |
Es handelt sich um einen Tastatur-Treiber, der jede Eingabe mitlesen kann. |
Der Prozess kann sich in andere Programme einklinken und dort etwas verändern. Hierzu wird ein Hook gesetzt, der z.B. allen Programmen eine gefälschte Dateiliste vortäuschen kann (dir-Befehl ändern). Das Programm ist dann für andere Programme (AntiVirus) unsichtbar. |
Browser Helper Objects (Browser PlugIns) klinken sich in den InternetExplorer ein. Meistens handelt es sich um erwünschte Download-Manager oder andere kleine Tools. Allerdings können BHO's auch Ihr Surfverhalten überwachen. Einzelne BHO's deaktivieren Sie im InternetExplorer Menü Extras unter Add-Ons verwalten. |
Die Datei wurde über den Befehl ShellExecute in der Windows Systemregistrierung (Konfigurationsdatei) per Hook gestartet. ShellExecute startet einen Prozess (meistens eine DLL) sobald ein beliebiges Windows Programm gestartet wurde. Dieser Prozess sollte genau untersucht werden. |
Der Prozess kann über diese offene Stelle Informationen empfangen. Hacker nutzen solche Schwachstellen aus, um in einen fremden Rechner einzudringen und die Kontrolle über diesen zu erlangen. Mit einer guten Firewall können solche Attacken verhindert werden. |
Der Prozess hat eine Verbindung zum angegebenen Computer bzw. zur IP-Adresse hergestellt und kann darüber beliebige Informationen senden. Mit einer guten Firewall können solche Verbindungen geblockt werden. |
Es wurde ein Port geöffnet, um Informationen von außen zu empfangen oder dorthin zu senden. Bitte stellen Sie fest, um welches Programm es sich handelt. Mit einer guten Firewall kann die Verbindung blockiert werden. |
Der Prozess zeichnet auf, wann welche Programme aufgerufen und beendet werden. |
Das Programm hat kein sichtbares Windows Fenster und läuft im Hintergrund. Im günstigsten Fall handelt es sich z.B. um Gerätetreiber. |
Das Programm wird bei jedem Windows-Start aufgerufen. Hierzu hat sich das Programm in einem Autostart-Schlüssel in der Windows Systemregistrierung eingetragen. |
Einige wichtige Standard-Beschreibungen in der Datei sind nicht vorhanden. Standardmäßig enthält jede Datei interne Felder für Beschreibungen. |
Die Datei gehört nicht zum Windows Betriebssystem. Sie wurde in das Windows-Verzeichnis kopiert. Dies kann an einer schlecht programmierten Software liegen oder die Datei versucht sich im Windows-Verzeichnis zu verstecken. Vorsicht ist geboten, wenn Sie diese Datei keinem installierten Software-Produkt oder Hardware-Treiber zuordnen können. |
Die Datei gehört nicht zum Windows Betriebssystem. Erhöhte Aufmerksamkeit ist erforderlich, wenn sich die Datei im Windows Verzeichnis befindet und sich diese Datei keinem installierten Software-Produkt oder Hardware-Treiber zuordnen lässt. |
Es sind keine Beschreibungen in der Datei vorhanden. Standardmäßig enthält jede Datei intern einige Felder für Beschreibungen. |
Die Datei enthält Funktionsaufrufe mit den angegebenen Eigenschaften. Da jedoch nicht gesagt werden kann, ob und wie diese zum Einsatz kommen, wichtet der Network Security Task Manager dieses Kriterium nicht stark. |
In der Datei wurden keine gefährlichen Funktionsaufrufe gefunden. Diese könnten jedoch versteckt integriert sein. |
Der Hersteller ist nicht ermittelbar. Standardmäßig enthält jede Datei intern Felder zur Angabe des Softwareherstellers. |
Vertrauenswürdige Eigenschaften (verbessern die Risiko-Bewertung):
Diese Datei wurde von Microsoft signiert. Sie können dieser Datei vertrauen, so wie Sie auch Microsoft vertrauen. |
Diese Datei wurde von VeriSign signiert. Sie können dieser Datei vertrauen, so wie Sie auch VeriSign vertrauen. |
Diese Datei ist als vertrauenswürdig eingestuft. Sie gehört zu der genannten, installierten Software. Wenn Sie die Software in der Systemsteuerung deinstallieren, so löschen Sie auch diese Datei. |
Diese Datei wurde von einer Zertifizierungsstelle signiert. Sie können dieser Datei vertrauen, so wie Sie auch der Zertifizierungsstelle und dem Softwarehersteller vertrauen. |
In der Referenzdatenbank speichern Sie die Prozesse, die Ihnen bekannt sind. Jeden Prozess können Sie kommentieren und als ungefährlich einstufen. |
Anmerkung
| • | Hoch bewertete Prozesse müssen nicht zwingend gefährlich sein. Sie besitzen eventuell nur für Malware typische Funktionen. Beispiel: Systemüberwachung durch Antivirus-Wächter/Firewall. |
| • | Klicken Sie auf  Konfiguration, um als sicher eingestufte Prozesse auszublenden. Das Ausblenden von Windows-Systemprozessen erhöht die Übersicht. |
Siehe auch