Spyware-Spuren (Traces) im Detail

Im Dezember 2006 wurden mit dem Emsisoft Anti-Malware Scanner insgesamt mehr als 150.000 Malware Infektionen gemeldet. Die tatsächliche Anzahl mitsamt den nicht gemeldeten Funden liegt vermutlich noch wesentlich höher. Dabei mag es bedenklich stimmen, dass laut Statistik wirklich jeder Computer mit mehreren Arten von Malware infiziert war, bevor Emsisoft Anti-Malware zum Einsatz kam.

Weit mehr als die Hälfte aller gefundenen Objekte sind so genannte Spyware-Traces. Der Begriff Traces kommt wie fast immer aus dem Englischen und bedeutet nichts anderes als Spuren. Um zu erklären, um was es sich dabei genau handelt, machen wir  zunächst einen kleinen Exkurs in die Welt der Malware-Bekämpfung.

Schädliche Software wird in erster Linie durch Signaturen erkannt. Ähnlich wie die Polizei mit einem Fingerabdruck Verbrecher erkennt, vergleicht der Emsisoft Anti-Malware Scanner jede Datei auf der Festplatte mit einer Signaturen-Datenbank von bekannten schädlichen Programmen. Stimmen Datei und Signatur überein, wird die Datei als Malware deklariert und kann gegebenenfalls gelöscht oder unter Quarantäne gestellt werden.

Der Traces Scan funktioniert etwas anders. Anstelle eines Fingerabdrucks sucht der Emsisoft Anti-Malware Scanner nach bekannten Dateien, Ordnern, Registry-Einträgen und TrackingCookies, die typischerweise von Spyware angelegt wurden. Traces sind genau diese Spuren, die Spyware hinterlässt.

Daraus ergeben sich für die Malware Erkennung Vorteile, wie auch Nachteile. Die positive Eigenschaft der Traces ist, dass eine einfache Ordner-Spur sämtliche Versionen einer Spyware erkennen kann, solang alle Versionen den gleichen Dateipfad verwenden. So ergibt sich auch ein zusätzlicher Schutz vor neuer Spyware, für die noch keine Datei-Signaturen zur Verfügung stehen. Die Kehrseite der Traces ist aber, dass sie eine relativ ungenaue, oder besser gesagt, zu wenig differenzierte Malware-Erkennung bieten. Es könnte zum Beispiel eine gutartige Software fälschlicherweise erkannt werden, wenn sie dieselben Dateinamen oder Datei-Ordner wie eine gefährliche Spyware verwendet.

Traces Funde sind daher immer mit Vorsicht zu genießen und sollten doppelt überprüft werden, bevor ein Fund endgültig gelöscht wird.

Insgesamt gibt es  vier verschiedene Traces Typen, die wir folgend im Detail erklären möchten:

  • Trace.File.<Spywarename>
    File Traces sind bekannte Dateipfade zu Spyware bzw. Adware Dateien. Die Erkennung von File Traces basiert ausschließlich auf dem Dateipfad. Daher ist es möglich, dass auch ungefährliche Dateien gemeldet werden, wenn sie sich in bekannten Ordnern von Spyware befinden und die gleichen Dateinamen wie Spyware Dateien haben. Normalerweise werden ungefährliche Dateien jedoch nicht in bekannten Spyware Ordnern gespeichert.
  • Trace.Directory.<Spywarename>
    Directory Traces sind noch etwas pauschaler. Mit ihnen werden ganze Ordner inklusive allen darin befindlichen Dateien erkannt. Löschen Sie einen derartigen Fund nur, wenn auch eine in dem Ordner enthaltene Datei eindeutig als schädlich erkannt wurde.
  • Trace.Registry.<Spywarename>
    Registry Traces sind bekannte Spuren von Spyware bzw. Adware, die in der Windows Registrierungsdatenbank (Registry) abgespeichert sind. Derartige Traces können Autostart-Einträge sein, die Spyware beim Windows Start automatisch ausführen lässt. Registry Traces können aber auch Registrierungen von Adware DLL Dateien sein, die dazu verwendet werden, den Windows Explorer oder Web Browser zu hijacken, also für sich nutzbar zu machen. Registry Einträge sind per Definition selbst nicht gefährlich, sondern lediglich Helfer, die es Malware ermöglichen, installiert und gestartet zu werden.
  • Trace.TrackingCookie
    Cookies sind kleine Informationsdateien, die vom Web-Browser (Internet Explorer, Firefox, etc.) auf Befehl einer besuchten Webseite auf Ihrem PC abgelegt werden können. Damit ist es möglich, dass Sie von einer Website bei einem erneuten Besuch automatisch wieder erkannt werden. Werbefirmen nutzen diesen Umstand gezielt aus, um Ihr Surfverhalten aufzuzeichnen. Werbebanner werden so zum Beispiel speziell auf Ihre Interessen zugeschnitten.  Obwohl TrackingCookies keine direkte Gefahr für die Sicherheit Ihres Computers darstellen, können sie dennoch unter Umständen Ihre Privatsphäre verletzen. Daher werden sie von Emsisoft Anti-Malware auch erkannt und auf Wunsch entfernt. Mehr zu diesem Thema finden Sie im Artikel „Cookies unter der Lupe“.

Fazit:

Wenn auf Ihrem Computer Traces gefunden werden, so deutet dies auf einen Spyware Befall hin. Löschen Sie nie blind alle gefundenen Objekte, sondern prüfen Sie zuerst, ob es sich nicht womöglich um eine wichtige gutartige Software handelt. Lediglich TrackingCookies können in der Regel ohne Bedenken gelöscht werden. Alle anderen Funde sollten auf jeden Fall immer zunächst erst unter Quarantäne gestellt werden, damit man sie gegebenenfalls wiederherstellen kann.