Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Ressourcen

Sophos Anti-Virus für Windows 2000+: Soll eine Datei zugelassen oder gesperrt werden?

Wenn Sophos Anti-Virus eine verdächtige Datei erkennt, zeigt es die Datei lediglich als potenzielle Bedrohung an. Sie müssen sich die Datei ansehen und selbst entscheiden, ob sie gesperrt oder zugelassen werden soll. In einigen Fällen kann es sich um eine virenfreie und legitime Datei handeln, in anderen Fällen um nicht identifizierte Malware. Dieser Artikel soll Ihnen bei der Entscheidung helfen, welche Maßnahme sich im Falle eines Alerts empfiehlt.

  1. Welcher Task wurde zur Zeit des Alerts ausgeführt und welches Objekt wurde als verdächtig gemeldet?

    Wenn Software installiert oder upgedatet wurde und das gemeldete Objekt mit diesen Vorgängen in Zusammenhang stehen könnte, handelt es sich um einen unerwünschten Alert, der durch den Installations- bzw. Update-Vorgang ausgelöst wurde.

    Bei legitimen Programmen kann es sich um Installationsprogramme, zeitgesteuerte Updates und andere Updateprogramme sowie Programme, die die Registrierung, Prozesse, oder Programm- und Datendateien ändern, handeln.

    Um dies in Zukunft zu verhindern, empfiehlt es sich, HIPS für die Dauer der Installation bzw. der Updates in den Benachrichtungungsmodus zu setzen. Wenn Sie über Software verfügen, die sich häufig selbst updatet, nehmen Sie sie in die Liste zugelassener Programme auf. In Sophos Anti-Virus für Windows 2000+: Zulassen verdächtiger Objekte finden Sie Anweisungen.

  2. Ist die gemeldete Datei neu auf dem Computer bzw. im Netzwerk?

    Befindet sie sich bereits seit Jahren dort? Falls nicht, wie sie dorthin gekommen? Wenn Sie den Verlauf der Datei kennen, verringert sich das Risiko einer echten Bedrohung.

  3. Wie verhält sich die verdächtigte Datei?

    Auf der Sophos Website finden Sie evtl. weitere Informationen bezüglich des verdächtigen Objekts. Verhält sich das gemeldete Objekt den Umständen entsprechend normal? Wenn eine ansonsten legitimie Datei sich verdächtig verhält, könnte dies auf die Infizierung des Computers mit Malware hindeuten.

  4. Wie viele Alerts wurden zu dieser Datei gemeldet und wie häufig treten sie auf?

    Wenn alle zwei Sekunden dasselbe Verhalten gemeldet wird, ist dies ein sicheres Indiz für eine Malware-Infektion – selbst wenn das gemeldete Objekt legitim aussieht.

  5. Wie lautet der Pfad, in dem sich das gemeldete Objekt befindet?

    Befindet sich die Datei im Internet-Cache-Ordner? Wenn ja, haben Sie in letzter Zeit Dateien heruntergeladen? Haben Sie die Datei von einer seriösen Website heruntergeladen? Wenn sich das gemeldete Objekt in einem Internet-Cache-Ordner befindet und Sie Ihres Wissens nach keine Dateien heruntergeladen haben, handelt es sich womöglich um ein echtes Sicherheitsrisiko.

Weitere Vorgehensweise

  • Wenn Sie das Objekt nach Prüfung der obigen Punkte für legitim erklären, lassen Sie es zu. Wenn eine häufig genutzte Anwendung erkannt wird und Sie den Erkennungsmechanismus für zu empfindlich erachten, senden Sie die Datei an SophosLabs, um sie überprüfen zu lassen.
  • Wenn Sie das Objekt für verdächtig halten und Sie mit der Zulassung zögern, senden Sie es zur Analyse an SophosLabs.

Weitere Informationen zum Sammeln und Senden von Dateien an SophosLabs finden Sie in den Support-Artikeln Senden verdächtiger Dateien an Sophos und Sammeln von Kopien von Objekten, die durch die On-Access-Überprüfung blockiert wurden.

Mitunter stellt Sophos ein Erkennungs-Update zur Verfügung, die die von Ihnen erwähnte Anwendung dann nicht als möglicherweise verdächtig meldet. Es ist Ihnen jedoch jederzeit überlassen, beliebige Anwendungen zu erlauben oder zu blockieren, je nach Ihren Anforderungen.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.