In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

Dr.Web

Werbung 
Doctor Web © Mai 2009
Dr.Web Security Space 5.0 vs AVG Internet Security 8.5
Für den Test standen Testversionen mit allen Updates und der vollständigen Funktionalität der
kostenpflichtigen Produkte unter Windows XP Professional Service Pack 3 zur Verfügung.
Gründe für die Wahl der Testbedingungen:
-
Windows XP Pro ist zur Zeit das beliebteste System bei Heimanwendern;
-
AVG Internet Security 8.5 und Dr.Web Security Space 5.0 sind die meist performanten
Versionen der Antivirenlösungen dieser Hersteller für Heimanwender.
Selbstschutz
AVG Internet Security 8.5
Der Selbstschutz ist nicht vorhanden. So kann z.B. beliebige Schadsoftware sowie jeder
Anwender, der nicht über Administratorrechte verfügt, zufällig oder absichtlich funktionsrelevante
Dateien des Antivirusprogramms entfernen und es funktionsunfähig machen. Dafür sind keine speziellen
Utilities, die einen Low-Level-Zugriff auf Ressourcen haben und im Kernel-Modus und/oder vom
Administratorkonto laufen, erforderlich. Die Dateien (außer aktiven ausführbaren Dateien und
Bibliotheken) können per Windows Explorer entfernt werden.
Alle Dateien können zum Schreiben geöffnet werden. Die Überwachung des Öffnens sowie
Einschränkung eines solchen Zugriffs ist in AVG nicht vorhanden.
Auf beliebige Antivirus-Dateien können Hardlinks installiert werden. Dies lässt auf eine
ernsthafte Schwachstelle im Selbstschutz zurückführen. Solche Konfigurationen können auch mit
Windows-Tools definiert werden.
Das Antivirusprogramm überprüft keine Dateien in seinem Verzeichnis auf Intaktheit. Die
Auslagerung und die automatische Wiederherstellung der Funktionsweise wird nicht durchgeführt.
Hohe kritische Anfälligkeit
Dr.Web Security Space 5.0
Der Schutz für Dateien des Antivirusprogramms ist nach allen möglichen Parametern
konfiguriert. Die Dateien können durch spezielle Utilities, die im Kernel-Modus des Betriebssystems
laufen, bzw. wenn der Selbstschutz von Dr.Web SS deaktiviert wird, gelöscht werden.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Die Dateien des Antivirusprogramms können im Nur-Lesen-Modus geöffnet werden. Das
Schreiben ist beim aktiven Selbstschutz unmöglich. Über den Zugriff auf die Aktualisierung und
Modifikation des Inhalts verfügen nur autorisierte Prozesse des Antivirusprogramms.
Die Installation von Hardlinks auf Dateien des Antivirusprogramms ist gesperrt.
Keine Anfälligkeit
Schutz der Registerschlüssel des Antivirusprogramms
AVG Internet Security 8.5
Der Schutz der Siganturen von AVG IS im Register ist nicht vorgesehen. Auf diese Weise kann die
Funktionsweise des Antiviusprogramms gestört bzw. komplett deaktiviert werden, wenn einige
Signaturen im Windows-Register geändert oder gelöscht werden.
Um AVG über das Systemregister zu deaktivieren, braucht man nur durch das in Windows
eingebundene Utility regedit.exe einige bzw. alle Schlüssel, die in ihren Namen eine
Buchstabenkombination “AVG” (Register spielt keine Rolle) enthalten, zu entfernen. Nach dem Neustart
wird das Antivirusprogramm nicht mehr laufen.
Um das Starten des Moduls abzubrechen, kann man auch eine Debug-Methode verwenden.
Dafür muss man für jede ausführbare Datei in “HKLM\Software\Microsoft\Windows NT\Current
Version\Image File Execution Option” den Schlüssel “debugger” mit dem Inhalt “ntsd –d” angeben. Das
Starten einer solchen Datei (Antivirus-Komponente) wird anschließend unmöglich sein.
Die Wiederherstellung von notwendigen Signaturen im Register ist nicht vorgesehen.
Hohe kritische Anfälligkeit
Dr.Web Security Space 5.0
Alle Zweige und Schlüssel des Registers, die für die routinemäßige Funktionsweise des
Antivirusprogramms erforderlich sind, werden vom Selbstschutz-Modul des Programms kontrolliert. So
können sie geändert bzw. entfernt werden, nur wenn DWProt (Selbstschutz) deaktiviert wird. Die
unabsichtliche oder böswillige Änderung der Parameter ist somit ausgeschlossen.
Die Debug-Methode kann für die Neutralisierung des Antivirusprogramms nicht verwendet
werden, weil ihre Parameter durch Dr.Web SS geschützt sind.
Keine Anfälligkeit
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Schutz des Fensters des Antivirusprogramms
AVG Internet Security 8.5
Der Schutz der Antivirus-Fenster vor Modifikationen ist nicht vorgesehen. Mit entsprechenden
Utilities können AVG-Fenster ähnlich wie bei Windows-Fenstern versteckt, geändert und verschoben
werden (Minimieren, Maximieren, Schließen).
Als kritisch erweist sich der Einsatz der Brute-Force-Methode für Programmfenster. AVGFenster (Benutzeroberfläche, Residenter Schutz, Alerts usw.) brechen ihre Funktion ab
(Funktionsstörung) und können nicht mehr geöffnet werden.
Die Verwaltung des Antivirusprogramms sowie Zustellung von Meldungen und Warnungen wird
folglich geblockt. Wegen der Störung der Benachrichtigung beim Resident-Shield-Fenster (Residenter
Schutz) wird Schadsoftware nicht ausgeführt, das Antivirusprogramm bremst aber das System stark aus,
weil es an einer Bestätigung vom Benutzer fehlt. Es ist danach unmöglich, die Infektion zu stoppen und
weitere Aktionen vorzunehmen.
Hohe kritische Anfälligkeit
Dr.Web Security Space 5.0
Die meisten Optionen für die Verwaltung der Antivirus-Fenster sind geblockt. Das
Programmfenster bei Dr.Web lässt sich aber minimieren und erweitern.
Der Einsatz der Brute-Force-Methode bringt kein Ergebnis, weil alle eintreffenden Meldungen
kontrolliert, gefiltert und ausgesiebt werden.
Niedrige kritische Anfälligkeit
Schutz der Prozesse des Antivirusprogramms
Das Abbrechen der Prozesse unter allen Umständen (selbst wenn das Modul danach
automatisch neu gestartet wird) beim fehlenden Schutz der Dateien führt dazu, dass eine ausführbare
Datei von der Festplatte entfernt werden kann.
Unten sind Beispiele der Antivirus-Module und Methoden für deren Abbrechen angeführt.
Weitere Aktionen rund um diese Module bleiben auf dem Gewissen eines Übeltäters/Schadcodes. Wir
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
haben das Abbrechen der Prozesse aus dem Kernel-Modus absichtlich nicht behandelt, weil der Einsatz
dieser Methode theoretisch möglich, in der Praxis aber unrealisitisch ist.
AVG Internet Security 8.5
AVG hat viele laufende Module, einige sind eng miteinander verbunden. Folglich können die
Funktionsstörungen bei einer Komponente die Funktionsweise anderer Module beeinträchtigen.
-
Residenter Schutz (avgrsx.exe)
o
-
-
Verwenden der DLL-Injection
Alarm-Manager (avgam.exe)
o
Verwenden des Debuggers
o
Im Rahmen der Aufgabe
o
Zurücksetzen der Speichereigenschaften
o
Durch Änderung des Befehlszeigers
o
Verwenden von Remote-Thread
o
Durch Abbrechen aller Threads
o
Standardmäßiges Abbrechen des Prozesses
E-Mail-Scanner (avgemc.exe)
o
Standardmäßiges Abbrechen des Prozesses
o
Durch Abbrechen aller Threads
o
Verwenden von Remote-Thread
o
Zurücksetzen der Speichereigenschaften
o
Durch Änderung des Befehlszeigers
o
Durch Neuschreiben kritischer Prozessdaten
o
Verwenden des Debuggers
o
Im Rahmen der Aufgabe
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
-
-
-
Netzwerk-Scanner-Service (avgnsx.exe)
o
Standardmäßiges Abbrechen des Prozesses
o
Durch Abbrechen aller Threads
o
Zurücksetzen der Speichereigenschaften
o
Durch Neuschreiben kritischer Prozessdaten
o
Im Rahmen der Aufgabe
o
Verwenden des Debuggers
Tray-Monitor (avgtray.exe) – wird nicht neu gestartet
o
Standardmäßiges Abbrechen des Prozesses
o
Durch Abbrechen aller Threads
o
Im Rahmen der Aufgabe
o
Verwenden des Debuggers
o
Als Aufgabe
o
Durch Senden von WM_CLOSE
o
Durch Senden von WM_SYSCOMMAND
o
Verwenden der Meldung der Windows-Station
o
Simulation des normalen Prozessabschlusses
o
Durch Senden der Brute-Force-Meldung
Benutzeroberfläche (avgui.exe) – wird nicht neu gestartet
o
Standardmäßiges Abbrechen des Prozesses
o
Durch Abbrechen aller Threads
o
Zurücksetzen der Speichereigenschaften
o
Durch Neuschreiben kritischer Prozessdaten
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
-
-
-
o
Im Rahmen der Aufgabe
o
Verwenden des Debuggers
o
Als Aufgabe
o
Durch Senden von WM_CLOSE
o
Durch Senden von WM_SYSCOMMAND
o
Verwenden der Meldung der Windows-Station
o
Simulation des normalen Prozessabschlusses
o
Durch Senden der Brute-Force-Meldung
Watching Service (avgwdsvc.exe)
o
Verwenden des Debuggers
o
Im Rahmen der Aufgabe
o
Zurücksetzen der Speichereigenschaften
o
Durch Änderung des Befehlszeigers
o
Verwenden des Remote-Threads
o
Durch Abbrechen aller Threads
o
Standardmäßiges Abbrechen des Prozesses
Scan-Core-Modul (avgcsrvx.exe)
o
Verwenden des Remote-Threads
o
Durch Abbrechen aller Threads
o
Standardmäßiges Abbrechen des Prozesses (wird nicht neu gestartet)
o
Verwenden des Debuggers
o
Im Rahmen der Aufgabe
Firewall-Service (avgfws8.exe)
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
o
-
-
-
Problemlos
IDS Agent (avgidsagent.exe) – wird nicht neu gestartet
o
Standardmäßiges Abbrechen des Prozesses (Schutz wird deaktiviert)
o
Durch Abbrechen aller Threads (Schutz wird deaktiviert)
o
Zurücksetzen der Speichereigenschaften (Schutz wird deaktiviert)
o
Im Rahmen der Aufgabe (Schutz wird deaktiviert)
IDS Monitor (avgidsmonitor.exe)
o
Standardmäßiges Abbrechen des Prozesses
o
Durch Abbrechen aller Threads
o
Verwenden des Remote-Threads
o
Zurücksetzen der Speichereigenschaften
o
Durch Änderung des Befehlszeigers
o
Durch Neuschreiben kritischer Prozessdaten
o
Verwenden des Debuggers
o
Im Rahmen der Aufgabe
o
Verwenden der Meldung der Windows-Station
IDS Benutzeroberfläche (avgidsui.exe)
o
Durch Senden der Brute-Force-Meldung (Schutz wird deaktiviert)
o
Simulation des normalen Prozess (wird nicht neu gestartet, Monitor wird entladen)
o
Als Aufgabe (wird nicht neu gestartet, Monitor wird entladen)
o
Durch Senden von WM_SYSCOMMAND (Monitor wurde entladen, Vorgang der
Benutzerobefläche bleibt aktiv, das Funktionsfenster fehlt und kann nicht gestartet
werden)
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
-
o
Durch Senden von WM_CLOSE (Monitor wurde entladen, Vorgang der
Benutzeroberfläche bleibt aktiv, das Funktionsfenster fehlt und kann nicht gestartet
werden)
o
Als Aufgabe (viele Warnungsfenster wurden angezeigt)
o
Zurücksetzen der Speichereigenschaften (Vorgang und dann das ganze
Betriebssystem hat sich aufgehängt)
o
Durch Änderung des Befehlszeigers (wird nicht neu gestartet, Monitor wurde
entladen)
o
Verwenden des Remote-Threads (wird nicht neu gestartet, Monitor wurde
entladen)
IDS Watchdog Service (avgidswatcher.exe) – wird nicht neu gestartet
o
Durch Abbrechen aller Threads (kann nicht gestartet werden)
o
Verwenden des Remote-Threads (kann nicht gestartet werden)
o
Im Rahmen der Aufgabe (kann nicht gestartet werden)
Hohe kritische Anfälligkeit
Dr.Web Security Space 5.0
Das Antivirusprogramm hat nur 6 Prozesse. Einige sind mit der Funktionsweise von
dwengine.exe verbunden. Das Programm kann aber nicht neutralisiert werden.
-
SpIDer Mail (spiderml.exe)
o
-
SpIDer Gate (spidergate.exe)
o
-
Problemlos
Durch Senden der Brute-Force-Meldung
SpIDer Agent (spideragent.exe)
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
o
-
Scan-Engine (dwengine.exe)
o
-
Problemlos
SpIDer Guard Service (spidernt.exe)
o
-
Durch Senden der Brute-Force-Meldung
Problemlos
SpIDer Guard User Interface Agent (spiderui.exe)
o
Problemlos
Keine Anfälligkeit
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Ausrichtung der Untersuchung: Installation auf einem infizierten PC und
Desinfektion aktiver Infektionen, Einfluss der Default-Einstellungen auf die
Funktionseffizienz des Antivirusprogramms
Um herauszufinden, wie das Antivirusprogramm auf einem infizierten PC installiert wird und
aktive Infektionen desinfiziert, wurde das System auf 23 Viren getestet.
Das System wurde infiziert (die Virenaktivität wurde nach dem Neustart getestet). Danach
wurde das Antivirusprogramm installiert, der Neustart durchgeführt und die vollständige Desinfektion
durch AVG vorgenommen. Bei Rootkit-Infektionen wurde das Anti-Rootkit-Modul gestartet, bei anderen
Viren das vollständige Scannen des PCs durchgeführt. Der PC wurde anschließend neu gestartet und auf
infizierte Objekte im System geprüft.
Bei der Überprüfung der erfolgreichen Desinfektion aktiver Infektionen durch Dr.Web wurd das
Utility Dr.Web CureIt! in der Schnellüberprüfung verwendet.
Die Virenklassifikation entspricht der Terminologie von Dr.Web.
Trojan.PWS.Clever.2
AVG: löscht einige infizierte Dateien, der Rootkit-Vorgang bleibt jedoch im PC-Speicher aktiv
Dr.Web: Virus neutralisiert
Trojan.PWS.Snap.395
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
MULDROP.Trojan
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
Trojan.MaosBoot
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Trojan.Msliksur.1
AVG: nach mehreren Neustart-Vorgängen konnte das Virus gelöscht werden
Dr.Web: Virus neutralisiert
Trojan.Ntldrbot
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
Backdoor.tdss.77
AVG: Virus detektiert, konnte aber nicht desinfiziert werden
Dr.Web: Virus neutralisiert
Trojan.SpamBot.3381
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
Trojan.MulDrop.5478
AVG: Virus nicht detektiert
Dr.Web: Virus neutralisiert
Trojan.MulDrop.6323
AVG: wurde nicht installiert
Dr.Web: Virus neutralisiert
Trojan.SpamBot
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
AVG: wurde sofot nicht installiert. Das Virus wurde nach dem Neustart neutralisiert
Dr.Web: Virus neutralisiert
Adware.Look2Me
AVG: Virus neutralisiert
Dr.Web: Virus neutralisiert
Backdoor.Haxdoor.360
AVG: Virus detektiert, AVG kann es aber nicht löschen, 100% Systemauslastung
Dr.Web: Virus neutralisiert
Backdoor.Uragan
AVG: komlizierte Desinfektion (mehrere Neustart-Vorgänge erforderlich)
Dr.Web: Virus neutralisiert
Trojan.Siggen.2250
AVG: kann nciht aktualisiert werden, Virus nicht detektiert
Dr.Web: Virus neutralisiert
Trojan.PWS.GoldSpy
AVG: Installation wird gestört. Starke Systemauslastung. Komplizierte Desinfektion. Virus
neutralisiert
Dr.Web: Virus neutralisiert
Trojan.PWS.Lich
AVG: detektiert, konnte aber aus der Systemdatei userinit.exe nicht gelöscht werden. Das Virus
ist im System aktiv geblieben
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Dr.Web: Virus neutralisiert
Trojan.Proxy.1824
AVG: vor dem Neustart konnte nicht installiert werden, anschließend aktualisiert. Infizierte Datei
konnte detektiert und gelöscht werden. Virus nicht desinfiziert
Dr.Web: Virus neutralisiert
Win32.HLLM.Beagle
AVG: komplizierte Desinfektion (mehrere Neustart-Vorgänge erforderlich)
Dr.Web: Virus neutralisiert
Win32.HLLM.Graz
AVG: Virus neutralisiert
Dr.Web: Virus neutralisiert
Win32.HLLM.Perf
AVG: nach der Installation wurde folgende Meldung “Schutz der Intaktheit der WindowsDateien” angezeigt. Das Antivirusprogramm konnte nicht gestartet werden
Dr.Web: Virus neutralisiert
Win32.Parite.2
AVG: Virus neutralisiert
Dr.Web: Virus neutralisiert
Win32.Sector
AVG: komplizierte Desinfektion
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Dr.Web: Virus neutralisiert (eventuelle Probleme bei der Installation des Antivirusprogramms
über das Setup auf einem infizierten PC)
Einstellungen für Desinfektion und Entfernung von Viren
AVG Internet Security 8.5
Man muss zu Recht betonen, dass die Einstellungen des Antivirusprogramms alles andere als
unkompliziert sind.
Die Oberfläche mit den Haupteinstellungen stellt eine baumartige Struktur dar, wo eine Vielzahl
von Parametern und Optionen für alle AVG IS-Module vereinigt sind. Selbst ein fortgeschrittener
Anwender braucht einige Zeit, um notwendige Korrekturen vorzunehmen.
Die Default-Einstellungen sind nicht immer effizient, weil sie meistens für eine schnelle
Funktionsweise des Antivirusprogramms optimiert sind. Dies führt dazu, dass einige Bedrohungen durch
AVG Internet Security 8.5 einfach nicht detektiert werden können (dieses potenzielle Problem hätte
auch behoben werden müssen).
Dr.Web Security Space 5.0
Die Einstellungen von Dr.Web Antivirus sind benutzerfreundlich. Der Zugriff auf die
Einstellungen erfolgt von jedem einzelnen Modul aus, dabei hängen sie inhaltlich mit der
Funktionsweise des jeweiligen Moduls zusammen.
Darüber hinaus ist eine optimale Konfiguration bereits vorhanden. Sie sorgt bei minimaler CPUAuslastung für ein hohes Schutzniveau.
Beispiele der Fehlkonfigurationen
Virenquarantäne
Nach den Default-Einstellungen ist die Virenquarantäne von AVG IS, wo gelöschte infizierte und
verdächtige Dateien landen, 10% von der Festplatte groß. Bei der kompletten Ausfüllung der
Quarantäne werden Dateien nicht mehr verschoben und bleiben an demselben Ort. Die
Virenquarantäne muss deshalb durch eine entsprechende Option gereinigt werden. Große Dateien (und
sog. Dateibomben) landen nicht in der Quarantäne, das Antivirusprogramm kann mit denen überhaupt
nicht fertig werden (sie müssen deshalb per Windows Explorer manuell entfernt werden).
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Dr.Web SS hat kein solches Problem. Die Größe der Quarantäne ist nur durch Möglickeiten des
Systems beschränkt.
Web-Schutz (SpIDer Gate in Dr.Web)
In AVG IS werden Archive nach Default-Einstellungenicht überprüft. Die Infektion kann deshalb
ins System leicht eindringen und auf der festplatte gespeichert werden. Maximalgröße der überprüften
Objekte - 20 MB, was für eine zuverlässige Überprüfung komplett ausreicht. Nachden Voreinstellungen
werden aber Dateien mit einer Größe von 200 KB überprüft.
In SpIDer Gate ist die Überprüfung von Archiven aktiviert. Die Größe der überprüften Dateien ist
unbeschränkt.
Scans
AVG Internet Security 8.5
Das Scannen auf Rootkit-Viren ist bei der Komplettüberprüfung deaktiviert. Deis ist ein
wesentlicher Nachteil, weil ein aktives Virus ohne Neutralisierung seines Prozesses nicht gelöscht
werden kann.
Die Überprüfung der Media-Dateien ist auch deaktiviert, was auch zu einer Ursache des
Vireneinbruchs werden kann.
Dr.Web Security Space 5.0
Beim Start des Scanners werden laufende Prozesse und Module immer überprüft. Aktive Viren
werden deshalb noch vor der Komplettüberprüfung des PCs neutralisiert.
Desinfektion der Dateien
Die Desinfektion von Dateien, die außer dem Schadcode noch nützliche Informationen
enthalten, ist in AVG ganz schlecht realisiert. Infizierte Datein werden in der Regel in die
Virenquarantäne verschoben. Der Anwender kann deshalb sensible Informationen leicht verlieren.
Um sich dafür einen Beweis zu verschaffen, muss man infizierte Dateien unabhängig durch AVG
und Dr.Web überprüfen und anschließend die Anzahl der jeweilig desinfizierten und entferneten
Dateien vergleichen.
AVG IS desinfiziert nicht Systemdateien, weil sie sich in einer bestimmten White-Liste befinden.
Das Virus bleibt aktiv und kann nicht neutralisiert werden.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Ausrichtung der Untersuchung: Funktionsvergleich zwischen AVG und Dr.Web
Parameter
Unterstützte
Plattformen
Dr.Web Security Space 5.0
AVG Internet Security 8.5
Windows 2000 SP4
Windows 2000 SP4
Windows XP (32-bit)
Windows XP (32-Bit)
Windows Vista (32-bit)
Windows XP (64-Bit)
Windows Vista (32-Bit)
Windows Vista (64-Bit)
Größe der
Installationsdatei
ca. 51 MB
ca. 75 MB (Antivirus-Komponenten
können durch AVG Download Manager
heruntergeladen werden, ca. 1 MB)
Systemanforderungen
CPU: 400 MHz
CPU: 1,2 GHz
RAM: 128 MB
RAM: 256 MB
HDD: 50 MB
HDD: 120 MB
Installation
Die beiden Lösungen haben einen identischen Installationsablauf. Die Installation erfolgt schnell
und unkompliziert. Die Komponenten und der Installationsort können ausgewählt werden. Die
Aktualisierungsfunktion ist vorhanden.
Unterschiede:
1) Dr.Web Antivirus startet am Ende der Installation (vor dem Neustart) die
Schnellüberprüfung des PCs auf Viren. Aktive Bedrohungen werden vor dem nächsten Start
des Betriebssystems neutralisiert.
2) Der Aktualisierungsvorgang in Dr.Web wird während der Installation gestartet, in AVG –
beim Starten von First Run Wizard.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
3) AVG verfügt über einen Konfigurationsassistenten First Run Wizard, der nach dem
Herunterfahren des Hauptinstallationspakets aktiviert wird. Mit Hilfe des Assistenten kann
ein Update- und Scanmodus nach dem Zeitplan definiert werden (die Auswahl ist nicht
optimal). Die eingebundene Firewall kann auch konfiguriert werden. Die Installation der
Firewall erfordert den Neustart des Systems (ohne Firewall ist sie nicht erforderlich).
4) Wegen der spezifischen Architektur einiger AVG-Module müssen jeweilige Plug-ins (für
Microsoft Office und E-Mail-Clients) für das weitere Laufen des Programms ausgewählt
werden.
5) Die Unterstützung weiteter Sprachen bei AVG muss im Voraus geschaltet werden, indem die
jeweilige Lokalisierung ausgewählt wird.
Komponenten
Die Auswahl von Möglichkeiten bei AVG Internet Security 8.5 ist größer als die Funktionalität von
Dr.Web Securtity Space 5.0. Nun gehen wir auf diese Komponenten ein.
Antivirus
Beide Antiviren-Engines verfügen über fasz dieselbe Auswahl von unterstützten Technologien:
- Signatursuche
- Heuristische Analyse
- Suche innerhalb Archive
- Ausnahme-Listen werden unterstützt
Es gibt aber wesentliche Unterschiede bei der Virensuche. Dr.Web Security Space verfügt über
Origins Tracing - Technologie für die Suche nach unbekannten Viren, die nach speziellen Algoritmen und
ähnlichen Merkmalen bei einem verdächtigen Objekt und in den Siganturen der Virendatenbanken
unbekannte Bedrohungen, für die es noch keine Definition gibt, detektiert. In AVG Internet Security gibt
es keine vergleichbare Technologie.
Die Suche in Archiven und gepackten Objekten erfolgt bei Dr.Web Secirity Space effizienter.
Dr.Web unterstützt mehr Archiv- und Packerformate als AVG IS, z.B.: Dateien, die mit 7-ZIP gepackt
wurden, können mit AVG nicht entpackt werden, die Entpackung von E-Mail-Archiven (bei *.tbbDateien, die infizierte Anhänge enthalten) usw.
Darüber hinaus verfügt Dr.Web SS über FLY-CODE (Technologie für die Entpackung der mit
unbekannten Packern komprimierten Dateien). Hier werden spezielle Algoritmen eingesetzt, durch die
der Inhalt vieler gepackter Dateien bearbeitet wird. In AVG Internet Security gibt es keine vergleichbare
Technologie.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Als Beweismaterial kann eine Auswahl von Dateien verwendet werden, die mit verschiedenen
Archivern komprimiert und verschiedenen Packern gepackt wurden.
Wesentlich besser schneidet Dr.Web in Bezug auf den Desinfektionsmechanismus ab. Der Inhalt
infizierter Dateien kann in den meisten Fällen wiederhergestellt werden. Dies kann auch eine Auswahl
von Dateien belegen, die Informationen enthalten und eigens infiziert wurden.
AVG Internet Security bietet eine unvollständige Liste von Aktionen – Desinfizieren, in die
Quarantäne verschieben oder Infektion ignorieren. Außer den genannten Optionen können die Dateien
bei Dr.Web SS umbenannt und gelöscht werden, der Zugriff auf eine Datei kann auch gesperrt werden.
Security Space verfügt hier über eine reichere Funktionalität: der Anwender kann die Priorität der
Aktionen definieren (bis zu vier Punkte), die für verschiedene Infektionstypen (Viren, verdächtige,
verschachtelte und andere Dateien) gelten, vorausgesetzt, die Hauptaktion ist nicht möglich.
Probleme finden sich in AVG beim Verschieben der Dateien in die Quarantäne. Nach den
Default-Einstellungen ist sie 10% von der Festplatte groß. Sie wird oft überfüllt (weil alle Objekte beim
Löschen in die Virenquarantäne verschoben werden). Dort können auch umfangreiche Dateien landen
(Dateien müssen deshalb manuell mit Wondows-Tools gelöscht werden).
Anti-Spyware
Das Modul ist in der Programm-Engine realisiert, bei AVG IS kann es deaktiviert werden.
In Dr.Web SS ist die Liste von Aktionen gegen Spyware (wie bei sonstiger Malware) viel breiter.
Man kann auch die Priorität und Aktionsfolge in Bezug auf detektierte Objekte definieren.
Anti-Spam
Das Antispam-Modul in AVG Internet Security muss zuerst justiert werden. Es gibt viel zu viele
Einstellungen, die man auf einmal beherrschen muss.
Im Vergleich zu AVG muss das Antispam-Modul von Dr.Web nicht justiert werden. Es wird
täglich aktualisiert, funktioniert schnell und effizient.
Die beiden Programme unterstützen White- und Black-Listen. Ausgesiebte Mails können auch
markiert werden. Bei AVG ist die Konfiguration der Verwaltung von Mails breit gefächert. Es ist deshalb
ziemlich schwierig, alle Einstellungen auf einmal zu beherrschen.
Firewall
Die Firewall gibt es nur in AVG Internet Security 8.5. Eine vergleichbare Komponente gibt es in
Dr.Web Security Space nicht. Wir gehen kurz auf die Benutzerfreundlichkeit der AVG IS Firewall ein.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Die Einstellungen der Firewall richten sich nur an Spezialisten, die mit der Funktionsweise des
Netzwerk-Schutzes gut vertraut sind. Folglich kann die Konfiguration der Firewall von AVG Internet
Security für einen Normal-Anwender eine harte Nuss sein. Es gibt viel zu viele Parameter und Werte, für
die auch ein feines Verständnis gehört, ansonsten wird der Schutz nicht mehr gewährleistet bzw. die
Netzwerk-Anwendungen werden nicht mehr laufen.
MIt Hilfe von Quick-Einstellungen (Registerkarte Übersicht – Firewall) kann die Firewall
aktiviert/deaktiviert und der ganze Netzverkehr geblockt werden (die letzte Option gibt es auch bei
Dr.Web Security Space in der Elterlichen Kontrolle). Man kann Gaming Mode aktivieren, in dem FirewallMeldungen nicht angezeigt werden. Man kann auch Profile, die individuelle Einstellungen haben und
das jeweilige Schutzniveau gewährleisten, schnell erstellen und umschalten.
Das tut uns aber wenig gut, denn die Firewall von AVG Internet Security hat sich als uneffizient
gezeigt. Die Studie von Matousec (http://www.matousec.com/projects/proactive-securitychallenge/results.php) belegt, dass die Firewall ihre Schutzfunktionen schlecht erfüllt, im Test mehrmals
durchgefallen ist und sich für sicherheitsbewusste Anwender kaum empfehlen lässt .
Anti-Rootkit
Möglichkeiten der Desinfektion aktiver Infektionen, die sich zum Tarnen im Betriebssystem
Rootkit-Techniken zunutze machen, wurden oben behandelt.
System Tools
Das Modul System Tools gibt es nur in AVG Internet Security 8.5. In einer vergleichbaren Lösung
Dr.Web Security Space ist die Komponente nicht vorhanden. Ist dieses Modul für den Endanwender
wirklich nötig?
Eine detailierte Analyse der Funktionalität von System Tools hat einige Probleme in der
Realisierung des Moduls entdeckt.
Es zeigt laufende Prozesse, Netzwerkverbindungen und die von LSP und BHO definierten AutoDownloads an.
Prozesse
Das Antivirusprogramm
Informationen an:
zeigt
(im
Vergleich
zum
Windows-Task-Manager)
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
folgende
Doctor Web © Mai 2009
Der Task-Manager entdeckt mehr Prozesse. Darüber hinaus kann AVG IS die mit den RootkitTechnologien versteckten Prozesse nicht detektieren. Diesen Nachteil machen sich oft Viren zunutze.
Die Option Terminate Process (Prozess abbrechen) versucht den Prozess standardmäßig durch “End
Task” zu beenden. Dies ist leider bei der Bekämpfung von Viren uneffizient.
Für Anwender bietet diese Option keine zusätzlichen Instrumente für die Erhöhung der
Sicherheit und Benutzerfreundlichkeit. Die Funktionalität ist arm (vergleichbar mit dem Task-Manager)
und steht in keinem Vergleich mit kostenlosen und kleinen Utilities dritter Hersteller (z.B. Process
Explorer, GMER usw.).
Netzwerkverbindungen
Dieses Modul hat sich nicht besonders gut bewährt.
Es hat alle offenen und hergestellten Verbindungen nicht detektieren können (siehe Abbild für
den Fall bei einer minimalen Netzwerkaktivität). Bei hoher Netzwerkaktivität und der aufgemachten
Registerkarte hängt sich die Benutzeroberfläche von AVG auf.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Autostart
Die Liste von automatisch gestarteten Programmen und Services ist schlecht dargestellt. Es wird
nur ein Teil der Lokationen überprüft, wo Programme (einschl. Viren) geschrieben werden. So erweist
sich der Autostart als wenig verwendbar, obwohl er mehr Informationen zur Verfügung stellt als
MSConfig (Standard-Utility von Windows).
Browsererweiterungen
Diese Option kann nützlich sein, weil alle installierten BHOs angezeigt werden können. Der
Anwender kann unnötige Erweiterungen entfernen. Keine der Komponenten von IE konnte aber durch
AVG IS entfernt werden (inkl. AVG Security Toolbar).
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
LSP-Anzeige
Die LSP-Anzeige erfüllt die Schaufunktion und ist somit auch nützlich. Das Einsehen der LSPAnzeige ist eine Aktion für Spezialisten, die sich im Gerät sowie seiner Funktionsweise auskennen. Der
Normal-Anwender (selbst wenn er eine “überflüssige” Signatur entdeckt) wird die Lage nicht retten
können (in der Tool-Auswahl von AVG sind keine nötigen Instrumente vorhanden).
E-Mail-Scanner
Der Schlüsselunterschied zwischen AVG IS und Dr.Web SS besteht in der Bearbeitung von Mails,
genauer gesagt, wie und wann sie diese durchführen. Für eine korrekte Bearbeitung von Mails in AVG IS
müssen spezielle Plug-ins für E-Mail-Clients bzw. ein persönlicher Monitor für andere Anwendungen
installiert werden. Es wird nur die Überprüfung von POP3/SMTP sowie geschützter Verbindungen
unterstützt. Die Überprüfung ausgehender Mails ist deaktiviert. Infizierte Mails werden entfernt. Die
Änderung der Einstellungen des E-Mail-Scanners ist für den Normal-Anwender wegen der
unübersichtlichen Architektur der erweiterten Einstellungen alles andere als unkompliziert.
Bei Dr.Web SS gibt es keine Anbindung an eine konkrete Anwendung. Es werden alle
eintreffenden und ausgehenden Mails nach dem POP3/SMTP/IMAP/NNTP-Protokoll überprüft. Man
kann dabei eine Aktion auswählen, die für infizierte und verdächtige Mails (Löschen, in die Qurantäne
verschieben, Benachrichtigen, Durchlassen) ausgeführt wird.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Identitätsschutz
Identitätsschutz oder Identity Protection gibt es nur in AVG Internet Security 8.5 und hilft dem
Anwender das Sicherheitsniveau seines PCs zu erhöhen und persönliche Daten zu speichern.
Laufende Prozesse werden nach mehreren Parametern überprüft (Funktionsparameter,
benutzte Möglichkeiten, Funktionsprinzipien usw.). Danach wird entschieden, ob man dieser
Anwendung vertrauen kann. Die Entscheidung wird automatisch getroffen, der Anwender kann sie aber
mit Leichtigkeit ändern: Vorgang beenden, eine ausführbare Datei in die Quarantäne verschieben, eine
Anwendung blocken bzw. entsperren.
ID Protection funktioniert unabhängig von der Antiviruslösung und hat eigene Prozesse, das
Fenster der Benutzeroberfläche und unabhängige Einstellungen.
Link Scanner (LinkChecker) und Web Shield (SpIDer Gate)
Der Schutz eines Anwender-PCs mit der Internetverbindung ist eine wichtige Aufgabe für ein
Antivirusprogramm, denn das Internet ist meistens eine Hauptquelle von elektronischen Infektionen.
Die Tools von AVG und Dr.Web überprüfen den HTTP-Verkehr „on the fly“, d.h. bevor der
Schadcode im Web-Browser ausgeführt oder auf der Festplatte gespeichert wird. Dadurch wird man
solche Anfälligkeit wie Start des Schadcodes im Web-Browser (Internet Explorer, Firefox, Opera usw.)
los. Es werden Archive (in AVG ist diese Option nach den Default-Einstellungen deaktiviert), Skripts,
HTML-Seiten, aktive Inhalte usw. überprüft.
Beide Antiviruslösungen ermöglichen es, Links noch vor dem Weiterleiten und Anzeigen der
angeforderten Seiten zu überprüfen. Der LinkScanner von AVG ist auch mit beliebten Suchmaschinen
(Google, Yahoo!, MSN usw.) kompatibel. Er überprüft die Treffer automatisch und markiert sie
entsprechend.
Ein weiterer Pluspunkt von AVG IS ist die Antivirenüberprüfung des Verkehrs der InstantMessaging-Systeme MSN, ICQ und Yahoo!.
Man hätte auch behaupten können, dass Anwender von AVG vor Internetbedroghungen
komplett geschützt sind. Das Programm weist aber eine niedrige Reakionsgeschwindigkeit von Web
Shield auf und hat offensichtlich Probleme bei der Detektion von Bedrohungen. Viren werden im WebBrowser nicht nur ausgeführt, sondern auch lassen ihre Kopien auf der Festplatte.
http://www.f16.h1.ru/open1.htm
http://www.dangdangdz.com/blog/css/default/down/NBd.gif
http://60.173.10.13/sas.htm
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
http://60.173.10.13/film.htm
http://bins.dns-look-up.com/bins/int/upAYB.int
http://t15968.nb.host-domainlookup.com/bins/int/upd_admn.int?fxp=7c375ae29fbb5b1e477769f4f3e53a1ce918380e25a9e38eb2e6
1c7173b069f40f873316
http://hospegem.land.ru/penca.jpg
http://www.leutheuser.de/mxd.jpg
AVG: nicht detektiert
Dr.Web: blockiert
http://60.173.10.13/asa.htm
http://60.173.10.13/kole009.htm
AVG: speichert, Web Shield findet es, die Datei bleibt aber auf der Festplatte
Dr.Web: blockiert
http://xtpxhtps.idoo.com/MARVEL.js
AVG: Web Shield hat es zuerst nicht entdeckt, dann jedoch detektiert, anschließend durch Residenten
Schutz wieder entdeckt, im Endeffekt (nach dem “Ausbremsen”) erfolgreich neutralisiert. Man kann
aber zu Recht behaupten, dass sich der Schadcode im Web-Browser erfolgreich ausgeführt hat
Dr.Web: blockiert
Residenter Schutz (SpIDer Guard)
Residenter Schutz in AVG IS sowie SpIDer Guard in Dr.Web SS ist ein Datei-Monitor, der
benutzte Dateien in Echtzeit überprüft.
AVG Internet Security 8.5
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
AVG Residenter Schutz hat folgende Default-Einstellungen: über Riskware und Spyware
benachrichtigen, Bootsektoren der Wechseldatenträger scannen und die Heuristik verwenden.
Die automatische Desinfektion wird nicht verwendet, die Überprüfung von Datein beim
Schließen ist deaktiviert (Dateien werden nur beim Kopieren, Öffnen und Speichern überprüft). Es
können auch Ausnahmen definiert werden, Viren können nicht so vielseitig behandelt werden wie bei
Dr.Web SS. Man muss betonen, dass nach den Default-Einstellungen nur bestimmte Dateitypen
überprüft werden und zwar: infizierte Dateien und Dateien folgender Formate
(;386;ASP;BAT;BIN;BMP;BOO;CHM;CLA;CLAS*;CMD;CNM;COM;CPL;DEV;DLL;DO*;DRV;EML;EXE;GIF;HLP;
HT*;INI;JPEG*;JPG;JS*;LNK;MD*;MSG;NWS;OCX;OV*;PCX;PDF;PGM;PHP*;PIF;PL*;PNG;POT;PP*;SCR;SH
S;SMM;SWF;SYS;TIF;VBE;VBS;VBX;VXD;WMF;XL*;XML;ZL*).
Um Viren erfolgeich zu löschen, sind die Administratorrechte bzw. Power-User-Rechte
(Benutzergruppe mit privilegierten Rechten) erforderlich. Oft reicht es aber nicht aus, um den PC
komplett zu desinfizieren (siehe Probleme mit aktiven Infektionen).
Dr.Web Security Space 5.0
Die Default-Konfiguration der Überprüfung bei SpIDer Guard ist optimal. Dateien und
Bootsektoren der Festplatten werden nur beim Erstellen einer neuen Datei bzw. beim Schreiben in einer
vorhandenen Datei (Bootsektor) überprüft, Dateien und Bootsektoren der Wechseldatenträger werden
auch beim Lesen und Programmstart überprüft. Es werden auch Dateien der gestarteten Vorgänge,
laufende Programme und Module sowie Autostart-Listen gescannt. Die Heuristik ist auch aktiviert.
Es werden alle Dateien überprüft (außer Datei- und E-Mail-Archiven). Bei Bedarf kann in den
Einstellungen die Überprüfung von Archiven aktiviert werden. Die Liste von überprüften Dateitypen
kann auch geändert werden. Die oben beschriebene Herangehensweise gilt auch für die Aktionsfolge
gegenüber verschiedenen Malware-Typen. Man kann Ausnahmen sowie weitere Einstellungen
(Absenden von Meldungen, Anzeige der Mahnungen usw.) definieren.
SpIDer Guard wird als Treiber des Systemkernels geladen. Er erhält den vollen Zugriff auf alle
Objekte des Betriebssystems und Benutzer-Dateien und kann jegliche Infektionen leicht neutralisieren.
Elterliche Kontrolle
Die Elterliche Kontrolle ist ein Modul von Dr.Web Security Space. In AVG IS gibt es keine
vergleichbare Komponente.
Dieses Modul stellt für Anwender zwei Funktionen zur Verfügung: URL-Filter und Zugriff auf
lokale Ressourcen. Alle Einstellungen sind vor dem unabsichtlichen/böswilligen Ändern und Deaktivieren
über das Benutzerpasswort geschützt.
URL-Filter
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Diese Funktion schränkt den Zugriff auf Internet-Inhalte ein. Als Kriterium kann eine Liste von
Benutzeradressen sowie die im Voraus erstellten Liste mit mehreren Kategorien gelten: Pornographie,
Gewalt, Waffen, Drogen, Glücksspiele, Schimpfwörter, Chats, Terrorismus, E-Mail, soziale Netzwerke.
Lokalzugriff
Durch diese Option kann der Anwender die Verwendung von Wechseldatenträgern verbieten,
den Zugriff auf das Netzwerk komplett blocken und die Verwendung von einzelnen Dateien und
Verzeichnissen einschränken.
Es ist deshalb unmöglich, diese Einschränkungen zu umgehen, wenn die Elterliche Kontrolle
aktiv ist.
Benutzeroberfläche
Die Benutzeroberflächen in den Programmen unterscheiden sich gravierend.
AVG Internet Security 8.5
In AVG Internet Security 8.5 ist die einheitliche Benutzeroberfläche (GUI) ähnlich wie Control
Center realisiert und stellt ein Anwendungsfenster dar, auf dessen linken Seite man navigiert und rechts
alle Informationen angezeigt werden.
In der Navigationsoberfläche gibts es nur 3 Punkte: Komponentenübersicht, Scannen und
Aktualisierung. Die ersten zwei Punkte werden im Arbeitsbereich des Untermenüs und der dritte Punkt
(Aktualisierung) startet sofort die Programmaktualisierung. Bei diesem Punkt werden auch Statistiken
angezeigt: Version der Komponenten, Datum der letzten Aktualisierung und Überprüfung sowie
Lizenzdaten.
Punkte der Einstellungen und der Verwaltung der Virenqurantäne, das Einsehen der Historie
sowie weitere Funktionen sind im oberen Systemmenü versteckt. Der Zugriff auf diese Funktionen ist
nicht offensichtlich. Um sich mit der Benutzeroberfläche vertraut zu machen, muss man auch mit
hohem Zeitaufwand rechnen.
Die Einstellungen lassen sich nur mühsam ändern. Eine baumartige Struktur der Einstellungen
und eine große Anzahl der nicht immer verständlichen Parameter erschweren die Konfiguration. Um
Änderungen vornehmen zu können, muss man sich in Funktionsprinzipien des Antivirusprogramms
auskennen bzw. mit der jeweiligen Dokumentation vertraut sein.
Im Systemtray befinden sich zwei Icons: das eine – für das Öffnen der Benutzeroberfläche von
AVG IS, das andere – für das Öffnen des Fensters von Identity Protection. Während des Scans auf
Anforderung bzw. nach dem Zeitplan erscheint ein drittes Icon, welches den Status des Scanners
anzeigt.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Doctor Web © Mai 2009
Es müssen noch zwei Punkte hervorgehoben werden: überflüssige Anzahl der Objekte in der
Übersicht und das Aufhängen bei der Arbeit mit AVG UI. Die Registerkarten werden langsam
umgeschaltet usw. AVG Internet Security 8.5 hat ein auch weiteres Problem: ab Aktivierung des
Scanvorganges und bis zum unmittelbaren Start des Scanvorganges vergeht viel Zeit. Der Benutzer
erhält auf einmal keine Antwort von der Benutzeroberfläche und klickt auf dieselbe Schaltfläche
mehrmals. Als Folge werden mehrere Scans gestartet.
Der Erklärungsbedarf besteht auch bei „Automatic scan“. Man muss den Schieberegler
bewegen, um andere Modi anzeigen zu lassen und den Unterschied festzustellen.
Dr.Web Security Space 5.0
Das Icon von SpIDer Agent im Systemtray ist das Hauptelement der Benutzeroberfläche. Über
dieses Element erfolgt die Kommunikation mit allen Einstellungen und Modulen des
Antivirusprogramms: Öffnen der Verwaltung bzw. Einstellungen aller Module (für jede Komponente sind
alle Befehle und Punkte im Submenü gruppiert), Einsehen des Modul-Status (geänderter Status wird
durch verschiedene Icons angezeigt), Deaktivieren/Aktivieren des Selbstschutzes, Aufrufen der Hilfe,
Einsehen der Version der Komponenten und Zugriff auf andere Funktionen (Lizenzmanager, Zeitplaner).
Das Icon im System-Tray zeigt den Funktionsmodus kritischer Komponenten des
Antivirenschutzes (SpIDer Guard und Selbstschutz) an.
Alle Einstellungen sind nach entsprechenden Modulen gruppiert und intuitiv verständlich.
Bei Verwaltungselementen sowie bei der Anzeige gibt es keine Probleme.
© Doctor Web Deutschland GmbH, Rodenbacher Chaussee 6
Tel.: + 49 6181 9060 1210 Fax: + 49 6181 9060 1212
Internet: www.drweb-av.de | www.av-desk.com | E-Mail: [email protected]
Zugehörige Unterlagen
Zum Bericht - Kommunale Initiative Aschaffenburg
Zum Bericht - Kommunale Initiative Aschaffenburg
Falls Ihre Laptops und PCs bereits über einen Virenschutz
Falls Ihre Laptops und PCs bereits über einen Virenschutz
Wichtige Spenderinformation! - Zika-Virus -
Wichtige Spenderinformation! - Zika-Virus -
Online-Banking, elektronische Steuererklärungen, E-Mail
Online-Banking, elektronische Steuererklärungen, E-Mail
Egg Drop Syndrom
Egg Drop Syndrom
Sehr geehrte Kunden und Kundinnen, in letzter Zeit häufen sich in
Sehr geehrte Kunden und Kundinnen, in letzter Zeit häufen sich in
Adressverzeichnis
Adressverzeichnis
Die Aujeszkysche Krankheit (auch Morbus Aujeszky, Pseudowut
Die Aujeszkysche Krankheit (auch Morbus Aujeszky, Pseudowut
PDF 23kB
PDF 23kB
Das VIRUS-FAQ
Das VIRUS-FAQ
merkblatt: newcastle disease (nd)
merkblatt: newcastle disease (nd)
Homöopathische Grippeimpfung – Sinn oder Unsinn?
Homöopathische Grippeimpfung – Sinn oder Unsinn?
Zika-Virus Die Ausbreitung des Zika
Zika-Virus Die Ausbreitung des Zika
Impforientierung - Volksschulamt
Impforientierung - Volksschulamt
Zika-Virus
Zika-Virus
Virusinfektion bei den Mufflons im Wildpark Roggenhausen, Aarau
Virusinfektion bei den Mufflons im Wildpark Roggenhausen, Aarau
Virale hämorrhagische Krankheit der Kaninchen
Virale hämorrhagische Krankheit der Kaninchen
Stationen 2016
Stationen 2016
Zusammenfassung
Zusammenfassung
Rift-Valley-Fieber
Rift-Valley-Fieber
Zika-Virus - Gesundheitsamt DaDi: Home
Zika-Virus - Gesundheitsamt DaDi: Home
Infektionen durch Endoskope sind vermeidbar
Infektionen durch Endoskope sind vermeidbar
Herunterladen
Werbung