HIPS-Meldungen

12/2010

HIPS-Meldungen im Vergleich

Ein Vergleich der HIPS-Meldungen von fünf Programmen unter Windows 7 64-Bit.
Gedacht ist diese Übersicht primär für einen schnellen Vergleich der Art und Komplexität der Meldungen von HIPS-Programmen, denn nur wer die Meldungen eines Schutzprogramms versteht, kann sich mit dem Programm auch vernünftig schützen.

Die Programme der Übersicht

Comodo Firewall 5.0.163652.1142
Kaspersky Internet Security 2011 11.0.1.400
Online Armor Premium 4.5.1.431
Outpost Pro 7.0.4 (3409.520.1244)
Privatefirewall 7.0.22.5

Von jedem Programm wird jeweils eine Meldung der folgenden Schutzarten gezeigt:

• Dateischutz
• Programmschutz
• Registrierungsschutz

Dargestellt werden die Meldungen anhand der Aktionen des Trojan-Spy.Win32.Zbot.aund (Kaspersky Erkennung).
Die Aktionen des Schadprogramms werden bei der jeweiligen Schutzart erläutert.

Getestet wurde mit angepassten Einstellungen, für die Dateischutzmeldung von Outpost wurde eine eigene Regel erstellt.

Dateischutz

Die Startmeldungen der Programme zu diesem Trojaner sind bei der Anleitung Ausführungsschutz zu sehen.

Nach dem Start versucht der Trojaner im Verzeichnis C:\Users\Benutzername\AppData\Roaming\ einen Ordner mit Zufallsnamen und in diesem Ordner eine Programmdatei ebenfalls mit einem Zufallsnamen zu erstellen.
Die Meldungen der Programme dazu sind unten zu sehen.

Comodo Firewall

Kaspersky Internet Security 2011

Online Armor Premium

Outpost Pro

Privatefirewall

Programmschutz

Der Trojaner versucht dann auf den Speicher von Prozessen zuzugreifen.
Auf den Meldungen ist entweder der Zufallsname der Programmdatei und/oder der Name „BitDefender Management Console“ zu sehen.

Comodo Firewall

Kaspersky Internet Security 2011

Online Armor Premium

Outpost Pro

Privatefirewall

Registrierungsschutz

Der Trojaner versucht einen Autostart in die Systemregistrierung zu schreiben.
Als Name des Prozesses ist auf den Meldungen wieder entweder der Zufallsname der Programmdatei und/oder der Name „BitDefender Management Console“ zu sehen.
Bei einigen Meldungen wurde ein Teil der SID unkenntlich gemacht.

Comodo Firewall

Kaspersky Internet Security 2011

Online Armor Premium

Outpost Pro

Privatefirewall

Infos zum verwendeten Schadprogramm:
MD5: 3d876211faba61d07a9b9dc517b4570b
VirusTotal Link
ThreatExpert Report