Kann man Microsofts kostenlose Antiviruslösung, die Microsoft Security Essentials (kurz MSE), einfach so im Vorbeigehen deaktivieren und den Anwender schutzlos zurück lassen?
SemperVideo, ein populärer YouTube-Channel mit fast 46.000 Abonnenten, veröffentlichte vor wenigen Tagen ein Video, welches demonstriert, wie angeblich einfach es ist, die Security Essentials auszuknipsen und damit den Schutz vor Viren und anderen Schadprogrammen aufzuheben.
Dieses Video ist gemeint:
Microsoft Security Essentials angreifen - YouTube
Das sieht auf den ersten Blick äußerst beunruhigend aus, daher haben wir uns den Fall genauer angeschaut und sind uns sicher, Entwarnung geben zu können.
In diesem angeblichen Enthüllungsvideo wird gezeigt, wie MSE zunächst einen Testvirus korrekt erkennt, Alarm schlägt und das System bereinigt. Danach wird eine Anwendung mit dem Namen "kill-msse" auf dem Desktop platziert und mit MSE gescannt - ohne dass das Programm diese als schädlich einstuft (warum das so ist, erklären wir weiter unten).
Nachdem das Programm gestartet wurde, verschwindet das Benachrichtigungssymbol von MSE aus der Infoleiste.
Damit wird suggeriert und im Video auch behauptet, die Security Essentials seien abgestürzt bzw. beendet worden und der Computer sei nun quasi schutzlos.
Das ist jedoch mitnichten der Fall, wie wir im Selbsttest beweisen konnten.
Was passiert hier wirklich?
Was hier "abgeschossen" wird, ist der Prozess msseces.exe - hierbei handelt es sich um die grafische Oberfläche von MSE.
Wenn dieser Prozess beendet wird, kann das Programm nicht mehr mit dem Anwender interagieren - auf die Schutzfunktionen von MSE hat dies jedoch keinerlei Auswirkungen.
Die Kernkomponente der Security Essentials bildet nämlich der Systemdienst "Microsoft Antimalware Service" mit dem Prozess MsMpEng.exe - dieser läuft auch nach dem Beenden der Oberfläche weiter und unterbindet jeden Zugriff auf Dateien, die als schädlich eingestuft wurden, auch ohne dass eine Nachricht auf dem Desktop angezeigt wird (siehe Video am Ende des Artikels).
Ein weiterer zu MSE gehöriger Systemdienst ist "Microsoft-Netztwerkinspektion" (NisSrv.exe), welcher den Einfall schädlicher Dateien über das Netzwerk verhindert - auch dieser läuft unbeeindruckt weiter, wenn das Oberflächenprogramm beendet wird.
Ein Blick in den Taskmanager verrät uns weitere wichtige Details:
Hier kann man sehen, dass der Prozess msseces.exe - also das Oberflächenprogramm - mit normalen Benutzerrechten ausgeführt wird. Das ist notwendig, damit der Anwender z.B. manuelle Definitionsupdates vornehmen oder die Einstellungen des Programms verändern kann - und es erklärt natürlich, warum es vergleichsweise einfach ist, diesen Prozess zu beenden - was dem Benutzer gehört, darf er auch selbst verwalten. Dennoch muss ein entsprechendes "Killer-Programm" von Hand gestartet werden.
Die beiden Systemdienste MsMpEng.exe und NisSrv.exe laufen jedoch unter den Konten "System" bzw. "Lokaler Dienst" - um diese zu beenden, sind Administratorrechte erforderlich. Außerdem starten diese Dienste sofort von selbst neu, wenn sie über den Taskmanager manuell beendet werden, wie wir Ihnen im Video am Ende des Artikels demonstrieren.
Wenn diese Dienste über ein externes Programm beendet werden, schlägt sofort das Wartungscenter von Windows 7 Alarm und weist uns darauf hin, dass das Antivirenprogramm außer Dienst ist - und mit nur einem Klick kann man es wieder starten.
Natürlich lässt sich auch diese Warnmeldung durch eine geänderte Einstellung im Wartungscenter unterbinden, aber um all dies zu bewerkstelligen, müsste der Angreifer entweder selbst vor dem betroffenen Computer Platz nehmen können, um die Aktionen auszuführen - oder aber der Anwender müsste dazu verleitet werden, ein Programm zu starten, welches diese Änderungen vornimmt bzw. Fernzugriff auf das System ermöglicht. Da hierfür Administratorrechte erforderlich sind, würde die Benutzerkontensteuerung anschlagen und den Bestätigungsdialog anzeigen. Spätestens hier müsste der Anwender aufmerksam und misstrauisch werden.
Gegen Anwender, die sorglos drauf los klicken und "nervige" Sicherheitsabfragen ohne zu lesen bestätigen, ist dann leider auch die beste Schutzsoftware machtlos.
Sie fragen sich vielleicht noch, warum MSE beim Prüfen des oben erwähnten "kill-msse" keinen Alarm ausgibt?
Das hat den einfachen Grund, dass es sich weder um einen Virus noch um ein virusähnliches Programm handelt - es ist eine einfache Routine, welches ein im Kontext des angemeldeten Benutzers laufendes Programm beendet. Würden solche Routinen als gefährlich eingestuft, müssten im Minutentakt Alarme ausgegeben werden.
Zusammenfassend kann man sagen, dass dieser Clip von SemperVideo substanzlos erscheint und eher nach Taschenspielerei als nach einem ernstzunehmenden Test aussieht. Dass die bloße Beendigung der Oberfläche keine Auswirkung auf die Schutzfunktionen von Microsoft Security Essentials hat, war den Machern des Videos entweder nicht klar, oder - was wir nicht hoffen wollen - sie haben es bewusst verschwiegen.
Kritische Berichterstattung über Sicherheitssoftware ist richtig und wichtig. Wenn ein Programm Schwächen hat, dann sollten diese schonungslos aufgedeckt werden - schließlich geht es hier um Programme, denen die Anwender vertrauen.
Mit billiger Sensationsmache, die den Anwender verunsichert zurücklässt, ist jedoch niemandem geholfen.
Das folgende Video veranschaulicht, was wirklich geschieht, wie Microsoft Security Essentials trotz deaktivierter Oberfläche weiterhin schützt und welche Meldungen ausgegeben werden, wenn versucht wird, das Programm außer Kraft zu setzen.
Microsoft Security Essentials leicht auszuschalten?
(für optimale Darstellung im Vollbildmodus anschauen)
SemperVideo, ein populärer YouTube-Channel mit fast 46.000 Abonnenten, veröffentlichte vor wenigen Tagen ein Video, welches demonstriert, wie angeblich einfach es ist, die Security Essentials auszuknipsen und damit den Schutz vor Viren und anderen Schadprogrammen aufzuheben.
Dieses Video ist gemeint:
Microsoft Security Essentials angreifen - YouTube
Das sieht auf den ersten Blick äußerst beunruhigend aus, daher haben wir uns den Fall genauer angeschaut und sind uns sicher, Entwarnung geben zu können.
In diesem angeblichen Enthüllungsvideo wird gezeigt, wie MSE zunächst einen Testvirus korrekt erkennt, Alarm schlägt und das System bereinigt. Danach wird eine Anwendung mit dem Namen "kill-msse" auf dem Desktop platziert und mit MSE gescannt - ohne dass das Programm diese als schädlich einstuft (warum das so ist, erklären wir weiter unten).
Nachdem das Programm gestartet wurde, verschwindet das Benachrichtigungssymbol von MSE aus der Infoleiste.
Damit wird suggeriert und im Video auch behauptet, die Security Essentials seien abgestürzt bzw. beendet worden und der Computer sei nun quasi schutzlos.
Das ist jedoch mitnichten der Fall, wie wir im Selbsttest beweisen konnten.
Was passiert hier wirklich?
Was hier "abgeschossen" wird, ist der Prozess msseces.exe - hierbei handelt es sich um die grafische Oberfläche von MSE.
Wenn dieser Prozess beendet wird, kann das Programm nicht mehr mit dem Anwender interagieren - auf die Schutzfunktionen von MSE hat dies jedoch keinerlei Auswirkungen.
Die Kernkomponente der Security Essentials bildet nämlich der Systemdienst "Microsoft Antimalware Service" mit dem Prozess MsMpEng.exe - dieser läuft auch nach dem Beenden der Oberfläche weiter und unterbindet jeden Zugriff auf Dateien, die als schädlich eingestuft wurden, auch ohne dass eine Nachricht auf dem Desktop angezeigt wird (siehe Video am Ende des Artikels).
Ein weiterer zu MSE gehöriger Systemdienst ist "Microsoft-Netztwerkinspektion" (NisSrv.exe), welcher den Einfall schädlicher Dateien über das Netzwerk verhindert - auch dieser läuft unbeeindruckt weiter, wenn das Oberflächenprogramm beendet wird.
Ein Blick in den Taskmanager verrät uns weitere wichtige Details:
Hier kann man sehen, dass der Prozess msseces.exe - also das Oberflächenprogramm - mit normalen Benutzerrechten ausgeführt wird. Das ist notwendig, damit der Anwender z.B. manuelle Definitionsupdates vornehmen oder die Einstellungen des Programms verändern kann - und es erklärt natürlich, warum es vergleichsweise einfach ist, diesen Prozess zu beenden - was dem Benutzer gehört, darf er auch selbst verwalten. Dennoch muss ein entsprechendes "Killer-Programm" von Hand gestartet werden.
Die beiden Systemdienste MsMpEng.exe und NisSrv.exe laufen jedoch unter den Konten "System" bzw. "Lokaler Dienst" - um diese zu beenden, sind Administratorrechte erforderlich. Außerdem starten diese Dienste sofort von selbst neu, wenn sie über den Taskmanager manuell beendet werden, wie wir Ihnen im Video am Ende des Artikels demonstrieren.
Wenn diese Dienste über ein externes Programm beendet werden, schlägt sofort das Wartungscenter von Windows 7 Alarm und weist uns darauf hin, dass das Antivirenprogramm außer Dienst ist - und mit nur einem Klick kann man es wieder starten.
Natürlich lässt sich auch diese Warnmeldung durch eine geänderte Einstellung im Wartungscenter unterbinden, aber um all dies zu bewerkstelligen, müsste der Angreifer entweder selbst vor dem betroffenen Computer Platz nehmen können, um die Aktionen auszuführen - oder aber der Anwender müsste dazu verleitet werden, ein Programm zu starten, welches diese Änderungen vornimmt bzw. Fernzugriff auf das System ermöglicht. Da hierfür Administratorrechte erforderlich sind, würde die Benutzerkontensteuerung anschlagen und den Bestätigungsdialog anzeigen. Spätestens hier müsste der Anwender aufmerksam und misstrauisch werden.
Gegen Anwender, die sorglos drauf los klicken und "nervige" Sicherheitsabfragen ohne zu lesen bestätigen, ist dann leider auch die beste Schutzsoftware machtlos.
Sie fragen sich vielleicht noch, warum MSE beim Prüfen des oben erwähnten "kill-msse" keinen Alarm ausgibt?
Das hat den einfachen Grund, dass es sich weder um einen Virus noch um ein virusähnliches Programm handelt - es ist eine einfache Routine, welches ein im Kontext des angemeldeten Benutzers laufendes Programm beendet. Würden solche Routinen als gefährlich eingestuft, müssten im Minutentakt Alarme ausgegeben werden.
Zusammenfassend kann man sagen, dass dieser Clip von SemperVideo substanzlos erscheint und eher nach Taschenspielerei als nach einem ernstzunehmenden Test aussieht. Dass die bloße Beendigung der Oberfläche keine Auswirkung auf die Schutzfunktionen von Microsoft Security Essentials hat, war den Machern des Videos entweder nicht klar, oder - was wir nicht hoffen wollen - sie haben es bewusst verschwiegen.
Kritische Berichterstattung über Sicherheitssoftware ist richtig und wichtig. Wenn ein Programm Schwächen hat, dann sollten diese schonungslos aufgedeckt werden - schließlich geht es hier um Programme, denen die Anwender vertrauen.
Mit billiger Sensationsmache, die den Anwender verunsichert zurücklässt, ist jedoch niemandem geholfen.
Das folgende Video veranschaulicht, was wirklich geschieht, wie Microsoft Security Essentials trotz deaktivierter Oberfläche weiterhin schützt und welche Meldungen ausgegeben werden, wenn versucht wird, das Programm außer Kraft zu setzen.
Microsoft Security Essentials leicht auszuschalten?
(für optimale Darstellung im Vollbildmodus anschauen)
Zuletzt bearbeitet: