Anzeige

Am Puls von Microsoft

Anzeige

Microsoft Security Essentials leicht auszuschalten?

Martin

Webmaster
Teammitglied
Kann man Microsofts kostenlose Antiviruslösung, die Microsoft Security Essentials (kurz MSE), einfach so im Vorbeigehen deaktivieren und den Anwender schutzlos zurück lassen?
SemperVideo, ein populärer YouTube-Channel mit fast 46.000 Abonnenten, veröffentlichte vor wenigen Tagen ein Video, welches demonstriert, wie angeblich einfach es ist, die Security Essentials auszuknipsen und damit den Schutz vor Viren und anderen Schadprogrammen aufzuheben.
Dieses Video ist gemeint:
Microsoft Security Essentials angreifen - YouTube

Das sieht auf den ersten Blick äußerst beunruhigend aus, daher haben wir uns den Fall genauer angeschaut und sind uns sicher, Entwarnung geben zu können.
In diesem angeblichen Enthüllungsvideo wird gezeigt, wie MSE zunächst einen Testvirus korrekt erkennt, Alarm schlägt und das System bereinigt. Danach wird eine Anwendung mit dem Namen "kill-msse" auf dem Desktop platziert und mit MSE gescannt - ohne dass das Programm diese als schädlich einstuft (warum das so ist, erklären wir weiter unten).
Nachdem das Programm gestartet wurde, verschwindet das Benachrichtigungssymbol von MSE aus der Infoleiste.
Damit wird suggeriert und im Video auch behauptet, die Security Essentials seien abgestürzt bzw. beendet worden und der Computer sei nun quasi schutzlos.
Das ist jedoch mitnichten der Fall, wie wir im Selbsttest beweisen konnten.


Was passiert hier wirklich?

Was hier "abgeschossen" wird, ist der Prozess msseces.exe - hierbei handelt es sich um die grafische Oberfläche von MSE.
Wenn dieser Prozess beendet wird, kann das Programm nicht mehr mit dem Anwender interagieren - auf die Schutzfunktionen von MSE hat dies jedoch keinerlei Auswirkungen.

Die Kernkomponente der Security Essentials bildet nämlich der Systemdienst "Microsoft Antimalware Service" mit dem Prozess MsMpEng.exe - dieser läuft auch nach dem Beenden der Oberfläche weiter und unterbindet jeden Zugriff auf Dateien, die als schädlich eingestuft wurden, auch ohne dass eine Nachricht auf dem Desktop angezeigt wird (siehe Video am Ende des Artikels).
Ein weiterer zu MSE gehöriger Systemdienst ist "Microsoft-Netztwerkinspektion" (NisSrv.exe), welcher den Einfall schädlicher Dateien über das Netzwerk verhindert - auch dieser läuft unbeeindruckt weiter, wenn das Oberflächenprogramm beendet wird.

Ein Blick in den Taskmanager verrät uns weitere wichtige Details:

mse_prozesse.jpg


Hier kann man sehen, dass der Prozess msseces.exe - also das Oberflächenprogramm - mit normalen Benutzerrechten ausgeführt wird. Das ist notwendig, damit der Anwender z.B. manuelle Definitionsupdates vornehmen oder die Einstellungen des Programms verändern kann - und es erklärt natürlich, warum es vergleichsweise einfach ist, diesen Prozess zu beenden - was dem Benutzer gehört, darf er auch selbst verwalten. Dennoch muss ein entsprechendes "Killer-Programm" von Hand gestartet werden.
Die beiden Systemdienste MsMpEng.exe und NisSrv.exe laufen jedoch unter den Konten "System" bzw. "Lokaler Dienst" - um diese zu beenden, sind Administratorrechte erforderlich. Außerdem starten diese Dienste sofort von selbst neu, wenn sie über den Taskmanager manuell beendet werden, wie wir Ihnen im Video am Ende des Artikels demonstrieren.

Wenn diese Dienste über ein externes Programm beendet werden, schlägt sofort das Wartungscenter von Windows 7 Alarm und weist uns darauf hin, dass das Antivirenprogramm außer Dienst ist - und mit nur einem Klick kann man es wieder starten.

mse_warnung.jpg


Natürlich lässt sich auch diese Warnmeldung durch eine geänderte Einstellung im Wartungscenter unterbinden, aber um all dies zu bewerkstelligen, müsste der Angreifer entweder selbst vor dem betroffenen Computer Platz nehmen können, um die Aktionen auszuführen - oder aber der Anwender müsste dazu verleitet werden, ein Programm zu starten, welches diese Änderungen vornimmt bzw. Fernzugriff auf das System ermöglicht. Da hierfür Administratorrechte erforderlich sind, würde die Benutzerkontensteuerung anschlagen und den Bestätigungsdialog anzeigen. Spätestens hier müsste der Anwender aufmerksam und misstrauisch werden.

Gegen Anwender, die sorglos drauf los klicken und "nervige" Sicherheitsabfragen ohne zu lesen bestätigen, ist dann leider auch die beste Schutzsoftware machtlos.
Sie fragen sich vielleicht noch, warum MSE beim Prüfen des oben erwähnten "kill-msse" keinen Alarm ausgibt?
Das hat den einfachen Grund, dass es sich weder um einen Virus noch um ein virusähnliches Programm handelt - es ist eine einfache Routine, welches ein im Kontext des angemeldeten Benutzers laufendes Programm beendet. Würden solche Routinen als gefährlich eingestuft, müssten im Minutentakt Alarme ausgegeben werden.

Zusammenfassend kann man sagen, dass dieser Clip von SemperVideo substanzlos erscheint und eher nach Taschenspielerei als nach einem ernstzunehmenden Test aussieht. Dass die bloße Beendigung der Oberfläche keine Auswirkung auf die Schutzfunktionen von Microsoft Security Essentials hat, war den Machern des Videos entweder nicht klar, oder - was wir nicht hoffen wollen - sie haben es bewusst verschwiegen.

Kritische Berichterstattung über Sicherheitssoftware ist richtig und wichtig. Wenn ein Programm Schwächen hat, dann sollten diese schonungslos aufgedeckt werden - schließlich geht es hier um Programme, denen die Anwender vertrauen.
Mit billiger Sensationsmache, die den Anwender verunsichert zurücklässt, ist jedoch niemandem geholfen.

Das folgende Video veranschaulicht, was wirklich geschieht, wie Microsoft Security Essentials trotz deaktivierter Oberfläche weiterhin schützt und welche Meldungen ausgegeben werden, wenn versucht wird, das Programm außer Kraft zu setzen.

Microsoft Security Essentials leicht auszuschalten?
(für optimale Darstellung im Vollbildmodus anschauen)
 
Zuletzt bearbeitet:
Anzeige
G

Golem

Gast
Hallo Martin,

Super Video, aber...
Pausen zu lang, Stimme zu steif.

Duck und weg.
 

Martin

Webmaster
Teammitglied
Damit kann ich leben.
Wenn Du gesagt hättest "tolle Stimme, perfekte Artikulation, exaktes Timing - aber nur Sch.... erzählt" - das hätte mich getroffen ;).
 

opi

nicht mehr wegzudenken
@
martin
das ist genau die richtige antwort auf diese sensations meldungen,wie sch.... alles von MS ist.

grüsse
 

Skifan

gehört zum Inventar
Also ich finde das Video super! (y)

Meiner Meinung nach können so auch Nichtcomputerexperten nachvollziehen,
um was es geht. :)

Zum Inhalt:
Das wäre ja zu einfach gewesen, wenn man MSE so ohne weiteres abschalten könnte. :eek:
 

OldGrey

nicht mehr wegzudenken
Hallo -ALLE- und danke Martin,

was sich manche Leute so für'n Quatsch einfallen lassen, aber ich glaube das das ganz gezielt von statten geht, wenn man sich die eigenartige Berichterstattung der letzten Tage ansieht.
Na, von mir aus! Die Devise ist:" Nicht kirre machen lassen ..". Ich jedenfalls bleibe bei MSE.

Tschüßchen

OldGrey
 

Marco1976

Bin (fast) immer da
Also, ich bin überzeugt davon, dass geschickte Virenbauer durchaus in der Lage sind, sämtliche Antivirenprogramme, egal ob MSE, Norton, Kaspersky, Avira, oder sonstwas, zumindest kurzfristig außer Betrieb zu setzen (Wenn ich es als User kann, wieso, sollte es z.B. nicht auch n cmd-Befehl, können?).
Zumindest solange, bis die AV-Programmierer dem Virus n Desinfektionsprogramm entgegen werfen können (sollte relativ schnell gehen).
Damit werden wir wohl leben müssen.

Martin in allen Ehren und Danke für die Aufdeckung des Fakes, aber ich denke schon, dass die Admin-Rechte über n gefickt eingeschädeltes:ROFLMAO: Schadprogramm durchaus angeeignet werden können, sodass ein tatsächliches Deaktivieren der AV-Dienste vollzogen werden kann. Die Vorführung des Semper-Video-Experten (verarsche pur:rofl) kann jeder mit egal was für nem AV-Programm und mit nem Bissel (naja, eher ganz viel) Geschick sich selbst zusammenbauen (sogar so, dass es wirklich funzt).

Starke Vermutung: Ich möchte wetten, dass der Vorführer von ner kostenpflichtigen AV-Firma (keine Ahnung, wer die Übeltäterfirma sein könnte) angeworben wurde, um viele unerfahrene User zu nem Kauf einer kostenpflichtigen und sicheren (?????, wohl eher genauso wenig) zu überreden.
 

BlueDiamond

kennt sich schon aus
Hallo Martin,
herzlichen Dank, dass Du Dir so viel Mühe gegeben hast, um aufzuklären:).
Als blutige Anfängerin, wie ich eine bin, läßt man sich sehr schnell durch Berichte verunsichern und je mehr man liest, desto unsicherer könnte man werden;).
Deine Erklärungen und Demonstrationen waren aber so klar und verständlich, daß sogar eine Anfängerin wie ich verstanden hat, worum es geht.

Lg
BlueDiamond
 

0815_neu

Sparkylinux Antester
oder - was wir nicht hoffen wollen - sie haben es bewusst verschwiegen.
Das ist auch meine Vermutung. Wenn ich jetzt ein Youtube Konto besitzen täte würde ich einfach mal die DR. Windows Darstellung posten wollen aber da das nicht der Fall ist....
 
Zuletzt bearbeitet:

R-R

kein Titel
Ja, der MSE Schutzprozess ist über eine Injektion in die lsass.exe, die dann beim nächsten Start eine DLL in ihrem Prozess ausführt und welcher die Prozesse periodisch durch enummeriert und passend killt, deaktivierbar.
Nein, es ist nicht trivial.
Nein, MSE hat keinerlei Schutz gegen die Methode, wenn der Schädling nicht vorher erkannt und gestoppt wurde.
Ja, MS weiß das schon seit längerem aber kann es nicht wirklich unterbinden.

Ist MS unfähig?
Eindeutig Nein, denn das müsste aber auf direkt im Betriebssystem geschehen (also auch ohne MSE) und würde diverse völlig normale Anwendungen, die Teile der Gesamt Methode verwenden, ebenfalls deaktivieren. Wenn geschätzte 20-30% aller existierenden Anwendungen plötzlich nicht mehr laufen würden, weil MS etwas dagegen unternommen hat, würde das zu größeren Irritationen bei den Microsoft Kunden führen, als das relativ geringe Restrisiko, welches derzeit besteht.

Das ist aber alles unerheblich, denn auch MSE entdeckt, wie alle anderen auch, nicht alles - und ein unentdeckter Virus muss MSE garnicht deaktivieren, der funktioniert auch so ganz prima ;)
 

Martin

Webmaster
Teammitglied
Ja, der MSE Schutzprozess ist über eine Injektion in die lsass.exe, die dann beim nächsten Start eine DLL in ihrem Prozess ausführt und welcher die Prozesse periodisch durch enummeriert und passend killt, deaktivierbar.
Sind dafür lokale Adminrechte erforderlich? Wenn ja, ist es auch keine Lücke, und es gibt auch nichts zu fixen.
 

R-R

kein Titel
Klappt vom Userspace aus. Das gemeine ist, dass nach dem Neustart die lsass.exe die eigentliche Arbeit übernimmt und die injizierte Datei selbst ausführt. Man sollte schon meinen, dass der "Lokale Sicherheits Authentifizierungsservice Server" alle nötigen Rechte selbst mitbringt (Systemprozess, ohne den läuft nichts, der startet letztendlich logon und übergibt das Sicherheitstoken bei der Authentifizierung). Die Infektion dieses Teils ist allerdings nicht trivial, denn MS hat den Weg dahin schon im System mit vielen Hindernissen gespickt und alleine der Versuch (also das was vor dem Neustart erfolgt) sollte theoretisch in den meisten Fällen von einer AV Software erkannt werden.

Das war auch nur als ein mögliches (verifiziertes) Szenario gedacht, wie man nicht nur MSE, sondern alle bis auf 3 AV Softs (die den selben Mechanismus benutzen, aber diesmal um sich selbst zu schützen. Ein Schwert hat halt 2 Schneiden ;)) wirklich deaktivieren kann.

Wenn ich Malware Autor wäre, würde ich den Aufwand aber dennoch nicht treiben, da es sich einfach nicht lohnt. Ich bin mir zu 100% sicher, dass es noch mindestens 500 andere fette Lücken im Betriebssystem oder Anwendungsprogrammen gibt, die darauf warten gefunden zu werden und sich viel einfacher ausnutzen lassen als das. Zeit ist Geld - auch für Malware Autoren.
 
Anzeige
Oben