Was wurde Microsoft schon alles über den Windows Defender um die Ohren geklatscht. Die ganzen selbsternannten Experten, die meinen, den kostenlosen Virenschutz von Windows 10 madig zu machen, können ihr vermeintliches Wissen und ihre Partnerlinks zu Premium-Produkten wieder einpacken. Das Schlangenöl braucht niemand. Bisher warnten viele „Fachmagazine“ vor dem Defender und empfahlen – vermutlich gegen Provision – die „Internet Security“ von Hersteller XYZ. Alles unnütz. Denn der Windows Defender kann ja doch was.
Windows Defender und die riesige Trojaner-Attacke
Der Windows Defender ist kein Programm, welches man sich ggf. gegen Geld von einem der vielen Anbieter installieren muss. Standardmäßig ist der Virenschutz nach der Installation von Windows 10 aktiv. Und er aktualisiert sich kontinuierlich. Nun hat man es bei Microsoft geschafft, mit eben jenem angeblich so unbrauchbaren Windows Defender eine enorme Kampagne mit Malware aufzuhalten. Das hat man geschafft, weil man die Verhaltensüberwachung mit Machine Learning kombiniert hat. Und das kommt allen Anwendern zugute.
Mehr als 80000 Instanzen intelligenter Trojaner wurden aufgehalten. Das geschah am 06. März. Eine neue Version des Schürfers von Kryptowährung, DoFoil (auch als Smoke Loader bekannt), wurde entdeckt. Von ihm gab es um die 400000 Instanzen, 3/4 davon in Russland, knapp 1/5 in der Ukraine, der Rest in der Türkei und anderswo. Mit der so genannten Verhaltensüberwachung, die Azure-basiert ist, wurde die Attacke erkannt. Darauf folgend sendete der Defender Signale an den Cloud Protection Service von Azure. Für Anwender gilt:
Windows 10, Windows 8.1, and Windows 7 users running Windows Defender AV or Microsoft Security Essentials are all protected from this latest outbreak.
(Nutzer von Windows 10, 8.1 und 7, die Windows Defender oder Microsoft Security Essentials laufen haben, sind geschützt.)
Was ist DoFoil?
Es handelt sich um das Schürfen von Kryptowährungen mittels Schadsoftware. Das neueste dieser Schadprogramme ist DoFoil. Da der Wert von Bitcoin und anderen Kryptowährungen weiter steigt, sehen Malware-Betreiber die Möglichkeit, bei ihren Angriffen auch Komponenten für das Mining zu verwenden. Und dabei nutzen sie auch Lücken aus. Diese Exploit Kits nutzen jetzt Mining-Software statt der Erpressersoftware (Ransomware). So ungefähr funktionieren einige Trojaner, die wegen der Kryptowährung unterwegs sind.
DoFoil wurde erkannt, weil ein Trojaner die Auslastung des Prozessors aufgrund der explorer.exe signifikant erhöht hatte. Dabei wird „Process Hollowing“ verwendet, womit die an sich legitime explorer.exe ausgetauscht und durch eine manipulierte Datei ersetzt wird, in die Schadcode injiziert wurde. Der Nutzer hatte während der Attacke nur mitbekommen, dass der Windows Defender neue Viren angezeigt hatte: Fuery, Fuerboos, Cloxer oder Azden. Diese Namen wurden durch die Algorithmen vergeben.
Ganze Arbeit von Microsoft
Ja, ich weiß, das klingt wie ein Loblied. Vielleicht hat ja der Uhle auch Kohle von Microsoft bekommen. Nein, hat er nicht. Aber ich halte das schon für eine ziemlich großartige Sache. Die ganzen „Magazine“, die nicht besseres als Werbeplakate sind, für die der Leser ggf. sogar zahlt, schrieben immer, dass der Windows Defender nichts taugt und man stattdessen auf „<irgendein Hersteller> Internet Security“ für „nur“ irgendeinen zweistelligen Betrag pro Jahr zurückgreifen soll.
Alles Quatsch. Es gibt so viele Produkte, für die der Kunde einiges an Geld pro Jahr überweist und die nicht mehr taugen, als der kostenlose Schutz von Microsoft. Naja, was heißt kostenlos? Den Windows Defender bezahle ich ja mit, wenn ich mir Windows kaufe. Aber spätestens diese riesige Attacke, die da abgewehrt wurde, sollte genügend Argumente liefern, dass man nicht in jedem Fall den Schlangenöl-Verkäufern Glauben schenken sollte. Denn egal, welche „Internet Security“ – oder wie es auch immer heißt – Sie einsetzen, die macht meistens nicht viel anders als der Windows Defender.
Microsoft hat hier gewaltig dazu gelernt. Gerade, was Angriffe auf Azure und Office 365 betrifft, muss der Anbieter gewappnet sein. Und wenn schon der Cloud Protection Service die Cloud-Technologie schützt und auf die gleiche Technologie wie der Windows Defender setzt, soll doch der lokal wirkende Antivirus den gleichen Schutz genießen. Das ist dann in meinen Augen ganze Arbeit. Und es zeigt zum wiederholten Male, dass der Windows Defender gar nicht so schlecht sein kann.
Guter Artikel. Ich hab noch nie was auf die ganzen „Schlechtmacher-Artikel“ gegeben und bin sein es bei Windows dabei ist nur mit dem Defender unterwegs. Davor hatte ich jahrelang keinen Virenschutz oder ähnliches und mir ist trotz das ich täglich viele Stunden im Netz unterwegs bin, nie was passiert. Den egal wie gut der Schutz ist, der Satz gilt immer noch: Das Problem sitz in der Regel vor dem Monitor…
Hallo Markus, danke für deinen Kommentar. Nein, die Schlechtmacher taugen meistens nicht allzu viel. Das Credo ist ja irgendwas in die Richtung „Ist von Microsoft und deshalb bäh“. Du hast Recht, oftmals reicht der gesunde Menschenverstand, um den meisten Gefahren aus dem Weg zu gehen. Aber auch mir ist mal ein Virenbefall passiert. Und das trotz „brain.exe“.