Windows-Defender-Ausnahmen riechen nach Malware

Der Großteil der Ausnahmen für das Antivirenprogramm Windows Defender wird von Malware selbst festgelegt, wie Nachforschungen von Avira Protection Services ergeben haben.

„Wir bekommen aktuell über zehntausend Einträge zu einzigartigen Windows-Defender-Ausnahmen pro Tag. 95 Prozent davon sind eindeutig für Malware“, sagt Mikel Echevarria Lizarraga, Senior Virus Analyst bei Avira Protection Services.

Die Möglichkeit, Ausnahmen für Antivirenprogramme und andere Sicherheitslösungen wie den Windows Defender zu definieren, soll dem Endbenutzer das Leben erleichtern, indem er bestimmte Elemente von der Überwachung ausnehmen kann. Sobald der Nutzer eine Ausnahme festgelegt hat, ignoriert das Antivirus diese Datei oder diesen Pfad in Zukunft. Das beschleunigt bestimmte Abläufe und senkt das Risiko für Fehlalarme. Es öffnet aber auch die Tür für einige Arten von Malware.

„Ich glaube nicht, dass irgendein Antivirenprodukt von solchen Angriffen verschont bleibt, aber bei einigen muss der Hacker raffinierter ans Werk gehen, um erfolgreich zu sein“, sagt Lizarraga. „Das Hauptproblem bei Windows Defender ist, dass er zusammen mit dem Betriebssystem von Microsoft ein so großes Ziel darstellt, dass es Hacker speziell darauf absehen.“

Malware- und Adware-Familien wie Wajam und Zdengo haben gezielt die Fähigkeit entwickelt, Ausnahmen zu Windows Defender hinzuzufügen. Indem sie für sich selbst eine Ausnahme definieren, können sie infizierte und verdächtige Anzeigen auf das betroffene Gerät einschleusen, ohne erwischt zu werden.

„Generell ist Windows Defender für den Nutzer sehr transparent, aber nur wenige Menschen öffnen überhaupt die Benutzeroberfläche und entdecken die schädlichen Ausnahmen“, erklärt Lizarraga.

Der Ansatz von Avira

Das Avira Team hat Daten von Windows-Rechnern analysiert, die zuvor durch Avira Antivirus bereinigt worden waren. Avira Antivirus hatte auf diesen Geräten automatisch unnormales Verhalten oder einen Malware-Befall festgestellt, berichtet und anschließend entfernt. Dabei prüfte das Team insbesondere die Registrierungsschlüssel und Unterschlüssel von „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions“, dem Registrierungspfad, unter dem alle Ausnahmen für Windows Defender zu finden sind.

Brasilien überholt Deutschland

Verdächtige Ausnahmen wurden weltweit gefunden, nicht nur in schwächer entwickelten oder weniger wohlhabenden Ländern mit stärkerer Verbreitung von unlizenzierter Software. Im weltweiten Ranking fiel Deutschland kürzlich auf den zweiten Platz hinter Brasilien. Italien zog an Thailand, den Philippinen und Frankreich vorbei auf den 8. Platz.

Die 12 Länder mit den meisten Windows-Defender-Ausnahmen für Malware sind:

  1. Brasilien
  2. Deutschland
  3. Indonesien
  4. Russland
  5. Ägypten
  6. Ukraine
  7. Indien
  8. Italien
  9. Thailand
  10. Philippinen
  11. Frankreich
  12. Mexiko

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.