Erkennungen im WebGuard
Transcription
Erkennungen im WebGuard
#Produktname | Kurzanleitung Erkennungen im WebGuard Support September 2010 www.avira.de Irrtümer und technische Änderungen vorbehalten © Avira GmbH Inhaltsverzeichnis Einleitung .................................................................................................................... 3 Beispielhafte Erkennungen ......................................................................................... 4 Weitere Erkennungen ................................................................................................. 5 Testmöglichkeiten – WebGuard testen ....................................................................... 5 Mögliche Fragen und Antworten ................................................................................. 6 Erkennungen im WebGuard | Kurzanleitung Einleitung Diese Kurzanleitung behandelt die verschiedenen Erkennungstypen des WebGuard. Eine Erkennung im WebGuard von Avira AntiVir kann verschiedene Ursachen haben. Eine Erkennung kann hervorgerufen werden durch: • Aufruf von infizierten Dateien im Internet • Besuch einer Website die zum Beispiel Malware verbreitet oder Phishing betreibt • Seiten die durch den Proventia Web Filter (Cobion) gefiltert werden Hierbei greift der WebGuard auf folgende Quellen zurück: • Virendefinitionsdatei (VDF) und Engine • Webcat Datenbank • IBM Proventia Web Filter (Cobion) Die VDF meldet einen Fund nur, wenn hierfür ein Eintrag für eine infizierte Datei besteht. Die Engine arbeitet mit einer generischen und einer heuristischen Erkennung. Die Webcat enthält eine Datenbank verschiedener Webseiten der folgenden Kategorien: Malware, Phishing, Spam sowie Betrug und Täuschung. Der Proventia Web Filter erweitert die Datenbank mit Echtzeitabfragen und weiteren Kategorien. Beachten Sie bitte, dass der Proventia Web Filter nur in den folgenden Produkten zur Verfügung steht: • Avira AntiVir Premium Security Suite • Avira WebProtector (für KEN!) • Avira WebGate Suite Stand: 08.09.2010 3 Erkennungen im WebGuard | Kurzanleitung Beispielhafte Erkennungen [ERMITTLUNG] [860] Die URL (http://www.site.com/) wurde als Betrug / Täuschung(c) ermittelt. Sie wurde blockiert Diese Erkennung gehört zur Webcat, da sie mit einem (c) gekennzeichnet wurde. [ERMITTLUNG] [964] Die URL (http://www.site.com/test_61.html) wurde als Malware(p) ermittelt. Sie wurde blockiert Diese Erkennung gehört zu Cobion. Hier ist die Kategorie "Malware" aktiv. Das Erkennungsmerkmal ist das (p). Dies steht für den IBM Proventia Web Filter. [ERMITTLUNG] [907] Die URL (http://www.site.com/malware-test.html) wurde als Malware(c) ermittelt. Sie wurde blockiert Diese Erkennung gehört zur Webcat mit der Kategorie Malware, da sie mit einem (c) gekennzeichnet wurde. Die Kategorien können in der Konfiguration unter "WebGuard → Suche → Gesperrte Zugriffe → Web-Filter" festgelegt werden. [INFO] [856] Die URL (http://www.site.com/) wurde als Illegale Aktivitäten ermittelt. Sie wurde blockiert Diese Erkennung gehört zum IBM Proventia Web Filter, da diese Kategorie nicht in der Webcat vorhanden ist. [INFO] [959] Die URL (http://www.site.com/index.php) wurde als Pornografie ermittelt. Sie wurde blockiert Diese Erkennung gehört zum IBM Proventia Web Filter, da diese Kategorie nicht in der Webcat vorhanden ist. [INFO] [968] Die URL (http://www.site.com/) wurde in der Blockliste gefunden. Sie wurde blockiert Hier findet keine Erkennung in der Webcat oder beim Proventia Web Filter statt. Diese Seite wird über den Kinderschutz manuell geblockt. Stand: 08.09.2010 4 Erkennungen im WebGuard | Kurzanleitung Weitere Erkennungen Erkennung durch Heuristik (HEUR/) [ERMITTLUNG] Malware gefunden. URL: http://www.site.com/ort.html?id=2b9-12764 Enthält verdächtigen Code: HEUR/HTML.Malware Erkennung durch Engine (.Gen) [ERMITTLUNG] Malware gefunden. URL: http://www.site.com/ Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen Erkennung durch Virendefinitionsdatei (TR/, W32/, BDS/...) [ERMITTLUNG] Malware gefunden. URL: http://www.site.com/17.exe Ist das Trojanische Pferd TR/Spy.Veetle. Testmöglichkeiten – WebGuard testen Mit folgenden Seiten können Sie überprüfen, ob die Webcat funktioniert: • Malware: http://www.avira.com/de/support/malware-test.html • Phishing: http://www.avira.com/de/support/phishing-test.html Weitere Testmöglichkeiten, speziell für den IBM Proventia Web Filter sind in folgenden Produkten verfügbar: • Avira AntiVir Premium Security Suite • Avira WebProtector (für KEN!) • Avira WebGate Suite Hier stehen verschiedene Testseiten zur Verfügung (beachten Sie, dass nicht alle Kategorien in der Avira AntiVir Premium Security Suite zur Verfügung stehen): http://www.iss.net/support/policy_checker/ Möchten Sie explizit wissen, ob eine bestimmte Seite bei Cobion gelistet ist, können Sie dies hier erfahren: http://filterdb.iss.net/urlcheck/url-report.asp Stand: 08.09.2010 5 Erkennungen im WebGuard | Kurzanleitung Mögliche Fragen und Antworten Frage: Warum wird zweimal die gleiche URL geblockt? [INFO] [969] Angeforderte URL: http://www.site.com/ [INFO] [969] Die URL (http://www.site.com/) wurde in der Blockliste gefunden. Sie wurde blockiert [INFO] [970] Angeforderte URL: http://www.site.com/favicon.ico [INFO] [970] Die URL (http://www.site.com/favicon.ico) wurde in der Blockliste gefunden. Sie wurde blockiert Antwort: Der Browser versucht in diesem Fall das "Favicon" separat herunterzuladen und erzeugt einen separaten Zugriff. Frage: Warum wird bei der Kategorie "Malware" je nach Datenbank ein (c) oder ein (p) hinzugefügt, jedoch nicht bei "Illegale Aktivitäten" oder "Waffen / Militaristik"? Antwort: (c) oder (p) wird nur hinzugefügt wenn diese Kategorie in beiden Datenbanken besteht. Frage: Wofür stehen die Zahlen in den eckigen Klammern? Antwort: Die Zahlen beschreiben die Verbindungsnummer über den WebGuard. Diese werden nach jedem Neustart des WebGuards zurückgesetzt. Frage: Werden die Anfragen von den Proventia Web Filter Servern zwischengespeichert? Antwort: Die Anfragen werden nicht zwischengespeichert. Bei jedem Aufruf wird eine neue Abfrage zu Ihrer Sicherheit durchgeführt. Frage: Was passiert wenn die Proventia Web Filter Server nicht erreicht werden können? Antwort: Können die Proventia Web Filter Server nicht erreicht werden, wird der Zugriff auf die Webseiten erlaubt. Die Infrastruktur von IBM kann auch ein hohes Anfrageaufkommen in einem definierten Zeitabschnitt verarbeiten. Stand: 08.09.2010 6