Erkennungen im WebGuard

#Produktname | Kurzanleitung
Erkennungen im WebGuard
Support
September 2010
www.avira.de
Irrtümer und technische Änderungen vorbehalten
© Avira GmbH
Inhaltsverzeichnis
Einleitung .................................................................................................................... 3
Beispielhafte Erkennungen ......................................................................................... 4
Weitere Erkennungen ................................................................................................. 5
Testmöglichkeiten – WebGuard testen ....................................................................... 5
Mögliche Fragen und Antworten ................................................................................. 6
Erkennungen im WebGuard | Kurzanleitung
Einleitung
Diese Kurzanleitung behandelt die verschiedenen Erkennungstypen des WebGuard.
Eine Erkennung im WebGuard von Avira AntiVir kann verschiedene Ursachen
haben. Eine Erkennung kann hervorgerufen werden durch:
• Aufruf von infizierten Dateien im Internet
• Besuch einer Website die zum Beispiel Malware verbreitet
oder Phishing betreibt
• Seiten die durch den Proventia Web Filter (Cobion) gefiltert werden
Hierbei greift der WebGuard auf folgende Quellen zurück:
• Virendefinitionsdatei (VDF) und Engine
• Webcat Datenbank
• IBM Proventia Web Filter (Cobion)
Die VDF meldet einen Fund nur, wenn hierfür ein Eintrag für eine infizierte Datei
besteht. Die Engine arbeitet mit einer generischen und einer heuristischen
Erkennung.
Die Webcat enthält eine Datenbank verschiedener Webseiten der folgenden
Kategorien: Malware, Phishing, Spam sowie Betrug und Täuschung.
Der Proventia Web Filter erweitert die Datenbank mit Echtzeitabfragen und weiteren
Kategorien.
Beachten Sie bitte, dass der Proventia Web Filter nur in den folgenden Produkten zur
Verfügung steht:
• Avira AntiVir Premium Security Suite
• Avira WebProtector (für KEN!)
• Avira WebGate Suite
Stand: 08.09.2010
3
Erkennungen im WebGuard | Kurzanleitung
Beispielhafte Erkennungen
[ERMITTLUNG] [860] Die URL (http://www.site.com/) wurde als Betrug /
Täuschung(c) ermittelt. Sie wurde blockiert
Diese Erkennung gehört zur Webcat, da sie mit einem (c) gekennzeichnet wurde.
[ERMITTLUNG] [964] Die URL (http://www.site.com/test_61.html) wurde als
Malware(p) ermittelt. Sie wurde blockiert
Diese Erkennung gehört zu Cobion. Hier ist die Kategorie "Malware" aktiv. Das
Erkennungsmerkmal ist das (p). Dies steht für den IBM Proventia Web Filter.
[ERMITTLUNG] [907] Die URL (http://www.site.com/malware-test.html) wurde
als Malware(c) ermittelt. Sie wurde blockiert
Diese Erkennung gehört zur Webcat mit der Kategorie Malware, da sie mit einem (c)
gekennzeichnet wurde. Die Kategorien können in der Konfiguration unter "WebGuard
→ Suche → Gesperrte Zugriffe → Web-Filter" festgelegt werden.
[INFO] [856] Die URL (http://www.site.com/) wurde als Illegale Aktivitäten
ermittelt. Sie wurde blockiert
Diese Erkennung gehört zum IBM Proventia Web Filter, da diese Kategorie nicht in
der Webcat vorhanden ist.
[INFO] [959] Die URL (http://www.site.com/index.php) wurde als Pornografie
ermittelt. Sie wurde blockiert
Diese Erkennung gehört zum IBM Proventia Web Filter, da diese Kategorie nicht in
der Webcat vorhanden ist.
[INFO] [968] Die URL (http://www.site.com/) wurde in der Blockliste
gefunden. Sie wurde blockiert
Hier findet keine Erkennung in der Webcat oder beim Proventia Web Filter statt.
Diese Seite wird über den Kinderschutz manuell geblockt.
Stand: 08.09.2010
4
Erkennungen im WebGuard | Kurzanleitung
Weitere Erkennungen
Erkennung durch Heuristik (HEUR/)
[ERMITTLUNG] Malware gefunden.
URL: http://www.site.com/ort.html?id=2b9-12764
Enthält verdächtigen Code: HEUR/HTML.Malware
Erkennung durch Engine (.Gen)
[ERMITTLUNG] Malware gefunden.
URL: http://www.site.com/
Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen
Erkennung durch Virendefinitionsdatei (TR/, W32/, BDS/...)
[ERMITTLUNG] Malware gefunden.
URL: http://www.site.com/17.exe
Ist das Trojanische Pferd TR/Spy.Veetle.
Testmöglichkeiten – WebGuard testen
Mit folgenden Seiten können Sie überprüfen, ob die Webcat funktioniert:
• Malware: http://www.avira.com/de/support/malware-test.html
• Phishing: http://www.avira.com/de/support/phishing-test.html
Weitere Testmöglichkeiten, speziell für den IBM Proventia Web Filter sind in
folgenden Produkten verfügbar:
• Avira AntiVir Premium Security Suite
• Avira WebProtector (für KEN!)
• Avira WebGate Suite
Hier stehen verschiedene Testseiten zur Verfügung (beachten Sie, dass nicht alle
Kategorien in der Avira AntiVir Premium Security Suite zur Verfügung stehen):
http://www.iss.net/support/policy_checker/
Möchten Sie explizit wissen, ob eine bestimmte Seite bei Cobion gelistet ist, können
Sie dies hier erfahren: http://filterdb.iss.net/urlcheck/url-report.asp
Stand: 08.09.2010
5
Erkennungen im WebGuard | Kurzanleitung
Mögliche Fragen und Antworten
Frage: Warum wird zweimal die gleiche URL geblockt?
[INFO] [969] Angeforderte URL: http://www.site.com/
[INFO] [969] Die URL (http://www.site.com/) wurde in der Blockliste
gefunden. Sie wurde blockiert
[INFO] [970] Angeforderte URL: http://www.site.com/favicon.ico
[INFO] [970] Die URL (http://www.site.com/favicon.ico) wurde in der
Blockliste gefunden. Sie wurde blockiert
Antwort: Der Browser versucht in diesem Fall das "Favicon" separat herunterzuladen
und erzeugt einen separaten Zugriff.
Frage: Warum wird bei der Kategorie "Malware" je nach Datenbank ein (c) oder ein
(p) hinzugefügt, jedoch nicht bei "Illegale Aktivitäten" oder "Waffen / Militaristik"?
Antwort: (c) oder (p) wird nur hinzugefügt wenn diese Kategorie in beiden
Datenbanken besteht.
Frage: Wofür stehen die Zahlen in den eckigen Klammern?
Antwort: Die Zahlen beschreiben die Verbindungsnummer über den WebGuard.
Diese werden nach jedem Neustart des WebGuards zurückgesetzt.
Frage: Werden die Anfragen von den Proventia Web Filter Servern
zwischengespeichert?
Antwort: Die Anfragen werden nicht zwischengespeichert. Bei jedem Aufruf wird eine
neue Abfrage zu Ihrer Sicherheit durchgeführt.
Frage: Was passiert wenn die Proventia Web Filter Server nicht erreicht werden
können?
Antwort: Können die Proventia Web Filter Server nicht erreicht werden, wird der
Zugriff auf die Webseiten erlaubt. Die Infrastruktur von IBM kann auch ein hohes
Anfrageaufkommen in einem definierten Zeitabschnitt verarbeiten.
Stand: 08.09.2010
6