Verhaltensblocker: ThreatFire

Was ist ThreatFire überhaupt?

  • Es ist ein Tool zur Verhaltensanalyse von Programmen. Siehe "Hintergrund: Verhaltensblocker".
  • Es ist kein Malware- oder Virenscanner.
  • Es ist keine Firewall.

Wann empfiehlt sich ein Tool wie ThreatFire:

  • Als Ergänzung zu vergleichsweise ressourcenschonenden Antivirenprodukten wie etwa den Microsoft Security Essentials oder Avira Free, die jeweils keinen eigenen Verhaltensblocker haben.
  • Wenn Sie wissen, was Sie tun.

Wann empfiehlt es sich eher nicht?

  • Wenn Sie ohnehin schon ein modernes kommerzielles Antivirenprogramm nutzen, denn das hat meist schon eine Verhaltensschutz.
  • Wenn Sie es als einziges Schutztool einsetzen wollen. Davon ist abzuraten.

Es kann, das sei nicht verschwiegen, gelegentlich Kompatibilitätsprobleme geben (siehe auch weiter unten). Ich selbst nutze es seit etwa acht Monaten parallel zu MSE auf Windows 7 64 mit starker Programmlast (VMs, Games...) ohne Probleme, habe allerdings wie unten beschrieben einige Prozesse, etwa Steam oder Acronis Backup, als Ausnahmen eingerichtet, damit da nichts schief geht.

Das Tool ist gratis und läuft auf allen modernen Windows-Versionen, auch Windows 64.

Aber Vorsicht! Antivirus-Programme mit eingebauter Verhaltensüberwachung könnten unter Umständen mit ThreatFire in Kollision geraten. Bei avast! und AVG sollte man zum Beispiel auf ThreatFire eher verzichten, weil beide bereits einen starken Behavior-Blocker besitzen.

Avira Free Antivirus hat hingegen keinen, ist also ein idealer Partner. Und die derzeit noch eher einfach gestrickte Verhaltensüberwachung von Microsoft Security Essentials schalten Sie sicherheitshalber über Einstellungen, Echtzeitschutz ab, indem Sie dort die Option Verhaltensüberwachung aktivieren abschalten. Dann lassen sich MSE und ThreatFire problemlos parallel betreiben.

MSE: Verhaltensüberwachung abschalten

Es sei nicht verschwiegen, dass diese Art von Software einen tiefen Eingriff ins Betriebssystem darstellt. Je nachdem, was für eine Art von Software Sie verwenden, kann ThreatFire durchaus Probleme machen: gelegentliche Fehlermeldungen, Programmfunktionen arbeiten nicht, Abstürze treten auf. Geben Sie nicht zu früh auf und beobachten Sie die Probleme sehr genau. Oft reicht es, ein einzelnes Programm den Ausnahmen hinzuzufügen.

Hintergrund: Verhaltensblocker

Das Hauptproblem bei der Virenbekämpfung ist die traditionelle Arbeitsweise: Der Virenscanner nimmt sich eine Datei nach der anderen vor und überprüft dann, ob ein bestimmtes Muster (die Virensignatur) in der Datei vorkommt. Für jeden Virus existiert so eine Signatur: Anfang der 90er Jahre waren das einige Hundert, Ende der Neunziger bereits einige Hunderttausende und heute geht die Zahl in die Millionen. Das bedeutet: Der Virenscanner muss Millionen von Signaturen im Kopf behalten, weil er sie für jede einzelne Datei überprüfen muss.

Es liegt auf der Hand, dass dieser Methode früher oder später Grenzen gesetzt sind. Auch Zero-Day-Attacken hebeln die Signaturmethode aus, weil die Schadprogramme hier schneller zum User gelangen als ihre Signaturen.

Seit Jahren schon bemüht sich daher die Methode des behavior blocking um Beachtung. Dabei wird das Schadprogramm nicht an seiner Signatur erkannt, sondern über sein schädliches Verhalten. Und dieses wiederum wird blockiert.

Dem liegen ganz einfache Überlegungen zugrunde:

  • Eine Virus öffnet andere Dateien und schreibt sich selbst hinein; ein Wurm verankert sich im System als automatisch zu startendes Programm; eine Spam-Software verschickt zahlreiche Mails auf einmal; eine Spionagesoftware wird die Tastatur abfragen, Bildschirmfotos anfertigen und die Zwischenablage kopieren.
  • Ergo gilt ein schreibender Zugriff in eine ausführbare Datei als verdächtig; sich im System als automatisch startendes Programm einzurichten ist verdächtig; zahlreiche Mails auf einmal zu verschicken ist verdächtig; und der Zugriff auf die Tastatur oder den gesamten Bildschirminhalt ist ebenso verdächtig wie das Abfragen der Zwischenablage.

Dem kommerziellen Erfolg dieser Methode stehen zwei Probleme gegenüber:

  • Er lässt sich schwerer messen. „Ein Scanner finden 90 von 100 Viren“, lässt sich leicht prüfen, es bedeutet einen einzigen Scan-Durchlauf (und auch der hat viele Fußangeln). „Ein Verhaltensblocker blockiert 90 von 100 Viren“ ist hingegen extrem schwer zu messen. Man muss nämlich 100 reale Schadprogramme starten. Dann herausbekommen, ob diese wirklich blockiert wurden (oder ob sie einfach nur registrieren, dass sie überwacht werden, und sich daher nicht rührten). Und man muss den PC 100 Mal zurücksetzen, denn nur so ist sichergestellt, dass jedes Mal die gleiche Testumgebung startet (was seinerseits schon schwer ist).
  • Diese Methode kann nicht für sich allein stehen, jedenfalls nicht, solange sie sich nicht ähnlich wie die Signaturmethode prozentual im 96-Prozent-Bereich bewegt, und das tut sie meiner Meinung nach noch nicht.

Immerhin haben immer mehr Antiviren-Produkte auch solche Funktionen – zusätzlich. Und wer eine Software ohne eingebauten Behavior-Blocker verwendet, kann diesen ganz einfach nachrüsten: mit ThreatFire.

ThreatFire verwenden

ThreatFire läuft nach der Installation samt Neustart komplett im Hintergrund.

  • Doppelklicken Sie auf das kleine Feuer-Symbol im Infobereich rechts unten. ThreatFire startet.
  • Die Weltkarte ist mehr ein Gag, aber ganz nett: Klicken Sie auf einen der Schädlinge, zeigt die Karte, wo dieser derzeit auftritt.
  • Wählen Sie Systemstatus: Hier sehen Sie, ob das Produkt sich auch neu aktualisiert hat. Es muss zwar keine Signaturen nachladen, aber letztlich sind erkennbar schädliche Verhaltensmuster ebenfalls Signaturen. Zugleich muss sich ThreatFire auch Ausnahmen merken, etwa, dass das Shredder-Tool XY natürlich Dateien löscht und Windows-Update vorhandene Programmteile ersetzt.
  • Über Einstellungen, Allgemein schalten Sie ThreatFire ein oder aus.
  • Über Einstellungen, Allgemein, Empfindlichkeit legen Sie in fünf Stufen fest, wie schnell ThreatFire Verdacht schöpft. Es ist nicht ratsam, hier generell auf die höchste Stufe 5 umzuschalten. Aber mal angenommen, Sie wollen eine unbekannte Software aus einer möglicherweise nicht ganz astreinen Quelle ausprobieren. Dann schalten Sie hier vorrübergehend hoch. Umgekehrt: Haben Sie Probleme mit der Stabilität oder erhalten zu viele Warnhinweise, senken Sie die Empfindlichkeit.

ThreatFire-Einstellung: Empfindlichkeit

  • Wählen Sie Suche starten: ThreatFire besitzt auch einen Scanner, der allerdings auf Rootkits spezialisiert ist. Mit dem können Sie den PC in den wichtigsten Bereichen (Intelli-Scan) oder vollständig (Komplett-Scan) durchsuchen. Wählen Sie Einstellungen und darin das Register Geplanter Scan, so können Sie diese Suche automatisieren.

ThreatFire: Geplanter Rootkit-Scan

Was tun bei einer ThreatFire-Warnung?

Wenn ThreatFire sich meldet, nennt es die verdächtige Datei beim Namen und auf Wunsch auch deren verdächtige Aktionen.

Sie haben dann die Wahl:

  • Wählen Sie Diesen Prozess fortsetzen, falls Sie es erlauben wollen. Falls Sie den Prozess wirklich kennen und wissen, dass er unverdächtig ist, aktivieren Sie die Option Diese Antwort speichern und klicken auf Fortsetzen. Dann stellt diese Aktion in Zukunft kein Problem mehr da.
  • Wählen Sie Diesen Prozess beenden, wenn Sie nicht sicher sind, aber einfach nicht wollen, dass etwas möglicherweise Schädliches passiert.
  • Wählen Sie Diesen Prozess beenden und sperren, wenn es für Sie gesichert ist, dass es sich um eine Malware handelt. Dann wird der Prozess künftig komplett an der Ausführung gehindert.

ThreatFire hat eine mögliche Bedrohung entdeckt

Die so getroffenen Entscheidungen lassen sich auch nachträglich ändern:

  • Um die Liste der gesperrten oder erlaubten Anwendungen zu bearbeiten, wählen Sie über die ThreatFire-Oberfläche Globale Aktionsliste und darin die Register Zugelassen, Verweigert oder Gesperrt. Bei Problemen mit einem Programm markieren Sie es einfach und klicken rechts unten auf Entfernen. Dann vergeben Sie bei der nächsten Warnung einfach eine neue Zulassung oder Ablehnung.
  • Das Register Schutzprotokoll informiert Sie auch im Nachhinein, was zur Sperrung der fraglichen Datei führte. Klicken Sie dazu auf das kleine Info-i neben dem Eintrag.

Schutzprotokoll mit Protokolldetails

Regeln ändern

Sie können bei Bedarf völlig neue Regeln bei ThreatFire einstellen:

  • Wählen Sie Erweiterte Tools und klicken Sie auf Regeleinstellungen ändern.

ThreatFire: Benutzerdefinierte Regeln

  • Klicken Sie auf Neu, führt Sie ein Assistent interaktiv durch die Erstellung einer Regel. Dabei wählen Sie zuerst den zu überwachenden Programmtyp oder ein konkretes Programm, dann einen Trigger, der die Regel auslöst und schließlich Ausnahmen, in denen die Regel nicht gelten soll.
  • Einige bestehende Regeln sind vordefiniert und zeigen anschaulich, wie diese Regeln funktionieren. Markieren Sie eine der Regeln und wählen Sie Ändern, um sie genauer zu betrachten.

Bei Problemen vertrauenswürdige Prozesse definieren

Tauchen Probleme mit ThreatFire auf, müssen Sie die Software nicht gleich deinstallieren. Wenn Sie das Problem auf ein Programm begrenzen können, legen Sie eine Ausnahme fest:

  • Wählen Sie Erweiterte Tools und klicken Sie auf Regeleinstellungen ändern.
  • Wechseln Sie in das Register Prozesslisten.
  • Klicken Sie auf Neu, wählen Sie das fragliche Programm aus und klicken Sie auf OK. Für Mail und Browser ist dafür ein eigener Bereich vorgesehen.

Ausnahmen für vertrauenswürdige Programme

Falls die Probleme weiterbestehen, senken Sie probeweise die Empfindlichkeit. Falls sie auch nach vielen Ausnahmen und Anpassungen immer noch nicht verschwinden, deinstallieren Sie ThreatFire lieber wieder. Es eignet sich nicht für jeden Anwender.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

6 Antworten

  1. Eckhard sagt:

    Seit Erscheinen von MSE setze ich ebenfalls ThreatFire parallel dazu ohne Probleme ein. Gelegentliche Fehlmeldungen nehme ich in Kauf, da sie eigentlich nur bei Neuinstallationen auftreten.
    Gruß
    Eckhard

  2. Eckhaqrd sagt:

    Ich meine damit die Warnmeldungen "Threatfire hat eine mögliche Bedrohung entdeckt", wie Du sie oben gepostet hast. Sorry, wenn ich mich da missverständlich ausgedrückt habe.
    Gruß
    Eckhard

    • Andreas sagt:

      Ahso, die. Ich hatte ehrlich gesagt bisher nur drei, und alle drei (ein Portscan; ein SQL-Zugriff; ein sich selbst modifizierende EXE) wären völlig plausibel gewesen, wenn die ausgeführte Aktion nicht gewünscht gewesen wäre.

  3. Eckhard sagt:

    Bei mir waren es ein paar mehr, benutze Threatfire aber auch schon ziemlich lange. Alle Meldungen kamen bei Programminstallationen (.exe) und waren deshalb plausibel wie bei Dir. Ist ein gutes Programm, ist zuverlässig, bremst das System nicht aus und ist kostenlos.
    Gruß
    Eckhard