In Microsofts «Threat Research & Response Blog» ist neulich der Beitrag Shields up on potentially unwanted applications in your enterprise erschienen.
Er zeigt auf, wie man das in Windows 8 und 10 integrierte Antivirenprogramm dazu bringt, nicht nur Schadensprogramme zu erkennen, sondern seine Abwehr auch auf die PUA auszuweiten.
PUA steht für eine Potentially Unwanted Application, also ein Programm, das man wahrscheinlich nicht auf seiner Festplatte haben möchte. Das «possibliy» deutet an, dass es durchaus Gründe geben kann, Programme aus dieser Kategorie einzusetzen – aber dass diese Gründe nur für Anwender mit speziellen Absichten zutreffen dürften: also Nerds, Hacker, Computerwissenschaftler und -journalisten und ähnliche Spezies. Sophos zählt zu der Kategorie der PUA die Adware, Dialer, unschädliche Spyware, Werkzeuge zur PC-Fernsteuerung und Hacking-Tools.
Adware könnte man wollen – aber man will wahrscheinlich nicht
Adware ist ein gutes Beispiel: Es kann sein, dass man sich mit so einem Programm abfindet, wenn es einem den kostenlosen Zugang zu einer hervorragenden Software ermöglicht. Wahrscheinlich ist aber eher, dass man dieses Programm möglichst schnell loswerden möchte, weil es einem untergejubelt wurde. Jedenfalls liegt es weitgehend im Auge des Betrachters, was PUA und was WA ist. (Also eine wanted application bzw. eine «erwünschte Software». Das ist übrigens kein offizielles Kürzel, das habe ich spontan erfunden.)
Der Einfachheit halber kann man sicherlich sagen, dass die allermeisten Anwender auf PUA gern verzichten können, und dass es darum sinnvoll ist, wenn eine Sicherheitssoftware diesen Typus erkennt und, genau wie ein Virus, von der Festplatte befördert. Bei Windows Defender kann man die PUA-Schutzfunktion via Registry einschalten. Dazu navigiert man zu folgendem Pfad:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\MpEngine
Hier legt man einen Dword-Eintrag mit dem Namen MpEnablePus an, dem man den Wert 1 zuweist. Nach einem Neustart sollte Windows die Sache erledigt sein.
Fehlalarme und -einschätzungen sind unvermeidlich
In meinem Fall scheint die Sache geklappt zu haben: Windows Defender beschwerte sich beim nächsten Scan jedenfalls prompt über die Installationsdatei von Hypercam. Das ist die im Beitrag Beim Fensterln mitfilmen vorgestellte Software, mit der ich für meine Screencasts den Bildschirm abfilme. Sie ist meiner Erfahrung nach harmlos und keine PUA. Die Meldung dürfte daher ein Fehlalarm sein, mutmasslich, weil eine Screencast-Software sich in die Videoausgabe einklinkt, was als verdächtiges Merkmal gewertet wird.
Und das zeigt dann auch das Problem der Sicherheitsprogramme: False positives sind nie ganz auszuschliessen, gerade, wenn man Spezialprogramme einsetzt. Trotzdem: Für die allermeisten Anwender dürfte ein Sicherheitsgewinn resultieren, weswegen ich die Registry-Modifikation empfehle.
Konfigurationsänderung per .reg-Datei
Noch ein Tipp dazu: Wer sich die Bearbeitung der Registry nicht zutraut, speichert eine Datei unter dem Namen pua.reg und folgendem Inhalt:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\MpEngine] "MpEnablePus"=dword:00000001
Nun braucht man nur auf die Datei doppelzuklicken und die Frage, ob die Registry entsprechend geändert werden soll, zu bejahen. Eine ausführliche Anleitung zu diesem Verfahren findet sich im Beitrag Der Windows-Konfigurations-Moloch in diesem Blog.