Hier kommt eine unscheinbare Haltung vieler Viren-Scanner ins Spiel: Nahezu alle wissen den deutschen Ausdruck Potentially Unwanted Applications (PUA) oder Potentially Unwanted Programs (PUP), oft mit potentiell unerwünschter Zusatzsoftware umgesetzt. Für Heimvirenscanner ist die PUA-Erkennung normalerweise ausgeschaltet, da die Hersteller von Virusscannern davon ausgegangen sind, dass Benutzer und Verwalter gleich sind.
Bei eingeschalteter PUA-Erkennung entdecken viele Viren-Scanner auch Computerspiele (auf Firmen-PCs) oder Joker als potentiell ungebeten. Trotzdem: Trotz vieler Fehlalarme auf dem privaten PC kann die PUA-Einstellung oft rasch dazu beitragen, illegale Bitcoin Miner zu finden. Aber nicht jedes Rechnersystem im Haus beinhaltet einen Viren-Scanner - eigentlich sind Viren-Scanner die Ausnahme: Der Verfasser entdeckte in seinem Haus etwa 20 Linux-basierte Rechner auf ARM- oder MIPS-Prozessoren, das sind Smart-Phones, Tablet-PCs, ein unter Titen laufender TV, Netzwerk-Geräte wie Access Points und Powerline-Adapter, ein Internet-Radio und ein Himbeer-Pi.
Weil Malware in der Regel erst nach einem Restart startet und löscht, ist weder eine Auswertung des Betriebssystem-Images noch die Überprüfung bestehender Daten hilfreich. Infizierte IoT Geräte werden daher in der Regel über das Netz gefunden. Mithilfe des IDS ( "Intrusion Detection System") Snorts können Sie den Datenverkehr im Netz automatisiert auswerten, um z. B. Verbindungen zu spezifischen C&C-Servern zu detektieren und einen Alarmsignal auszulösen.
In der Zwischenzeit haben die ersten Anbieter von DSL-Routern begonnen, gewisse Anforderungen zu beobachten und den Zugriff auf C&C-Server zu erfassen - kein vollwertiger IDS, sondern ein richtiger Fortschritt. Dies sind die grundlegenden Werkzeuge gegen Bot und Spyware: Flexikiller: Dieses Tool entfernt FlexySpy Stalking-Software besser als die meisten Viren-Scanner.