Druckversion des Themas

Geschrieben von: Sasser 14.05.2007, 10:49

Es ist soweit, nun wird die Malware aus der Quarantäne anderer Sicherheitssoftware (gestohlen).
Müssen wir nun die Quarantäne Verzeichnisse anderer Hersteller in die Ausnahmeliste von AVK..aufnehmen?

So siehts das Protokoll von AVK_Total_Care aus.:

Virenprüfung mit AntiVirenKit
Version 17.0.7089
Virensignaturen vom 14.05.2007
Job: Alle Festplatten
Startzeit: 14.05.2007 04:30
Engine(s): Engine A (AVK 17.4638), Engine B (AVKB 17.222)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: Programme\MD Adressbuch\adressbuch.exe
In Archiv: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine\33B8459BF7BE63C15517581BCA59E2F7.a2q
Status: Virus gefunden
Virus: Win32:Nilage-GC [Trj] (Engine B)
Objekt: 33B8459BF7BE63C15517581BCA59E2F7.a2q
>>>>> Pfad: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine <<<<<<<<<<<<<
>>>>> Status: Datei in Quarantäne verschoben<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Virus: Win32:Nilage-GC [Trj] (Engine B)
Analyse vollständig durchgeführt: 14.05.2007 09:47
97712 Dateien überprüft
1 infizierte Dateien gefunden
0 verdächtige Dateien gefunden


-------------

Geschrieben von: hypnosekroete 14.05.2007, 10:59

Schon lustig bis bedenklich...

Dachte immer, in der Quarantäne wird die Malware verschlüsselt abgelegt und nur das Programm, zu dem die Quarantäne gehört kennt den Schlüssel...
Wenns AVK die einfach auslesen kann, scheints bei a² damit ja nicht weit her zu sein.

Geschrieben von: Sasser 14.05.2007, 11:09

Vieleicht sollten die sich mal treffen und ihre Gebietsansprüche klären.

Geschrieben von: hypnosekroete 14.05.2007, 11:12

Vielleicht sollte a² seine Quarantäne anständig verschlüsseln und nicht nur umbenennen?
Wenn a² tatsächlich nur umbenennt, isses nur konsequent, das andere AV's die Malware findet.

//add//
Woher soll AV-1 wissen das die Datei [IrgendeinName].[IrgendeineEndung] ausgerechnet im Quarantäneordner von AV-2 liegt?

Geschrieben von: Sasser 14.05.2007, 11:25

Mhmm werde Emsi, so heißt er doch ? Mal anschreiben.

Hab ihm das Logfile geschickt. Mal sehen.

Geschrieben von: Kenshiro 14.05.2007, 11:32

Moin Sasser,

Am besten nicht nicht nur die Logfile, sondern TC, damit die was daran zu schrauben haben

Geschrieben von: Jens1962 14.05.2007, 12:25

Werden die schon machen.
Ich weiß nicht, was manche AV in verschlüsselten Daten meinen, erkennen zu müssen. AntiVir hat z.B. gelegentlich das Hobby (gehabt), in der Systemwiederherstellung von Windows etwas zu finden. Selbst dann, wenn der WH-Punkt nach einem Scan o.B. erstellt wurde.
Mir ist so, als hätte KAV da auch so seine Problemchen gehabt. Symantec umgeht dieses, da wird die System-WH per default vom Scan ausgeschlossen...

Gruß Jens

Geschrieben von: floman 14.05.2007, 12:47

Hi Jens,

Antivir macht das immer noch so. Schädlinge in der SWH werden weiterhin erkannt. Ich finde das auch nicht ganz so schlecht, da es sich ja schließlich um Punkte handelt, die zurückgespielt werden, wenn mal was im Argen ist. und so weiß man, dass man sich das Zurückspielen schenken kann. Was ich blöd finde, ist dass man Dateien aus der SWH nicht einzeln löschen kann, das System dahinter ist nicht durchdacht... Es nicht zu scannen ist m.E. falsch.

F.

Geschrieben von: Jens1962 14.05.2007, 14:05

Wenn es denn so wäre...
Ich habe extra geschrieben: Den Rechner mit Antivir bei deaktivierter SWH gescannt --> sauber.
SWH aktiviert, Rechner mit Antivir gescannt --> Fund in der SWH (hä, woher?). Ich sehe das aus dem beschriebenen Grund anders.
So schlimm ist das auch nicht. Falls es XP wirklich einmal schafft, mit Hilfe der SWH das System zurückzusetzen, dann sollte ein AV doch den wiederhergestellten Schädling erkennen und bekämpfen können (wenn er denn wirklich existent wäre).

Gruß Jens

Geschrieben von: BluesBrother 14.05.2007, 14:55

ist bei mir auch so... wenn ich mit antivir einen fullscan mache und es was findet, schnibitzt nod den schädling (wenn nod ihn erkennt) aus der quarantäne von antivir und steckt ihn in die eigene... (anders herum habe ich es allerding noch nicht erlebt!)

es heißt ja nicht umsonst, man solle nicht 2 antivirenprogramme auf´m rechner haben. ich kann damit leben...

btw. so wie ich das immer lese, hat antivir die quarantäne in dem temp ordner angesiedelt... naja...

Geschrieben von: hachi' 14.05.2007, 15:29

Einige Anti-Viren Programme haben die Fähigheit verschlüsselte Dateien zu entschlüsseln und zu scannen. Was ja durchaus sinn machen kann.

Aber emsisoft arbeitet daran dies zu verbessern.

Zitat von emsi:

Geschrieben von: blubber 14.05.2007, 15:44

Wos?
Dein Virenscanner kennt also die Passwörter? Wow... wie heißt der denn?

Geschrieben von: hachi' 14.05.2007, 16:39

@blubber
Wie erklärst du dir denn das AntiViren Programme in der Quarantäne anderer AntiViren Programme etwas finden?

So hab ich es jedenfalls verstanden.

Geschrieben von: blubber 14.05.2007, 16:48

Ich erklär mir das so, ein Virenscanner kann kein Passwort einer Datei kennen. Basta. Wie die "Verschlüsselung" einer Quarantäne funktioniert weiß ich nicht (lasse mich aber gerne von einem Fachmann aufklären).

Geschrieben von: Caimbeul 14.05.2007, 16:52

Er kennt wohl kaum die Passwörter, sondern umgeht vielmehr den Verschlüsselungsalgorithmus. Das ist ein Unterschied. Genauer kann das sicher einer von unseren Virenexperten erklären.

Was mir zum Thema als erstes einfiel

a²: *Virus find und einpack*
AVK: *rumsuch* *Virus in verschlüsseltem Container find* *einpack und dem User zeig*
AVK: "Ich hab was Tolles gefunden"
a²: "Das ist mein Virus gib den her"

Hat irgendwie Slapstickcharakter das Ganze.

Geschrieben von: Poulsen 14.05.2007, 17:05

Super

Geschrieben von: hypnosekroete 14.05.2007, 17:06

Wahrscheinlich benennen die Programme in deren Quarantäne andere Scanner fündig werden die Dateien nur um und ändern die Berechtigungen zum Ausführen/Löschen, anders kann ich mir das nicht erklären...

Wenn die Dateien tatsächlich verschlüsselt wären, müsste es für andere Programme unmöglich sein, irgendeine sinnvolle Information (in diesem Falle Virensignatur) aus der Datei auszulesen.


Brute-Forcen die Scanner dann die verschlüsselten Dateien?
Haben die ein Kryptoanalysemodul an Bord?
[Weiß die CIA bescheid? ]
Ich glaube, da müsste ein Kryptographieexperte ran, das zu erklären.

Mein Verdacht ist: Die Quarantänen, in denen anere Scanner fündig werden, sind gar nicht nicht verschlüsselt.

Geschrieben von: Sasser 14.05.2007, 17:10

Gib Her !
[attachmentid=2668]

Mist geklaut.

Geschrieben von: Caimbeul 14.05.2007, 17:14

Naja, das wäre dann die Variante mit dem Password genauso wie eine Dictonary Attack.

Das Umgehen des Algorithmus wäre einfach die mathematische Herangehensweise. Wie genau das funktioniert und ob kann Dir ein Mathematiker oder ein Experte zu diesem Thema erklären.

Brute Force und Dictonary Attacks würde ich komplett ausschließen, da diese viel zu lange dauern und auch noch Ressourcen brauchen. Ausnahmen sind simple Passwörtermöglichkeiten z.B. maximal 3 Stellen nur Zahlen etc.

Wobei Du glaube ich mit dem simplen Umbenennen eher Recht hast.

Geschrieben von: hypnosekroete 14.05.2007, 17:27

Ich glaub auch bei "einfachen" Schlüsseln ist die Kryptoanalyse zu kompliziert bzw. einfach nicht implementiert.
Bestes Beispiel ist doch das (beabsichtigte und erwünschte) verschicken von Malware-Samples: Archiv mit PW und die AVs kapitulieren...
Wobei ich mir auch da nicht sicher bin ob tatsächlich verschlüsselt wird oder nur Zugriffsrechte geändert werden.

Wo bleiben die Experten???

Geschrieben von: Wackawackadoodoo 14.05.2007, 18:10

Ich hatte auch mal so ein Prob(?)

NAV fand ein paar Viren, danach deinstall und Kasper drauf.
Und prompt kommt die Meldung über einen Virenfund in der Norton Quarantäne...

Sachen gibts...

Geschrieben von: Solution-Design 14.05.2007, 21:57

Das war aber bei einer alten Symantec-Version. <= 2005. Bei Version 2006 griff schon der Selbstschutz, welcher einen Zugriff anderer Scanner verhinderte, was bei Verwendung von z.B. eScan zum Absturz von eScan führte. In Version NAV2007 wurde der Selbstschutz noch weiter verstärkt und auch verbessert, so dass andere AVs die Quarantäne erst gar nicht scannen, weil sie nicht dürfen, nicht mehr können.

Geschrieben von: Wackawackadoodoo 15.05.2007, 17:54

Nee, das war schon die 2007 Version

Geschrieben von: bond7 15.05.2007, 18:09

Hää , welcher Teil von ...Kaspersky fand in der "Quarantäne" des anderen einen Virus .. ist jetzt interesannt ?

Geschrieben von: Wackawackadoodoo 15.05.2007, 19:27

w00t?!

Wie meinst du denn das jetzt? "Welcher Teil von Kaspersky?"


*nixversteh*

Geschrieben von: Solution-Design 15.05.2007, 19:57

Dann hattest du zumindest den Selbstschutz nicht eingeschaltet. Hier findet Kaspersky keine einzige Malware-Datei in der Symantec-Quarantäne obwohl Malware durch Testerei gleich dutzendweise vorhanden ist.

Geschrieben von: Heike 15.05.2007, 20:59

offenbar, bei mir werden immer auch die Client`s gemeldet, von jedem AV-Programm. Die sind aber nicht gefährlich.

ich hatte mal Antivir installiert, wollte ad-aware laufen lassen. ad-aware stürzt ab, hey, alles gehört Antivir, da wird nicht geräubert, das wäre ja noch schöner.

Geschrieben von: Rouven 16.05.2007, 11:18

Tja ich glaube vielmehr,das es sich bei dem Fund vom AVK einfach um einen Fehlalarm handelt.

Seit kurzen findet mein AVK Engine B den WIN32.Nilage-GC (Trj) in einer uninstall Datei von UltraVNC .

Habe bei VirusTotal diese gescheckt.....

Nach meiner Erkenntnis ein Fehlalarm...


Die Engine B hatte schon mal so ein Maleur mit der Notepad.exe........


Gruß Rouven

Geschrieben von: Sasser 16.05.2007, 13:42

Dann irren sich ja gleich 2... a Squared hatte sich das Teil ja auch rausgefischt.
mhh.. irgendwie hab ich den Eindruck das aufgrund des hohen Drucks in den Fachzeitschriften
als bester Scanner abzuschneiden, die FP.ständig vermehrt auftreten. Ärgerlich.
Früher konnte man ohne Probleme die Einstellung "Viren löschen bei Fund" einstellen, diesen
Botton können die nun getrost weglassen.
Vielmehr müsste jeder Virenscanner bei Überprüfung aller Dateien als erstes seine Quarantäne
überprüfen und mit der upgedateten Virensignatur die FP.rückgängig machen, meinetwegen als
Nachfrage: "Haben festgestellt, das sich Datei XY zu unrecht im Quarantäne Ordner befindet, zurück-
spielen ??." Aber das würde ja vorraussetzen, das die Hersteller ihre Fehlbarkeit einräumen.
Ob es da bald Einen gibt der Ehrlich genug ist ?

Geschrieben von: Solution-Design 16.05.2007, 18:20

Zumindest lassen sich die in Quarantäne verschobenen Daten in NAV schon seit ewigen Zeiten neu prüfen.

Geschrieben von: Heike 16.05.2007, 20:13

den Eindruck habe ich auch.

wenn ich mal von meinem Liebsten ausgehe, der würde es irgendwann so machen: schon wieder ein Fehlalarm. Mist, ich will meine Datei behalten und stören tun sie eh nicht. So ein blödes Programm.

Geschrieben von: Sasser 17.05.2007, 07:56

Sorry, meinste Norton Antivirus ? Und da ich dieses einmalige Programm bisher nur verbal mit
den Füßen getreten habe, anstatt es instaliert zuhaben, ist mir die Funktionalität natürlich verborgen geblieben.
Also mal im Ernst, es prüft automatisch seine Quarantäne ? Wenn, dann meldet er auch, das sich dort
etwas befindet, dass wieder zurückgespielt werden kann ??
Ich weiß es wirklich nicht. sorry.

Geschrieben von: bond7 17.05.2007, 14:03

Du verstehst das entweder nicht was SD gemeint hat oder du willst es nicht verstehen

Geschrieben von: Sasser 17.05.2007, 14:14

Eher das Erstere Bond. Aber wenn du magst kannste ja mal aufklären.

Geschrieben von: bond7 17.05.2007, 14:37

Die Objekte in der Quarantäne lassen sich im früheren NAV bzw. in der Quarantäne Oberfläche prüfen allerdings sagt der Scanner nicht das es sich bei der Datei xyz um ein False Positive handelt , was ist wenn der Scanner sich irrt und die Datei ist doch virulent ? Man kann höchstens erkennen welche der Hinzugefügten Dateien 2 Tage später als Virulent erkannt wurden oder nicht . In der 2007er Version ist das allerdings wieder ein wenig neu und anders , dort funktioniert das nur in der Kathegorie "Nicht behobene Sicherheitsrisiken".
Leute die im Netz nur über die eine oder andere Software unüberlegt schimpfen entgeht in der Regel so einiges

Geschrieben von: Heike 17.05.2007, 14:53

dann hätte ich gleich auch mal ne Frage, vielleicht weißt Du da auch eine Lösung.
letztens hatte ich NIS 2007 zum Testen installiert. jedesmal ärgere ich mich bei der Installation.
ohne Nachfrage wird einfach mein Keylogger gelöscht, ich finde es gelinde gesagt unmöglich.
es ist mein PC und es ist meine Software ( auch wenn es ein Keylogger ist ) die ohne für mich erkennbare Nachfrage entfernt wird.
ich brauche keine Software, die mich derartig bevormundet. Aber vielleicht mache ich ja auch was verkehrt. (ich denke jetzt nicht an den installierten Keylogger, sondern bei der Bedienung von NIS )

Geschrieben von: Sasser 17.05.2007, 15:02

Ja Bond, aber ich für meine Seite steuer auch bei wenn ich etwas nicht weiß und darum sind diese Fragen auch ehrlich, denn erstens kann man nicht alles Wissen und zweitens nicht auf jedem Gebiet, drum
sind deine Erfahrungen mit Norton auch mal ganz hilfreich, denn nur Mies oder nur Gut ist wohl keine Software. Drum erstmal Danke.

Geschrieben von: bond7 17.05.2007, 15:34

@Heike

Pass ma auf Heike, dieser Bevormundungsschwachsinn ob das eine Software oder ein System betrifft ist nurnoch peinlich ! Es ist nur eine Software die genau das macht was Sie machen soll und notfalls hast du auch noch dutzende Settings um einen Arbeitsablauf zu ändern. Als Hacker oder Hackerin oder was auch immer solltest du dich mit Settings eigentlich zurechtfinden und nicht so auf kleines Baby machen was von dem Global Player nur bevormundet wird...
Bei der Installation kannst du die Systemprüfung übergehen , der QuickScan der laufenden Prozesse wird trotzdem ausgeführt weil und jetzt kommts, Schadsoftware sollte allgemein nicht laufen wenn man ein AV erfolgreich aufgespielt haben will , dürfte doch einleuchtend sein . Wenn du schon weisst das einer deiner laufenden Prozesse nicht ganz koscher ist dann beende den doch und starte ihn später wieder wenn du ihn in den Prüfungsauschlüssen als Ausnahme hinzugefügt hast.
Diese Bevormundung ist nichts weiter als Unwissenheit sage ich.

Geschrieben von: Heike 17.05.2007, 16:42

@bond, ich sehe Dein Posting teilweise mal aus Auswirkung einer "Vatertags-Feier".

Der Autostart des Keyloggers war übrigens deaktiviert. und warum ist es grundsätzlich Schadsoftware? ein Keylogger wäre zum Beispiel hilfreich, um unbefugte PC-Benutzung zu erkennen.

ich habe KIS, Macafee, AntiVir und NIS getestet, nur NIS war in dieser Hinsicht problematisch.

hmm, also wäre ein Installieren eines AV-tools nicht erfolgreich, wenn man infiziert wurde und nun Vic ist? sehe ich mal als Mangel, sicherlich stimmen mir da viele zu

egal, ich habe getestet, was ich testen wollte, nun ist NIS und auch die anderen wieder weg.

ich werde versuchen, es mir zu merken, aber, wie gesagt, bei anderen Tools geht es ohne Probleme. und die Sachen, die NIS nicht als schädlich erkennt, stören ja auch nicht.

Geschrieben von: bond7 17.05.2007, 16:51

Es geht ja nicht darum was für dich ein guter und nützlicher Prozess ist , es geht darum ob dieser Prozess von einem Sicherheitsprogramm aus verschiedenen nachvollziehbaren Gesichtspunkten als Risiko eingestuft wird. Wenn Symantec der einzige Scanner ist der den betreffenden Keylogger als Risiko einstuft dann sei doch einfach froh, das Risikopotential wenn dieser Prozess mißbräuchlich verwendet wird wirst du ja sicher nicht bestreiten wollen. Deshalb ist Bevormundung auch Quark mit Sosse , zumal Symantec sicher einer der wenigen mit den geringsten False positives ist. Welches Geschrei willst du da erst bei Antivir Kaspersky oder anderen lostreten wenn diese wesentlich mehr False Positives erkennen ? Die bevormunden dich sicher mehr.

Geschrieben von: Rios 17.05.2007, 16:59

Hallo Heike,
eins voraus gesagt, es ist im keinen Fall böse gemeint, was ich hier schreibe. Aber du liebst es einfach ohne diesen Schutz aus zukommen. Ich bewundere deine Ausdauer in der Hinsicht. Also wirklich nicht böse gemeint.
http://www.kondom-versand.de/

Geschrieben von: Heike 17.05.2007, 18:54

bond7, ja es gab einen False positive. "active Ports", detected by NIS.
http://www.softstack.com/bestnetsec.html: wer mit diesem Programm remote (mit reverser Verbindung) wirklich einfach tiefgreifende Einstellungen in der Reg vornehmen könnte, hat in jedem Fall gute Absichten, er nutzt ja gekaufte Software. Das Programm beansprucht kein AV-Tool für sich

@Rios
auf diesen Schutz zur Empfängnisverhütung habe ich nie vertraut, das habe ich lieber alleine geregelt. ich verlasse mich da doch nicht auf Männer. das ist jetzt auch nicht böse gemeint.
natürlich könnte ich mir auch mal was "einfangen": no risc, no fun.

Geschrieben von: bond7 17.05.2007, 19:02

Niedrig-Risikos lasse ich in der AV-Einstellung mit entfernen , hier fallen z.b. Cookies rein.

wo ist jetzt das False Positive ?

Geschrieben von: Heike 17.05.2007, 19:15

das war doch active Ports

Geschrieben von: Jens1962 17.05.2007, 22:01

Ich kann mir nur vorstellen, daß Du den Scan, der bei der Installation startet, laufen gelassen hast.
War übrigens einer der Hauptgründe, weshalb ich v2007 gekickt habe. Ein AV, das ohne Rückfrage und ohne Möglichkeit, die Rückfrage überhaupt einzustellen (wie bei den Vorgängerversionen) Dateien automatisch in die Quarantäne verschiebt, ist einfach für den berühmten Ar....

Gruß Jens

Geschrieben von: bond7 17.05.2007, 22:20

Da man den Scan erstens übergehen kann und zweitens in der Regel beim Quickscan sowieso nichts gefunden wird wenn das System soweit Ok ist dürfte das sicher kein Grund sein ausgerechnet die 2007er Version nicht zu mögen
Vll. fällt dir ja nochn anderer Grund ein.

Geschrieben von: Heike 18.05.2007, 07:41

bei mir ist es so:
1) ich halte etwas für schlecht
2) mir ist etwas egal
3) ich finde etwas gut oder mag es

ich mag Dinge, die ich persönlich für ausgesprochen gut und nützlich halte. eigentlich erfüllt kein AV-Tool diese Anforderung, ganz einfach deshalb. weil ich sie grundsätzlich nicht für hilfreich halte.

Geschrieben von: Poulsen 18.05.2007, 07:45

Dazu fällt mir spontan folgende Aussage ein:

Der Viren-Mythos :
Auf meinen PC können keine Viren kommen.

Geschrieben von: Heike 18.05.2007, 08:30

"Computers are like sex, protection or not, you'll eventually catch something." (unbekannt)
das Zitat aus Scrapies Sig sagt alles.

guck Dir doch die HiJackThis logs an, meist lief irgendein AV-tool.

Geschrieben von: bond7 18.05.2007, 16:12

Es verhält sich ganz einfach ähnlich wie mit dem Gurt und dem Airbag , ein paar sterben beim Aufprall oder sind im Gurt eingeklemmt und sterben auch , die anderen Überleben gerade deshalb weil die 2 Sachen ihr Leben gerettet haben. Habt ihr je schon Montagsdemos gesehen wo man die Abschaffung der 2 Sachen im Auto fordert ?
Mein Gott, da gibts halt paar Viren wo ein AV nicht hilft , es gibt aber sicher wesentlich mehr Viren die der AV gleich tötet. Das ist doch nur reines Theater den AV wegen seiner Unvollkommenheit zu verdammen Perfektion gibts nur im Märchen.

Geschrieben von: Jacomofive 19.05.2007, 17:53

@bond7

Perfektion gibt nur im Märchen ?? Ne, Du musst mich mal auf der Arbeit sehen dann glaubst Du selbst an Märchen nicht mehr

Ach noch was, auch Trojaner werden knapp

Geschrieben von: Sasser 21.05.2007, 10:39

Stellungnahme von a Squared erhalten per Email:

Da ich nicht weiß ob ein kopieren der Antwort recht ist, gebe ich mal Sinngemäß weiter:

Eine Übernahme der gefunden Malware aus dem Verzeichnis der Quarantäne ist den meisten Antivirenprodukten in der Version a Squared 2.1 möglich, es wird unter der Version 2.5 nicht mehr ohne Weiteres möglich sein. Dennoch verfügen einige Antivirenscanner über die Möglichkeit Daten zu dekodieren.
Die gefundene Malware wird im übrigen Umbenannt und ist somit in dem neuen Ordner, der Quarantäne,
nicht mehr gefährlich. Insofern ist eine Virenübernahme nicht bedenklich.
Um diesen Vorgang zu unterbinden, sollte in den jeweiligen Fremdprodukten eine Ausnahmeregelung definiert werden, damit diese nicht das Quarantäneverzeichnis durchsuchen.


-------------
So damit habe ich den Kern der Aussage wiedergegeben.

Geschrieben von: hachi' 22.05.2007, 10:50

Vielen Dank für die Antwort, dann hätten wir das eigentliche Thema des Beitrags geklärt.

Geschrieben von: Sasser 22.05.2007, 10:55

Ja damit können Heike und Bond wieder Frieden schließen.