@Nightwatch

Laut deinem zweiten Bild läuft die Fake AV Software aber garnicht mit, diese müsste zumindestens das gelbe Icon da killen was Sandboxie sein dürfte wenn PrevX schon ein wirksamen Selbstschutz hat , von daher kann ich nicht erkennen ob du das auch richtig getestet hast.

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 21:55

Ja, das ist Sandboxie. Und der Prozess wurde in der Tat nicht gekillt. Prevx und Sandboxie haben quasi überlebt . Getestet habe ich es genauso, wie Du es beschrieben hast. Programm installieren, Neustart durchführen und abwarten.
Das was ich bebildert habe, ist das Endergebnis. Ich habe die VM danach sofort gelöscht.

EDIT: Ob Sandboxie tatsächlich funktioniert hat, habe ich natürlich nicht getestet. Zumindest war das Tray-Icon da. Es waren die einzigen beiden.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 20.05.2009, 22:02

Also die Install.exe wird von G Data nach dem Ausführen geblockt und man kann sie in Quarantäne schieben. -> Die Infektion wurde geblockt.

Den Registry Optimizer erkennt G Data nicht. Man kann allerdings beim Installieren den Autostarteintrag vom Programm blocken. Nach einem Neustart sieht das System sauber aus, zumindest macht sich nichts bemerkbar und im Taskmanager sieht man auch nichts. (das Ding wurde natürlich trotzdem installiert ^^)

Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 22:26

Hi
Die installer.exe wurde von Prevx auch geblockt. Interessant ist das, was passiert, wenn die Datei mit abgeschaltetem Schutz zunächst installiert wird. Kann G-Data (oder auch andere) da standhalten, oder werden die Prozesse gelöscht?

Gruß,
Nightwatch

@markus17

Ich dachte du wolltest meinen Test verifizieren , warum hast du die install.exe auf der VM nicht erlaubt zu starten ?

Ich die Install.exe jetzt mal installiert und neugestartet. Es wurden alle Prozesse gekillt und G Data macht nichts mehr. Wenn man den Taskmanager auf iexplore.exe umbenennt, dann kann man ihn starten und sehen, dass so gut wie alle unnötigen Prozesse/Dienste von der Malware beendet wurden.

Mir ist aufgefallen, dass man von vielen AVs die Prozesse killen kann, bevor das Programm sich komplett initialisiert hat. Das geht bei G Data als auch bei NAV. Einfach Taskmanager auf und Prozess beenden.

*edit*

Ich hab das Ding ja gestartet. Einmal wurde wurde es geblockt und einmal hab ich es erlaubt. Ich wollte nur erwähnen, dass G Data die Infektion verhindern kann.

Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 22:41

Hier gehts nee , schau mal unten rechts in die Ballontips und schau mal in das Bild auf Link 2 in die Sicherheitsverlauf Meldung.
http://www.abload.de/img/2rge5.jpg
http://www.abload.de/img/3sjb1.jpg



Also hier nicht ! Die AV-Sig sind aktuell und laut Protokoll wurde auch keine Install.exe erkannt.


http://www.abload.de/img/4znm7.jpg

Ich will ja nicht pingelich sein aber nachdem was du sagst schauts ja wohl nicht aus

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 22:51

Ich muss faierweise aber hinzufügen, dass ich folgende Option aktiviert hatte:


Diese Einstellung läuft nicht per default.

Und weil es vorhin zur Sprache kam. Ja, Prevx ist fast gänzlich eine Cloud-based-Software:

Fett von mir
http://www.wilderssecurity.com/showpost.ph...mp;postcount=47

Gruß,
Nightwatch

@ voyager
Hast du die Verhaltensüberwachung aktiviert? Es gibt zwar keine Signatur, aber das muss es auch nicht.

Ich habe jetzt mal meine NAV VM angeworfen und wenn ich die install.exe installiere und einen Neustart durchführe, dann läuft nach dem Neustart kein NAV mehr. Ich muss aber dazu sagen, dass NAV bei mir in der VM sehr lange braucht, bis es einsatzbereit ist. Vielleicht ist mein Notebook einfach nur zu langsam.

Bei mir sieht es so aus:
- deaktiviertes G Data + Neustart = System infiziert, AV nicht einsatzbereit
- aktiviertes G Data = Installation kann unterbunden werden, durch die Verhaltensüberwachung
- deaktiviertes NAV + Neustart = System infiziert, AV nicht einsatzbereit



Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 23:05

Was genau betitelt die Verhaltensüberwachung? Also was blockiert es? Und was kann es davon umsetzen? Würde mich mal interessieren (und ist nicht provokativ gemeint, sondern interessiert ).

Gruß,
Nightwatch

@markus17



Das ist Standardinstall , wo soll diese Option denn sein , ich finde keine.



Entweder frühes Laden aktivieren oder einfach ein paar Minuten warten , der Norton Service ccSvcHst startet automatisch wieder wenn er ausgefallen ist. Wie du hier sehen kannst läuft er obwohl ihn die Scareware killen will !
http://www.abload.de/img/3sjb1.jpg

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 23:09

Die Verhaltensüberwachung blockiert alle Aktivitäten, die beim Spycartest ausgeführt werden und überwacht den Autostart. G Data bezeichnet dies als "Verhaltensüberwachung". Ganz falsch ist es zwar nicht, aber mit einem BB bzw. HIPS kann sie nicht mithalten. Bei manchen Samples bekommt man dann einen Dialog, wo man die verdächtige Datei erlauben oder in Quarantäne verschieben kann. Was genau die Verhaltensüberwachung tut, steht leider nirgends.

Man kann das Programm nun erlauben oder in Quarantäne verschieben. Bei letzterer Option ist es weg.



Hab die Standardinstall von NAV drauf. Beim installieren habe ich NAV deaktiviert, damit sich die Scareware installieren kann. Auf meinem System hat NAV keine Chance zu starten, da die Scareware die ccSvcHst.exe sofort wieder abschießt.

Hier ein Screenshot vom Dialog, der beim Ausführen der install.exe kommt:


@ voyager
Die Verhaltensüberwachung sollte per default aktiviert sein. Du findest sie in den Optionen des Wächters.

@markus17



Wenn das möglich ist dann hast du Norton-Produktmanipulationsschutz ausgeschalten da dieser die Aktion "Prozess beenden" unterbindet mit der Reaktion die im Bild steht.
http://img3.abload.de/img/3sjb1.jpg
Ich weiss nicht, entweder versuchst du mich an der Nase herum zu führen oder willst nur nicht das dein Favorit schlechter dasteht

Wo ist denn nun die Verhaltensüberwachung bei Gdata , ich finde immer noch keine.

http://www.abload.de/img/1vrr5.jpg

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 23:30

Danke!
Wird die Anwendung danach komplett blockiert? Wenn ja, dann hat es in diesem Fall wirklich gut funktioniert (solang man sich mit dem PC gut auskennt).

Es gibt wohl zig tausend infizierte Rechner mit dieser Scareware. Ein seriöser Selbstschutz sollte das eigentlich aushalten. Das ist schon so lange ein Kritikpunkt an G-Data.

Es gibt doch eigentlich nur drei wichtige Funktionen für ein AV-Programm:
1.) Stabilität / Robustheit
2.) Behavioural System Monitoring / oder HIPS
3.) Gute Erkennung und Desinfektion

Leider gibt es noch viel zu viele Vertreter, die meinen, dass der letzte Unterpunkt ausreicht

Gruß,
Nightwatch

Also ich möchte hier mal etwas klarstellen. Das ganze soll kein Angriff auf Nortonprodukte sein und auch keine Heiligsprechung von G Data. Ich finde beide Programme gut. Ich hätte gerne eine Kombination von beiden Programmen, aber das gibt es ja nicht.

bezüglich der Verhaltensüberwachung:
Sorry, in den Optionen steht "Systemschutz und Autostartüberwachung", bei den Meldungen allerdings "Verhaltensüberwachung".

Dann nochmal zu meinem System:
1,7 GHz Pentium M
1024MB Ram
XP SP3

-> VM (XP SP3) bekommt 512MB Ram, AVs wurden installiert und an den Einstellungen wurde nichts verändert.

Installiert man die Scareware bei deaktiviertem AV versagen bei mir sowohl G Data als auch NAV.
Aktiviert man G Data, wird die Installation unterbunden, außer der User erlaubt es explizit. NAV habe ich jetzt nicht mehr getestet, was passiert, wenn es aktiviert ist. Bei mir braucht NAV in der VM nämlich 5-10min zum starten. -.- (hab ich schon mal in einem anderen Thread erwähnt)

*edit*
@ voyager
Ich glaube dir ja, dass sich NAV bei dir nicht beenden lässt. Vielleicht startet es bei dir einfach schnell genug, um sich selbst zu schützen.

Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 23:45

Nur zwei Fragen zu meinem Verständnis: Ist Euch langweilig und was tut Ihr da
Bei mir verhindert 1. AntiVir das Aufrufen der Seite. Falls ich das doch zulasse, dann will mich 2. Opera nicht auf diese Seite zugreifen lassen. Falls ich dies dennoch erlaube und die install.exe heruntergeladen wird, will zum 3. Antivir diese Datei vernichten.
Ich habe bis jetzt sage und schreibe 3 Sicherheitsstufen ausgeschaltet. Um diese Datei überhaupt installieren zu können, muss ich zum 4. den Wächter deaktivieren wozu man für gewöhnlich Administratorenrechte benötigt und, falls man über diese verfügt, die 5. Sicherheitsstufe unterläuft. Die brain.exe erwähne ich aus ersichtlichen Gründen an dieser Stelle nicht.
Entschuldigt bitte, aber wer nach all diesem gebündelten, eigenem, Fehlverhalten ein(e) AV/Suite verantwortlich macht, der soll bitte seinen Computer verkaufen und mit Lego's spielen.

J4U

recht hast du , sobald gefahr erkannt und geblockt (mit welcher technik auch immer!!)wird hat das security system seine schuldigkeit getan!! alles andere ist quatsch, wer ist unter normalusern so dämlich deaktiviert seine sicherheitslösungen um sich so nen chickenshit zu installieren und mal gucken was passiert

Ich würde nicht mit deaktiviertem Schutz testen, wenn voyager nicht gewollt hätte, dass ich das Sample starten lassen soll. Bei einem BB bzw. Hips muss man eine Datei sowieso zuerst ausführen, bis sie aufgrund von einem gewissen Verhalten erkannt wird. Bei G Data doppelklickt man die Datei und im nächsten Moment kommt auch schon das Warnfenster (siehe Screenshot oben). Was bei NAV passiert, sieht man ja bei voyagers Screenshots.

Lasse ich die Installation des Samples zu, haben auf meiner sehr langsamen VM beide AVs keine Chance. G Data muss sich erst ein paar Sekunden initialisieren (vorher geht wahrscheinlich nix) und bei NAV rennt bei mir nur die ccSvcHst.exe (lastet das System auch ziemlich aus). Erst nach ein paar Minuten folgen weitere Prozesse von NAV. Ich gehe also davon aus, dass auch hier erst der Selbstschutz greift, wenn das Programm sich gestartet hat.

@ voyager
Bei deinem Screenshot sieht man z.B. schon den gelben Kreis von NAV bzw. NIS im Systray. Bei mir kommt dieser nicht sofort. Wahrscheinlich startet bei dir das ganze einfach um einiges schneller.

Hi
Ja. Dein System scheint geschützt. Aber nicht alle können sich so "glücklich" schätzen. Die install.exe wird aktuell nur von 4 AV-Programmen erkannt. Und der IE unf FF warnen nicht vor der Seite. Bei der nächsten install.exe hat AntiVir aber vlt. keine Erkennung parat und der User installiert sich das Teil. Was nun?


Das macht wohl keiner . Aber wie ich oben schon schrieb, braucht der User das auch nicht, weil die Datei nicht erkannt wird. Eine AV-Software hat nicht nur dann seine Pflicht erfüllt, wenn es eine Infektion blockt, sondern auch dann, wenn etwas schädliches ausgeführt wird, und es sich nicht dadurch beenden lässt. Was bringt einem das sonst?
Im Falle von Kaspersky wird hier höchstens über das HIPS gewarnt...mehr nicht. Und inwieweit das geschieht und ob Kaspersky danach überhaupt noch läuft, müsste speziell getestet werden.

Ich finde schon, dass das ein ganz wichtiger Punkt ist. Samples, die durch eine Erkennung durchrutschen, sind nicht so selten, wie man es gern hätte.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 21.05.2009, 11:32