Ich glaube auch, dass das öfter passiert, als man glaubt. Als Beispiel: Man startet seinen Rechner (offline) nach einer Woche und das AV Programm versuch sofort neue Updates zu holen. Das klappt natürlich nicht, da der PC noch nicht online ist. Erst jetzt aktiviert der User sein Modem bzw. sein Wlan (nicht alle sind dauerhaft online) und beginnt zu surfen. Der Großteil der AV Programme braucht jetzt sicher bis zu einer Stunde, bis die Signaturen aktualisiert werden und inzwischen kann viel passieren.

Symantec bietet bereits die sogenannten Pulse Updates an -> viel schneller kann man nicht an Updates kommen. Auch Avast 5 wird so eine Funktion beinhalten.

Nettes Tool. Avira und auch asquared... alles hinne.. Sollte man glatt als Deinstaller für AVs nutzen

Bei a-squared muss man aber scho an die 6x das Standard-Häkchen entfernen und ja klicken Und auch Avira hat die install.exe mit Signaturen vom 09.05. erkannt.

Glück ist etwas anderes. Dann muss ich immer noch eine Datei, die ich weder kenne noch möchte, herunterladen und dann muss ich diese Datei aus völlig unbekannter Herkunft auch noch ausführen, bevor ich mir mein System versaue.
Jetzt sind wir an dem Punkt angelangt, an dem ich doch mal auf die brain.exe verweisen möchte.

J4U

Und wenn ich mal einen schlechten Tag habe und die Datei als IrfanView_Setup.exe verteile? Kann immer noch sagen: ...komisch...bei mir hat's funktioniert...

@J4U

Ich vermute du hast das nicht verstanden warum es hier ging ? Man kanns dir gern auch nochmal erklären, extra für dich zum mitschreiben.
Es ging hier darum aufzuzeigen das Scareware zusätzliche Funktionalitäten mitbringt wie Sie im PC Welt Artikel beschrieben wurden .
Du wirst beim nächsten mal Nicht immer in der glücklichen Verfassung sein das irgend jemand die Webseite als Böse deklariert oder die Seiteninhalte bemängelt , dann stehst du vor der Situation ob dir die Scareware deinen PC sperrt und du nichts machen kannst.


Ich würde an deiner Stelle den Mund nicht so voll nehmen Immerhin hast du ja auch nicht verstanden worum es in meinem Artikel ging , andere haben das verstanden...

Der Beitrag wurde von Voyager bearbeitet: 21.05.2009, 15:24

Huch!
Dieses sensationelle Basiswissen ist, falls ich mich recht erinnere, bereits bei der Einführung von Windows 3.11 (Du erinnerst Dich, das erste netzwerkfähige Windows?) vermittelt worden. Macht nichts, mit meinem Unverstand habe ich meine(n) Rechner bisher saubergehalten, von verständigeren Zeitgenossen kann man das nicht immer behaupten.

Thema ausgereizt - EOD - Schönes WE (inkl. Brückentag)

J4U

Das ist doch nett wenn du deine Bude sauber halten kannst , aber deshalb musst du nicht versuchen die Unterhaltungen zu stören, das ist ja auch nicht das erste mal gelle.

Ich bezweifle das es zu Win311 Zeiten schon Scareware gab die den PC solange unbrauchbar macht bis der Betroffene aus Frust zahlt , incl. der Überwindung von aktuell nicht ausreichenden Selbstschutztechniken von Sicherheitssoftware.
Wenn du schon versuchen willst mitzureden empfehle ich dir schreibe einfach auch mal was zu Thema. Hier versuchst du nur zu stören und vom eigentlichen Thema abzulenken.

Ich hätte da mal ein Thema für die ganzen Software Fachleute im Forum .

Und zwar geht es um Malware wie man sie allerorts auf Webseiten im Netz findet wo man beispielsweise auf einen fehlenden Codec hingewiesen wird (Youtube Fakes) .
Wenn man diese Malware jetzt aufspielt tauchen Temporär Dateien als Prozesse im Taskmanager auf die den eigentlichen Downloader darstellen und weitere Malware aus dem Netz fleissig nachladen , siehe Bild.


http://www.abload.de/img/1wzi0.jpg

Hier hätten wir sowas , ein Flashfake was ein nichtvorhandenes Showplugin installieren will aber im Hintergrund schon fleissig mittels dieser markierten Prozesse Malware aus dem Netz nachlädt.

Jetzt meine eigentliche Frage , wie machen die das Temp-Dateien als Prozesse einzusetzen da man erfahrungsgemäss weiss ein Prozess endet mit EXE oder COM ect. . Wo liegt der Unterschied oder der Vorteil jetzt im Gegensatz zum herkömmlichen EXE Prozess hier diese Temp-Dateien als Prozesse einzusetzen . Wenn das jemand genau weis würde mich das freuen zu erfahren.

Der Beitrag wurde von Voyager bearbeitet: 26.05.2009, 22:36

Dieser Artikel fällt wohl in den Zusammenhang.
Ich vermute einfach mal, dass, sofern es sich um PE-Programme mit entsprechendem Header handelt, diese einfach mittels Parameter über einen Systemprozess (wohl meist rundll32.exe) gestartet werden können.
Ist auch häufig bei Spielen mit Kopierschutz so. Wenn man z.B. ein HIPS am laufen hat, sieht man, dass die *.tmp-Prozesse des Kopierschutzes von der rundll32.exe gestartet werden.

Wäre eine Erklärung aber ich schätze wenn ausführbare Bibliotheken DLL gestartet werden sieht man auch nur den Prozess rundll32.exe im Taskmanager , hier könnte das etwas anders sein.
Mal schauen ob sich noch einer zu Wort meldet.

Möglich, bei den Kopierschutz-tmps ist es aber besagte Exe.

Die Experten machen wohl gerade Pause

Es gibt bei Windows mehrere Mechanismen um Dateien auszuführen. Ich würde die mal grob in Shell- und Systemmechanismen unterteilen.
Shellmechanismen (z.B. ShellExecute) greifen dabei auf die Dateiendung zurück, um aus der Registry auszulesen, wie mit der Datei umzugehen ist (direkt ausführbar, mit anderer Anwendung öffnen etc.). Wenn kein Eintrag vorhanden ist, gilt der Dateityp als unbekannt und es wird folglich auch nichts gemacht.
Systemmechanismen zum Starten von Prozessen (z.B. CreateProcess) ist es dagegen völlig egal was für eine Endung die Datei hat. Dadurch, daß ich die API benutze, teile ich dem System quasi explizit mit, daß die Datei ausführbar ist. Vorraussetzung ist natürlich, daß die Dateien wirklich ausführbar sind (also z.B. valide PE Header besitzen etc.).
Die in Deinem Screenshot sichtbaren *.tmp Dateien sind also offensichtlich direkt via CreateProcess oder ähnlichem gestartet worden.

Der Beitrag wurde von Anar bearbeitet: 28.05.2009, 15:35

Danke Anar , könntest du dir noch erklären mit welcher Absicht die Malwareschreiber das so machen, das Vorgehen scheint sehr weit verbreitet zu sein .

Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" .

Wieder mal klasse Erläuterungen

Dann hookt also ein On Execution-Scanner CreateProcess? Somit wäre dann ein Austricksen des AVs, was nur nach Namenserweiterung prüft, dadurch nicht mehr möglich?

Profis unter sich.

On Execution Scans sind meist über Hooks von Funktionen gelöst, die beim Prozess Start involviert sind, ja. Meist sind das die File Mapping APIs die verwendet werden um Prozesse im Speicher auf den Start vorzubereiten. Ansonsten kann man Prozesserstellung im Kernel nicht direkt hooken, weil ein nicht unerheblicher Teil der Prozesserstellung im Usermode abläuft.

Mit Vista SP1 hat Microsoft übrigens einen Mechanismus hinzugefügt mit dem man trivial Prozesserstellung überwachen und verhindern kann: PsSetCreateProcessNotifyRoutineEx.

Aber um Deine Frage zu beantworten:
Wenn ein On Execution Scan benutzt wird, ist es egal wie Datei heißt. Ebenso ist es OnAccess Scannern egal, die auf Grund des Dateiinhalts entscheiden ob eine Datei gescannt werden soll statt auf Grund der Dateiendung.

Der Beitrag wurde von Anar bearbeitet: 28.05.2009, 16:40

Dazu habe ich schon länger ein Frage: Bei Kasperksy gibt es, wenn ich mich recht entsinne drei Optionen für den OnAccess Scanner:
Nach Dateiendung
Nach Dateiformat
alle Dateien.

Option 1 ist nach deinen Ausführungen also sehr unsicher. Was macht Option zwei? Ich habe mir das bisher immer so erklärt, dass sich Kasperksy den Header anguckt und das Format dahingehen prüft ob es ausführbar ist oder nicht.
Ist das so korrekt?

Ja, korrekt. Ist ein Kompromis aus Sicherheit und Performance und meiner Ansicht nach die zu empfehlende Einstellung. Ist glaube ich bei Kaspersky auch Standard so eingestellt.

Danke, Anar, und genau
Allerdings macht das HIPS bei jedem Programmstart einen On Execution-Scan, weshalb es wohl nicht schlimm ist, wenn man bei Datei-AV nach Erweiterungen entscheiden lässt, ob gescant wird.