Zu wenig Trojaner ?, AVK_Total_Care holt die "Äpfel" aus Nachbars Garten |
Willkommen, Gast ( Anmelden | Registrierung )
Zu wenig Trojaner ?, AVK_Total_Care holt die "Äpfel" aus Nachbars Garten |
14.05.2007, 10:49
Beitrag
#1
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Es ist soweit, nun wird die Malware aus der Quarantäne anderer Sicherheitssoftware (gestohlen).
Müssen wir nun die Quarantäne Verzeichnisse anderer Hersteller in die Ausnahmeliste von AVK..aufnehmen? So siehts das Protokoll von AVK_Total_Care aus.: Virenprüfung mit AntiVirenKit Version 17.0.7089 Virensignaturen vom 14.05.2007 Job: Alle Festplatten Startzeit: 14.05.2007 04:30 Engine(s): Engine A (AVK 17.4638), Engine B (AVKB 17.222) Heuristik: Ein Archive: Ein Systembereiche: Ein Prüfung der Systembereiche... Prüfung aller lokalen Festplatten... Objekt: Programme\MD Adressbuch\adressbuch.exe In Archiv: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine\33B8459BF7BE63C15517581BCA59E2F7.a2q Status: Virus gefunden Virus: Win32:Nilage-GC [Trj] (Engine B) Objekt: 33B8459BF7BE63C15517581BCA59E2F7.a2q >>>>> Pfad: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine <<<<<<<<<<<<< >>>>> Status: Datei in Quarantäne verschoben<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Virus: Win32:Nilage-GC [Trj] (Engine B) Analyse vollständig durchgeführt: 14.05.2007 09:47 97712 Dateien überprüft 1 infizierte Dateien gefunden 0 verdächtige Dateien gefunden ------------- Der Beitrag wurde von Sasser bearbeitet: 14.05.2007, 10:50 -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
14.05.2007, 10:59
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
Schon lustig bis bedenklich...
Dachte immer, in der Quarantäne wird die Malware verschlüsselt abgelegt und nur das Programm, zu dem die Quarantäne gehört kennt den Schlüssel... Wenns AVK die einfach auslesen kann, scheints bei a² damit ja nicht weit her zu sein. -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
14.05.2007, 11:09
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
ZITAT(hypnosekroete @ 14.05.2007, 11:58) [snapback]198813[/snapback] Schon lustig bis bedenklich... Dachte immer, in der Quarantäne wird die Malware verschlüsselt abgelegt und nur das Programm, zu dem die Quarantäne gehört kennt den Schlüssel... Wenns AVK die einfach auslesen kann, scheints bei a² damit ja nicht weit her zu sein. Vieleicht sollten die sich mal treffen und ihre Gebietsansprüche klären. -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
14.05.2007, 11:12
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
Vielleicht sollte a² seine Quarantäne anständig verschlüsseln und nicht nur umbenennen?
Wenn a² tatsächlich nur umbenennt, isses nur konsequent, das andere AV's die Malware findet. //add// Woher soll AV-1 wissen das die Datei [IrgendeinName].[IrgendeineEndung] ausgerechnet im Quarantäneordner von AV-2 liegt? Der Beitrag wurde von hypnosekroete bearbeitet: 14.05.2007, 11:16 -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
14.05.2007, 11:25
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Mhmm werde Emsi, so heißt er doch ? Mal anschreiben.
ZITAT(Sasser @ 14.05.2007, 12:19) [snapback]198817[/snapback] Mhmm werde Emsi, so heißt er doch ? Mal anschreiben. Hab ihm das Logfile geschickt. Mal sehen. -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
14.05.2007, 11:32
Beitrag
#6
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
Moin Sasser,
ZITAT Hab ihm das Logfile geschickt. Mal sehen. Am besten nicht nicht nur die Logfile, sondern TC, damit die was daran zu schrauben haben Der Beitrag wurde von Kenshiro bearbeitet: 14.05.2007, 11:43 -------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
Gast_Jens1962_* |
14.05.2007, 12:25
Beitrag
#7
|
Gäste |
ZITAT(hypnosekroete @ 14.05.2007, 12:11) [snapback]198815[/snapback] Vielleicht sollte a² seine Quarantäne anständig verschlüsseln und nicht nur umbenennen? Werden die schon machen.Ich weiß nicht, was manche AV in verschlüsselten Daten meinen, erkennen zu müssen. AntiVir hat z.B. gelegentlich das Hobby (gehabt), in der Systemwiederherstellung von Windows etwas zu finden. Selbst dann, wenn der WH-Punkt nach einem Scan o.B. erstellt wurde. Mir ist so, als hätte KAV da auch so seine Problemchen gehabt. Symantec umgeht dieses, da wird die System-WH per default vom Scan ausgeschlossen... Gruß Jens |
|
|
14.05.2007, 12:47
Beitrag
#8
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 596 Mitglied seit: 17.12.2003 Wohnort: München, naja, fast! Mitglieds-Nr.: 276 Betriebssystem: WXP pro SP2 Virenscanner: Avira Classic Firewall: NAT |
ZITAT(Jens1962 @ 14.05.2007, 13:24) [snapback]198821[/snapback] Werden die schon machen. Ich weiß nicht, was manche AV in verschlüsselten Daten meinen, erkennen zu müssen. AntiVir hat z.B. gelegentlich das Hobby (gehabt), in der Systemwiederherstellung von Windows etwas zu finden. Selbst dann, wenn der WH-Punkt nach einem Scan o.B. erstellt wurde. Mir ist so, als hätte KAV da auch so seine Problemchen gehabt. Symantec umgeht dieses, da wird die System-WH per default vom Scan ausgeschlossen... Gruß Jens Hi Jens, Antivir macht das immer noch so. Schädlinge in der SWH werden weiterhin erkannt. Ich finde das auch nicht ganz so schlecht, da es sich ja schließlich um Punkte handelt, die zurückgespielt werden, wenn mal was im Argen ist. und so weiß man, dass man sich das Zurückspielen schenken kann. Was ich blöd finde, ist dass man Dateien aus der SWH nicht einzeln löschen kann, das System dahinter ist nicht durchdacht... Es nicht zu scannen ist m.E. falsch. F. -------------------- Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit,
aber bei dem Universum bin ich mir noch nicht ganz sicher. (Albert Einstein) |
|
|
Gast_Jens1962_* |
14.05.2007, 14:05
Beitrag
#9
|
Gäste |
ZITAT(floman @ 14.05.2007, 13:46) [snapback]198823[/snapback] Antivir macht das immer noch so. Schädlinge in der SWH werden weiterhin erkannt. Wenn es denn so wäre...Ich habe extra geschrieben: Den Rechner mit Antivir bei deaktivierter SWH gescannt --> sauber. SWH aktiviert, Rechner mit Antivir gescannt --> Fund in der SWH (hä, woher?). ZITAT Es nicht zu scannen ist m.E. falsch. Ich sehe das aus dem beschriebenen Grund anders. So schlimm ist das auch nicht. Falls es XP wirklich einmal schafft, mit Hilfe der SWH das System zurückzusetzen, dann sollte ein AV doch den wiederhergestellten Schädling erkennen und bekämpfen können (wenn er denn wirklich existent wäre). Gruß Jens |
|
|
14.05.2007, 14:55
Beitrag
#10
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.809 Mitglied seit: 11.12.2006 Mitglieds-Nr.: 5.621 |
ist bei mir auch so... wenn ich mit antivir einen fullscan mache und es was findet, schnibitzt nod den schädling (wenn nod ihn erkennt) aus der quarantäne von antivir und steckt ihn in die eigene... (anders herum habe ich es allerding noch nicht erlebt!)
es heißt ja nicht umsonst, man solle nicht 2 antivirenprogramme auf´m rechner haben. ich kann damit leben... btw. so wie ich das immer lese, hat antivir die quarantäne in dem temp ordner angesiedelt... naja... Der Beitrag wurde von BluesBrother bearbeitet: 14.05.2007, 14:59 |
|
|
14.05.2007, 15:29
Beitrag
#11
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 102 Mitglied seit: 07.05.2007 Mitglieds-Nr.: 6.118 Betriebssystem: Windows 7 Professional Virenscanner: Emsisoft Anti-Malware |
Einige Anti-Viren Programme haben die Fähigheit verschlüsselte Dateien zu entschlüsseln und zu scannen. Was ja durchaus sinn machen kann.
Aber emsisoft arbeitet daran dies zu verbessern. Zitat von emsi: ZITAT Other virus scanners come with a generic decryption module that are able to unpack our crypted quarantine files. We'll use a stronger encryption in the next version.
-------------------- |
|
|
14.05.2007, 15:44
Beitrag
#12
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.478 Mitglied seit: 23.02.2007 Wohnort: Mutter Erde Mitglieds-Nr.: 5.868 Betriebssystem: Windows Se7en 64bit Firewall: Windows FW + Router |
ZITAT(hachi' @ 14.05.2007, 16:28) [snapback]198847[/snapback] Einige Anti-Viren Programme haben die Fähigheit verschlüsselte Dateien zu entschlüsseln und zu scannen. Dein Virenscanner kennt also die Passwörter? Wow... wie heißt der denn? -------------------- |
|
|
14.05.2007, 16:39
Beitrag
#13
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 102 Mitglied seit: 07.05.2007 Mitglieds-Nr.: 6.118 Betriebssystem: Windows 7 Professional Virenscanner: Emsisoft Anti-Malware |
@blubber
Wie erklärst du dir denn das AntiViren Programme in der Quarantäne anderer AntiViren Programme etwas finden? So hab ich es jedenfalls verstanden. Der Beitrag wurde von hachi' bearbeitet: 14.05.2007, 16:46 -------------------- |
|
|
14.05.2007, 16:48
Beitrag
#14
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.478 Mitglied seit: 23.02.2007 Wohnort: Mutter Erde Mitglieds-Nr.: 5.868 Betriebssystem: Windows Se7en 64bit Firewall: Windows FW + Router |
Ich erklär mir das so, ein Virenscanner kann kein Passwort einer Datei kennen. Basta. Wie die "Verschlüsselung" einer Quarantäne funktioniert weiß ich nicht (lasse mich aber gerne von einem Fachmann aufklären).
-------------------- |
|
|
14.05.2007, 16:52
Beitrag
#15
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
ZITAT(blubber @ 14.05.2007, 16:43) [snapback]198850[/snapback] Wos? Dein Virenscanner kennt also die Passwörter? Wow... wie heißt der denn? Er kennt wohl kaum die Passwörter, sondern umgeht vielmehr den Verschlüsselungsalgorithmus. Das ist ein Unterschied. Genauer kann das sicher einer von unseren Virenexperten erklären. Was mir zum Thema als erstes einfiel a²: *Virus find und einpack* AVK: *rumsuch* *Virus in verschlüsseltem Container find* *einpack und dem User zeig* AVK: "Ich hab was Tolles gefunden" a²: "Das ist mein Virus gib den her" Hat irgendwie Slapstickcharakter das Ganze. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
Gast_Poulsen_* |
14.05.2007, 17:05
Beitrag
#16
|
Gäste |
ZITAT a²: *Virus find und einpack* AVK: *rumsuch* *Virus in verschlüsseltem Container find* *einpack und dem User zeig* AVK: "Ich hab was Tolles gefunden" a²: "Das ist mein Virus gib den her" Super |
|
|
14.05.2007, 17:06
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
ZITAT(hachi' @ 14.05.2007, 17:38) [snapback]198860[/snapback] Wie erklärst du dir denn das AntiViren Programme in der Quarantäne anderer AntiViren Programme etwas finden? Wahrscheinlich benennen die Programme in deren Quarantäne andere Scanner fündig werden die Dateien nur um und ändern die Berechtigungen zum Ausführen/Löschen, anders kann ich mir das nicht erklären... Wenn die Dateien tatsächlich verschlüsselt wären, müsste es für andere Programme unmöglich sein, irgendeine sinnvolle Information (in diesem Falle Virensignatur) aus der Datei auszulesen. ZITAT(Caimbeul @ 14.05.2007, 17:51) [snapback]198864[/snapback] Er kennt wohl kaum die Passwörter, sondern umgeht vielmehr den Verschlüsselungsalgorithmus. Das ist ein Unterschied. Genauer kann das sicher einer von unseren Virenexperten erklären. Brute-Forcen die Scanner dann die verschlüsselten Dateien? Haben die ein Kryptoanalysemodul an Bord? [Weiß die CIA bescheid? ] Ich glaube, da müsste ein Kryptographieexperte ran, das zu erklären. Mein Verdacht ist: Die Quarantänen, in denen anere Scanner fündig werden, sind gar nicht nicht verschlüsselt. Der Beitrag wurde von hypnosekroete bearbeitet: 14.05.2007, 17:06 -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
14.05.2007, 17:10
Beitrag
#18
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router |
Gib Her !
Mist geklaut. Der Beitrag wurde von Sasser bearbeitet: 14.05.2007, 17:10
Angehängte Datei(en)
-------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
|
|
14.05.2007, 17:14
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
ZITAT(hypnosekroete @ 14.05.2007, 18:05) [snapback]198872[/snapback] Brute-Forcen die Scanner dann die verschlüsselten Dateien? Naja, das wäre dann die Variante mit dem Password genauso wie eine Dictonary Attack. Das Umgehen des Algorithmus wäre einfach die mathematische Herangehensweise. Wie genau das funktioniert und ob kann Dir ein Mathematiker oder ein Experte zu diesem Thema erklären. Brute Force und Dictonary Attacks würde ich komplett ausschließen, da diese viel zu lange dauern und auch noch Ressourcen brauchen. Ausnahmen sind simple Passwörtermöglichkeiten z.B. maximal 3 Stellen nur Zahlen etc. Wobei Du glaube ich mit dem simplen Umbenennen eher Recht hast. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
14.05.2007, 17:27
Beitrag
#20
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.690 Mitglied seit: 11.01.2007 Mitglieds-Nr.: 5.718 Betriebssystem: Intrepid Ibex / Vista Virenscanner: NIS 2009 Firewall: Router/NIS 2009 |
Ich glaub auch bei "einfachen" Schlüsseln ist die Kryptoanalyse zu kompliziert bzw. einfach nicht implementiert.
Bestes Beispiel ist doch das (beabsichtigte und erwünschte) verschicken von Malware-Samples: Archiv mit PW und die AVs kapitulieren... Wobei ich mir auch da nicht sicher bin ob tatsächlich verschlüsselt wird oder nur Zugriffsrechte geändert werden. Wo bleiben die Experten??? -------------------- Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
------------------------------------------------------------------------------------------------------------------------------------------------- Die Situation ist aussichtslos aber nicht kritisch. ------------------------------------------------------------------------------------------------------------------------------------------------- Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut! ------------------------------------------------------------------------------------------------------------------------------------------------- Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen! |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.09.2024, 06:26 |