Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Oldi]

Zuerst mal wünsche ich allen Forenmitgliedern ein nettes Wochenende, und hoffe, ihr hattet schöne Weihnachtsfeiertage.

Derzeit ist bei mir häufig die Virtualisierungslösung "Try and decide" von True Image 11 in Gebrauch, womit ich gute Erfahrungen gemacht habe.

Allerdings besteht der Unterschied zu echten Virtualisierungsprogrammen wohl darin, daß nur Veränderungen am bestehenden System gespeichert und rückgängig gemacht werden (ähnlich wie bei sandboxie).

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

[Peter 123]

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Wenn ich mich recht erinnere, gab es hier im Forum auch schon mal etwas zu der Problematik bezüglich sandboxie zu lesen.

Du beziehst dich wahrscheinlich auf diesen Thread:
http://www.rokop-security.de/index.php?showtopic=16824

Dort hat subset Konfigurationsmöglichkeiten für Sandboxie dargestellt, mit denen man das von dir angesprochene Risiko zumindest beträchtlich reduzieren (oder sogar ganz ausschließen?) kann.

Ob es auch bei Virtualisierungsprogrammen wie Returnil (bzw. Shadow Defender usw.) vergleichbare Konfigurationsmöglichkeiten gibt, müssten die Nutzer dieser Programme wissen. Ich habe ein solches (noch) nicht in Verwendung.

Dass ich diesbezüglich noch abwartend bin, hängt damit zusammen, dass ich es umgekehrt wie rolarocka sehe :

Benutzt man den Rechner nur zum surfen ist Returnil ideal am besten noch mit Sandboxie kombiniert.

Gerade wenn man (so wie ich) den Rechner (fast) nur zum Surfen verwendet, scheint mir eigentlich Sandboxie (bzw. eine andere Sandbox) die ideale Lösung zu sein, die man allenfalls noch mit Returnil (oder Shadow Defender usw.) kombinieren kann.

Warum?
- Ich brauche nach dem Besuch im Internet nur die Sandbox zu schließen (und sie dann allenfalls manuell zu leeren, wenn ich das automatische Leeren nicht aktiviert habe), um alle etwaigen Schädlinge loszuwerden. Um denselben Effekt mit Returnil zu erreichen, muss ich offenbar den Computer herunterfahren und neustarten (wenn ich die Funktionsweise richtig verstehe). Das ist doch bedeutend aufwändiger/schwerfälliger.

- Mit dem eben Erwähnten in Zusammenhang: Ich kann mit Sandboxie meine (allenfalls riskanten) Aufenthalte im Internet kurz halten.
Beispiel 1: Ich surfe z.B. nur ein einzige Seite an, die mir gefährlich erscheint, schließe dann sofort wieder Browser + Sandboxie (und leere sie allenfalls manuell). Erst dann starte ich den nächsten Aufenthalt im Internet durch ein neuerliches Öffnen des Browsers (wieder in der Sandbox).
Beispiel 2: Ich möchte zB. ein Online-Bankgeschäft abwickeln: Dann öffne ich gezielt nur für diese eine Transaktion den Browser bzw. die Sandbox, rufe nur meine Bankseite auf und schließe nach Beendigung der Transaktion sofort wieder Browser + Sandbox. ---> Ich glaube, mit dieser Methode lässt sich auch das Risiko, das ein Keylogger meine Bankdaten ausspionieren könnte, sehr gering halten (selbst ohne besondere Konfiguration der Sandbox).

Und das alles funktioniert eben bei Sandboxie mit ein oder zwei Mausklicks.
Außerdem ist nach dem Gesagten die "Aufenthaltsdauer" eines etwaigen Schädlings im (virtuellen) System bei Nutzung einer Sandbox typischerweise kürzer als bei einer (ausschließlichen) Verwendung von Returnil. Insofern habe ich mit Sandboxie ein besseres Sicherheitsgefühl.

Returnil (oder Shadow Defender) scheint mir in zweierlei Hinsicht nützlich:

- Wenn ich am Rechner z.B. öfter neue Programme/Software gefahrlos ausprobieren möchte. Dafür ist in einer Sandbox manchmal "zu wenig Platz", insbesondere, wenn man sie "streng" konfiguriert hat.

- Wenn man befürchtet, dass ein Schädling aus der Sandbox ausbrechen und sich im System festsetzen könnte. Dann böte die Virtualisierung z.B. mit Returnil ein zweites Schutzschild: Der Schädling wäre zwar vorübergehend am Rechner, aber mit dem Herunterfahren und Neustarten wäre er beseitigt.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 18:51