Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Gast_Nightwatch_*]

Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.

Sowas kenne ich .Jeder hat da glaub ich so seine Leichen im Keller. Ich zum Beispiel ertappe mich momentan immer wieder dabei, dass ich täglich ein BackUp-Image anstoße, obwohl ich gar nichts neues erstellt habe . Liegt immer noch an meinem Festplatten-Crash im Februar...

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin;

Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline. Denn die Datei holt das dann nach, wenn wieder eine Verbindung besteht.

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

In etwa sehe ich das ganz genauso. Bis auf die Online-Offline-Beschränkungen. Wenn ich ein Backdoor ausführen möchte, um zu schauen, was er macht oder wie meine Sicherheitsprogramme darauf reagieren, würde ich persönlich das niemals in einer kleinen Sandbox machen. Dafür lohnt es sich auf der anderen Seite aber auch wieder nicht, nur für Surf-Sitzungen immer eine Komplettvirtualisierung anzuschmeißen.

Der Beitrag wurde von Nightwatch bearbeitet: 27.12.2008, 22:15