Returnil Free Test, Virtualisieren gegen Viren Einstellungen

[subset]

Hi,

ein kleiner Test mit dem kostenlosen Virtualisierungsprogramm Returnil Virtual System Personal Edition 2.0.0.5011.
http://www.returnilvirtualsystem.com/rvspersonal.htm

Getestet habe ich mit einem System mit einer Festplatte und einer Partition, da Returnil aktuell nur die Systempartition virtualisiert.
Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Als Testmenü gab es schwer verdauliche Kost: KillMBR, Vundo, Phide, Bagle, Rustock usw.



Als nächstes habe ich den Sitzungsschutz von Returnil aktiviert.
Anschließend als Infektionszähler Avira in das virtualisierte System installiert und alles auf "Ignorieren" gestellt.

Dann die 12 Schadprogramme nacheinander gestartet.
Avira kam insgesamt auf 43 Malware Funde.



Danach wurde es schwierig. Eigentlich wollte ich das infizierte System scannen, um den Schaden zu dokumentieren.
Aber sobald ein Programm installiert war oder ein Scan startete, wurde kurz danach das System heruntergefahren.
Versucht habe ich es insgesamt viermal, mit dem AVP Tool, CureIt, Avira Premium und KAV 2009.
Jedes Mal das durch Returnil geschützte System erneut verseucht, zu Scannen versucht und... Neustart.
Vielleicht war das Bagle Dings schuld, vielleicht ein anders Dings, jedenfalls waren die "SuperAVs" allesamt vollkommen nutzlos.

Also habe ich das aufgegeben und das echte System nach den ganzen Verseuchungen gescannt.

Zuerst mit CureIt, das hat nix gefunden.
Also mit der Ausnahme, dass es das Sysinternals Tool PsKill bemängelt...



Danach KAV 2009 im echten System installiert, hat aber auch nix gefunden.



Resümee:
- Returnil hat den Test mühelos mehrmals bestanden.
- Zu den restlichen "Schutzprogrammen" erspare ich mir lieber einen Kommentar.

MfG

[Gast_Nightwatch_*]

Aber davon abgesehen gebe ich zu, dass es für mich vor allem auch einen positiven psychologischen Effekt hat, wenn allfällige Schädlinge so kurz wie nur möglich am Rechner (in der virtuellen Umgebung) sind.

Sowas kenne ich .Jeder hat da glaub ich so seine Leichen im Keller. Ich zum Beispiel ertappe mich momentan immer wieder dabei, dass ich täglich ein BackUp-Image anstoße, obwohl ich gar nichts neues erstellt habe . Liegt immer noch an meinem Festplatten-Crash im Februar...

Wenn ich es richtig sehe, ist ein solches Vertrauen typischerweise aber eigentlich nur dann berechtigt, wenn ich während dieser Zeit ohne Internetverbindung bin;

Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline. Denn die Datei holt das dann nach, wenn wieder eine Verbindung besteht.

Vielleicht kann man es daher vereinfacht so beschreiben, welche Sicherheitslösung zweckmäßiger ist:
- für "normales" Surfen und für Online-Experimente eher eine Sandbox (und allenfalls ergänzend Returnil oder Shadow Defender usw.)
- für Offline-Experimente (Programmtests, Malware-Spielereien, ...) eher Returnil & Co.

In etwa sehe ich das ganz genauso. Bis auf die Online-Offline-Beschränkungen. Wenn ich ein Backdoor ausführen möchte, um zu schauen, was er macht oder wie meine Sicherheitsprogramme darauf reagieren, würde ich persönlich das niemals in einer kleinen Sandbox machen. Dafür lohnt es sich auf der anderen Seite aber auch wieder nicht, nur für Surf-Sitzungen immer eine Komplettvirtualisierung anzuschmeißen.

Der Beitrag wurde von Nightwatch bearbeitet: 27.12.2008, 22:15

[Peter 123]

Da muss ich jetzt noch einmal etwas nachfragen. Denn entweder verstehe ich bei der Funktionsweise der Virtualisierungsprogramme etwas falsch, oder du bist sehr mutig/risikofreudig. Du schreibst:

Also ich bin 24/7 im Internet. Wenn schon mit Malware spielen, dann richtig . Wenn ich einer VM vertraue, dann kann das Ding noch so viele Rootkits aus dem Netz ziehen. Sie sollten alle nicht auf der Systempartition landen. Und wenn die Datei schon beim ersten Mal auf der HDD Schaden anrichtet, dann ist es auch ganz egal, ob ich zu diesem Zeitpunkt noch im Internet bin oder schon offline.

Das leuchtet mir ein für jene Art von Malware, die "nur" auf der Festplatte selbst schaden anrichtet (bzw. anrichten würde, wenn sie nicht in einem virtuellen System isoliert wäre), aber keinen Kontakt "nach außen" sucht.
Aber wie schützt du dich gegen jene Art von Schädlingen, die Oldi in seinen Posting beschrieben hat? Nämlich:

Gefährlich scheint mir dabei, daß ein übellauniger Bösewicht, den man sich im Virtualisierungsmodus einfängt, schon Daten aus dem Originalsystem klauen und in`s Netz verschicken kann, bevor er wieder eleminiert wird, da er sich ja im Originalsystem bewegt, bevor dieses zurückgesetzt wird.

Hast du Returnil (und/oder Shadow Defender) so konfiguriert, dass dieses Risiko (also Keylogger etc.) derartig gering ist, dass man es vernachlässigen kann (so wie das zB. bei Sandboxie durch entsprechende Einstellungen möglich ist)? Oder gibt es eine solche Konfigurationsmöglichkeit gar nicht, und begnügst du dich insofern mit dem Schutz, den dein herkömmliches Virenschutzprogramm bietet?

Auch subset hat in seinem Beitrag ja darauf hingewiesen, dass er bei seinem Experiment nicht mit dem Internet verbunden war:

Returnil war anfangs als einziges Schutzprogramm im echten System installiert, die Internetverbindung war getrennt.

Ich nehme an, dass war von ihm eben auch als Vorsichtsmaßnahme gegen Datenklauer etc. gedacht.

_______

PS: Ich habe zu dem Thema jetzt noch ein passendes Zitat aus einem Beitrag in "Wilders Security Forums" gefunden:

I love Returnil Virtual System! Its great, but if you become infected with whatever then you could have already compromised your data before a system reboot. If you don't have anything on your computer worth protecting then don't worry about it, but if you have personal info or work info / etc.. then it may still leak out before you reboot. Lets say you are making an online purchase or a transaction with your bank. You are filling out some sort of an application etc.. There's a window of opportunity that you could be compromised. Of course after you reboot you will no longer be infected, but the damage could have already been done.

(Quelle: http://www.wilderssecurity.com/showpost.ph...mp;postcount=52 )

---> Dieses Problem meine ich.

Der Beitrag wurde von Peter 123 bearbeitet: 27.12.2008, 23:33