Einsatz von RAT´s als legale Lösung Einstellungen

[Gorgo]

Hallo Heike!

Na dann lass uns gern hier weiter diskuitieren.

Ich bin der Meinung, dass man so etwas wie Du es mit den RAT´s tust, zwar durchaus machen kann, aber nicht öffentlich in einem Forum empfehlen sollte, wie Du es tust. Grundsätzlich würde ich solche Geschichten auch nicht mit einer Software machen wollen, deren Funktion ich nicht 100 % kenne.

Aber, wie bereits geschrieben, gerade die Tatsache, dass Du Dein Vorgehen derart öffentlich machst, halte ich für massiv überdenkenswert. Auch nervst und provozierst Du sicher etliche Leute in einem Security Board, wenn Du Deine Meinung immer wieder ausgesprochen vehement vertrittst, teilweise auch, ohne andere Argumente gelten zu lassen. Aber gut, dass tun die Anderen meistens ja auch nicht....

Über die Qualität der User im Ratboard und deren Tun, sollten wir vielleicht an späterer Stelle in diesem Thread auch noch zu sprechen kommen. Auch da finde ich das ein oder andere durchaus ... naja... fragwürdig.

Soweit grundsätzlich mal meine Meinung zum Thema.

[Gast_Gladiator_*]

Was ich gerne wissen möchte, ist mit welchen Kriterien manche AV Hersteller Prgramme erst als malware einstufen bzw. in ihre Datenbank enbinden.

Darueber koennte man ein Buch schreiben und ein Hersteller kann hier auch nicht stellvertretend fuer andere sprechen. (Das sollte man sich auch nicht als Aussenstehender anmassen denn das ist oft komplexer als es auf den ersten Blick scheint und teilweise sogar rechtlich abzuwaegen ob und wenn WIE was eingepflegt wird)

Eine nicht zu unterschaetzende Rolle spielt dabei die komerzielle Marktposition des AV Herstellers.

Norton muss beispielsweise verdammt vorsichtig sein was das Einpflegen "halbwegs legaler" RAT's
betrifft. Grund: Es koennte eine Klage aufgrund des Wettbewerbsverbotes in's Haus flattern. In diesem Fall
waere es naemlich "relativ einfach" nachweisen zu koennen das NAV das Produkt des "Mitbewerbers" vorsaetzlich flagt um bsw. so zu dem Einsatz von Produkten aus dem eigenen Haus (PC Anywhere beispielsweise) zu zwingen. (duerfte soweit verstaendlich sein denke ich mal)

Norton haellt sich in letzter Zeit eh mit dem Einpflegen nicht wirklich "akut gefaehrlicher" Sachen zurueck.
Das liegt zum einen daran das sie langsam "an die Grenzen" ohne Unpack Engine mit dem Einpflegen kommen und das derzeit der neue Betatest NAV 2004 ansteht.
Das weiss ich uebrigens nicht nur vom Hoeren/Sagen/Lesen in anderen Foren, sondern ich bin im Symantec Verteiler mit Herrn Yamamura der dort fuer die neue Malware zustaendig ist drin.
Sprich ich kriege das quasi "live" mit was warum und wieso abgelehnt wurde.

Ok, zurueck zum Thema. Ich spreche jetzt mal nur von GAV - weil wie gesagt du kannst hier ganz schlecht fuer andere sprechen wenn Du nicht direkt in die Sache involviert bist, weil das waeren dann nichts weiter
als Geruechte die man aufgrund von Vermutungen anstellen muesste.

Prinzipell pflege ich nach "Wirkungsgrad" ein.
Das heisst ich bin nicht unbedingt sensationsbesessen das ich eine sinnlose malware die nicht mal funktionstuechtig ist SOFORT einpflegen muss nur weil andere das tun.

Auch wenn das jetzt absolut brutal und unverstaendlich fuer Aussenstehende klingt, es wird dabei in etwa wie folgt vorgegangen (mal abgesehen von ITW)

* Ist jemand direkt mit dem Sch.... infiziert und sendet das dann wird das UNVERZUEGLICH EINGEPFLEGT
(Es spielt dabei keine Rolle ob Virus, Worm oder Trojaner)

* Besteht Grund zu der Annahme das sich ein gesendetes Sample (aufgrund verschiedener Eigenschaften wie bsw. Verbreitungsart ueber P2P oder aehnliches) relativ flott verbreiten koennte dann wird das auch SCHNELLSTMOEGLICH eingepflegt um hier bereits vorzubeugen

* Sinnloser Muell wie Snooby's Programmierversuche von VX Heavens bleiben erst mal liegen - das wird eingepflegt wenn man mal Zeit hat, da von solchem Sch.... keine direkte Bedrohung ausgeht. (Zumindest keine wirklich ernsthafte)

Prinzipell gilt hier EIN EINMALIGES SAMPLE (auch wenn es noch so einen bedrohlichen Namen hat wie HDD-Smasher) bleibt erst mal liegen solange keine akuten Faelle bekannt werden. DAS IST NORMAL UND WIRD BEI ALLEN AV FIRMEN SO GEHANDHABT DAS SOLCHES ZEUG MAL ALS "NOT-BEHELFS-UPDATE" kommt wenn man nix anderes zum Einpflegen hat und der Kunde auf sein taegliches Update "wartet".
Meist geht das dann auch von selber unter, weil zwischenzeitlich wichtigere Dinge eintrudeln.
Sprich hast du mal nix neues zum Einpflegen dann werden halt paar Clients oder Editserver nachgeschoben.
Fuer den Normalkunden ist hierbei bei allen anderen AV Programmen (ausser AntiVir) kaum nachvollziehbar ob es denn nun wirklich ein neuer noch undetected Server war oder aber ob es "nur" der Client war weil die
alles gleich benennen. Das erklaert auch die "Verwirrung" von einigen die in ein und der selben Woche mehrmals "ein und den selben" Backdoor bei anderen AV's eingepflegt sehen.
GAV benennt die Clients bsw. Backdoor.Name.Cli.
Hin und wieder fuege ich dort auch mal einen Schwung zu, obwohl die Clients und die Editserver nicht wirklich gefaehrlich sind. Es geht hier mehr darum wenn einer in's Forum gelatscht kommt und sich aufregt das ein Backdoor Client von einem anderen AV Programm als "Backdoor" geflagt wird und das GAV nix sagt.
Bevor ich anfange dem zu erklaeren, dass es ein Client ist und dass Clients in etwa so gefaehrlich sind wie wenn ich ein Glas Wasser im Hauspool verschuette pflege ich das Ding halt fix ein - bums aus der Husten.

Aehnlich verhaelt es sich mit "start-by-hand" Batchdateien. Diese meisten dieser "Schaedlinge" koennen sich weder selber ausbreiten, noch stellen sie eine erhebliche Gefahr das Internet dar.
Wenn man den Sch.... erkennt dann ist das vorbildlich, wenn nicht dann ist das zwar unschoen, aber nicht unbedingt ein Genickschuss. Wie gesagt solche Dinge kann man einpflegen Wenn es die Zeit zulaesst.
Kaspersky flagt bsw. sogar bestimmte Batchdateien von Trojanern die nix anderes tun als ein File zu kopieren. Alles schoen und gut wenn es die Batchdatei zum kopieren flaggt - aber wirklich wichtig ist der eigentliche Backdoor Server. Wie gesagt darueber kann man diskutieren bis zum Umfallen.

GAV 4 hat beispielsweise eine eigens konzipierte "live-ITW-database" die (wenn es der User so einstellt) sogar waehrend eines systemscans ohne die Scanengine neu zu initalisieren zu muessen (und damit den aktuellen Scanvorgang unterbrechen zu muessen) voll automatisch geupdated wird sofern der User eine aktive Inet-Verbindung hat. Alle bereits gescannten Dateien werden dabei nochmal im Schnellscann nur mit den neuen Signaturen ueberprueft - hierbei wird ein 2. Scan Task hochgerissen (der User muss also wirklich nix unterbrechen) das ist in dieser Art und Weise wirklich einzigartig.
Dieses Feature wird insbesondere fuer Firmen, welche GAV mal eben ueber einen Fileserver rennen lassen interessant. Weil dort hat man 1. die Gewissheit *IMMER BEI JEDEM SCAN* mit dein aktuellen Pattern zu scannen - selbst dann wenn der Scan bereits gestartet wurde und genau in diesem Moment eine neue ITW-Signatur hinzukommt. Wie ihr seht mache ich mir also ernsthafte Gedanken was die Verbesserung und vor allem die Zuverlaessigkeit in Sachen Erkennung von GAV betrifft. Wie gesagt das ganze ITW-Zeugs wurde bisher etwas "auf die lange Bank" geschoben weil ich wie gesagt mit GAV vor knapp einem Jahr bei Null angefangen habe. Dort muss man sich sprichwoertlich erst mal eine gewisse "Basis" aufbauen, bevor man sich auf ITW Sachen konzentrieren kann (und moechte). Weil fuer mich stand von Anfang an fest lieber einen "Bomben-Scanner" entwickeln der auch in der Lage ist wirklich harte Faelle durchzukauen und dafuer etwas Kritik wegzustecken wenn nicht sofort alles ITW erkannt wird als einfach nur stur pattern einzupflegen - egal in welcher gepackten form nach dem Motto Hauptsache es wird 100% ITW geflagt.
Das ich jetzt natuerlich mit GAV 4 meine Asse in der Beziehung voll ausspielen kann sollte auch klar sein.
Eine Unpackengine nimmt einem hier viel Arbeit ab, so dass gewisse ITW Sachen nicht dauernd nachgebessert werden muessen nur weil sie mal von UPX nach ASPack umgepackt wurden. Sprich ich kann mich jetzt relativ gelassen und mit einem Laecheln auf den Lippen zuruecklehnen und in aller Ruhe das ITW-Zeugs nachholen einschliesslich Macro Viren Prozessor ohne Gefahr zu laufen das alles was ich Gestern eingepflegt habe schon wieder "veraltet" ist nur weil irgend ein "Arsch" die Wuermer einfach umgepackt hat und bei Kazza neu released
Ich bin hier relativ wendig und flott was das betrifft - sprich Mitte/Ende Sommer geht es auf VB rund.
Bis dahin steht die neue Engine (die wir in kuerze sprich diese Woche) anfangen Beta zu testen.
Es ist nicht mal uebertrieben wenn ich schreibe das GAV nahezu 50% aller Malware hier ohne Fehlalarm komplett ohne Virusdatabase nur mit Heuristik flagt. Win32 Viren sind hier eingeschlossen.
Und wenn ich von Heuristik spreche dann meine ich das auch so sprich man kann das dann auch mal ueber paar Zoo Viren laufen lassen B)

So Vampire, das wars erst mal von meiner Seite ich hoffe der Text war Dir nicht zu kurz weil ich muss jetzt erst mal eine generic detection fuer Beastdoor basteln der Typ geht mir mit seinen dauernden neuen Releases naemlich gewaltig auf die Nuesse. Mal sehen was Kasperksy die Schnauze voll hat und auch ne Generic macht

Michael