Zu wenig Trojaner ?, AVK_Total_Care holt die "Äpfel" aus Nachbars Garten Einstellungen

[Sasser]

Es ist soweit, nun wird die Malware aus der Quarantäne anderer Sicherheitssoftware (gestohlen).
Müssen wir nun die Quarantäne Verzeichnisse anderer Hersteller in die Ausnahmeliste von AVK..aufnehmen?

So siehts das Protokoll von AVK_Total_Care aus.:

Virenprüfung mit AntiVirenKit
Version 17.0.7089
Virensignaturen vom 14.05.2007
Job: Alle Festplatten
Startzeit: 14.05.2007 04:30
Engine(s): Engine A (AVK 17.4638), Engine B (AVKB 17.222)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: Programme\MD Adressbuch\adressbuch.exe
In Archiv: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine\33B8459BF7BE63C15517581BCA59E2F7.a2q
Status: Virus gefunden
Virus: Win32:Nilage-GC [Trj] (Engine B)
Objekt: 33B8459BF7BE63C15517581BCA59E2F7.a2q
>>>>> Pfad: F:\Programme\Programme\a-squared Anti-Dialer\Quarantine <<<<<<<<<<<<<
>>>>> Status: Datei in Quarantäne verschoben<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Virus: Win32:Nilage-GC [Trj] (Engine B)
Analyse vollständig durchgeführt: 14.05.2007 09:47
97712 Dateien überprüft
1 infizierte Dateien gefunden
0 verdächtige Dateien gefunden


-------------


Der Beitrag wurde von Sasser bearbeitet: 14.05.2007, 10:50

[hypnosekroete]

Schon lustig bis bedenklich...

Dachte immer, in der Quarantäne wird die Malware verschlüsselt abgelegt und nur das Programm, zu dem die Quarantäne gehört kennt den Schlüssel...
Wenns AVK die einfach auslesen kann, scheints bei a² damit ja nicht weit her zu sein.

[Sasser]

Schon lustig bis bedenklich...

Dachte immer, in der Quarantäne wird die Malware verschlüsselt abgelegt und nur das Programm, zu dem die Quarantäne gehört kennt den Schlüssel...
Wenns AVK die einfach auslesen kann, scheints bei a² damit ja nicht weit her zu sein.

Vieleicht sollten die sich mal treffen und ihre Gebietsansprüche klären.

[hypnosekroete]

Vielleicht sollte a² seine Quarantäne anständig verschlüsseln und nicht nur umbenennen?
Wenn a² tatsächlich nur umbenennt, isses nur konsequent, das andere AV's die Malware findet.

//add//
Woher soll AV-1 wissen das die Datei [IrgendeinName].[IrgendeineEndung] ausgerechnet im Quarantäneordner von AV-2 liegt?

Der Beitrag wurde von hypnosekroete bearbeitet: 14.05.2007, 11:16

[Sasser]

Mhmm werde Emsi, so heißt er doch ? Mal anschreiben.

Mhmm werde Emsi, so heißt er doch ? Mal anschreiben.

Hab ihm das Logfile geschickt. Mal sehen.

[Kenshiro]

Moin Sasser,

Hab ihm das Logfile geschickt. Mal sehen.

Am besten nicht nicht nur die Logfile, sondern TC, damit die was daran zu schrauben haben

Der Beitrag wurde von Kenshiro bearbeitet: 14.05.2007, 11:43

[Gast_Jens1962_*]

Vielleicht sollte a² seine Quarantäne anständig verschlüsseln und nicht nur umbenennen?

Werden die schon machen.
Ich weiß nicht, was manche AV in verschlüsselten Daten meinen, erkennen zu müssen. AntiVir hat z.B. gelegentlich das Hobby (gehabt), in der Systemwiederherstellung von Windows etwas zu finden. Selbst dann, wenn der WH-Punkt nach einem Scan o.B. erstellt wurde.
Mir ist so, als hätte KAV da auch so seine Problemchen gehabt. Symantec umgeht dieses, da wird die System-WH per default vom Scan ausgeschlossen...

Gruß Jens

[floman]

Werden die schon machen.
Ich weiß nicht, was manche AV in verschlüsselten Daten meinen, erkennen zu müssen. AntiVir hat z.B. gelegentlich das Hobby (gehabt), in der Systemwiederherstellung von Windows etwas zu finden. Selbst dann, wenn der WH-Punkt nach einem Scan o.B. erstellt wurde.
Mir ist so, als hätte KAV da auch so seine Problemchen gehabt. Symantec umgeht dieses, da wird die System-WH per default vom Scan ausgeschlossen...

Gruß Jens

Hi Jens,

Antivir macht das immer noch so. Schädlinge in der SWH werden weiterhin erkannt. Ich finde das auch nicht ganz so schlecht, da es sich ja schließlich um Punkte handelt, die zurückgespielt werden, wenn mal was im Argen ist. und so weiß man, dass man sich das Zurückspielen schenken kann. Was ich blöd finde, ist dass man Dateien aus der SWH nicht einzeln löschen kann, das System dahinter ist nicht durchdacht... Es nicht zu scannen ist m.E. falsch.

F.

[Gast_Jens1962_*]

Antivir macht das immer noch so. Schädlinge in der SWH werden weiterhin erkannt.

Wenn es denn so wäre...
Ich habe extra geschrieben: Den Rechner mit Antivir bei deaktivierter SWH gescannt --> sauber.
SWH aktiviert, Rechner mit Antivir gescannt --> Fund in der SWH (hä, woher?).

Es nicht zu scannen ist m.E. falsch.

Ich sehe das aus dem beschriebenen Grund anders.
So schlimm ist das auch nicht. Falls es XP wirklich einmal schafft, mit Hilfe der SWH das System zurückzusetzen, dann sollte ein AV doch den wiederhergestellten Schädling erkennen und bekämpfen können (wenn er denn wirklich existent wäre).

Gruß Jens

[BluesBrother]

ist bei mir auch so... wenn ich mit antivir einen fullscan mache und es was findet, schnibitzt nod den schädling (wenn nod ihn erkennt) aus der quarantäne von antivir und steckt ihn in die eigene... (anders herum habe ich es allerding noch nicht erlebt!)

es heißt ja nicht umsonst, man solle nicht 2 antivirenprogramme auf´m rechner haben. ich kann damit leben...

btw. so wie ich das immer lese, hat antivir die quarantäne in dem temp ordner angesiedelt... naja...

Der Beitrag wurde von BluesBrother bearbeitet: 14.05.2007, 14:59

[hachi']

Einige Anti-Viren Programme haben die Fähigheit verschlüsselte Dateien zu entschlüsseln und zu scannen. Was ja durchaus sinn machen kann.

Aber emsisoft arbeitet daran dies zu verbessern.

Zitat von emsi:

Other virus scanners come with a generic decryption module that are able to unpack our crypted quarantine files. We'll use a stronger encryption in the next version.

[blubber]

Einige Anti-Viren Programme haben die Fähigheit verschlüsselte Dateien zu entschlüsseln und zu scannen.

Wos?
Dein Virenscanner kennt also die Passwörter? Wow... wie heißt der denn?

[hachi']

@blubber
Wie erklärst du dir denn das AntiViren Programme in der Quarantäne anderer AntiViren Programme etwas finden?

So hab ich es jedenfalls verstanden.

Der Beitrag wurde von hachi' bearbeitet: 14.05.2007, 16:46

[blubber]

Ich erklär mir das so, ein Virenscanner kann kein Passwort einer Datei kennen. Basta. Wie die "Verschlüsselung" einer Quarantäne funktioniert weiß ich nicht (lasse mich aber gerne von einem Fachmann aufklären).

[Caimbeul]

Wos?
Dein Virenscanner kennt also die Passwörter? Wow... wie heißt der denn?

Er kennt wohl kaum die Passwörter, sondern umgeht vielmehr den Verschlüsselungsalgorithmus. Das ist ein Unterschied. Genauer kann das sicher einer von unseren Virenexperten erklären.

Was mir zum Thema als erstes einfiel

a²: *Virus find und einpack*
AVK: *rumsuch* *Virus in verschlüsseltem Container find* *einpack und dem User zeig*
AVK: "Ich hab was Tolles gefunden"
a²: "Das ist mein Virus gib den her"

Hat irgendwie Slapstickcharakter das Ganze.

[Gast_Poulsen_*]

a²: *Virus find und einpack*
AVK: *rumsuch* *Virus in verschlüsseltem Container find* *einpack und dem User zeig*
AVK: "Ich hab was Tolles gefunden"
a²: "Das ist mein Virus gib den her"

Super

[hypnosekroete]

Wie erklärst du dir denn das AntiViren Programme in der Quarantäne anderer AntiViren Programme etwas finden?

Wahrscheinlich benennen die Programme in deren Quarantäne andere Scanner fündig werden die Dateien nur um und ändern die Berechtigungen zum Ausführen/Löschen, anders kann ich mir das nicht erklären...

Wenn die Dateien tatsächlich verschlüsselt wären, müsste es für andere Programme unmöglich sein, irgendeine sinnvolle Information (in diesem Falle Virensignatur) aus der Datei auszulesen.

Er kennt wohl kaum die Passwörter, sondern umgeht vielmehr den Verschlüsselungsalgorithmus. Das ist ein Unterschied. Genauer kann das sicher einer von unseren Virenexperten erklären.

Brute-Forcen die Scanner dann die verschlüsselten Dateien?
Haben die ein Kryptoanalysemodul an Bord?
[Weiß die CIA bescheid? ]
Ich glaube, da müsste ein Kryptographieexperte ran, das zu erklären.

Mein Verdacht ist: Die Quarantänen, in denen anere Scanner fündig werden, sind gar nicht nicht verschlüsselt.



Der Beitrag wurde von hypnosekroete bearbeitet: 14.05.2007, 17:06

[Sasser]

Gib Her !


Mist geklaut.

Der Beitrag wurde von Sasser bearbeitet: 14.05.2007, 17:10

Angehängte Datei(en)

 a096.gif ( 1.43KB ) Anzahl der Downloads: 0
 a096.gif ( 1.43KB ) Anzahl der Downloads: 0

 

[Caimbeul]

Brute-Forcen die Scanner dann die verschlüsselten Dateien?

Naja, das wäre dann die Variante mit dem Password genauso wie eine Dictonary Attack.

Das Umgehen des Algorithmus wäre einfach die mathematische Herangehensweise. Wie genau das funktioniert und ob kann Dir ein Mathematiker oder ein Experte zu diesem Thema erklären.

Brute Force und Dictonary Attacks würde ich komplett ausschließen, da diese viel zu lange dauern und auch noch Ressourcen brauchen. Ausnahmen sind simple Passwörtermöglichkeiten z.B. maximal 3 Stellen nur Zahlen etc.

Wobei Du glaube ich mit dem simplen Umbenennen eher Recht hast.

[hypnosekroete]

Ich glaub auch bei "einfachen" Schlüsseln ist die Kryptoanalyse zu kompliziert bzw. einfach nicht implementiert.
Bestes Beispiel ist doch das (beabsichtigte und erwünschte) verschicken von Malware-Samples: Archiv mit PW und die AVs kapitulieren...
Wobei ich mir auch da nicht sicher bin ob tatsächlich verschlüsselt wird oder nur Zugriffsrechte geändert werden.

Wo bleiben die Experten???