Druckversion des Themas

Geschrieben von: christophs 28.05.2005, 14:31

http://bcheck.scanit.be/bcheck/

Habe vorhin den check gemacht.
Alle 37 Tests waren ok.
Mit KAV und KAH.
Dabei fing KAV einen Virus auf (oder 2?)

Danach mit NIS 2005 getestet.
Alles ok.
Aber kein Virus wurde abgewehrt.
Komisch?

Schlägt euer Virenscanner in den ersten paar Minuten an?

Geschrieben von: christophs 28.05.2005, 14:34

Jetzt stimmt die URL!

Geschrieben von: Jens1962 28.05.2005, 14:43

Die URL stimmt garantiert nicht!

Der Test startet automatisch, ohne mein Zutun. Wo ist die eigentliche Startseite?

Jens

Geschrieben von: christophs 28.05.2005, 14:45

Bei mir startet er auch sofort.
Dachte, das ist die Startseite.

Geschrieben von: christophs 28.05.2005, 14:46

Melde mich heute Abend noch mal.

Geschrieben von: Bo Derek 28.05.2005, 14:55

Ich habe die URL im ersten Posting mal angepasst.

Da werden sicher keine Trojaner gemeldet, sondern Programme, die Deinen Browser verändern wollen, z.B. Deine Startseite.

Das steht so auch in den FAQ der Seite, die Du hier verlinkt hast:

http://bcheck.scanit.be/bcheck/faq.php#14

Geschrieben von: Manu 28.05.2005, 15:10

Weil's so lustig ist...

Opera 8, Javascript/Java/Plug-Ins/Cookies aktiviert, Proxy Proxomitron, keinen Viren-Scanner.

Geschrieben von: Jens1962 28.05.2005, 15:13

Diese lustige Anzeige bekomme ich auch mit dem Maxthon und alles an.
Der Virenscanner hatte Pause, der Downloadmanager schlägt 2x an - er durfte aber nicht

Jens

Geschrieben von: Bo Derek 28.05.2005, 15:17

Naja:

Maxthon 1.2.5 aka IE6.

Geschrieben von: skep 28.05.2005, 17:03

Mit Firefox 1.0.4 auch alles ohne Probleme...und da kein Virenscanner auch ohne Verwirrung...

Geschrieben von: Lucky 28.05.2005, 17:40

Die 0 bekomme ich sogar mit dem IE 6.
Und Firefox Deer Park Alpha 1

- björn

Geschrieben von: Rios 28.05.2005, 18:14

Hey, hab mir das Spiel auch mal angeschaut. Ergebnis 000

Gruß
Rios

Geschrieben von: christophs 28.05.2005, 18:47

KAV hatte bei mir ja angeschlagen, NAV nicht.
Hat irgendwo noch ein AV angeschlagen?

Geschrieben von: bond7 28.05.2005, 18:56

zeig uns dochmal die virusmeldung von KAV

Geschrieben von: Faith 28.05.2005, 19:04

bei mir hat auch nichts angeschlagen. Und ich schwitz wie ne Sau, bei über 31° in der Wohnung

Faith

Geschrieben von: Rios 28.05.2005, 19:16

@ christophs

Also bei mir kam nichts von KAV, und der ist auf dem neuesten Stand.

Rios

Geschrieben von: christophs 28.05.2005, 19:35

Habe jetzt ja NIS 2005 drauf, kann die KAV-Meldung nicht geben.
Bin mir aber sicher, dass sich KAV gemeldet hat.
Habe es sogar ein zweites mal probiert. Kam dasselbe.
Daraufhin habe ich ja den Test mit NIS gemacht.

Geschrieben von: christophs 28.05.2005, 19:36

Achja, habe die erweiterten Datenbanken benutzt.

Geschrieben von: bond7 28.05.2005, 19:45

ja toll
meldung kam und ging , habe es ein 2tes mal probiert, habe datenbank benutzt....

meine frage war eigentlich was in der meldung stand, das wirst du doch sicher gelesen haben, oder machst du sowas nicht ?

Geschrieben von: Joerg 28.05.2005, 19:52

Kaspersky hat in seinen erweiterten Datenbanken auch Exploits von bekannten Schwachstellen eingepflegt; die Namen der "Viren" beginnen dann mit "Exploit", z.B. "Exploit.HTML.CodeBaseExec" (ob das in diesem Fall zutrifft, kann ich allerdings nicht sagen ).

Geschrieben von: Jens1962 28.05.2005, 19:58

Naja, der will, wie beschrieben, irgendetwas herunterladen. Das eine Script habe ich mir mal geholt:

[attachmentid=1386]

Vielleicht springt KAV auf das Script an. Müßte der NAV normalerweise auch machen, er hat in diesem Fall nur nichts zu tun.

Jens

Geschrieben von: bond7 28.05.2005, 20:27

ach das ding hab ich abgebrochen .
hab das teil jetzt mal auf platte gespeichert und von dort gestartet , IE öffnet sich kurz und schliesst wieder .
NAV meldet sich aber auch nicht bei jedem script , ansonsten wär eine irgendwie geartete malware-erkennung ja glatt fürn arsch und das vbs teil ist ja ehh nur ein ungefährliches dummy.

Geschrieben von: christophs 28.05.2005, 22:23

"Exploit. VBS.Phel.a"
und
"gefährliches Skript gefunden"

KAV ist schon spitze!

@bond
http://www.rokop-security.de/index.php?showtopic=8203&st=100
"ich hab gerade festgestellt das die exploit-erkennung hier auch nichtmehr im vollem umfang funktiert"
Komisch, da mochtest du noch die Exploiterkennung.
Es drängt sich der Eindruck auf, dass du nur die Sachen als verdächtig einstufst, die auch von deinem AV erkannt werden...
Zu dem Exploit, den du noch mochtest schreiben sie im KAVforum:

http://forum.kaspersky.com/index.php?showtopic=851

"Sorry, we're not going to generically detect this exploit at the moment. Mostly because we suppose there could be legitimate uses of the exploitable DHTML Editing control, and we do not want FPs."
Bei den letzten IDS-updates war es wohl nicht dabei.
Weißt du, wo ich die Anzahl der geladenen IDS-Signaturen erkennen kann?

Geschrieben von: bond7 28.05.2005, 22:50

@christophs
hallo ? hörst du überhaupt einmal zu wenn irgend jemand irgendwas sagt ? du schmeisst hier komplett alles über den haufen !
das vbs-teil fällt bestimmt mal in die kathegorie scriptblocker denke ich und Rios sagte im beitrag 16 nichts von einer exploid-erkennung mit KAV bei dem bcheck-test .
wie kommst du darauf das dies thema hier "unbedingt" mit dem problem im thread http://www.rokop-security.de/index.php?showtopic=8203&st=100 zu tun haben soll ? wer weiss das schon aus welchem grund die zusätzlichen IDS-erkennungen nach 14 tagen wieder zurück gezogen wurden . zumindestens glaube ich das es nicht mal im weitläufigen zusammenhang mit irgend einer möglichen erkennung bei dem browsertest auf http://bcheck.scanit.be/bcheck/ im zusammenhang steht.

bezüglich deiner letzten frage, schaue nochmal auf dem link in die 3 von mir geposteten bilder.

Geschrieben von: christophs 28.05.2005, 22:55

"Kaspersky hat in seinen erweiterten Datenbanken auch Exploits von bekannten Schwachstellen eingepflegt; die Namen der "Viren" beginnen dann mit "Exploit", z.B. "Exploit.HTML.CodeBaseExec" (ob das in diesem Fall zutrifft, kann ich allerdings nicht sagen )."
3, vier Beiträge weiter oben, bond.
http://www.rokop-security.de/index.php?showtopic=8456&st=0
Beitrag 20

Was mir nur auffiel.
Bei Symantec ist sowas in Oerdnung, bei KAV heißt es gleich,
"NAV meldet sich aber auch nicht bei jedem script , ansonsten wär eine irgendwie geartete malware-erkennung ja glatt fürn arsch und das vbs teil ist ja ehh nur ein ungefährliches dummy."

Komisch.

Geschrieben von: bond7 28.05.2005, 22:57

und...was willst du damit sagen ?
hat der teilnehmer ein sterbens wörtchen darüber gesagt das es bei dem VBS-script download zu irgend einer virealam-meldung eines AV-programmes kam ?

ist schon sch.... wenn man nicht verstanden hat , was ich mit dem satz ausgedrückt hatte.

Geschrieben von: christophs 28.05.2005, 22:59

s.o.

Nicht mehr und nicht weniger.

Geschrieben von: bond7 28.05.2005, 23:05

genau-....siehe oben.
begriffen haste aber wiederma null und garnix... die bild-meldung bei Jens1962 stammt bestimmt nicht von norton oder kaspersky...
ich sehe da klar das der zugriff auf einen windows-service aus administrativen rechten verweigert wurde, lern endlich mal dazu...hmm

Geschrieben von: christophs 28.05.2005, 23:16

Ich habe dir doch die Meldung genannt, die bei KAV kam.
Wer lesen kann, ist im Vorteil!
Joerg hatte Recht.

Geschrieben von: bond7 28.05.2005, 23:23

ja sicher....du hast die meldung genannt, einfach von einem anderen was abgeschrieben obwohl das im beitrag 20 nur als einfaches erklärungs-beispiel genannt wurde
ja egal was solls...
frag mich nie wieder wenn du´n problem mit dein wechselnden AV´s hast, sieh selber zu wie du klarkommst.

Geschrieben von: christophs 28.05.2005, 23:29

Bond, ich habe es vorhin mit KAV gesehen und dann gepostet.

Und dieses posting steht weiter oben.
Was ist denn daran so schlimm, dass KAV dies als exploit und gefährliches Skript erkennt und NAV nicht?

Geschrieben von: christophs 28.05.2005, 23:33

Heute morgen mit KAV den check gemacht. KAV findet "Viren"
Ich lasse erneut den Test laufen - wieder "Viren"
Ich deinstalliere Kaspersky Personal Security Suite und mache den Test erneut. Keine Virenmeldunng.
Ich poste es.
Dann kommt die Frage, welche genaue Meldung bei KAV kam.
Ich habe am Abend erneut deinstalliert und Kaspersky PSS aufgespielt und die Meldung gepostet.

Geschrieben von: christophs 28.05.2005, 23:36

Soeben wieder getestet - gleiche KAV-Meldung.

Geschrieben von: Jens1962 29.05.2005, 00:45

Na und, da hat eben KAV ein Script gefunden - und
Erstens bekomme ich die Meldung, daß die Website irgendetwas downloaden will. Warum sollte ich das zulassen?
Wenn ich dann doch dämlich genug bin, einen unangeforderten Download zuzulassen und diese Datei dann auch noch ausführe, dann ist mir eigentlich bereits nicht mehr zu helfen.
In meinem Fall hat Windows die Ausführung des Scriptes verhindert, wozu hilft mir hier dann ein Virenscanner (egal wie der heißt)? Ein bischen Brain und ein wenig Konfiguration -> und das Thema ist keines mehr.

OT: @bond & @christophs, habt Ihr schon einen Termin für's Duell vereinbart? Ich stelle mich als Sekundant zur Verfügung.

Jens

Geschrieben von: Bo Derek 29.05.2005, 00:52

Mag ja schon sein, dass KAV spitze ist. Bei den von Dir zitierten Meldungen handelt es sich aber nicht um Viren, sondern um Skripte. Dass diese moniert werden können habe ich am Anfang dieses Threads bereits erwähnt und das steht auch so in der FAQ, die ich http://www.rokop-security.de/index.php?showtopic=8456&view=findpost&p=95208 verlinkt habe.

Ich verstehe insofern weder, warum noch mehrere Beiträge lang herumgerätselt wurde, noch worum hier debattiert wurde.

Geschrieben von: Jens1962 29.05.2005, 01:00

Naja, der "Fund" wurde ja erst in http://www.rokop-security.de/index.php?showtopic=8456&view=findpost&p=95272 genannt. Außerdem hatte es heute über 30°C

Geschrieben von: bond7 29.05.2005, 01:16

das VBS aus dem browsertest ist eigentlich garkein gefährliches script in dem sinne , wenn man sich das im notepad mal genau anschaut wird dort nur ein resultat-link über den IE6 aufgerufen, wo dann am ende des browsertestes auch ein bestimmtes webbrowser-lücken resultat ausgegeben wird (wenn man auf ÖFFNEN des VBS während des scan gedrückt hatte ) .
ich sagte aus diesem grund auch :
NAV meldet sich aber auch nicht bei jedem script , ansonsten wär eine irgendwie geartete malware-erkennung ja glatt fürn arsch und das vbs teil ist ja ehh nur ein ungefährliches dummy.
damit war natürlich gemeint , das dort an der stelle weder ein gefährlicher exploid gesehen wurde bzw. das VBS als ein bösartiges script bei der ausführung moniert wurde..... ich hab hier an anderer stelle schon von norton geblockte scripts gesehen und da konnte man auch sehen aus welchem grund das geschah.

das das für christophs aber alles zu "aggressiv" ist glaub ich ihm gerne.

Geschrieben von: Forenleser 29.05.2005, 12:24

Die Firma Scanit bietet auch einen fünftägigen Kursus zum Erlernen von Hackertechniken an, stand unten auf der Homepage

Geschrieben von: ntvolli 30.05.2005, 14:29

Moin zusammen!

Ich habe mal wieder ein Brett vorm Kopf

Ich habe diesen Test auch gemacht.

Mit dem IE und F-Secure werden mir einige Virenwarnungen (diese Exploits) gemeldet.
Bei BitDefender und dem IE gibt es keinerlei Meldungen.

Ist das nun schlecht für BitDefender...?

Bis denne
Olli

Geschrieben von: bond7 30.05.2005, 14:51

@ntvolli

ja und nein, es ist sicher gut wenn der AV-scanner die reale absicht erkennt wenn sicherheitskritische elemente im webbrowser aufgerufen und gestartet werden, jedoch sind das dort nur dummys .

Geschrieben von: Stefan 30.05.2005, 17:53

Hallo Olli,

bei mir was BitDefender betrifft das gleiche.

Ich kann dir aber aus eigener Erfahrung sagen, dass BitDefender sehr wohl in der Lage ist solche Exploits zu erkennen.

Geschrieben von: ntvolli 30.05.2005, 18:34

Moin Stefan!

Ich denke auch , dass das "Nichterkennen" von BD wieder mal eine ziemlich theoretische Sicherheitslücke darstellt.
Zunächst mal bin ich eigentlich gar nicht mit dem IE unterwegs. Und wenn, dann nur auf "seriösen" Seiten.
Beim Test mit Firefox hat weder F-Secure noch BD was gemeldet.

Bis denne
Olli

Geschrieben von: Stefan 30.05.2005, 18:40

Die paar mal bei denen BitDefender bei mir auf freier Wildbahn angeschlagen hat, war ich allerdings mit Opera unterwegs.