Emsisoft Anti-Malware 6.0 Sammelthread Einstellungen

[NETacc.]

Sorry wenn die Frage vielleicht schonmal gestellt wurde, aber was ist eigentlich mit der Heuristik passiert? Nicht mehr einschaltbar?

Die Heuristik ist komplett in die Scan-Engine integriert worden und deshalb nicht mehr manuell an- oder abwählbar.

[Steinlaus]

Also a2guard lässt sich mit dem TaskManager beenden, a2service aber nicht mehr.
Beta Channel habe ich auch nicht aktiviert.

[Alexander Robrec...]

Hi ihr

Beta updates – 2011-10-12

Emsisoft AntiMalware 6 Beta Build 41 ist erschienen

Emsisoft Anti-Malware 6 with Beta udpates enabled:
Problem with mixing Domain and Local users in permissions settings fixed.
Occasional crash on moving detected objects to quarantine fixed.
Rootkit detection information message box modified.
Minor internal improvements.

Beta updates – 2011-10-10

Emsisoft Anti-Malware 6 with beta updates enabled:

Self protection bug – fixed.
Context menu scan fails with already open scanner window – fixed.
Formatting bug of ADS names in file guard alerts – fixed.

http://support.emsisoft.com/forum/23-changelogs/

[Steinlaus]

Dachte ich poste das mal.

Hintergründe und Stellungnahme von Emsisoft zum Bundestrojaner.


Salzburg, den 12. Oktober 2011

Guten Tag,
es gibt wieder Neuigkeiten bei Emsisoft, über die Sie dieser Newsletter informiert.

Der Bundestrojaner
Hintergründe und Stellungnahme von Emsisoft
Innenpolitisch ist er Anfang Oktober 2011 das Thema überhaupt in Deutschland: der Bundestrojaner, auch genannt Staatstrojaner oder Bayerntrojaner. Nachdem Teile der staatlichen Spionagesoftware analysiert werden konnten, besteht Grund zur Sorge. Denn neben dem offenbaren Verstoß gegen Vorgaben des Bundesverfassungsgerichts ist damit zudem die Computersicherheit normaler Bürger gefährdet.

Was ist der Bundestrojaner?
Am 9. November 2006 beschloß der Deutsche Bundestag ein Maßnahmenpaket zur Abwehr neuer terroristischer Gefahren, das "Programm zur Stärkung der Inneren Sicherheit". Teil des Pakets war die Planung technischer Maßnahmen zur Online-Durchsuchung von Computern. Sprich letzten Endes die Möglichkeit einen mit dem Internet verbundenen PC per Software mehr oder weniger unbemerkt zu kontrollieren. Eine Technologie also, die bereits seit vielen Jahren als "Trojanisches Pferd" (kurz "Trojaner") bekannt ist.
Bereits 2006 wurde diese Methode der Online-Durchsuchung aufgrund einer fehlenden klaren juristischen Grundlage stark diskutiert. Immerhin lagern auch private Daten auf heimischen Computern, die somit einen Teil der persönlichen Privatssphäre darstellen. Im Februar 2008 erfolgte dann ein bis heute relevantes Urteil des Bundesverfassungsgerichts, welches für die Online-Durchsuchungen hohe juristische Hürden vorsieht und erstmals ein "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme". einräumte.

Die Entdeckungen im Oktober 2011 und ihre Konsequenzen
Der Chaos Computer Club (CCC) veröffentlichte am 08. Oktober 2011 die Meldung, dass sie an Teile staatlicher Spionagesoftware gekommen seien und diese analysiert hätten. Das prekäre Ergebnis: Die untersuchten Trojaner können nicht nur höchst intime Daten auslesen, sondern bieten auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware. Letzten Endes ist damit ein kompletter Fernzugriff auf betroffene Computer möglich samt der Manipulation von Dateien, Aufnahmen von Tastatur, Mikrophon und Kamera und so weiter.
Da Abhöraktionen nur unter sehr strengen Auflagen und Limitierungen möglich sind, liegt damit offenbar ein Verstoß gegen das Verfassungsrecht vor. Dem nicht genug scheint der Bundestrojaner auch noch unsauber programmiert worden zu sein, wodurch eklatante Sicherheitslücken entstanden sind. Diese können theoretisch auch von Dritten ausgenutzt werden, welche somit Zugriff auf infizierte Rechner erhalten würden. Neben der Missachtung persönlicher Rechte besteht somit zusätzlich eine ernsthafte Bedrohung der Computersicherheit betroffener Bürger.

Schutz und Stellungnahme seitens Emsisoft
Auch das Emsisoft Analyseteam hat die Funktionsweise des Bundestrojaners erforscht. Im Grunde handelt es sich dabei um einen konventionellen Trojaner mit dem kleinen Unterschied, dass er diesmal nicht von Cyberkriminellen, sondern staatlicher Seite entwickelt wurde. Die gute Nachricht: somit erkennt die in Emsisoft Anti-Malware sowie Mamutu integrierte Verhaltensanalyse auch den Bundestrojaner und kann Computer effektiv vor einem potenziellen Befall schützen.
Christian Mairoll, Geschäftsführer von Emsisoft: "Unserem Schutz können Sie auch zukünftig vertrauen. Bis dato gibt es kein Gesetz oder Urteil, das Anbieter von Sicherheitssoftware dazu verpflichtet, Online-Durchsuchungs-Software wie den Bundestrojaner von der Erkennung auszuschließen. Sollte es irgendwann einmal zu einem solchen Gesetzbeschluss oder Gerichtsurteil kommen, so werden wir die Nutzer unserer Software umgehend darüber informieren. Bis dahin unterscheidet vor allem das Verhaltensanalyse-Modul nicht zwischen "gutartiger" und bösartiger Malware. So haben Sie als Nutzer immer die Möglichkeit, ein auffälliges Programm sofort zu blockieren."

Wir wünschen Ihnen eine Malware freie Zeit!
Christian Mairoll [Geschäftsführer]

Quelle... http://www.emsisoft.de/de/kb/articles/tec111011/

[winchester]

Hier eine Gegenteilige Meinung:
Staatstrojaner: Antiviren-Software hat doch Probleme
aus dem Bereich Computer
Nach den Enthüllungen um den Staatstrojaner haben die führenden Hersteller von Antivirensoftware prompt reagiert und sperren nach eigener Aussage die Spionagesoftware mit ihren neusten Updates erfolgreich aus: Bei einem Test von "heise security" haben jedoch einige Programme bei der Abwehr der Schnüffel-Software nur sehr kurzen Atem bewiesen.

Kleine Änderung und der Alarm bleibt aus
Unter anderem Ikarus, Panda, Trend Micro und McAfee würden schon nach einer minimalen Änderung an der Datei keinen Alarm mehr schlagen, berichtet das IT-Sicherheitsmagazin am Mittwoch. Manche Alarmmeldungen seien komplett fehlerhaft gewesen. "Konsens ist, dass Antivirensoftware gegenüber dem Staatstrojaner auf weitgehend verlorenem Posten steht", sagte "heise security"-Redakteur Jürgen Schmidt.

Für den Test wurde zum Beispiel in einer Zeichenkette nur ein Groß- durch einen Kleinbuchstaben ersetzt. Nach der Änderung sei es etwa bei der Software von McAfee stumm geblieben. Eine andere Fall- oder Versionsnummer im Programmcode des Trojaners mache ihn für die Antivirenjäger zumindest für längere Zeit unsichtbar. Ob die Antivirensoftware dem Schädling auf die Schliche kommt, wenn sie dessen Verhalten analysiert, dürfe ebenfalls fraglich sein. Dafür sei der Staatstrojaner im Vergleich zu krimineller Spähsoftware zu wenig aktiv und sein Verhaltensmuster eher untypisch. "Es gibt keine richtige Chance, sich gegen einen solchen zielgerichteten Angriff zur Wehr zu setzen", sagte Schmidt


Quelle: onlinekosten.de Newsmeldung "Staatstrojaner: Antiviren-Software hat doch Probleme"

[ChP]

Hallo,

eine Erkennung per Signatur läßt sich so immer recht unkompliziert umgehen. Diese angegebenen Änderungen von Zeichenfolgen beeinflussen aber das Verhalten bei einer versuchten Infizierung nicht.

[NETacc.]

Dafür sei der Staatstrojaner im Vergleich zu krimineller Spähsoftware zu wenig aktiv und sein Verhaltensmuster eher untypisch.

Das glaube ich eher nicht:
http://www.rokop-security.de/index.php?s=&...st&p=343891

[markusg]

winchester
die haben in dem test bei heise auch keine software getestet die ne vernünftige verhaltensanalyse ihr eigen nennt.
das ist ja grad der vorteil dass du die datei mit nem neuen crypter etc versehen kannst aber die verhaltensanalyse immer anschlägt.
aus nem heise test mit 4 programmen nen rückschluss ziehen zu wollen, wo große hersteller wie kaspersky etc außerdem fehlen halte ich für unseriös.
wenn man

Der Beitrag wurde von markusg bearbeitet: 12.10.2011, 19:36

[NETacc.]

Mein Zitat war etwas unglücklich gestaltet. Diese Worte kommen nicht vom User Winchester direkt, sondern aus seinem kopierten Artikel.

[Solution-Design]

Kleine Änderung und der Alarm bleibt aus
Unter anderem Ikarus, Panda, Trend Micro und McAfee würden schon nach einer minimalen Änderung an der Datei keinen Alarm mehr schlagen, berichtet das IT-Sicherheitsmagazin am Mittwoch. Manche Alarmmeldungen seien komplett fehlerhaft gewesen. "Konsens ist, dass Antivirensoftware gegenüber dem Staatstrojaner auf weitgehend verlorenem Posten steht", sagte "heise security"-Redakteur Jürgen Schmidt.

Tolle Erkenntnis. Die haben wohl das Semper-Video gesehen

Ob die Antivirensoftware dem Schädling auf die Schliche kommt, wenn sie dessen Verhalten analysiert, dürfe ebenfalls fraglich sein. Dafür sei der Staatstrojaner im Vergleich zu krimineller Spähsoftware zu wenig aktiv und sein Verhaltensmuster eher untypisch. "Es gibt keine richtige Chance, sich gegen einen solchen zielgerichteten Angriff zur Wehr zu setzen", sagte Schmidt

Wie ein Redakteur einer solchen Fachzeitschrift solchen Unfug verbreiten kann...

eine Erkennung per Signatur läßt sich so immer recht unkompliziert umgehen. Diese angegebenen Änderungen von Zeichenfolgen beeinflussen aber das Verhalten bei einer versuchten Infizierung nicht.

So ist es! Der Verhaltensblocker schlägt, wenn brauchbar, an. Sieht man ja auch hier:

http://www.rokop-security.de/index.php?s=&...st&p=343891

[Julian]

So ist es! Der Verhaltensblocker schlägt, wenn brauchbar, an. Sieht man ja auch hier:

Es ist halt einfach nur Malware, die sich, von der Herkunft mal abgesehen, von all dem Schrott, der im Web rumgeistert, nicht weiter abhebt.
Nach Stuxnet, TDSS, ZeroAccess und zig Banking-Trojanern ist man halt "Besseres" gewohnt.

Was manche Medien für einen Stuss schreiben, ist wirklich nur schwer erträglich, ganz deiner Meinung...

[NETacc.]

Nach Stuxnet, TDSS, ZeroAccess und zig Banking-Trojanern ist man halt "Besseres" gewohnt.

Ich bin noch nicht zum testen gekommen, aber so eine richtige Vorfreude machst Du mir nicht gerade
Hast Du eventuell ein Sample über PN für mich übrig? MD5 würde aller Regel nach aber auch reichen.

[Hexo]

Also ich hätte gerade lust an meinem Desktop Norton runter zu schmeißen und EAM zu installieren :-)

[Gast_florian5248_*]

Also ich hätte gerade lust an meinem Desktop Norton runter zu schmeißen und EAM zu installieren :-)

Bin froh es getan zu haben.

[dragonmale]

Nicht alles, was Heise da verzapft, ist Unsinn, denn bei dieser ganzen Diskussion wird z.B. dies hier gern vergessen -> Zitat Heise:

Und auch das hilft nicht wirklich, wenn der Trojaner – wie im bis jetzt einzigen dokumentierten Fall – bei einer Zollkontrolle installiert wird. Dabei könnte der Beamte im Zweifelsfall die Spionage-Software auch gleich in die Ausnahmeliste der AV-Software eintragen

… denn bevorzugt sollte diese Überwachungssoftware ja durch physischen Zugriff auf den Rechner "an den Mann" gebracht werden und da hilft auch die beste Verhaltensanalyse nichts mehr, wenn nach dem Einspielen entsprechende Ausnahme, bzw. Verhaltens-Regeln angelegt worden sind … und wenn man nicht gerade weiß (z.B. durch eine Zollkontrolle), dass jemand anders am Rechner war, weil der Zugriff unbemerkt (z.B. durch das Eindringen in die Wohnung) erfolgte, und man nicht ständig seine entsprechenden Regeln kontrolliert, wird man dann zumindest als Laie ziemlich schlechte Karten haben, solch eine Überwachung noch anderweitig zu bemerken …

Der Beitrag wurde von dragonmale bearbeitet: 13.10.2011, 08:29

[Habakuck]

Nicht alles, was Heise da verzapft, ist Unsinn, denn bei dieser ganzen Diskussion wird z.B. dies hier gern vergessen -> Zitat Heise:

… denn bevorzugt sollte diese Überwachungssoftware ja durch physischen Zugriff auf den Rechner "an den Mann" gebracht werden und da nützt auch die beste Verhaltensanalyse nichts mehr, wenn nach dem Einspielen entsprechende Ausnahme, bzw. Verhaltens-Regeln angelegt worden sind … und wenn man nicht gerade weiß (z.B. durch eine Zollkontrolle), dass jemand anders am Rechner war, weil der Zugriff unbemerkt (z.B. durch das Eindringen in die Wohnung) erfolgte, und man nicht ständig seine entsprechenden Regeln kontrolliert, wird man dann zumindest als Laie ziemlich schlechte Karten haben, solch eine Überwachung noch anderweitig zu bemerken …

Wenn die wirklich wollen dan gucken die vorher was bei dir läuft und schreiben dann einen dropper der auf dich zugeschnitten ist... Denn auf einen aktuellen Windows7 Rechner mit UAC auf höchster Stufe und aktivierter Firewall fliegt eh nicht einfach so was drauf..

[emsi]

Ganz im Ernst: Sobald jemand physischen Zugriff auf einen Rechner hat, sind jegliche Bemühungen von Schutzsoftware ohnehin überflüssig. Da läßt sich z.B. auch ein Windows-Kennwort überlisten, auch ohne Malware.

Einer Schutzsoftware anzukreiden, dass sie nicht vor dem Erstellen eines Whitelist-Eintrages schützt, ist doch etwas gar weit an den Haaren herbei gezogen, oder?

Absolut sinnlose Debatte meiner Meinung nach...

[Schattenfang]

Wenn die wirklich wollen dan gucken die vorher was bei dir läuft und schreiben dann einen dropper der auf dich zugeschnitten ist...

Jo, deswegen sind diejenigen die ständig ihr AV wechseln eigentlich am besten dran



@emsi
Absolut korrekt!

Der Beitrag wurde von Schattenfang bearbeitet: 13.10.2011, 08:35

[Habakuck]

Ganz im Ernst: Sobald jemand physischen Zugriff auf einen Rechner hat, sind jegliche Bemühungen von Schutzsoftware ohnehin überflüssig. Da läßt sich z.B. auch ein Windows-Kennwort überlisten, auch ohne Malware.

Einer Schutzsoftware anzukreiden, dass sie nicht vor dem Erstellen eines Whitelist-Eintrages schützt, ist doch etwas gar weit an den Haaren herbei gezogen, oder?

Absolut sinnlose Debatte meiner Meinung nach...

Joar... Man könnte jetzt anfangen für die ganz Paranoiden Leute eine Passwortabfrage in den Dialog Boxen zu integrieren..

[dragonmale]

Wenn die wirklich wollen dan gucken die vorher was bei dir läuft und schreiben dann einen dropper der auf dich zugeschnitten ist... Denn auf einen aktuellen Windows7 Rechner mit UAC auf höchster Stufe und aktivierter Firewall fliegt eh nicht einfach so was drauf..

Bei einem geplanten direkten Zugriff wird mit Sicherheit immer ein auf die Rechner-Umgebung zugeschnittenes Tool verwendet …

Ganz im Ernst: Sobald jemand physischen Zugriff auf einen Rechner hat, sind jegliche Bemühungen von Schutzsoftware ohnehin überflüssig. Da läßt sich z.B. auch ein Windows-Kennwort überlisten, auch ohne Malware.

Das ist so nicht ganz korrekt -> eine gute Vollverschlüsselung und diese entsprechend konfiguriert … dann wären nur noch Hardware-Wanzen (und die eigene Erpressbarkeit) ein Problem …

Einer Schutzsoftware anzukreiden, dass sie nicht vor dem Erstellen eines Whitelist-Eintrages schützt, ist doch etwas gar weit an den Haaren herbei gezogen, oder?

Mal abgesehen davon, dass es bei vielen Programmen viel zu einfach ist, ihnen entsprechende Einträge unterzujubeln, hat dies nichts mit ankreiden zu tun, sondern es ist ein Faktum, was offensichtlich manch einer gerne mal vergisst, oder auch einfach nur weglässt -> siehe z.B deine Äußerung hier

Absolut sinnlose Debatte meiner Meinung nach...

Sinnlos wäre es höchstens, so etwas nicht anzusprechen/zu ignorieren, bzw. so zu tun, als wäre es nicht an dem … insofern noch einen schönen Tag

Der Beitrag wurde von dragonmale bearbeitet: 13.10.2011, 09:04