Faktor Zeit Einstellungen

[martinh]

Hallo,

ich bin überrascht, wie wichtig der Faktor Zeit heutzutage bei der Malwarebekämpfung und Erkennung geworden ist. Beispiel: am 29.10. habe ich um 10:59 Uhr eine Mail mit einer angeblichen Vodafone Rechnung erhalten (als PDF-File). Avast Free blieb stumm, keine Meldung. Natürlich Verdacht auf Malware. Bei Virustotal das File hochgeladen. Ergebnis: Detection Ratio: 1/44 (nur Comodo meldete das File als Malware). Dann manuelle Prüfung der Datei über das Avast Benutzerinterface: keine Meldung.
Heute um 30.10 um 12:30 noch mal die Datei bei Virustotal hochgeladen. Ergebnis: Detection Ratio: 8/44 Das ist unglaublich, sind die Antivirensoftwarehersteller mittlerweile total überfordert? Habe ich wirklich ein so seltenes Exemplar zugeschickt bekommen, ich kanns kaum glauben. Ich hatte die Datei gestern noch per Mail zu Avast geschickt, mittlerweile erkennt Avast die Datei als Malware. Lt. Virustotal erkennen aber so Größen wie Kaspersky, Bitdefender, Symantec die Datei immer noch nicht. Aber Microsoft mit seinen kostenlosen Essentials schon..

[flexibel44]

Hatte ich vor 10 Tagen auch mal. Da haben es Avast, Microsoft und Symantec erkannt, ca. 1 Woche später dann auch F-Secure, Kaspersky, Bitdefender und Ikarus und das wars dann. Wobei bei Virustotal ja wohl nur Signaturerkennung eine Rolle spielt.

[Schattenfang]

der faktor zeit ist glücklicherweise für den großteil der av-programme irrelevant geworden, da die meisten schon vor jahren begriffen haben, dass sie diesen kampf immer verlieren werden.
die, die heute noch davon abhängig sind, sind auch nicht mehr konkurrenzfähig. daher ist der faktor zeit kein kernkriterium mehr für die branche.

[martinh]

der faktor zeit ist glücklicherweise für den großteil der av-programme irrelevant geworden, da die meisten schon vor jahren begriffen haben, dass sie diesen kampf immer verlieren werden.
die, die heute noch davon abhängig sind, sind auch nicht mehr konkurrenzfähig. daher ist der faktor zeit kein kernkriterium mehr für die branche.

wieso irrelevant, es kann natürlich sein, dass die Behaviour-Blocker bei Avast angesprungen wären, verlassen würde ich mich darauf nicht. Wenn jemand für Testzwecke eine VM-Umgebung am Laufen hat, dem kann ich ja mal die Datei zuschicken, wäre mal interessant zu sehen, wer anschlägt. Gibt es so etwas wie Virustotal für Behaviour-Blocker also nicht signaturbasierend?

Der Beitrag wurde von martinh bearbeitet: 30.10.2012, 16:20

[simracer]

Wenn jemand für Testzwecke eine VM-Umgebung am Laufen hat, dem kann ich ja mal die Datei zuschicken, wäre mal interessant zu sehen, wer anschlägt.

Mach das mal und schicke mir die Datei per PN oder lade sie hier: http://www.file-upload.net/ hoch und schick mir dann den Downloadlink. Ich schau dann mal ob und wie Avast reagiert, oder ob gar Online Armor Free(mit HIPS)schneller reagiert.

[SLE]

der faktor zeit ist glücklicherweise für den großteil der av-programme irrelevant geworden, ...

Ja und Nein. Natürlich spielen weitere und wichtigere Faktoren (Verbreitung, Lauffähigkeit etc.) eine Rolle. Gerade durch die Clouds haben große Anbieter da ganz "besondere" Informationen.
Wenn man sich aber die aktuellen MRG Flash Tests anschaut (obwohl ich von der Truppe und ihren Tests absolut nichts halte) sieht man aber bei den Retests nach 6 und 12 Stunden erstaunliche Reaktionszeiten.

@martin
Wenn das File bei VT war und es einige erkennen, bekommen es alle. So sollte alsbald eine Reaktion erfolgen. Wenn es natürlich nur Comodo erkannte (vielleicht auch mit der üblichen Erkennung die keine richtige ist) erfolgt der Versand nicht automatisch an alle. Interessant wäre bei solchen Posts immer der VT Link.

Da auch ab und zu FPs herstellerübergreifend übernommen werden empfiehlt sich auf jedne Fall eine Analyse oder eine Einsendung an einen Hersteller, der Feeback gibt. Die VT Erkennungsrate ist da ein schlechtes Kriterium.
Zur Online-Laufzeitanalyse gibt es verschiedene Sandboxen wie Anubis, Threatexpert, CWSandbox, Camas etc. Auch VT hat eine Sandbox in den erweiterten Optionen, allerdings noch nicht immer und nicht für alle.

Das File kannst du mir auch mal zukommen lassen - dann schaue ich mal was es überhaupt macht.

....schick mir dann den Downloadlink. Ich schau dann mal ob und wie Avast reagiert, oder ob gar Online Armor Free(mit HIPS)schneller reagiert.

Steht doch oben: Erkennt es mittlerweile per Signatur. Was willst du da testen??? Und wenn OA zuerst eine Meldung bringt, was soll das heißen - das es die Prozessanforderungen eher abfängt. Wenn musst du OA ohne Avast testen...

Der Beitrag wurde von SLE bearbeitet: 30.10.2012, 16:52

[simracer]

Wenn musst du OA ohne Avast testen...

Würde ich machen wenn mir martinh die Datei schicken sollte.

[Schattenfang]

wieso irrelevant,

weil pro tag mehr als 70.000 neue malware-samples auftauchen, die selbstverständlich nicht von der signatur erkannt werden. bestenfalls werden noch einige von der heuristik weggefischt. doch bei der masse schafft niemand da hinter herzukommen. personell, logistisch, qualitativ unmöglich. daher gibt es andere technologien, die unabhängig von der signatur greifen. zumindest bei den meisten, der rest muss halt warten, bis es eingepflegt worden ist.

Der Beitrag wurde von Schattenfang bearbeitet: 30.10.2012, 17:46

[martinh]

hier der VT-Link: https://www.virustotal.com/file/736f0efb0e4...sis/1351596653/

für alle, die Datei habe ich hochgeladen, hier der Downloadlink: http://www.file-upload.net/download-675487...765274.pdf.html

Download natürlich auf eigenen Verantwortung

[scu]

Das habe ich so auch noch nicht gelesen:

Comodo: TestSignature.JS.Pdfka.FBQ

[simracer]

Keine Reaktion bei mir von Online Armor Free alleine(oder später mit wieder aktivierten Avast Echtzeitschutz Modulen), die PDF Datei lässt sich öffnen und dann sieht man das: Allerdings schlägt der Avast Webschutz an wenn man versucht die Datei runterzuladen und die Avast Schutzsteuerung ist aktiviert und der Zugriff auf die Webseite wird blockiert: . Siehe auch hier

Der Beitrag wurde von simracer bearbeitet: 30.10.2012, 18:21

[martinh]

Keine Reaktion bei mir von Online Armor Free alleine(oder später mit wieder aktivierten Avast Echtzeitschutz Modulen),

deaktiviere mal bei Avast Dateisystem und Webschutz, dann blieben eigentlich nur noch die Behaviour-Blocker übrig, mal schauen ob Avast dann anschlägt. Kann jemand mal mit Mamutu testen?

[simracer]

martinh, bei mir waren alle 8 Avast Schutzsteuerungs Module deaktiviert(für 10 Minuten)als ich die runtergeladene PDF Datei öffnete

[simracer]

Kann jemand mal mit Mamutu testen?

Hab mal schnell Mamutu installiert, Avast Schutzsteuerung deaktiviert, Online Armor Free beendet, das File abermals runtergeladen und geöffnet und auch Mamutu zeigt keine Reaktion, die PDF wird geöffnet und man sieht das gleiche Bild wie vorhin schon einmal.

[Gast_J4U_*]

Scheint so, als wäre die .pdf fehlerhaft, aber unschädlich.
Es kann natürlich immer sein, dass die Datei irgendwo im WWW beschädigt wurde. Ich denke aber eher, da war ein Adressensammler am Werk. Oder ein Doofer, der keine richtigen Schädlinge versenden kann.

J4U

[SLE]

PDF Expolits funktionieren nicht mit jedem PDF Reader (gerade der PDF-x-Change ist da zum testen schlecht), sondern meist nur mit ungepatchten Adobe Versionen. Und wenn nichts läuft gibt es nichts zu reagieren. Zum anderen kann Uwe gar nicht feststellen, ob noch was passiert

Der Beitrag wurde von SLE bearbeitet: 30.10.2012, 19:56

[simracer]

Ich hab das Teil zumindest bei mir gelöscht mit TuneUP Schredder. Sebastian, hast du jetzt analysieren können, ob das Ding gefährlich ist oder nicht?

[martinh]

PDF Expolits funktionieren nicht mit jedem PDF Reader (gerade der PDF-x-Change ist da zum testen schlecht), sondern meist nur mit ungepatchten Adobe Versionen. Und wenn nichts läuft gibt es nichts zu reagieren. Zum anderen kann Uwe gar nicht feststellen, ob noch was passiert

das wird das Testen schwierig machen, die meisten hier werden gepatchte Reader Versionen installiert haben, da wird dann der Reader selbst den schadhaften Prozess abfangen und die Sicherheitssoftware gar nicht mehr einspringen müssen.

Wenn der signaturbasierende Schutz mehr oder weniger nur noch Placebowirkung hat, sind Behaviour Blocker, ich meine richtige wie Mamutu, heutzutage wohl Pflicht. Nur den Leuten wird in den Medien, Presse usw. was anderes erzählt. Und dann wundert man sich, das die Botnetze immer größer werden. Und Microsoft wäre da als Hersteller des Betriebssystems in der Pflicht. Die stecken Milliarden in die Entwicklung von Windows 8 und für einen popeligen bordeigenen Behaviourblocker reicht es dann nicht.

Der Beitrag wurde von martinh bearbeitet: 30.10.2012, 20:43

[simracer]

Wenn der signaturbasierende Schutz mehr oder weniger nur noch Placebowirkung hat, sind Behaviour Blocker, ich meine richtige wie Mamutu, heutzutage Pflicht.

Ich glaube, als Placebos darf man Signaturen nicht abtun noch immer braucht glaube ich die Industrie der Virenschutz Programme diese Funktion, ist sich aber auch bewusst das Signaturen alleine nicht mehr ausreichen und deshalb fast jeder Hersteller eine Verhaltensüberwachung(BehaviorGuard, HIPS)in seine Programme mit einbaut und der Trend auch dahin geht Sandboxen Funktionen mit in die Programme zu integrieren.

[SLE]

Ich hab das Teil zumindest bei mir gelöscht mit TuneUP Schredder.

Was soll das bringen?

Sebastian, hast du jetzt analysieren können, ob das Ding gefährlich ist oder nicht?

Nein, da es ein pdf Exploit ist fehlen mir derzeit die Mittel.

das wird das Testen schwierig machen, die meisten hier werden gepatchte Reader Versionen installiert haben, da wird dann der Reader selbst den schadhaften Prozess abfangen und die Sicherheitssoftware gar nicht mehr einspringen müssen.

Der Reader fängt nicht wirklich was ab. Wenn kein Code ausgeführt werden kann, dann kann nichts passieren und nichts analysiert werden.

Wenn der signaturbasierende Schutz mehr oder weniger nur noch Placebowirkung hat, sind Behaviour Blocker, ich meine richtige wie Mamutu, heutzutage wohl Pflicht. Nur den Leuten wird in den Medien, Presse usw. was anderes erzählt.

Nicht nur Placebo - die meisten Programme fangen mit Signaturen doch noch den absoluten Großteil ab. Und reagieren erstaunlich schnell - da wird die Lage schon gut beobachtet. Vollautomatische Verhaltensblocker, die auch noch richtig liegen gibt es nicht. Und der absolute Großteil von dem was sich so nennt ist ein Witz und deshalb verzichtbar. Bei HIPSen ist es ähnlich - kaum einer kann sie bedienen und die Standardeinstellungen die sie einigermaßen ruhig stellen bringen es auch nicht immer.

Und Microsoft wäre da als Hersteller des Betriebssystems in der Pflicht. Die stecken Milliarden in die Entwicklung von Windows 8 und für einen popeligen bordeigenen Behaviourblocker reicht es dann nicht.

Ich denke M$ ist sich da seiner Aufgaben durchaus bewusst und ja Win8 ist nochmal ein ganzes Stück sicherer als Win7 und die Vorgänger. Ab Vista kann man Windows nicht mehr mit sowas lückenhaftem und anfälligen wie XP vergleichen. Das Problem: Kaum einen interessiert, was unter der Haube passiert. Win 8 ist da ein super Beispiel: Da wird über Sinn und Unsinn der Kacheln geredet und geschrieben, sonst über nichts. Irgendwelche Schlaumeier reden und schreiben dann von einem Windows 7 nur in neuem Design, weil sie sich eben nicht mit den Hintergründen beschäftigen. (Und so nutzen wenige, die z.B. noch auf XP unterwegs sind, die Chance sich mal ein aktuelles und sicheres OS zuzulegen)

Hardwarehersteller tun ihr übriges: (U)EFI als Bios-Nachfolger, hardwarebasierte DEP und Memoryprotection, Intel TXT etc... Virtualisierung und Isolierung ist derzeit der neue Trend und lässt viele Exploits und Attacken einfach verpuffen. Also geschlafen wird auch hier nicht.

Der Beitrag wurde von SLE bearbeitet: 30.10.2012, 21:02