Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> KIS 2009 - "Eicarblind ?"
olli
Beitrag 25.08.2008, 07:45
Beitrag #1



Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Moin zusammen!

Folgendes Phänomen macht mich stutzig:
Ich habe mir von heise.de Eicars schicken lassen, weil ich sehen wollte, ob KIS überhaupt Mails scannt, nachdem ja das animierte Trayicon nicht mehr funktionierte. Kein Problem, KIS meckert die Mails an und meldet, dass die Mailanhänge gelöscht wurden. Ein anschließender Scan (komplett, alle Dateien, auch Mailarchive) zeigte, dass der Rechner sauber sei. Nun habe ich mir nochmals Avira und BitDefender angeschaut. Also Kaspersky deinstalliert und zwar komplett. Bim Scan mit Avira und BitDefender wurden nun die Eicars wieder gefunden und zwar in den Mailverzeichnissen.
Wie kann das sein? Hat Kis nicht richtig desinfiziert?
Bis denne
Olli

Hallo Mod!

Bitte den Titel in KIS 2009 änden - danke Olli

Der Beitrag wurde von ntvolli bearbeitet: 25.08.2008, 07:46


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
Ford Prefect
Beitrag 25.08.2008, 08:30
Beitrag #2



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.041
Mitglied seit: 11.05.2006
Mitglieds-Nr.: 4.898

Betriebssystem:
win7 x64
Virenscanner:
G Data TotalProtection
Firewall:
G Data TotalProtection



Jo - die Blindheit bzgl. der Outlook-.pst ist mir auch schon mit der 2008er-KIS aufgefallen smile.gif
Wenn ich eine infizierte .pst explizit gescannt habe, sagte Kasper: alles sauber whistling.gif


--------------------
Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 25.08.2008, 09:54
Beitrag #3



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Haste denn das scannen von Mailformatdateien aktiviert?
Angehängte Datei  Aufzeichnen.jpg ( 101.29KB ) Anzahl der Downloads: 22

Ich glaube das ist per default auf aus, und ich glaub auch mit Absicht, denn das Untersuchen der Mailformatdateien dauert erstens lange und kann zweitens bei Desinfektionsversuchen zur kompletten Zerstörung der Datei und damit des kompletten Posteingangs/-ausgangs usw führen.

Zudem scheint der Zugriff auf die outlook.pst eh gesperrt zu sein:
Angehängte Datei  Aufzeichnen2.JPG ( 47.25KB ) Anzahl der Downloads: 13



Und eigentlich sollte doch in dem Moment wo's kritisch wird (Malware verlässt (mit Hilfe des Users) das Mailformat und lädt sich in den Speicher/ schreibt sich auf die HDD) das DateiAV geifen.


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
olli
Beitrag 25.08.2008, 09:57
Beitrag #4


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Moin zusammen!

Hm muss erstmal schauen, ob ich das aktiviert habe. Ich habe nur im Übersichtsfenster, in dem ich die Ziele aussuchen kann die Mailarchive aktiviert. Aber in den Einstellungen habe ich nichts geändert. Ich schaue heute Abende nach.

Aber trotzdem ich erwarte ich , dass Maildatenbanken per Default gescannt werden. Bei Bitty ist das der Fall, hmm, bei Avira nicht.

Schon mal danke, ich melde mich heute Abend, wenn ich die Einstellungen kontrolliert habe.

Ich hätte vielleicht erwähnen sollen, dass ich nur mit Thunderbird und Opera arbeite... whistling.gif

Bis denne
Olli

Der Beitrag wurde von ntvolli bearbeitet: 25.08.2008, 10:01


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
Ford Prefect
Beitrag 25.08.2008, 10:05
Beitrag #5



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.041
Mitglied seit: 11.05.2006
Mitglieds-Nr.: 4.898

Betriebssystem:
win7 x64
Virenscanner:
G Data TotalProtection
Firewall:
G Data TotalProtection



Bei meinem Outlook-Test hatte ich auch das Scannen von Mailformatdateien aktiviert...


--------------------
Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 25.08.2008, 10:12
Beitrag #6



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Bei mir haben die KIS20009 und Outlook sich schon seit der Beta-Phase immer ein wenig in den Haaren....


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 25.08.2008, 11:42
Beitrag #7



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Ich habs jetzt auch mal ausprobiert: Eicar-File zuschicken lassen vom Heise-Email-Test.

Ergebnis:

1.)Beim Empfang der Datei springt der Mail-AV an
2.)Lässt man den Empfang der Nachricht zu, springt der Datei-AV jedesmal an, wenn man die Nachricht im OL-Posteingang markiert
3.)Schließt man Outlook mit dem Eicar-Testfile gespeichert im Posteingang und scannt dann die outlook.pst von Hand (Kontexmenü) oder aus der KIS-GUI Untersuchung->Schnelle Suche->Mailboxen wird _nichts_ gefunden, egal wie man die KIS-Einstellungen anpasst...

Ich finde das nicht schlimm, in den Entscheidenden Momneten (Download, Dateizugriff) meldet KIS sich ja, aber 'ne Erklärung dafür fände ich schon gut...

Edit: Mit den Dummies von Bagle.Q und Netsky.P das selbe Spiel...

Der Beitrag wurde von hypnosekroete bearbeitet: 25.08.2008, 11:55


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 25.08.2008, 12:10
Beitrag #8



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



Hallo ntvolli
Habe in Deinem Posting nicht gefunden: Was für ein E-Mail-Client hast Du? IMO für Outlook soll man den Plug-In installieren. Dann ist das Scannen von Outlook-Mailordner möglich.

Der Beitrag wurde von Rene-gad bearbeitet: 25.08.2008, 12:10


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 25.08.2008, 12:47
Beitrag #9



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Ich hab das Outlook-Plugin aktiviert - Verhalten s.oben.


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
olli
Beitrag 25.08.2008, 12:47
Beitrag #10


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



Hi!

Ich arbeite mit ThunderBird und Opera M2

Bis denne
Olli


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
olli
Beitrag 26.08.2008, 09:56
Beitrag #11


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.267
Mitglied seit: 30.11.2003
Wohnort: Dortmund
Mitglieds-Nr.: 242

Betriebssystem:
Windows 10 Prof 64Bit
Virenscanner:
GData/ MS Defender
Firewall:
Router/ Windows 10



ZITAT(hypnosekroete @ 25.08.2008, 10:53) *
Haste denn das scannen von Mailformatdateien aktiviert?

Und eigentlich sollte doch in dem Moment wo's kritisch wird (Malware verlässt (mit Hilfe des Users) das Mailformat und lädt sich in den Speicher/ schreibt sich auf die HDD) das DateiAV geifen.



Ja, hatte ich.

Bis denne
Olli


--------------------
...und sonst bin ich mit einem VW T3 oder einer V-Strom unterwegs...
Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 26.08.2008, 21:00
Beitrag #12



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



Auch hier darf man natürlich die Frage stellen, inwieweit das Scannen der Outlook.pst von Wichtigkeit ist. Ähnlich wie bei Archiven. Immerhin wird die Malware bei Posteingang herausgefiltert und spätestens beim extrahieren/anschauen. Ich persönlich würde das jetzt nicht überbewerten, wenn es allerdings eine solche Funktion gibt, sollte sie auch funktionieren.


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
Ford Prefect
Beitrag 26.08.2008, 21:30
Beitrag #13



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.041
Mitglied seit: 11.05.2006
Mitglieds-Nr.: 4.898

Betriebssystem:
win7 x64
Virenscanner:
G Data TotalProtection
Firewall:
G Data TotalProtection



Naja, auch hier darf man natürlich die Antwort geben, dass ja zum Zeitpunkt des Maileingangs noch nicht unbedingt eine Signatur bereit stehen muss, die für die Erkennung sorgt...
Man könnte jetzt diverse Szenarien konstruieren, in denen hierduch die Situation kritisch werden könnte.
Wenn ich explizit etwas scanne und dann die Antwort "sauber" erhalte, dann sollte dies auch so sein (zumindest sollte tatsächlich geprüft und wahrheitsgemäß geantwortet werden). Ich denke eher, dass man hier Probleme mit von panischen usern oder admins gelöschten .pst´s und co. vermeiden möchte.


--------------------
Wer es unternimmt, auf dem Gebiet der Wahrheit und der Erkenntnis als Autorität aufzutreten, scheitert am Gelächter der Götter.
A. Einstein
Go to the top of the page
 
+Quote Post
Krond
Beitrag 27.08.2008, 08:12
Beitrag #14



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.138
Mitglied seit: 24.09.2004
Mitglieds-Nr.: 1.424



ZITAT(Ford Prefect @ 26.08.2008, 22:29) *
Naja, auch hier darf man natürlich die Antwort geben, dass ja zum Zeitpunkt des Maileingangs noch nicht unbedingt eine Signatur bereit stehen muss, die für die Erkennung sorgt...


So, wie ich unsere notorischen Allesklicker in der Firma kenne, ist es dann sowieso schon zu spät.....Wenn etwas im Posteingang ist, was interessant aussieht, ist es so schnell geklickt, da kannst du nicht mal bis 3 zählen, geschweige denn ein "Halt! Stopp! Nicht klicken!" rufen oder schreiben.......


--------------------
Diskutiere nie mit einem Idioten!
Er zieht dich auf sein Niveau runter und schlägt dich dort mit seinen eigenen Waffen!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 10:37
Impressum