AntiVir - unauthorisiertes Löschen leicht gemacht, ohne Abbruch oder Interaktion durch User Einstellungen

[Gast_Scrapie_*]

Hi

Updates in kurzen Abständen, eine gute Heuristik, abschusssicherer Guard-Prozess - auf den ersten Blick ist AntiVir nicht sooo leicht für malware zu überwinden.
(Wir sehen jetzt mal von dem hier im Board vor einiger Zeit beschriebenen INI-Problem, dem Debugger-Bug und den sehr oft miserabel gelegten Signaturen ab)

Aber mit unter braucht es gar nicht so komplizierter Dinge um AntiVir auszuhebeln. Hilfe dabei leistet in diesem Fall das hauseigene Setup. Dieses läßt sich mit Adminrechten von beliebigem Fremdprogramm (malware, batch, vbs) fernsteuern und deinstalliert AntiVir unsichtbar und ohne Abbruchmöglichkeit durch den User. Auf Wunsch erfolgt auch noch ein Neustart welcher bei dem möglichen, ebenfalls batchgesteuerten DL (5 Zeilen zusätzlicher Code) und anschliessenden Installation eines Rootkits von Vorteil sein könnte
Möglich macht dies z.B. nur eine Zeile Code in einer Batchdatei wie sie als Bsp. im Anhang zu finden ist.

Bitte beachten:
- Sollte AntiVir in einem anderen Ordner als Default-Ordner installiert sein - Bsp.-Batch anpassen
- Nach der Deinstallation erfolgt ein nicht zu verhindernder Neustart. Achtung Datenverlust bei ungespeicherten Dokumenten!!!
- Keine Haftung für Schäden jeglicher Art!!!
- Getestet unter W2k und XP als Admin
- Funktioniert in diesem Bsp. nur mit der Personal Edition. Zur Premium Bsp.-Batch anpassen, funktioniert dort dann aber auch .


Viel Spaß beim Testen,
Scrapie

[Voyager]

@Scrapie

Ich gehe mal davon aus das du den Hersteller schon auf diesem sicherheitskritischen Mangel drauf aufmerksam gemacht hast ?

[chris30duew]

und sicher sollte man fairerweise sagen um avira nicht dastehn zu lassen als wäre es das letzte, funzt das mit angepasster batch datei sicher auch mit andren programmen richtig?

[scu]

Ich denke eine solche setup.exe die solch einen Parameter annimmt und durchführt gibt es nicht bei anderen Herstellern.
Und AntiVir lässt das ohne murren und knurren mit sich machen?

[Leo]

versieht dein antivir mit einem Passwortschutz (konfiguration (experten modus) > allgemeines > Kennwort) und wähle Installation/ Deinstallation aus. und es ist nicht mehr möglich.

eine Frage. habt ihr es wirklich nötig, auch jedes kleinste Detail als riesige Sicherheitslücke darzustellen? Entweder man will auf eine Lücke aufmerksam machen, dann sollte man schon den offiziellen weg gehen: http://www.avira.com/de/support/vulnerability.html
das gilt für andere Produkte natürlich genauso.
oder man lässt es einfach. Immer diese Einstellung, ich mag das Produkt nicht, ich muss unbedingt was finden um der Firma schaden beizufügen ist, tut mir leid, unter aller Sau.
Ist jetzt nicht persönlich an jemanden gerichtet, wollt ich nur mal los werden, weil mir das hier im Forum in letzter Zeit sehr häufig aufkommt. Im übrigen hab ich nichts dagegen, dass ihr euch dafür engagiert, letztendlich nützt es uns allen. Mich stört nur die Art der Verbreitung.

Edit: den Passwortschutz nehm ich zurück. zumindest auf Vista zeigt er keine Wirkung. wenn das mal jemand auf einem anderen os testen möchte.

Der Beitrag wurde von Leo bearbeitet: 05.10.2007, 23:45

[chris30duew]

das liegt vll auch daran das euer support unter aller s.. ist? sorry das musste ich mal loswerden. hast du dir schon mal allen ernstes angesehn was für antworten in eurem forum so rumgehn? von angeblichen profis?

nur mal als beispiel, das ich dir auch gern benenne wo es in eurem forum steht.

ich hatte angemerkt, das (und lies das bitte richtig durch) ich es seltsam finde das es mit eurem webguard zu dermassen falschen download raten in der anzeige kommt. lade ich eine grosse datei runter so fängt das mit ner riesen download rate an udn wird immer weniger und weniger und plötzlich so in der mitte des downloades schupps isser auf einmal fertig. ja sorry wie soll ich mich denn optisch drauf einstellen wenn diese anzeige so ungenau ist im download fenster.
und nicht kommen das es erst durch nen proxy geht und dann weitergeleitet wird etc.
andere hersteller wie gdata oder f-secure haben auch einen web und http scanner der die downloads vorher prüft. nur komischerweise klappt es dort mit der korrekten anzeige. dort fängt zwar der anfang auch mit ner etwas höheren rate an pendelt sich aber dann recht schnell auf die richtige downlad geschwindigkeit des jeweiligen dsl anschlusses ein und der download balken geht korrekt bis zum ende.

so und das problem hatte ich geschildert weil es mich stört und ärgert. weisst du was die antwort eures supports war?

" hey super und ich dachte schon mein dsl wäre doppelt so schnell geworden"

also sorry das ist ne frechheit. und sowas liest man oft bei euch. aufgrund dieser aussage wurde auch anstandslos mein kauf wieder rückgängig gemacht.

noch so als info. das forum hier ist in vielen fällen recht deutlich und kritisch. was ich gut finde. bisher hat sihc auch noch kein hersteller beschwert. das ihr das nun macht spricht für sich

[Leo]

noch so als info. das forum hier ist in vielen fällen recht deutlich und kritisch. was ich gut finde. bisher hat sihc auch noch kein hersteller beschwert. das ihr das nun macht spricht für sich

einmal arbeite ich nicht für avira. das sollte man mal klar stellen, ich spreche also nicht für sie. und zum anderen habe ich mich nur über die Art der verkündung negativ geäußert.
wenn man schon etwas findet und dies auf ein spezielles Produkt bezieht, dann kann man das der Firma auch melden und nicht hoffen, dass sie sich das selber irgendwie zusammenfindet.
reicht auch im entsprechenden Forum das zu melden. der support wird sich schon drum kümmern das es an die richtigen leute weitergeht.

was die antworten im Forum betrifft, die gefallen mir auch nicht immer. aber was soll man machen. ich hab nicht die Zeit da jeden Beitrag durchzugehen und auf seine korrektheit zu prüfen. es ist nunmal ein User to User forum und der avira support versucht unterstützt von ein paar freiwilligen Helfern das ganze so gut es geht zu unterstützen.
aber gut nun back to topic.

hab das ganze gemeldet.

[Michael_Mann]

Hmm,

ich weiß nicht, ich weiß nicht.
Vermutlich existiert das gepostete Beispiel auch in Realität, wenn dann wird Avira sich der Sache annehmen.
Sind wirklich keine anderen Schutzlösungen ebenfalls davon betroffen?

Aber wie praktisch ist eigentlich eine solche Fallkonstellation? Einem User fällt sowas sicherlich auf und dann ist natürlich auch das Schirmchen weg. Malware selbst kommt aber unentdeckt daher, auch keine Frage. Sie wird also diesen Weg sicherlich nicht beschreiten sondern es mit anderen Mitteln versuchen.
Selbst wenn einem User eine Batch-Deinstallation nicht auffallen sollte: Eine Batch alleine macht noch keinen Sommer, es müßte, um effektiv zu sein auch gleichzeitig eine malware dabei sein die den Reboot auch überlebt. Und ob die ungesehen an Avir vorbeikommt steht auf einem anderen Blatt.

Dann sollte man daran denken das winxp home klassischerweise mit Admin-Rechten ausgeführt wird. Wie also soll man in diesem Modus auch batch-Deinstallationen verhindern?


Michael

Der Beitrag wurde von Michael_Mann bearbeitet: 06.10.2007, 00:48

[chris30duew]

grins wobei man auch sagen muss das das forum hier schon viel wirkung hat auf die AV hersteller. daher sind schon oft die hersteller aktiv geworden als es hier um unangenehme dinge ging. find ich gar net soooo schlecht oder?
so wie ich weiss gehört doch das support forum zum gold support oder premium support oder?

hast recht wir gehn zum topic zurück :-)

[Manu]

Wieder ein sehr interessanter Beitrag, danke! Es wird noch unzählige solche Methoden geben und alle greifen letztendlich auf ein Problem zurück: Ein Windows-User ist im Normalfall Admin. Es erscheint einem ja auch irgendwie paradox, dass ein AntiVirus-Programm einen Administrator von administrativen Tätigkeiten auf dem PC hindern (können) soll.

Ich gehe mal davon aus das du den Hersteller schon auf diesem sicherheitskritischen Mangel drauf aufmerksam gemacht hast ?

Fände ich schön, wenn du das vor dem Posten machen würdest. Rein aus Gründen des Anstands.

Selbst wenn einem User eine Batch-Deinstallation nicht auffallen sollte: Eine Batch alleine macht noch keinen Sommer, es müßte, um effektiv zu sein auch gleichzeitig eine malware dabei sein die den Reboot auch überlebt. Und ob die ungesehen an Avir vorbeikommt steht auf einem anderen Blatt.

Nicht ganz zu Ende gedacht.
- Die Batch-Datei kann beim Neustart ein Schadprogramm aus dem Web laden und dieses starten.
- Der Batch-Datei kann ein mit Passwort geschütztes Archiv beilegen. Beim Neustart wird das Archiv mit dem in der Batch-Datei hinterlegten Passwort entpackt und die Malware gestartet.
Beides wird, wenn nicht ganz blöd gelöst, kein AntiVirus-Programm davor bemerken.

[Michael_Mann]

Hi,

zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen.
Das hat auch bei anderen Fall-Konstellationen so seine Vorteile.


Michael

Der Beitrag wurde von Michael_Mann bearbeitet: 06.10.2007, 17:42

[scu]

Hi,

zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen.
Das hat auch bei anderen Fall-Konstellationen so seine Vorteile.
Michael

Ah ja... Und bei Routern die Kabel erst einstecken wenn alles kontrolliert ist, oder wie?

[Heike]

Hi,

zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen.
Das hat auch bei anderen Fall-Konstellationen so seine Vorteile.
Michael

hmm, welche denn?
wenn man "Besuch" auf dem PC hat ist es vollkommen egal, wo man irgendwelche Passwörter hat/eingibt, wenn sie jemand haben will, dann kriegt er sie, so einfach ist das.
1) an der normalen Stelle = auslesen
2) Eingabe über Tastatur = Keylogger
3) Copy and Paste aus einem File = Keylogger oder File suchen und downloaden

Gibt es eine weitere Möglichkeit? Ich wüßte keine.

[chris30duew]

das ist eben die Avira logik und einstellung.....die man übrigens auch in deren Hilfs-forum zu lesen bekommt

[Michael_Mann]

Hmm,

nun wir haben mal ein Sicherheitskonzept entwickelt. Auch der User muß schon sein Schärflein dazu beitragen das win malwarefrei bleibt.

Auch das manuell einzugebende Paßwort ist nur als ein weiterer Schritt, Funkverbindungen unter Kontrolle zu halten, zu verstehen und auch nicht der Weisheit letzter Schluß. Das streitet auch keiner ab oder verkauft es also solchen.
Aber: Ist keine dfü vorhanden poppt gerne der dfü-Fragerequester auf, der User kann dann auf die Suche gehen was denn da einen Internetzugang wünscht. Damit kann man ein online-mäßiges Nachziehen von malware zuerst mal unterbinden bzw. geeignete (Schutz-)Maßnahmen treffen.
Auch manche malware die es nicht abwarten kann ins Internet zu funken kann man so finden.
Natürlich bleibt mit so einer Sicherungsmaßnahme malware die brav und still wartet bis eine Internetverbindung hergestellt wurde unerkannt.

Wenn beim Routerbetrieb eine solche Möglichkeit nicht existiert würde ich das als Design-Schwäche bezeichnen.

Ich denke mir aber fast das dieser Thread auch ein anderes Thema mitberührt. Zum einen ist vielfach der Admin-Modus, sozusagen, aktiviert, gerne per default. Nutzerkonten werden nicht eingerichtet weil M$ da einige Defizite bei manchen win-Ausgaben zu bieten hat. Mit admin-Rechten kann man so ziemlich alles machen was natürlich auch gewollt ist.
Zum anderen klingt hier wohl auch die Frage an inwieweit man den User mit in die Sicherheitsvorkehrungen einbindet bzw. ob die Software dem User alles abnehmen kann. Dieses "Alles abnehmen" möchte ich mal verneinen - das geht nicht.


Michael

[scu]

Wenn beim Routerbetrieb eine solche Möglichkeit nicht existiert würde ich das als Design-Schwäche bezeichnen.

Designschwäche!? Autos die nicht fliegen können haben dann deiner Meinung nach auch eine Designschwäche?

[Heike]

das mit dem Router und seiner "Design-Schwäche" ist doch alles hergeholt und dient offenbar lediglich dazu, vom eigentlichen Thema abzulenken. Ich denke, wir sollten wieder dahin zurückkehren.

Michael_Mann könnte ja vielleicht einen eigenen Topic über "Design-Schwächen" von Routern starten.

[Gast_rock_*]

antivir ist einfach rundum peinlich.... jahr ein jahr aus das selbe jämmerliche gesülze das der user oder MS ein problem ist.... jetzt geht dieser "virus" schon aus den mauern des antivir forums hinaus....

[Caimbeul]

@Michael_Mann

Wie kommst Du überhaupt auf die DFÜ Verbindung und die Passworteingabe? Hat das denn irgendwas mit dem Thema hier zu tun? Außerdem wie sinnlos ist bitte die Entdeckung von Malware über die DFÜ Abfrage zur Internetverbindung? Sowas habe ich ja noch nie gehört.

Ja, ich verwende einen Router und zwar weil es produktiv ist.

Der Beitrag wurde von Caimbeul bearbeitet: 07.10.2007, 13:12

[Michael_Mann]

Hmm,

die manuelle Paßworteingabe für die DFÜ ist ein weiteres Element eines Sicherheitssystems. Nicht mehr.
Bin ich richtig orientiert das im Router die Firewall dann alles abfängt?

Es ging mir nicht ums Ablenken (oder mosern über win) sondern lediglich darum das übliche Umfeld, in dem win eingesetzt wird, mit zu beleuchten; dabei werden die Erfahrungswerte zu Grunde gelgt wie sie sich im Avira-Supportforum darstellen. Eine Ablenkung vom Ursprungsthema war nicht beabsichtigt.


Michael