AntiVir - unauthorisiertes Löschen leicht gemacht, ohne Abbruch oder Interaktion durch User |
Willkommen, Gast ( Anmelden | Registrierung )
AntiVir - unauthorisiertes Löschen leicht gemacht, ohne Abbruch oder Interaktion durch User |
Gast_Scrapie_* |
05.10.2007, 22:55
Beitrag
#1
|
Gäste |
Hi
Updates in kurzen Abständen, eine gute Heuristik, abschusssicherer Guard-Prozess - auf den ersten Blick ist AntiVir nicht sooo leicht für malware zu überwinden. (Wir sehen jetzt mal von dem hier im Board vor einiger Zeit beschriebenen INI-Problem, dem Debugger-Bug und den sehr oft miserabel gelegten Signaturen ab) Aber mit unter braucht es gar nicht so komplizierter Dinge um AntiVir auszuhebeln. Hilfe dabei leistet in diesem Fall das hauseigene Setup. Dieses läßt sich mit Adminrechten von beliebigem Fremdprogramm (malware, batch, vbs) fernsteuern und deinstalliert AntiVir unsichtbar und ohne Abbruchmöglichkeit durch den User. Auf Wunsch erfolgt auch noch ein Neustart welcher bei dem möglichen, ebenfalls batchgesteuerten DL (5 Zeilen zusätzlicher Code) und anschliessenden Installation eines Rootkits von Vorteil sein könnte Möglich macht dies z.B. nur eine Zeile Code in einer Batchdatei wie sie als Bsp. im Anhang zu finden ist. Bitte beachten: - Sollte AntiVir in einem anderen Ordner als Default-Ordner installiert sein - Bsp.-Batch anpassen - Nach der Deinstallation erfolgt ein nicht zu verhindernder Neustart. Achtung Datenverlust bei ungespeicherten Dokumenten!!! - Keine Haftung für Schäden jeglicher Art!!! - Getestet unter W2k und XP als Admin - Funktioniert in diesem Bsp. nur mit der Personal Edition. Zur Premium Bsp.-Batch anpassen, funktioniert dort dann aber auch . Viel Spaß beim Testen, Scrapie |
|
|
05.10.2007, 23:04
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@Scrapie
Ich gehe mal davon aus das du den Hersteller schon auf diesem sicherheitskritischen Mangel drauf aufmerksam gemacht hast ? -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
05.10.2007, 23:13
Beitrag
#3
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.462 Mitglied seit: 26.03.2007 Wohnort: Mannheim Mitglieds-Nr.: 5.972 Betriebssystem: W8 H 32Bit/ W7 H 32Bit Virenscanner: BD2014/ F-Secure2014 Firewall: BD2014/ F-Secure2014 |
und sicher sollte man fairerweise sagen um avira nicht dastehn zu lassen als wäre es das letzte, funzt das mit angepasster batch datei sicher auch mit andren programmen richtig?
|
|
|
05.10.2007, 23:29
Beitrag
#4
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
Ich denke eine solche setup.exe die solch einen Parameter annimmt und durchführt gibt es nicht bei anderen Herstellern.
Und AntiVir lässt das ohne murren und knurren mit sich machen? |
|
|
05.10.2007, 23:31
Beitrag
#5
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 197 Mitglied seit: 17.03.2006 Wohnort: Braunschweig Mitglieds-Nr.: 4.631 Betriebssystem: Windows 7 Virenscanner: Avira Prem. SecuritySuite Firewall: Avira Prem. SecuritySuite |
versieht dein antivir mit einem Passwortschutz (konfiguration (experten modus) > allgemeines > Kennwort) und wähle Installation/ Deinstallation aus. und es ist nicht mehr möglich.
eine Frage. habt ihr es wirklich nötig, auch jedes kleinste Detail als riesige Sicherheitslücke darzustellen? Entweder man will auf eine Lücke aufmerksam machen, dann sollte man schon den offiziellen weg gehen: http://www.avira.com/de/support/vulnerability.html das gilt für andere Produkte natürlich genauso. oder man lässt es einfach. Immer diese Einstellung, ich mag das Produkt nicht, ich muss unbedingt was finden um der Firma schaden beizufügen ist, tut mir leid, unter aller Sau. Ist jetzt nicht persönlich an jemanden gerichtet, wollt ich nur mal los werden, weil mir das hier im Forum in letzter Zeit sehr häufig aufkommt. Im übrigen hab ich nichts dagegen, dass ihr euch dafür engagiert, letztendlich nützt es uns allen. Mich stört nur die Art der Verbreitung. Edit: den Passwortschutz nehm ich zurück. zumindest auf Vista zeigt er keine Wirkung. wenn das mal jemand auf einem anderen os testen möchte. Der Beitrag wurde von Leo bearbeitet: 05.10.2007, 23:45 |
|
|
05.10.2007, 23:50
Beitrag
#6
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.462 Mitglied seit: 26.03.2007 Wohnort: Mannheim Mitglieds-Nr.: 5.972 Betriebssystem: W8 H 32Bit/ W7 H 32Bit Virenscanner: BD2014/ F-Secure2014 Firewall: BD2014/ F-Secure2014 |
das liegt vll auch daran das euer support unter aller s.. ist? sorry das musste ich mal loswerden. hast du dir schon mal allen ernstes angesehn was für antworten in eurem forum so rumgehn? von angeblichen profis?
nur mal als beispiel, das ich dir auch gern benenne wo es in eurem forum steht. ich hatte angemerkt, das (und lies das bitte richtig durch) ich es seltsam finde das es mit eurem webguard zu dermassen falschen download raten in der anzeige kommt. lade ich eine grosse datei runter so fängt das mit ner riesen download rate an udn wird immer weniger und weniger und plötzlich so in der mitte des downloades schupps isser auf einmal fertig. ja sorry wie soll ich mich denn optisch drauf einstellen wenn diese anzeige so ungenau ist im download fenster. und nicht kommen das es erst durch nen proxy geht und dann weitergeleitet wird etc. andere hersteller wie gdata oder f-secure haben auch einen web und http scanner der die downloads vorher prüft. nur komischerweise klappt es dort mit der korrekten anzeige. dort fängt zwar der anfang auch mit ner etwas höheren rate an pendelt sich aber dann recht schnell auf die richtige downlad geschwindigkeit des jeweiligen dsl anschlusses ein und der download balken geht korrekt bis zum ende. so und das problem hatte ich geschildert weil es mich stört und ärgert. weisst du was die antwort eures supports war? " hey super und ich dachte schon mein dsl wäre doppelt so schnell geworden" also sorry das ist ne frechheit. und sowas liest man oft bei euch. aufgrund dieser aussage wurde auch anstandslos mein kauf wieder rückgängig gemacht. noch so als info. das forum hier ist in vielen fällen recht deutlich und kritisch. was ich gut finde. bisher hat sihc auch noch kein hersteller beschwert. das ihr das nun macht spricht für sich |
|
|
06.10.2007, 00:12
Beitrag
#7
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 197 Mitglied seit: 17.03.2006 Wohnort: Braunschweig Mitglieds-Nr.: 4.631 Betriebssystem: Windows 7 Virenscanner: Avira Prem. SecuritySuite Firewall: Avira Prem. SecuritySuite |
noch so als info. das forum hier ist in vielen fällen recht deutlich und kritisch. was ich gut finde. bisher hat sihc auch noch kein hersteller beschwert. das ihr das nun macht spricht für sich einmal arbeite ich nicht für avira. das sollte man mal klar stellen, ich spreche also nicht für sie. und zum anderen habe ich mich nur über die Art der verkündung negativ geäußert.wenn man schon etwas findet und dies auf ein spezielles Produkt bezieht, dann kann man das der Firma auch melden und nicht hoffen, dass sie sich das selber irgendwie zusammenfindet. reicht auch im entsprechenden Forum das zu melden. der support wird sich schon drum kümmern das es an die richtigen leute weitergeht. was die antworten im Forum betrifft, die gefallen mir auch nicht immer. aber was soll man machen. ich hab nicht die Zeit da jeden Beitrag durchzugehen und auf seine korrektheit zu prüfen. es ist nunmal ein User to User forum und der avira support versucht unterstützt von ein paar freiwilligen Helfern das ganze so gut es geht zu unterstützen. aber gut nun back to topic. hab das ganze gemeldet. |
|
|
06.10.2007, 00:47
Beitrag
#8
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 57 Mitglied seit: 16.05.2005 Wohnort: Das Land der Dichter und ähh... Mitglieds-Nr.: 2.714 Virenscanner: AVir 9 Firewall: Avira PE - Avir Suite |
Hmm,
ich weiß nicht, ich weiß nicht. Vermutlich existiert das gepostete Beispiel auch in Realität, wenn dann wird Avira sich der Sache annehmen. Sind wirklich keine anderen Schutzlösungen ebenfalls davon betroffen? Aber wie praktisch ist eigentlich eine solche Fallkonstellation? Einem User fällt sowas sicherlich auf und dann ist natürlich auch das Schirmchen weg. Malware selbst kommt aber unentdeckt daher, auch keine Frage. Sie wird also diesen Weg sicherlich nicht beschreiten sondern es mit anderen Mitteln versuchen. Selbst wenn einem User eine Batch-Deinstallation nicht auffallen sollte: Eine Batch alleine macht noch keinen Sommer, es müßte, um effektiv zu sein auch gleichzeitig eine malware dabei sein die den Reboot auch überlebt. Und ob die ungesehen an Avir vorbeikommt steht auf einem anderen Blatt. Dann sollte man daran denken das winxp home klassischerweise mit Admin-Rechten ausgeführt wird. Wie also soll man in diesem Modus auch batch-Deinstallationen verhindern? Michael Der Beitrag wurde von Michael_Mann bearbeitet: 06.10.2007, 00:48 |
|
|
06.10.2007, 00:48
Beitrag
#9
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.462 Mitglied seit: 26.03.2007 Wohnort: Mannheim Mitglieds-Nr.: 5.972 Betriebssystem: W8 H 32Bit/ W7 H 32Bit Virenscanner: BD2014/ F-Secure2014 Firewall: BD2014/ F-Secure2014 |
grins wobei man auch sagen muss das das forum hier schon viel wirkung hat auf die AV hersteller. daher sind schon oft die hersteller aktiv geworden als es hier um unangenehme dinge ging. find ich gar net soooo schlecht oder?
so wie ich weiss gehört doch das support forum zum gold support oder premium support oder? hast recht wir gehn zum topic zurück :-) |
|
|
06.10.2007, 10:57
Beitrag
#10
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
Wieder ein sehr interessanter Beitrag, danke! Es wird noch unzählige solche Methoden geben und alle greifen letztendlich auf ein Problem zurück: Ein Windows-User ist im Normalfall Admin. Es erscheint einem ja auch irgendwie paradox, dass ein AntiVirus-Programm einen Administrator von administrativen Tätigkeiten auf dem PC hindern (können) soll.
Ich gehe mal davon aus das du den Hersteller schon auf diesem sicherheitskritischen Mangel drauf aufmerksam gemacht hast ? Fände ich schön, wenn du das vor dem Posten machen würdest. Rein aus Gründen des Anstands. Selbst wenn einem User eine Batch-Deinstallation nicht auffallen sollte: Eine Batch alleine macht noch keinen Sommer, es müßte, um effektiv zu sein auch gleichzeitig eine malware dabei sein die den Reboot auch überlebt. Und ob die ungesehen an Avir vorbeikommt steht auf einem anderen Blatt. Nicht ganz zu Ende gedacht. - Die Batch-Datei kann beim Neustart ein Schadprogramm aus dem Web laden und dieses starten. - Der Batch-Datei kann ein mit Passwort geschütztes Archiv beilegen. Beim Neustart wird das Archiv mit dem in der Batch-Datei hinterlegten Passwort entpackt und die Malware gestartet. Beides wird, wenn nicht ganz blöd gelöst, kein AntiVirus-Programm davor bemerken. -------------------- |
|
|
06.10.2007, 14:23
Beitrag
#11
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 57 Mitglied seit: 16.05.2005 Wohnort: Das Land der Dichter und ähh... Mitglieds-Nr.: 2.714 Virenscanner: AVir 9 Firewall: Avira PE - Avir Suite |
Hi,
zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen. Das hat auch bei anderen Fall-Konstellationen so seine Vorteile. Michael Der Beitrag wurde von Michael_Mann bearbeitet: 06.10.2007, 17:42 |
|
|
06.10.2007, 21:44
Beitrag
#12
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
Hi, zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen. Das hat auch bei anderen Fall-Konstellationen so seine Vorteile. Michael Ah ja... Und bei Routern die Kabel erst einstecken wenn alles kontrolliert ist, oder wie? |
|
|
06.10.2007, 22:42
Beitrag
#13
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.694 Mitglied seit: 15.04.2003 Wohnort: Hamburg Mitglieds-Nr.: 13 Betriebssystem: win2k, XP, Vista Virenscanner: keinen Firewall: keine |
Hi, zu 1. Deshalb empfehlen wir immer im Support-Forum, der penetranten win-Aufforderung, das Paßwort bei der dfü mit abzuspeichern, zu übersehen und beim ersten Internet-Zugang das Paßwort jeweils manuell einzutragen. Das hat auch bei anderen Fall-Konstellationen so seine Vorteile. Michael hmm, welche denn? wenn man "Besuch" auf dem PC hat ist es vollkommen egal, wo man irgendwelche Passwörter hat/eingibt, wenn sie jemand haben will, dann kriegt er sie, so einfach ist das. 1) an der normalen Stelle = auslesen 2) Eingabe über Tastatur = Keylogger 3) Copy and Paste aus einem File = Keylogger oder File suchen und downloaden Gibt es eine weitere Möglichkeit? Ich wüßte keine. -------------------- Lust auf Telefonsex? Unbeschwert nur hier. Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
|
06.10.2007, 23:04
Beitrag
#14
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.462 Mitglied seit: 26.03.2007 Wohnort: Mannheim Mitglieds-Nr.: 5.972 Betriebssystem: W8 H 32Bit/ W7 H 32Bit Virenscanner: BD2014/ F-Secure2014 Firewall: BD2014/ F-Secure2014 |
das ist eben die Avira logik und einstellung.....die man übrigens auch in deren Hilfs-forum zu lesen bekommt
|
|
|
06.10.2007, 23:49
Beitrag
#15
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 57 Mitglied seit: 16.05.2005 Wohnort: Das Land der Dichter und ähh... Mitglieds-Nr.: 2.714 Virenscanner: AVir 9 Firewall: Avira PE - Avir Suite |
Hmm,
nun wir haben mal ein Sicherheitskonzept entwickelt. Auch der User muß schon sein Schärflein dazu beitragen das win malwarefrei bleibt. Auch das manuell einzugebende Paßwort ist nur als ein weiterer Schritt, Funkverbindungen unter Kontrolle zu halten, zu verstehen und auch nicht der Weisheit letzter Schluß. Das streitet auch keiner ab oder verkauft es also solchen. Aber: Ist keine dfü vorhanden poppt gerne der dfü-Fragerequester auf, der User kann dann auf die Suche gehen was denn da einen Internetzugang wünscht. Damit kann man ein online-mäßiges Nachziehen von malware zuerst mal unterbinden bzw. geeignete (Schutz-)Maßnahmen treffen. Auch manche malware die es nicht abwarten kann ins Internet zu funken kann man so finden. Natürlich bleibt mit so einer Sicherungsmaßnahme malware die brav und still wartet bis eine Internetverbindung hergestellt wurde unerkannt. Wenn beim Routerbetrieb eine solche Möglichkeit nicht existiert würde ich das als Design-Schwäche bezeichnen. Ich denke mir aber fast das dieser Thread auch ein anderes Thema mitberührt. Zum einen ist vielfach der Admin-Modus, sozusagen, aktiviert, gerne per default. Nutzerkonten werden nicht eingerichtet weil M$ da einige Defizite bei manchen win-Ausgaben zu bieten hat. Mit admin-Rechten kann man so ziemlich alles machen was natürlich auch gewollt ist. Zum anderen klingt hier wohl auch die Frage an inwieweit man den User mit in die Sicherheitsvorkehrungen einbindet bzw. ob die Software dem User alles abnehmen kann. Dieses "Alles abnehmen" möchte ich mal verneinen - das geht nicht. Michael |
|
|
07.10.2007, 12:58
Beitrag
#16
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.191 Mitglied seit: 07.08.2007 Mitglieds-Nr.: 6.352 Virenscanner: G DATA |
|
|
|
07.10.2007, 13:08
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.694 Mitglied seit: 15.04.2003 Wohnort: Hamburg Mitglieds-Nr.: 13 Betriebssystem: win2k, XP, Vista Virenscanner: keinen Firewall: keine |
das mit dem Router und seiner "Design-Schwäche" ist doch alles hergeholt und dient offenbar lediglich dazu, vom eigentlichen Thema abzulenken. Ich denke, wir sollten wieder dahin zurückkehren.
Michael_Mann könnte ja vielleicht einen eigenen Topic über "Design-Schwächen" von Routern starten. -------------------- Lust auf Telefonsex? Unbeschwert nur hier. Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
|
|
Gast_rock_* |
07.10.2007, 13:09
Beitrag
#18
|
Gäste |
antivir ist einfach rundum peinlich.... jahr ein jahr aus das selbe jämmerliche gesülze das der user oder MS ein problem ist.... jetzt geht dieser "virus" schon aus den mauern des antivir forums hinaus....
|
|
|
07.10.2007, 13:12
Beitrag
#19
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
@Michael_Mann
Wie kommst Du überhaupt auf die DFÜ Verbindung und die Passworteingabe? Hat das denn irgendwas mit dem Thema hier zu tun? Außerdem wie sinnlos ist bitte die Entdeckung von Malware über die DFÜ Abfrage zur Internetverbindung? Sowas habe ich ja noch nie gehört. Ja, ich verwende einen Router und zwar weil es produktiv ist. Der Beitrag wurde von Caimbeul bearbeitet: 07.10.2007, 13:12 -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
07.10.2007, 18:29
Beitrag
#20
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 57 Mitglied seit: 16.05.2005 Wohnort: Das Land der Dichter und ähh... Mitglieds-Nr.: 2.714 Virenscanner: AVir 9 Firewall: Avira PE - Avir Suite |
Hmm,
die manuelle Paßworteingabe für die DFÜ ist ein weiteres Element eines Sicherheitssystems. Nicht mehr. Bin ich richtig orientiert das im Router die Firewall dann alles abfängt? Es ging mir nicht ums Ablenken (oder mosern über win) sondern lediglich darum das übliche Umfeld, in dem win eingesetzt wird, mit zu beleuchten; dabei werden die Erfahrungswerte zu Grunde gelgt wie sie sich im Avira-Supportforum darstellen. Eine Ablenkung vom Ursprungsthema war nicht beabsichtigt. Michael |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 15.06.2024, 22:48 |