Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Nein, der prüft wie sich das Programm verhält und was für Eigenschaften die Datei hat.

Das muss man dann doch irgendwo nachlesen können welche Erkennungskriterien das sind , aus dem Bild ist das nicht erkennbar.

[Julian]

Das muss man dann doch irgendwo nachlesen können welche Erkennungskriterien das sind , aus dem Bild ist das nicht erkennbar.

Kann man nicht. Die eigentliche Heuristik kat schon relativ signifikante Erkennungsnamen, wie z.B. "Heur.Trojan.Downloader", oder "Heur.Vir.Infector" (oder so ähnlich). Bei den Trojan.Generic-Meldungen ist das natürlich nicht so
Ich habe mir mal erlaubt, die Gefahrenindexierung von KIS als Heuristik zu bezeichnen, da es im Endeffekt aufs Gleiche hinaus läuft, nämlich der Blockierung der Malware oder derer Aktionen.


@chris30duew: Nun, eigentlich erkennt es KIS schon vor dem eigentlichen Start: KIS fängt den Programmstart ab und startet des Programm im Emulator, bevor es dann in der realen Umgebung ausgeführt wird. Es ist also kein spezifischer Programmcode vorher schon ausgeführt worden.
Erkennung ist Erkennung.
Und man sieht ja, wie oft die VT-Erkennung mangels diverser Features von KIS stumm bleibt, sodass leicht ein falscher Eindruck über die tatsächliche Erkennungsrate entsteht. Wobei ich natürlich nichts dagegen hätte, wenn die signaturbasierte Erkennung von Kaspersky wieder besser werden würde.

[Gast_Scrapie_*]

Hi

Die ganzen HIPS und IDS sind ja recht und gut - und können in den richtigen Händen sicher zu 99,schlagmichtot % eine Infektion verhindern.

Es wird aber in letzter Konsequenz die Verantwortung dem User zugeschoben. Er muss entscheiden, was gut und schlecht ist.
Und ich werfe jetzt einfach mal in den Raum, dass ein in das Setup eines Grafiktreibers eingeschleuster Rootkit in den ganzen, während der Installation aufpoppenden Fenstern, gute Chancen hat durchzuwischen.
Lade ich mir aber eine Keygen runter, oder habe in der Mail ne Nude.exe, dann ist die Grundeinsellung sicher gleich mal vorichtiger und der Schutz auch für 0815 okay. In komplexen Programminstallationspaket aber wie gesagt ist selbst mir eine klare Signatur lieber als bei den 30 zu installierenden Treibern selber zu würfeln ob das okay ist oder nicht.


Scrapie

[Voyager]

Also auf gut Deutsch, es gibt immer eine Möglichkeit den Leuten was unterzuschieben , springen wir lieber gleich von der Brücke ? Naja das ist ja nun auch keine gangbare Alternative zur Sicherheitssoftware

[Julian]

Die ganzen HIPS und IDS sind ja recht und gut - und können in den richtigen Händen sicher zu 99,schlagmichtot % eine Infektion verhindern.

Die Pics, die ich geposted habe, schieben nicht dem User die Verantwortung zu wie "Darf das Programm dies und bla?".
Bei allen Treiberinstallationen für irgendwelche Hardware sind fast immer Treiber und Setup signiert, von daher macht KIS dabei keinen Alarm.
Bei Tools wie CPU-Z ist ein Alarm IMO nicht so kritisch, wenn kein Whitelisteintrag vorhanden ist, ich glaube nämlich nicht, dass Leute, die nicht wissen was ein Treiber ist, irgendwelche detaillierten Infos über CPU, Speicher usw. erfahren wollen

Aber die meisten HIPSE überfordern den Anwender wirklich, Online Armor oder Comodo führen sofort zur Frustration.
Wie ist dein Eindruck von a2, Scrapie? Mit dem Community-Feature und der Alarmreduktion sollte es keine Schwierigkeiten geben, oder etwa doch?

[Gast_Sicherheit_*]

@Julian
@Scrapie
Bei der Nvidiatreiber-Installation (keine Betatreiber) popten sehr wohl mehre abfragen auf.

Nach dem zweiten bis dritten mal in einem Setup, wird man dadurch verleitet, weitere Anfragen mit ok zu beantworten.

Das Risiko, ist noch gering, sofern diese von Nvidia direkt runtergeladen werden. Sobald diese Seiten verlinkt sind, kann es tatsächlich kritisch werden.

Das ist meine persönliche Meinung.

Der Beitrag wurde von Sicherheit bearbeitet: 17.10.2008, 17:39

[Julian]

@Julian
@Scrapie
Bei der Nvidiatreiber-Installation (keine Betatreiber) popten sehr wohl mehre abfragen auf.

Hattest du die Option "Aktion automatisch wählen" aktiviert?

[Gast_Sicherheit_*]

ja, bei der .357

[Julian]

ja, bei der .357

Interessant. Werde es heute wahrscheinlich einmal ausprobieren, kann mich ja auch irren

[Gast_Scrapie_*]

@Julian:

Okay, ich habe die Whitelist vergessen. Dadurch kann ein Programm viel im Vorfeld viele "FP" erkennen.

a-squared läuft hier echt gut.
Nach anfänglicher, kurzer Regelerstellung habe ich jetzt 16 Programme für welche solche gelten.
Paranoider Modus ist AN, Intelligente Reduktion AUS, ebenso das Community-Feature AUS.
Ich will selber entscheiden was hier abläuft - und mich nicht nach x% der User richten Daher keine Erfahrung in wie weit dieses Feature dem unbedarften User bei der Entscheidung wirklich hilft oder Beistand leistet. Müsste man mal im a-squared-Board nachfragenm was die Allgemeinheit dazu denkt.

Aber auch hier ist es verdammt nervig und verunsichernd, wenn z-B. dem FF beim ersten Start backdoor- und spywareähnliches Verhalten (in den schärfsten Einstellungen) "unterstellt" werden....


Scrapie

[Gast_Sicherheit_*]

@julian

hoffe das ich mich nicht in der Build_Version geirrt habe.

Ohne Gewähr. Sorry

Aber das betrifft ja auch andere IS und AV.

[Julian]

Aber auch hier ist es verdammt nervig und verunsichernd, wenn z-B. dem FF beim ersten Start backdoor- und spywareähnliches Verhalten (in den schärfsten Einstellungen) "unterstellt" werden....

Ich dachte auch erst, ich sähe nicht recht, was auch noch dadurch verstärkt wurde, dass das Pop-Up nach einer halben Sekunde wieder verschwunden war, was wohl am Community-Feature lag
Ich werd es mir wohl doch noch einmal installieren müssen.

Edit: Ein "das" fehlte.

Der Beitrag wurde von Julian bearbeitet: 17.10.2008, 19:36

[Gast_Sicherheit_*]

@Julian

Es ist mir leider gerade eingefallen, zu den Zeiten, lief fritz!dsl mit. Das war dann der Hauptauslöser.

[Gast_kurz-pc_*]

Vorgeblicher Flash Player 10 ist Adware
http://www.pcwelt.de/start/sicherheit/fire..._10_ist_adware/

hxxp://www.flash-player-10.com/

http://www.virscan.org/report/2ec93357f173...1004fdfb7e.html
http://www.cwsandbox.org/?page=report&...;password=tgyao
http://www.threatexpert.com/report.aspx?md...9db17bf0295d70b

Das google so was auf ihre Seite schalten

Der Beitrag wurde von kurz-pc bearbeitet: 17.10.2008, 19:19

[Voyager]

Böses Flash ! NAB springt gleich an wo der Downloader Malware nachlädt.

[Gast_Sicherheit_*]

ist wohl false alarm

http://forum.kaspersky.com/index.php?showtopic=88354

http://forum.kaspersky.com/index.php?showtopic=88291

Der Beitrag wurde von Sicherheit bearbeitet: 17.10.2008, 19:55

[Julian]

@Julian

Es ist mir leider gerade eingefallen, zu den Zeiten, lief fritz!dsl mit. Das war dann der Hauptauslöser.

Habe es auch gerade ausprobiert - keine Pop-Ups, die man bestätigen müsste

[Gast_Sicherheit_*]

Sry

[Gast_kurz-pc_*]

Glaub nicht das es ein false alarm ist.

Hab gerade bemerkt das man mal die verseuchte Datei bekommt.

hxxp://flash-player-10.com/flash10_setup.exe
http://www.virustotal.com/analisis/8763c24...7205a4a9a796e22

Manchmal aber auch die Richtige: hxxp://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Komisch

Der Beitrag wurde von kurz-pc bearbeitet: 17.10.2008, 20:12

[Gast_blueX_*]

Glaub nicht das es ein false alarm ist.

Hab gerade bemerkt das man mal die verseuchte Datei bekommt.

hxxp://flash-player-10.com/flash10_setup.exe
http://www.virustotal.com/analisis/8763c24...7205a4a9a796e22

Manchmal aber auch die Richtige: hxxp://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Komisch

Auf der Original-Upload-Seite soll man wirklich die Datei auf flash-palyer-10.com bekommen?
Kann ich mir nicht vorstellen.