Suche noch diverse Schädlinge Einstellungen

[Rokop]

Ich bin gerade dabei etwas Ordnung in meine Malwaresammlung zu bringen (Obwohl sie nicht direkt unordentlich ist, sondern etwas unübersichtlich) In diesem Zuge werde ich auch einige neue Testsets erstellen. Speziell bei ITW Würmern, P2P Würmern, Macroviren und Bootsektorviren könnte ich aber noch einiges gebrauchen. Wenn Jemand noch den einen oder anderen Kandidaten hat, würde ich mich über eine Zusendung freuen.
Sobald ich Ordnung in der Sache habe, werde ich Auflistungen erstellen, die ich dann bei Bedarf zur Verfügung stellen kann. Selbstverständlich werde ich die Sammlung wie immer auch an AV-Hestellern zur Verfügung stellen.

Was ich außerdem noch benötige:

Ich möchte ein Testset erstellen, indem sich all das tummelt, was nicht primär schädlich bzw. Malware ist. Dazu gehören u.a. Dialer, Nuker, Flooder, Binder, Spassviren, Backdoorclients und Editserver. Letzteres habe ich zur Genüge, von den anderen Dingen könnte ich noch einiges gebrauchen.

[Gast_Gladiator_*]

Ich möchte ein Testset erstellen, indem sich all das tummelt, was nicht primär schädlich bzw. Malware ist. Dazu gehören u.a. Dialer, Nuker, Flooder, Binder, Spassviren, Backdoorclients und Editserver. Letzteres habe ich zur Genüge, von den anderen Dingen könnte ich noch einiges gebrauchen.

Diesen Test gewinnt GAV mit fast 100%iger Sicherheit

Wieviel Nuker brauchen wir denn ? Reichen 1200 erstmal ?
Oder Spassviren ? So bescheidene 800 Stueck einschliesslich 380 die KAV nicht kennt und hochgradig gefaehrlich sind wie bsw. der Joke.Forge77.Bored ?

Fuer die Wuermer mach mal ne Liste fertig was Du brauchst.

[Rokop]

Neeee, einige pro Kategorie sollten reichen. Und sooo viele ITW Würmer sind es ja auch nicht die fehlen ...

[Gast_vampire_*]

mal ne frage an die experten:

welchen sinn macht es wenn die scanner auch nuker, flooder, clienten und editserver finden...?

das verlängert doch eigentlich nur die ohnehin schon lange dauernde suche, und man kann davon ausgehen, daß der user sich die software mit voller absicht auf die platte geladen hat.

warum also...?

[Rokop]

Meiner Meinung nach könnte dieses Zeug aus den Signaturen draußenbleiben. Es gibt aber genügend Fälle (meist Firmen, Schulen usw), wo solche Dateien auf dem Rechner nichts verloren haben. Muß man einfach so akzeptieren. Daher würde ich es in eine Bewertung im Test nicht oder nicht besonders stark einfließen lassen. Kommt aber auf die näheren Umstände an. Ich will jedoch ein Testset haben, wo all so ein Zeugs drin ist.

[Gast_vampire_*]

ahh ok, schulen und firmen sind ein argument, macht sinn...dank dir...

[Gast_IRON_*]

Auch ich finde, dass sowas nicht in die Signaturen gehört, allerdings wollen wir ja nicht vergessen, dass die lieben Zeitschriften-Test-Experten dann wieder einen weiteren haltlosen Grund hätten, falsch zu bewerten. Und wir wissen ja, dass ONU diesen Dödeln jedes Wort glaubt, besonders, wenn etwas negativ bewertet wird. Also solange es nicht ausartet oder die Performance der Scanner nicht allzu sehr drückt, sollen sie in Gottes Namen hinein...

[Rokop]

Ich hatte an Folgendes gedacht:

Ich erstelle ein komplexes Testset mit allen Arten von Malware. Dieses nehme ich für Standard Tests wie zum Bsp. für Kurzvorstellungen neuer Programme oder neuer Programmversionen. Ein Teil dieses Tests wird dann auch das scannen nach solchen Dateien wie Clients, Dialern, Nukern usw. sein. Der Leser kann sich dann ein Bild davon machen, was das Programm vermag. Wichtig fände ich allerdings, wenn die Meldung des Programmes auch darauf hinweist, das es keine eigentliche Malware ist.
Von Zeit zu Zeit werde ich neue Malware in die Testsets mit einfließen lassen, so wie ich es jetzt auch schon immer wieder mal tue.

[JoJo]

Ich meine bei TDS habe ich mal so eine Option gesehen die dem Benutzer die Möglichkeit gibt auch nach Clients und Editoren suchen zulassen. Bei der neuen GAV Version kann man doch auch in etwa entscheiden bei welcher Gefahrenstufe das Programm Alarm schlagen soll...oder habe ich vielleicht da etwas falsch verstanden ?

[Gast_Gladiator_*]

Sobald was aus dem Ratboard gefunden wird faellt das automatisch in the Kathegorie Scherzprogramme

[Rokop]

Neues zur Malwaresuche:

Habe mich eben kurzfristig dazu entschlossen KaZaa zu installieren. Ich habe mir 18 Dateien heruntergeladen, von denen 17 Malwaredateien sind. Mit dem entsprechenden Suchbegriff ist es also eine wahre Fundgrube. Ohne nötige Kenntnisse jedoch ist KaZaa kaum weiterzuempfehlen !

[raman]

Ich weiss nicht, ob es schon jemanden aufgefallen ist, bei den neusten Virenbeschreibungen fehlen die Infos, welche Dateinamen die Malware nutzt um sich unter Kazaa zu verbreiten. Sonst koennte man die einzelnen AV-Firmen ja fast als "VX" bezeichnen!;)

[Gast_IRON_*]

Das kann aber auch daran liegen, dass dies immer wieder ähnliche oder identische Namen sind, wie sie es bei anderer Malware bereits in der Vergangenheit gab. In der Regel sinds Namenkombinationen aus bekannter Software + Crack, +Keygen, +Serial, +Full, +Patch, +Bugfix, +Update und diversen Dateitypen. Das Muster ist nun schon derart ausgelutscht, dass es wenig Sinn hätte, das jedes Mal zu wiederholen.

[Gast_Gladiator_*]

Uebrigens danke mit dem Supernova Ralf, ich habe dort alle Versionen eingepflegt gehabt bis eben auf diese C Variante. Eigentlich sollte die die Generic Detection Todschlagen, tut sie aber nicht weil ich 1 byte (in worten EIN DUMMES BYTE) zuviel bei der Generic hatte und genau dieses eine Byte unterschiedlich war Das habe ich uebrigens schon gefixt und ist heute Abend als Update Verfuegbar. Ich pflege den SuperNova C (jetzt wo ich ihn schon mal habe) noch vor der Generic ein, dann kann ich ihn wenigstens ordentlich benennen

Aber das mit Kazaa stimmt - ich sammle dort auch immer - GAV 4 eignet sich mit der Heuristc wunderbar um "verdaechtige" Dateien zu flaggen (bei Backdoors und Trojaner klappt das ziemlich gut) die auch KAV noch nicht kennt eigentlich auch bei Wuermern - vorausgesetzt man hat bei der Heuristic nicht gepennt und eine zwingend notwendige sogenannte "AND-Signatur" ein Byte zu gross gemacht

Mit dem heutigen Update hat GAV 4 uebrigens die Faehigkeit anzuzeigen was eine Datei im Detail tut.
Sprich das duerfte fuer Rokop aeusserst interessant sein - ich bin hier noch beim Abschlusstest bevor es dass (wie ueblich) als taegliches Update gibt.

Das heisst man hat dann eine art "File Profiler / Analyser Funktion" die alle Files wo gewisse Merkmale festgestellt wurden listet wo da zum beispiel waeren:

* Besitzt RASDIAL -> kann Dialer sein
* Besitzt Moeglichkeit mit anderen zu kommunizieren -> kann Backdoor / Trojaner sein
* Besitzt Moeglichkeit verschiedene Adressbuecher auszulesen -> Kann Wurm sein

Das hat *nix* mit Heuristic ansich zu tun sondern eher mit dem Auflisten was ein File alles theoretisch tun koennte.

[JoJo]

du haust ja tierisch in die Tasten wa ? Na da bin ich mal gespannt auf das nächste update (und auf das tool oder was auch immer mit dem man seinen eigenen skin machen kann )

[Rokop]

Nur zur Information: Die Kazaa-Ausbeute war recht groß. Von den ca. 70 heruntergeladenen Dateien waren rund 50 Stück P2P Würmer. Nun habe ich 8 verschiedene Würmer mehr in meiner Sammlung.
Das Negative an der Sache: Kazaa kann man wirklich Niemandem empfehlen. Ist echt voll verseucht. So schlimm ist es bei anderen Tauschbörsen mit Sicherheit nicht.

[Gast_IRON_*]

Naja...was heißt empfehlen???
Wer es regelmäßig nutzt, tut das ja sicherlich in dem Bewusstsein, etwas Illegales zu tun (es sei denn, er tauscht ausschließlich legale, urheberrechtlich nicht geschützte Dinge haha) Aber KaZaA ist, was Viren und Würmer betrifft, auch nicht schlimmer, als andere Tauschbörsen. Es hat nur wesentlich mehr User. Bei eMule wurde wohl letztens die 100.000er Marke gleichzeitig saugender User überschritten. Bei KaZaA sind es über 4 Millionen.

[Rokop]

Na mit empfehlen meinte ich eigentlich, daß ich immer wieder mal gefragt werde, welche Tauschbörse ich so favorisieren würde. Ausprobiert hatte ich schon fast alle einmal, aber benutzen tu ich im Prinzip keine mehr. Nach meinem gestrigen kurzen Ausflug in die Welt der Patches, Cracks, Updates und Serials war ich doch ein wenig erstaunt, wieweit dieses Netz verseucht ist. Von "Empfehlungen" kann also keine Rede sein, schließlich bin ich derjenige, der dann wieder gerufen wird, wenn der Computer verseucht ist.