F-Secure Internet Security 2009, Final erschienen Einstellungen

[diddsen]

Jedoch: Ein wenig Auseinandersetzung mit Programm XY ist heutzutage einfach (notgedrungen) nötig und mir ist auch kein AV-/IS-Programm bekannt, bei dem es nicht so wäre .

hallole.
also mir fällt auf anhieb antivir ein.
oder kav macht normal auch keine probleme, genauso nod32.
die IS sind immer problematisch, weswegen ich auch nie auf diese sparte bei meinen kunden zurückgreife.
du glaubst gar nicht, wie schwer es für manche ist schon einen key bzw. serial von einem av zu verlängern
tja, so ist das halt bei der breiten masse... jedenfalls die ich kenne bzw. "bedienen" muss, denn sonst kämen die ja nicht zu einem "fachmann"
mann müsste wirklich mal die entwicker auf diese breite masse "loslassen", damit die sehen, welche probleme vor ort vorherschen ... denke supportler können das bestätigen

ich hab jedenfalls die IS nochmal installiert und werd noch nicht aufgeben ;-)

[diddsen]

also die setpoint.exe macht mich kirre... wie kann man da was ausschließen?
finde die option nicht

und warum kommt die meldung immer wieder?
wenn ich z.b. fsecure öffne kommt sie IMMER

Der Beitrag wurde von diddsen bearbeitet: 02.03.2009, 00:57

[Gast_Nightwatch_*]

und warum kommt die meldung immer wieder?
wenn ich z.b. fsecure öffne kommt sie IMMER

Hi diddsen!
Du hast aber auch echt Pech
Meine Laien-Vermutung dazu:
Wenn ich Deinen Screenshot richtig deute, scheint die setpoint.exe auf den Selbstschutzmechanismus von F-Secure zu wirken. Das liegt vermutlich daran, dass sie bestimmte Hooks erstellt, worauf Deepguard anspringt. [Ein Malware-Befall der Datei muss natürlich ausgeschlossen sein.]
Dieses Problem scheint auch bei den Produkten von Kaspersky bekannt: http://forum.kaspersky.com/index.php?showtopic=75374
Da es sich hierbei wohl um ein wirklich technisches Problem handelt, kann ich Dir ab hier diesbezüglich leider nicht mehr weiterhelfen.

Vielleicht kann @StephanK dazu noch etwas detailliertes sagen oder mich ggf. berichtigen. Ansonsten steht Dir der kostenlose Support natürlich auch weiterhin zur Verfügung. Gerade bei solchen Sachen.

Viel Erfolg!

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 02.03.2009, 02:27

[StephanK]

Hallo,

Nightwatch hat recht, hier greift der Selbstschutz.
Stelle doch bitte die Systemsteuerung zurück auf "Bei unklaren Fällen nachfragen" - Dann erhälst du keine Benachrichtigungen für harmlose Anwendungen. Diese werden automatisch zugelassen.
Nur Anwendungen die uns unbekannt sind und bei einer lokalen Analyse (DeepGuard) weder eindeutig Schadhaft noch eindeutig Harmlos sind werden dann von dir gefragt.
Dabei werden übrigens auch harmlose Anwendungen automatisch in der Firewall (Anwendungssteuerung) für ausgehende Verbindungen zugelassen.
(Serveranwendungen werden immer gefragt)

Mit diesen Einstellungen bekommst du kaum Dialoge bei hoher Sicherheit.

[diddsen]

Du hast aber auch echt Pech

hy nw.
na ja, als pech würd ich das nicht bezeichnen oder meinst du ich bin der einzige wo die setpoint-treibersoft verwendet
wenn das problem bekannt ist bzw. anscheinend bei kis gleichgelagert sollte das doch wohl auch fsecure bekannt sein?!
das hat klab anscheinend aber diesmal besser geregelt bekommen, da hatte ich nie eine derartige meldung.
@setphanK
was sagst du dazu?
wie kann ich das aus der prüfung ausschließen? gar nicht denk ich da es wie nightw. beschreibt ja den deepguard betrifft und bei dem kann man doch nichts ausschließen (hab überhaupt noch keine option gefunden um irgendwo was ausschließen zu können).

[diddsen]

Stelle doch bitte die Systemsteuerung zurück auf "Bei unklaren Fällen nachfragen"

hy.
mittlerweile hatte ich ein sauberes image hergestellt und NEU installiert die IS.
und da ist die einstellung von anfang an so belassen worden - hab nix umgestellt.
von daher stimmt das wohl dann auch nicht...ich bekomme immer wieder die meldung
(also wenn ich fsecure öffne kommt sie immer...ansonsten eig. nicht mehr.)
vor allem, warum speichert es meine entscheidung nicht???

Der Beitrag wurde von diddsen bearbeitet: 02.03.2009, 09:40

[StephanK]

DeepGuard ist die Proaktive Erkennung, die genau solches Verhalten erkennen soll

Ausschlüsse von DeepGuard kann man nicht setzen.

Edit und Nachtrag: Problem nachgestellt, tritt nur unter Vista auf.
Melde mich, wenn ich mehr sagen kann.

Der Beitrag wurde von StephanK bearbeitet: 02.03.2009, 12:49

[diddsen]

ok.

nächstes problem. hab ein externes nas
wenn ich firewall auf alles zulassen stelle erscheint diese in netzwerkumgebung.
wenn ich auf custom stelle, dann kappt mein msn und icq-verbindung ab, obwohl ich noch gar nichts verstellt habe.
ebenso surfen geht nicht mehr.

wie bitte muss ich wo was einstellen, damit meine nas im netzwerk sichtbar wird bzw. ich normalen zugriff erhalte???
(ps: genau das ist es was ich an firewalls so hasse!)

[StephanK]

Hallo,

Ich empfehle den Firewall Security Level auf "Office" (Büro) zu belassen.
MSN, ICQ, etc. werden funktionieren.

Bzgl. Netzlaufwerken sollte dies helfen: http://support.f-secure.de/ger/home/suppor...ewall_q10.shtml
Falls dein NAS eine spezielle Software benötigt, geht aus der Hilfedatei des NAS hervor, welche Protokolle und Ports benötigt werden.

[diddsen]

hy stephan.
welches mehr an risiko stellt die "büro"einstellung dar?

habe es versucht und die ip der nas über eine regal ntp in der firewall freigegeben...ist das richtig so bzw. eine weitere möglichkeit??

[StephanK]

Hallo,

wenn du hinter einem Router, in einem "vertrauenswürdigen" (deinem eigenen) Netz bist, ist "Büro" vollkommen ausreichend. Das Regelwerk erlaubt vieles, blockiert aber immernoch gefährliche Dienste.
Wenn du in ein unsicheres/unbekanntes Netz oder direkt an das Internet angebunden bist, empfehle ich "Mobile" - ein deutlich restriktiveres Regelwerk.

Um zu sehen, was genau in Standardregelwerken zugelassen/abgelehnt wird, empfiehlt es sich, einfach die Firewallregeln von oben nach unten zu lesen ("first matching rule applies").
Ohne fundierte Firewallkenntnisse empfehlen sich hier aber keine grossen Modifikationen.

Bist du sicher, dass dein NAS NTP benötigt? Und, möchtest du den Alarm wirklich auf einer "Zulassen" Regel?

[diddsen]

wenn ich das richtig verstehe ist dann aber "büro" nicht so "sicher".

auserdem geht es auf "büro"nicht.
ich habe eine fritzbox7270, als router.

irgendwie alles sehr verwirrend und für normale user keinesfalls machbar...schade, dass nicht mal ein stinknormale nas ohne aufwand in eigenen lan zu gebrauchen ist.

[StephanK]

Packet Filter Firewalls (wie in allen Suiten) sind immer recht technisch, allerdings auch logisch und strukturiert. Auch viele IT Profis haben mit Firewalls ihre liebe Mühe.
Daher ist ein gutes vordefiniertes Regelwerk so wichtig.
Davon haben wir einige, Büro und Mobile sind die meistgenutzten.
Das Regelwerk im Security Level Büro ist offener als das im Mobile Regelwerk.
Die beiden Regelwerke zu vergleichen ist nur möglich, wenn man den Anwendungsbereich mit einbezieht. Andernfalls reden wir über Äpfel und Birnen

Für ein vertrauenswürdiges Netz hinter einem Router ist Büro die erste Wahl. Der Router dürfte das gröbste blocken, was von aussen kommt.
Die Firewall kann also ausgehenden Datenverkehr zulassen und nur den Zugriff auf gefährliche Dienste blockieren.
Bist du direkt mit dem Netz verbunden oder in einem nicht vertrauenswürdigen Netz (z.B. Hotel, Flughafen, etc.) muss die Firewall deutlich restrikitver arbeiten. Dafür ist "Mobile" da.

Ich würde den Mobile Security Level nicht in meinem Heimnetz verwenden.

Das NAS ist ohne Probleme nutzbar. Es muss nur der Datenverkehr zugelassen werden.
Im Normalfall wird beim Verbinden zu einem Netzlaufwerk in Windows Umgebungen lediglich SMB ausgehend benötigt. Das ist bereits im Büro Regelwerk zugelassen.
Wenn du selbst Freigaben auf deinem PC zur Verfügung stellen willst, musst du SMB auch eingehend zulassen.

Wenn dein NAS nun eine spezielle Software verwendet, dann mag diese andere Protokolle verwenden. Fraglich ist hier welche Protokolle und in welche Richtung. Das geht i.d.R. aus dem Handbuch, der Hilfedatei oder den FAQs hervor.

[diddsen]

also ich hab nochmal probiert.
mit "büro" ist zwar die nas in der netzwerkumgebung, bekomme aber eine fehlermeldung und komm nicht drauf.
ganz klar ist mir noch nicht was genau ich freigeben muss...smb... es gibt nur SMB over tcp/ip(tcp) und SMB over tcp/ip(udp)... was ist dann das richtige?
die nas hat keine software...ist ganz normal über webif zu konfigurieren und wie gesagt, es funktioniert ja sobald ich die firewall ausschalte

[StephanK]

Ich gehe davon aus, dass dies hilft: http://support.f-secure.de/ger/home/suppor...ewall_q10.shtml

[diddsen]

@stephanK
auf unklaren wegen hab ich dann doch noch geschafft auf die NAS zu kommen und im lan benutzen zu können, aber einfach ist das sicher NICHT.

nochmal zu den stufeneinstellungen der firewall... du sprachst von "mobil" .... wo soll die sein? im angehängten bild kann ich keine finden.

Edit und Nachtrag: Problem nachgestellt, tritt nur unter Vista auf.
Melde mich, wenn ich mehr sagen kann.

ich hoffe du weisst blad mehr darüber, das ist sehr lästig.
gibts da nur mich oder wie ist das? es müssen doch einige anfragen da sein, da logitech und die setpoint-software doch wahrlich keine unbekannten sind

Der Beitrag wurde von diddsen bearbeitet: 02.03.2009, 21:01

[StephanK]

Hallo diddsen,

Bzgl. Mobil: Ich hatte eine andere Version im Kopf. Bitte hier für unsichere Netze "Streng" verwenden.

Bzgl. SetPoint: Bitte SetPoint mal Updaten, mit der aktuellsten Version kann ich das nicht nachvollziehen.

[Gast_Nightwatch_*]

Hi

Habe heute nochmals ein wenig getestet: Stichwort Desinfektion

On-demand-Desinfektion
Die Desinfektion von rund 850 Samples dauerte ungefähr 45 Minuten. Vor allem bei Spyware-Funden lässt sich die automatische Bereinigung (verschieben in Quarantäne) sehr viel Zeit (30Samples = 15 Minuten ).
Andere Vorgehensweisen, wie z.B. "umbenennen" oder "löschen", dauern in der Regel wesentlich kürzer. Ebenso ist mir aufgefallen, dass die Spyware-Bereinigung bei aktiver und inaktiver Infektion viele Ressourcen in Anspruch nimmt und ungewöhnlich lange braucht. Gründlich ist sie, dass lässt sich nicht absprechen. Aber wenn ich mir überlege, dass meine Hardware eigentlich recht flott ist, möchte ich nicht wissen, wie das auf schwächeren PC´s aussieht. Die gefundene Riskware (hatte ich nicht dazugezählt) wird übrigens immer noch im Hintergrund bearbeitet. Start dieser Gesamt-Desinfektion war um 23:30 Uhr.

Nächster Punkt:
Der On-Access-Guard ist anscheinend mit einer guten Flood-Kontrolle ausgestattet. Habe das System mit allen Samples auf einmal belastet. Die Meldungen gehen nicht durcheinander, bleiben chronologisch und es gibt keinerlei Abstürze oder Instabilitäten . Über die Zeit der Abarbeitung der einzelnen Pop-Ups muss ich wohl nichts sagen. Habe es nach einigen Minuten und zwei Samples abgebrochen. Da hätte ich zu lange dran gesessen.

Irgendwie ein wenig frustrierend das Ganze
Warum dauert das Verschieben einer *.exe in die hauseigene Quarantäne bloß so lange?

EDIT: Mal zwei Screenshots aus dem (sehr langen) Desinfektions-Log.
Einige Elemente konnten nicht bearbeitet werden. Woran das liegt, muss ich erst noch herausfinden (waren keine Archive)



Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 01:48

[StephanK]

Hi Nightwatch,

der Grund für die Zeitverzögerung ist, dass die Software zeitgleich Teile des Systems scannt um andere Teile der Malware ebenfalls zu finden.
Sinn ist hier, Spyware zu deinstallieren und nicht nur eine executable der, doch häufig sehr komplexen, Malware zu entfernen.

Bzgl. der Dialoge: Ich gebe das Feedback weiter.

[Gast_Nightwatch_*]

Hallo

@StephanK
Vielen Dank für das Statement und die Weiterleitung! Die Gründlichkeit der Desinfektion ist ersichtlich (Nachüberprüfung mit verschiedenen Tools/Logs), obgleich ich den Zeitraum für diesen Prozess deutlich zu lang halte.

Neuer Test: Stichwort Aktives Rootkit
Gleich vorneweg: Das verwendete Rootkit wird sowohl on-demand, als auch on-execution (Deepguard) erkannt. Eine aktive Infektion des System ist unter normalen Umständen nicht möglich gewesen.


Da ich aber fies bin, habe ich den Schutz abgeschaltet, das Sample ausgeführt und den PC neugestartet . Der on-access-Guard sprang beim Booten an, aber auch das wollte ich nicht. Deswegen habe ich ihn erneut abgeschaltet und eine vollständige Systemprüfung in Gang gesetzt (mit höchstmöglichen Einstellungen).
Was passiert? Der on-demand-Scan von F-Secure ist so aufgebaut, dass erst das Rootkit-Scanning ausgeführt wird und später dann die Überprüfung des File-Systems (merkt man auch daran, dass der Zähler zurückgesetzt wird).
Wir befinden uns nun in der Phase des Rootkit-Scannings. Der dafür benötigte Speicher springt plötzlich in die Höhe (auf ~500mb):

Dass das sicherlich nicht normal sein kann, sollte jedem klar sein. Anscheinend gibt es dort einen "Kampf".
Nach rund 14 Minuten wird der Scan automatisch abgebrochen. Angeblich hätte der Benutzer abgebrochen, aber das stimmt leider nicht. Die Prüfung bleibt bei 5187 Dateien hängen. Schon allein die Scan-Zeit für diese paar Files scheint übermäßig hoch.


Nun ja. Das ließ sich mehrfach reproduzieren, so dass ich auf die Idee kam, mal einen weiteren Testtyp laufen zu lassen: Den "Schnellen Rootkit-Scan".
Gesagt getan. Das Positive vorweg: Das Scanning wird nicht abgebrochen. Das Negative: Es gab keine Funde und irgendwie auch keine richtige Überprüfung.

Vier Minuten für 0 Dateien
Oder ist das ein Log-Fehler?

Fazit
Meine gewollte Rootkit-Infektion war nur möglich, weil ich die Module von F-Secure mehrmals entladen habe. Diese erzwungene Infektion zeigt hinterher positive und negative Aspekte auf. Zum einen läuft die FSIS on-access/on-execution noch stabil, erkennt weiterhin Samples (eicar) und updatet erfolgreich. Das ist sicherlich nicht etwas, was man bei einem derartigen Systembefall unbedingt zu erwarten hat. Diese Infektion wird sogar on-access erkannt, allerdings ist das vollständige Ausführen einer System-Komplett-Prüfung nicht möglich. Das schnelle Rootkit-Scanning zeigt keinen Fund.

Nun der Vergleich zu anderen:
AVG-Antirootkit = kein Fund
Sophos-Antirootkit= kein Fund
Trend-Micro-Anti-Rootkit=kein Fund
KIS8= blockiert Sample on-access/on-execution -> on-demand= kein Fund
McAfee VirusScan Plus 13= kein Fund

Auch wenn dieser Test wirklich nur Spielerei ist, so hat er mir persönlich noch einmal gezeigt, wie wichtig eine proaktive Erkennung ist. Denn hinterher ist vieles im argen und eben nicht selbstverständlich.

Liebe Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 12:30