F-Secure Internet Security 2009, Final erschienen Einstellungen

[StephanK]

Hallo,

Das Sample sollte on-demand allerdings erkannt werden.
Kannst du das mit Problembeschreibung ins SAS übergeben? (Sample einsenden)

Zum Thema on-demand Scan Performance aus dem F-Secure Forum:

This is on-demand scanning, right? You're right clicking and selecting "Scan folder for viruses"? Obviously performance is extremely important to us but in the current versions we've focused primarily on the real-time protection and making that as fast as possible.

But, if everything goes according to plan, the on-demand scanner will be faster in the final build compared to what it is right now.

---
Patrik

Chief Security Advisor,
F-Secure Security Labs

Edit: Die Rescue CD sollte das Rootkit allerdings problemlos finden und entfernen
(trotzdem sollte on-demand eine Erkennung möglich sein!)

Der Beitrag wurde von StephanK bearbeitet: 04.03.2009, 10:24

[Gast_Nightwatch_*]

Kannst du das mit Problembeschreibung ins SAS übergeben? (Sample einsenden)

Hi!
Schon in Bearbeitung

Zum Thema on-demand Scan Performance aus dem F-Secure Forum [...]

Danke. Die Perfomance beim on-demand-Scan ist sicherlich nicht die größte, allerdings waren die 500mb in diesem Fall ein spezieller Wert, den ich so mit F-secure auch noch nicht hatte.

Edit: Die Rescue CD sollte das Rootkit allerdings problemlos finden und entfernen
(trotzdem sollte on-demand eine Erkennung möglich sein!)

Mit der Rescue-CD habe ich das Ganze auch anschließend wiederhergestellt . Verlief in der Tat absolut problemlos und fehlerfrei.
Zur on-demand-Erkennung:
Stimmt. Allerdings sei hinzuzufügen, dass es wirklich schwer war, dieses Sample auf den PC zu kriegen .On-access wird die Infektion unmittelbar beim Boot-Vorgang gefunden. Mal schauen, was sich bei Euch ergibt.

Gruß,
Nightwatch

[Gast_Nightwatch_*]

Jetzt mal noch etwas anderes:

Wollte gerade den CCleaner auf meinem Freizeit-Laptop Nr.2 anschmeißen...und was sehe ich da?


Ohne Worte


Auf diesem PC lief bis gersten Nacht McAfee VirusScan Plus 13 (inkl. Artemis) zum Test. Hatte es dann mit der FSIS ersetzt.

Meine Herren @McAfee! Sowas darf selbst auf einem Malware-Test-PC nicht passieren

Update: 11:00 Uhr

Unglaublich. Und immer noch am Scannen....

Update2: 11:09 Uhr
2400 Infektionen...ich glaub, ich brauch mal wieder ein wenig Abstand von Malware


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 11:11

[Gast_Anglien_*]

Danke für den Rootkittest! Hat sich F-Secure doch trotzdem ganz gut geschlagen. Was ich in diesem Fall zu McAfee sagen soll...naja.

[Gast_teddy247_*]

@ nightwatch

tja wer mit dem feuer spielt...

no i'm only kidding... kleiner scherz


das ist ja ne tolle leistung von McAffe.... scheint ja prima zu klappen mit Adonis, äh ich meine arthemis...

[StephanK]

Uff, das war allerdings nur der schnelle Scan beim Malware entfernen.
Bitte hier vollständige Systemprüfung (on-demand) und im Idealfall Rescue CD hinterherscheuchen.

[Gast_Nightwatch_*]

Uff, das war allerdings nur der schnelle Scan beim Malware entfernen.

Na, das macht mir Hoffnung
Nein, mal im ernst. Danke! Komplette Überprüfung läuft. Allerdings werde ich wohl ganz neu aufsetzen. Selbst bei einem Image habe ich Bedenken. Macht insofern nicht viel aus, weil dieser Laptop wirklich nur zu Malware-Spielereien genutzt wird und auch keine Internet-Anbindung besitzt.
Aber wie sagt man so schön: einfach selbst schuld

Gruß,
Nightwatch

[Gast_teddy247_*]

aber wie kann ein security programm , was in einem test ANGEBLICH 99,x % findet, 2400 dateien übersehen, das ist ja lächerlich, mcaAFFE sollte lieber ersatzteile für fahraeder verkaufen

[Gast_Nightwatch_*]

aber wie kann ein security programm , was in einem test ANGEBLICH 99,x % findet, 2400 dateien übersehen, das ist ja lächerlich

Hi
Na, übersehen wahrscheinlich nicht. Nicht in dieser großen Stückzahl.
Aber durchgelassen: Sprich..zwar Viren-Meldung herausgegeben, aber nicht geblockt

War mir eine Lehre, kommt so schnell nicht wieder auf meine PC´s.


@StephanK

Hello,

[edit von mir].exe seem to be un-detected TDSS. We will add signature against of it.
We are aware of this active rootkit problem and we are working on it.
Our Easy-clean already handle this issue.

Cheers,

E-Mail vom Lab.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 12:53

[dragonmale]

@Nightwatch,
bei allem Respekt, aber was du da schilderst, klingt nicht gerade sehr glaubwürdig. Schon mal daran gedacht, dass dies andere Ursachen haben kann?

War mir eine Lehre, kommt so schnell nicht wieder auf meine PC´s.

Schau bitte erst mal in den Scan-Bericht, von F-Secure, bevor du solche Schlüsse ziehst, denn es wäre schon mal interessant, wo sich diese Dateien überhaupt befunden haben.
Viele vergessen bei solchen Aktionen nämlich gerne, dass auch nach der Deinstallation eines AV's sich trotzdem noch Reste davon auf der Platte befinden können - und wenn es in der Systemwiederherstellung ist - denn wen dein vorheriges AV fleißig Dateien in die Quarantine verschoben hat, so findest du diese z.B. auch in besagter Systemwiederherstellung -> nur mal so als Beispiel.

Der Beitrag wurde von dragonmale bearbeitet: 04.03.2009, 13:57

[Gast_Nightwatch_*]

Schon mal daran gedacht, dass dies andere Ursachen haben kann?

Hi
Die Funde habe ich ja nicht generiert, sondern F-Secure. Und ja. Sie waren alle aktiv im System. Die Infektionssuche nach Befund findet auch genau nur dort statt und nicht woanders. Die Backdoor-Infektion war definitiv real. Die Komplett-Prüfung habe ich nach 20 Minuten abgebrochen, weil sie im gesamten Windows-Ordner schon unzählige infizierte Dateien gefunden hat.
Das überprüfe ich schon genau, bevor ich hier so etwas poste und behaupte

Es handelte sich hierbei um genau 2 Schädlinge: Einmal Backdoor.Win32.Poison.oo und einmal Trojan-PSW.Win32.LdPinch.c, die sich beliebig dupliziert haben. Beides keine netten Samples.
Habe beide hier auf dem PC liegen und vor einiger Zeit mit McAfee getestet. Vielleicht max. vor 2 Wochen. Ich weiß, dass sie von McAfee on-access erkannt werden. Allerdings hat mir das auch nicht viel geholfen.

Gruß,
Nightwatch

[dragonmale]

Es handelte sich hierbei um genau 2 Schädlinge: Einmal Backdoor.Win32.Poison.oo und einmal Trojan-PSW.Win32.LdPinch.c, die sich beliebig dupliziert haben. Beides keine netten Samples.
Habe beide hier auf dem PC liegen und vor einiger Zeit mit McAfee getestet. Vielleicht max. vor 2 Wochen. Ich weiß, dass sie von McAfee on-access erkannt werden. Allerdings hat mir das auch nicht viel geholfen.

Ok und wie soll das dann angehen, dass das System damit infiziert sein soll, wenn McAfee aktiv war? Oder war der Guard nicht entsprechend konfiguriert?
Eventuell ein Anwendungsfehler, beim Testen? Wurden die Samples denn ausgeführt? Wenn ja, wurde das System dann wieder entsprechend sauber (auch wenn vermeintlich nichts infiziert wurde) zurückgesetzt?

Ich frage einfach mal zum besseren Verständnis, denn deine Beiträge implizieren hier, dass das McAfee-AV solch eine Infektion zugelassen/geduldet hat, obwohl es die Samples eigentlich erkennen sollte, bzw., erkannt hat.
Schon etwas eigenartig, oder findest du nicht?

Der Beitrag wurde von dragonmale bearbeitet: 04.03.2009, 14:33

[Gast_Nightwatch_*]

Ich frage einfach mal zum besseren Verständnis, denn deine Beiträgen implizieren hier, dass das McAfee-AV solch eine Infektion zugelassen/geduldet hat, obwohl es die Samples eigentlich erkennen sollte, bzw., erkannt hat.
Schon etwas eigenartig, oder findest du nicht?

Ich bin immer fies beim Testen Eine einfache Meldung reicht mir nie und ich gehe mindestens noch einen Schritt weiter, als der "Normal-User". Kann mich jetzt nicht mehr genau daran erinnern, aber zumindest muss ich ja damals den Eindruck gehabt haben, dass die Infektion bereinigt worden ist. Sonst hätte ich bestimmt ein neues Image aufgespielt.
Aber dennoch: Es gibt so viele Samples, die problemlos durch jegliche AV-Programme durchkommen. Jetzt hat es hier mal McAfee erwischt. Aber es war bestimmt nicht das letzte
Man braucht nur die richtigen Samples. Siehe z.B. hier bei Kaspersky ganz aktuell: http://forum.kaspersky.com/index.php?showtopic=105426
Avira ist da auch noch mit im Schlepptau etc.
Funktioniert quasi mit allen.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 14:40

[Gast_teddy247_*]

100 % schutz gibt es nicht, die besten sind definitiv norton, kaspersky,gdata , f-secure, wovon ich die ersten beiden bevorzuge. hatte solange ich norton benutze, ob den 360 2.0 nis 2008 und 2009 noch keine probleme, mit schädlingen, gleiches gilt für kav 7 und kis 2009. allerdings versuche ich auch immer aufzupassn und bin mißtrauisch gegenüber downloads etc... probleme hatte ich bei norton bei den früheren version mit der deinstallation, und bei kis 2009 anfangs mit der version 8.0357 mit bluescreens, läuft aber nun makellos . die technik von f-secure ist sehr gut, aber ich finde es immer noch recht langsam, obwohl die technical preview sehr gut läuft, ist aber trotzdem noch ne beta, und einer beta version möchte ich nicht auf dauer den schutz meiner system überlassen

[schopili]

Aber dennoch: Es gibt so viele Samples, die problemlos durch jegliche AV-Programme durchkommen.
Funktioniert quasi mit allen.

Gruß,
Nightwatch

Mal wieder ne Frage meinerseits^^die KIS betrifft. Würde es nicht einfach reichen im HIPS alle Rechte standardmässig auf Nachfragen bzw Verbieten zu setzen auch in der Vertrauenswürdigen Zone um dann je nach bedarf die Regeln zu konfigurieren? Das würde doch zum Beispiel verhindern dass irgendwas gestartet wird weil ja vor dem Starten eine Einordnung in eine Zone passieren muss welche dann ja standardmässig alles Nachfragen bzw noch lieber verbieten würde. So könnte sich doch keine Anwendung unbemerkt verselbstständigen oder sehe ich das falsch? Dann wäre nur noch die Frage ob und wenn ja wie bereits vorhandene Programme befallen werden können. Denn ich habe zum Beispiel alle mir bekannten Programme ausser beim Netzwerkverkehr auf Erlauben.

[dragonmale]

[...] Aber dennoch: Es gibt so viele Samples, die problemlos durch jegliche AV-Programme durchkommen. Jetzt hat es hier mal McAfee erwischt. Aber es war bestimmt nicht das letzte [...] Funktioniert quasi mit allen.

Das ist klar und darum ging es gar nicht -> nur lies dir einfach noch einmal deine entsprechenden Statements hier mal durch

Meine Herren @McAfee! Sowas darf selbst auf einem Malware-Test-PC nicht passieren

Na, übersehen wahrscheinlich nicht. Nicht in dieser großen Stückzahl.
Aber durchgelassen: Sprich..zwar Viren-Meldung herausgegeben, aber nicht geblockt

War mir eine Lehre, kommt so schnell nicht wieder auf meine PC´s.

und frag dich dann vielleicht selber einmal, wo den eventuell die Fehler, (nicht nur)in diesen Aussagen, liegen

Ich bin immer fies beim Testen Eine einfache Meldung reicht mir nie und ich gehe mindestens noch einen Schritt weiter, als der "Normal-User". Kann mich jetzt nicht mehr genau daran erinnern, aber zumindest muss ich ja damals den Eindruck gehabt haben, dass die Infektion bereinigt worden ist. Sonst hätte ich bestimmt ein neues Image aufgespielt.

Mal abgesehen davon, dass dies so sowieso niemand, außer dir, nachprüfen kann, wie du getestet hast, solltest du vielleicht einfach mal deinen Testaufbau überdenken und so z.B. nach jedem Test, mit ausgeführten Samples, dein System zurücksetzen. Genaugenommen müsste man dies sogar nach jedem ausgeführten Sample tun, außer man kann wirklich zu 100% sagen, dass - auch wenn es so aussieht - nichts durchgerutscht ist, oder z.B. der Guard noch richtig arbeitet (habe ich mal erlebt, obwohl das Teil angeblich blockiert wurde). Außerdem sollte man beim Testen eines AV z.B. mal nicht aus den Augen verlieren, was der eigentliche Zweck eines AV's ist -> Infektionen zu verhindern ..

Ok, genug OT, denn hier geht es ja um F-Secure …

In diesem Sinne -> noch viel Spaß beim Testen

[Gast_Nightwatch_*]

So könnte sich doch keine Anwendung unbemerkt verselbstständigen oder sehe ich das falsch?

Hi
Bin leider für Kaspersky der falsche Ansprechpartner (fehlendes Wissen&Erfahrung), aber meine von Dir zitierten Aussagen bezogen sich auf Samples, bei denen es vollkommen egal ist, wie Du Dein Sicherheitsprogramm einrichtest .

Gruß,
Nightwatch

[schopili]

Hi nightwatch,
leider habe ich kein Hintergrundwissen was Malware generell betrifft bzw deren Funktionsweise. Aber sollte z.B HIPS nicht dafür sein jede Anwendung zu kontrollieren? Bzw was sind das für Sachen die überall dran vorbeikommen und noch interessanter wie gegenwärtig ist so eine Gefahr und was macht man dagegen, ausser das Netzwerkkabel zu ziehen und die USB Anschlüsse zuzulöten^^

[Gast_Nightwatch_*]

Mal abgesehen davon, dass dies so sowieso niemand, außer dir, nachprüfen kann, wie du getestet hast, solltest du vielleicht einfach mal deinen Testaufbau überdenken und so z.B. nach jedem Test, mit ausgeführten Samples, dein System zurücksetzen.

Nur weil ein AV den "Test" nicht besteht, muss dieser ja nicht gleich zwangsläufig falsch sein. Wenn ich ein Sample ausführe, muss ein AV darauf reagieren und eine Infektion verhindern. Tut es das nicht, liegts wohl aber auch nicht an mir .
Was die Infektion meines Hobby-PC´s anbelangt: Klar. Selbst schuld. Unvorsichtig und fahrlässig gehandelt. Darf und will ich mich nicht beschweren

Außerdem sollte man beim Testen eines AV z.B. mal nicht aus den Augen verlieren, was der eigentliche Zweck eines AV's ist -> Infektionen zu verhindern ..

Richtig. Hat es in diesem Fall aber leider nicht .
Dabei ist es vollkommen ergal, welches AV das nun verschuldet hat.

@schopili
Ja. So sollte es sein, dass das HIPS derartiges erkennt. Und tut es in den meisten Fällen wohl auch. Aber es arbeitet natürlich nur so gut, wie der Selbstschutz der verwendeten Software selbst. Und da gibt es Samples, die damit immer noch keine Probleme haben diesen zu überwinden.
Wie allgegenwärtig? Mhh..schwer zu sagen. Man kommt leicht ran. Aber ich denke, dass sie im Vergleich zu anderer Schad-Software relativ selten sind, wenn man nicht danach sucht. Gilt zumindest für den Home-User-Bereich. Bei Unternehmen sieht das ganze dann schon anders aus. Dort wird mit gezielten Angriffen operiert, was natürlich etwas vollkommen anderes ist. Aber hier sind die Produktpaletten und Server-Voraussetzungen etc. auch ganz anders. Da spielen unterschiedliche Dinge eine übergeordnete Rolle.
Schutz?
Einfach nicht solche Samples ausführen

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 04.03.2009, 15:30

[dragonmale]

Außerdem sollte man beim Testen eines AV z.B. mal nicht aus den Augen verlieren, was der eigentliche Zweck eines AV's ist -> Infektionen zu verhindern ..

Richtig. Hat es in diesem Fall aber leider nicht .
Dabei ist es vollkommen ergal, welches AV das nun verschuldet hat.

Das mag ja sein, aber meine entsprechende Äußerung bezog sich eigentlich auf deine Vorgehensweise, bzw. deine Zielsetzung, beim Testen.
Wobei mir immer noch unklar ist, wie ein intaktes und aktuell gehaltenes AV, das richtig konfiguriert/einsatzfähig ist (was aus deinen Äußerungen nicht wirklich hervorgeht) und nicht durch eventuell Maleware-Einwirkung (z.B. beim Testen) beeinträchtigt ist, zwei Wochen lang Infektionen geduldet haben soll, die eigentlich sogar noch erkannt werden sollten -> irgendwie (egal, welches AV das nun ist) leuchtet mir das nicht wirklich ein -> aber sei es drum ...

Was die Infektion meines Hobby-PC´s anbelangt: Klar. Selbst schuld. Unvorsichtig und fahrlässig gehandelt. Darf und will ich mich nicht beschweren

Richtig

@Nightwatch, ich bin übrigens von hier, in diesen Thread, gelangt … und nimm es mir bitte mal nicht übel

Mal abgesehen davon, dass dies so sowieso niemand, außer dir, nachprüfen kann, wie du getestet hast, solltest du vielleicht einfach mal deinen Testaufbau überdenken und so z.B. nach jedem Test, mit ausgeführten Samples, dein System zurücksetzen.

Nur weil ein AV den "Test" nicht besteht, muss dieser ja nicht gleich zwangsläufig falsch sein. Wenn ich ein Sample ausführe, muss ein AV darauf reagieren und eine Infektion verhindern. Tut es das nicht, liegts wohl aber auch nicht an mir.

aber anscheinend willst du den Sinn dessen, was ich auf Grund deiner Schilderung, hinsichtlich deiner Vorgehensweise, geschrieben (und du teilweise zitiert hast) habe, nicht wirklich verstehen -> Ich möchte den Thread hier nicht weiter entführen, also belassen wir es einfach dabei, Ok?

Edit:
überflüssiges Zitat entfernt

Der Beitrag wurde von dragonmale bearbeitet: 04.03.2009, 16:20