F-Secure Technology Preview 2009, Neue Versionen/ Neue Technologien/ Releases Einstellungen

[Voyager]

Das Problem hierbei: Die Modifikationen wurden "automatisch" zugelassen, was nicht sein dürfte. Deswegen hast Du auch keine Dialoge oder Fenster erhalten, die Du im interaktiven Modus erhalten hättest.

Aber zumindest im Dialogmodus würde eine Infektion nicht stattfinden.

Norton lässt sich hier in der Firewall auch radikal umstellen nur glaube ich nicht das das zählt ?! F-Secure muss doch auch irgendwas sinnvolles im Default-Modus machen können.

würde ich mich freuen und das hier nochmal gegentesten

Dann könn wir aber beide damit prahlen das wir mit Meldungen beworfen wurden und eine Infektion verhindert haben ?

Der Beitrag wurde von Voyager bearbeitet: 21.04.2009, 23:40

[Gast_Nightwatch_*]

Sooo...erst einmal vielen Dank @Voyager für die Bereitstellung des Samples

Ich habe ein wenig mit dem Teil rumgespielt und getestet, wie gut F-Secure gegen diese Datei schützt bzw. schützen kann.
Da im Default-Modus die Datei nicht geblockt wird, habe ich 2 Änderungen an den Einstellungen vorgenommen:

1.) Deepguard: "Um Erlaubnis fragen"

2.) Internet-Schutzschild: "Auch auffordern, wenn Anwendung von Deepguard zugelassen wurde"


Das Häkchen bei dieser Option war schuld daran, dass die Firewall die ausgehende Verbindung in @Voyagers Tests nicht blockierte, da Deepguard die Anwendung zuvor erlaubte. Eine Option, die ich generell sowieso für sehr gefährlich halte, weil sämtliche Sicherheitskomponenten nun von Deepguard abhängig sind und auf dessen Leistung reduziert werden.

Folgendes passiert nach dem Ausführen der Datei. Deepguard meldet den Zugriff auf die Systemregistrierung:

In den Details ist schön zu sehen, dass F-Secure für diese Aktion einen Risikowert von 0 (von 100) ausgibt und damit in diesem Fall falsch liegt.
Natürlich habe ich diese Aktion erlaubt, weil ich sehen wollte, was nun passiert.

Kurz nach der Bestätigung meldet sich F-Secure wieder. Diesmal hat es entdeckt, dass die Andrew~1.exe versucht, in eine geschützte Datei oder einen geschützten Ordner zu schreiben.

Bis zu diesem Schritt ist das System trotz des manuellen "Erlaubens" nicht infiziert worden.
Klickt man nun auf "Anwendung vertrauen"....melden sich zwei Instanzen (alles aber in geregelter Abfolge. Es gibt keine Pop-Up-Flut).

Links sehen wir eine Meldung der Systemsteuerung, die einen erneuten Zugriff auf die Registry (der Prozess wurde ja bereits erlaubt) bemerkt. Rechts zeigt die Firewall, dass die schädliche Datei Zugriff auf das Internet fordert.

Wenn nun alles erlaubt wird, sehen wir den neuen Prozess im Task-Manager:


Fazit:
Bei diesem Sample wäre der PC unter Default-Einstellungen wahrscheinlich infiziert worden. Ob diese Datei wirklich schädlich ist, weiß ich nicht und das müsste natürlich geklärt werden. Wenn sie schädlich ist, dann hätte die ITC-Technologie hier versagt.
Verändere ich die Default-Einstellungen um 2 Optionen (siehe oben), wäre das System geschützt gewesen (wenn ich nicht dem Risikoindex von F-Secure nicht Folge leiste). Da diese Detail-Option von den meisten Benutzern wohl kaum aufgerufen wird, wäre eine Folge eher eher unwahrscheinlich. Selbst dann, wenn ich mich einmal verklickt hätte, wäre nichts passiert.

Norton lässt sich hier in der Firewall auch radikal umstellen nur glaube ich nicht das das zählt ?! F-Secure muss doch auch irgendwas sinnvolles im Default-Modus machen können.

F-Secure läuft im Default-Modus sehr produktiv. Solche Samples, die so wie hier durchrutschen sind in der Tat nicht häufig. Deswegen hat es mich auch so interessiert.
Die Umstellung von F-Secure ist in diesem Fall nicht radikal, es sind lediglich 2 Optionen, die imo keine großen Folgen für den Nutzer haben: Deepguard ist sicherlich kein IDS, welches jede Sekunde aufpoppt. Auch nicht in der oben beschriebenen Funktion. Ebenso verhält sich die Firewall.
Ich habe jedoch DG standardmäßig auf Default, weil ich i.d.R. weiß, was ich tue und installiere.

Grüße,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 22.04.2009, 16:37

[Voyager]

Die Malware die mit der Shareware Software eingeschleusst wird ist schädlich , ich hatte dazu ausführliche Tests mit verschiedenen AVs vorgestellt , die Malware die sich mit Stasi Light v1 bezeichnet macht eine Standleitung nach Moskau. http://www.rokop-security.de/index.php?s=&...st&p=271753

Du hast ja jetzt selber gesehen in deinen Tests , überall Risiko Wert Einstufung 0 , Schadrisiko Erkennung und Schutzwirkung ebenfalls gering .

Ich sagte ja weiter oben schon , durch die Änderungen erzeugt man viele Zwischenmeldungen aber für einen allgemeinen AV-Nutzer sind die nicht wirklich produkt , ganz davon zu schweigen das man andere AVs auch umstellen könnte .

http://www.abload.de/image.php?img=fsisunknownivmctz.jpg
http://www.abload.de/image.php?img=fsisunknownv5env.jpg

Viele werden damit nichts anfangen können und werden bestensfalls die Standard-Einstellung des AV wiederverwenden was zur Folge in dem Fall negative Folgen hat.

[Gast_Nightwatch_*]

Viele werden damit nichts anfangen können und werden bestensfalls die Standard-Einstellung des AV wiederverwenden was zur Folge in dem Fall negative Folgen hat.

Ich stimme Dir hier vollkommen zu. Deswegen geht F-Secure den ähnlichen Weg wie Norton. So wenig User-Interaktionen wie möglich und so viel Automatismus wie möglich.
Das man auch mit den besten Systemen keine 100% erreicht ist klar.

Ich bin gespannt, was die Analysen der Labs zu dieser Datei sagen.

Gruß,
Nightwatch

[Voyager]

Ich bin gespannt, was die Analysen der Labs zu dieser Datei sagen.

Wenn es der Bundestrojaner ist, garnichts

[Gast_teddy247_*]

Hallo


wenn man deepguard auf nachfragen stellt, erinnert mich das doch sehr an mein kaspersky das ich interaktiv installiert habe. nur finde ich kaspersky in allem deutlich flotter . aber f-secure ist nicht schlecht, programme öffnen etc recht zügig, aber das surfen...oh mann . mit opera gehts ganz gut, aber firefox fast unmöglich, internet explorer 8 genauso, liegt wohl am internetshield....

[StephanK]

Wenn es der Bundestrojaner ist, garnichts

Hallo,

Malware wird erkannt, ob vom Staat oder von Kriminellen geschrieben. Das ist Firmenpolitik. Da kann das BKA, der BND, das FBI, INTERPOL oder sonst wer anfragen, F-Secure wird keine Malware whitelisten.

Bzgl. des Samples: Bitte einmal an das Lab senden.

DeepGuard auf "Um Erlaubnis fragen" umzustellen ist nicht empfehlenswert. "Bei unklaren Fällen fragen" und Serverabfragen einschalten ist hier die eindeutig empfohlene Einstellung.

[Gast_teddy247_*]

Hallo

die technical preview unterstützt doch auch opera und safari, oder ??

[StephanK]

Hallo teddy,

Bzgl. Opera und Safari - auf welche Features beziehst du das?

ISTP 9.40 ist released:

Hello,

I'm happy to announce that we've got a new version of ISTP out!

With this 9.40 release we've improved the scanning performance and reduced memory consumption. There are also improvements in the user interface to enhance the usability as well as a number of bug fixes.

Browse to this page to find out more:

http://www.f-secure.com/en_EMEA/support/ho...istp/index.html

This is released today on our web pages. The channel upgrade for the existing installations will follow next week.

Yours,
F-Secure Beta Piloting Team

Quelle: http://forum.f-secure.com/topic.asp?TOPIC_ID=9567

[Gast_teddy247_*]

Hallo


auf das internet shield, unter firefox block f-secure eine seite mit testviren, unter opera nicht.

vor allendingen fällt auf , das surfen unter opera besser geht anfangs als unter firefox. dann ist es auf einmal wieder sehr langsam auf beiden.. mit kaspersky gehts auf allen browsern sehr schnell, bei gdata finde ich firefox geht besser als opera..

[StephanK]

Ah,

Exploit Shield, Parental Control, Safeweb unterstützen Firefox und IE.
Web traffic scanning läuft Browserunabhängig.

Temporäre Dateien von allen Browsern werden natürlich in Echtzeit gescannt.

An der Performance wurde in der neuen ISTP wieder geschraubt -> Bitte diese mal testen. Channelupgrade (automatisches Upgrade bereits installierter ISTPs) kommt nächste Woche

[Gast_teddy247_*]

Ah,

Exploit Shield, Parental Control, Safeweb unterstützen Firefox und IE.
Web traffic scanning läuft Browserunabhängig.

Temporäre Dateien von allen Browsern werden natürlich in Echtzeit gescannt.

An der Performance wurde in der neuen ISTP wieder geschraubt -> Bitte diese mal testen. Channelupgrade (automatisches Upgrade bereits installierter ISTPs) kommt nächste Woche

hallo

hat f-secure abgespeckt , wiegt äh ich meine sind ja nur noch ca 67mb

[Gast_reuro_*]

Hallo

Habe die neue Beta installiert. immer noch die Probleme mit
Video Dateien. Das Laden von Videos dauert ca 1 Minute.
Weiterhin ein NoGo
Außerdem funktioniert die Firewall Regel
http://support.f-secure.com/ger/home/suppo...ewall_q10.shtml
für das Netzwerk nicht mehr.
Netzwerkrechner werden nicht mehr angezeigt. Nur bei kompletter Freigabe
der Netzwerkkarte werden die Netzwerkrechner angezeigt.

LG Rolf

[Gast_Nightwatch_*]

Hallo

- Several processes removed - The functionality of the following processes has been merged into one new component called fshdll32.exe: fch32.exe, fameh32.exe, fsaua.exe, fsus.exe, and fspc.exe. This frees up memory and reduces the total thread count. Also, the fsessrv.exe process has been removed.

Diese Änderung finde ich super! Auch die Performance hat in der Gesamtheit nochmal deutlich zugenommen. Die GUI gefällt mir weiterhin, obgleich ich mir immer noch mehr Experten-Einstellungen wünsche. Aber für die Mehrhreit reichen die vorhandenen Einstellungsmöglichkeiten wohl mehr als aus .

- DeepGuard protection improved - DeepGuard now protects F-Secure services from being stopped. Also, protection against controlling browser with OLE and DDE commands has been added.

Interessantes Feature. Wird der Selbstschutz nun komplett von Deepguard übernommen, oder ist das lediglich eine weitere Verstärkung?

Auf meinem ganz persönlichen Wunschzettel stehen jetzt noch genau zwei Sachen:

1.) Heuristik-Engine
Ich habe nicht mehr allzu großes Vertrauen in die Kaspersky-Signaturen. Auch wenn durch Hydra einiges an Malware-Erkennung noch hinzukommen mag, so würde ich mir trotzdem wünschen, dass es noch eine entsprechende Heuristik-Emulation gibt, die die On-Demand-Erkennung in Richtung 95% pusht. Diese Prozent-Marke wäre in Verbindung mit allen anderen proaktiven Technologien von F-Secure imo absolut ausreichend.

2.) Malware-Desinfektion in Archiven
Ein entsprechendes Feature wäre ein weiterer Schritt in Richtung sinnvolle Automatisierung.

Ansonsten: Well done

Gruß,
Nightwatch

[Hunepa]

Hallo,

@Reuro:
Sicher, dass du die Einstellungen für die Firewall richtig gesetzt hast? Wenn ja, erstell bitte eine Diagnosedatei und wende dich an den Beta-Support.

@Nightwatch:
Zu 1: Abwarten! In den von dir genannten Bereichen gibt es Änderungen.

Zu 2: Da eine Malware in einem Archiv nicht ausgeführt werden kann ist hier keine wirkliche Not für ein solches Feature.

Generell kann man bei den nächsten Versionen noch einige Verbesserungen erwarten. Dies ist die erste ISTP, welche derart viele Änderungen mitbringt und bis dies alles zu 100% läuft brauchts nunmal etwas Zeit. Die Final wird mit absoluter Sicherheit auch in den Tests zeigen, dass wir uns weiterentwickeln. :-)

Viele Grüsse,
Patrick

[Gast_teddy247_*]

Hallo


wie sieht der geschwindigkeitszuwachs beim surfen unter opera und firefox aus? auch wenn mir die technik von f-secure gefällt, kann ich mich nicht mit dem teilweise extrem gebremsten surfverhalten anfreunden...

Der Beitrag wurde von teddy247 bearbeitet: 02.05.2009, 19:29

[Catweazle]

Hallo,

Malware wird erkannt, ob vom Staat oder von Kriminellen geschrieben. Das ist Firmenpolitik. Da kann das BKA, der BND, das FBI, INTERPOL oder sonst wer anfragen, F-Secure wird keine Malware whitelisten.

Bzgl. des Samples: Bitte einmal an das Lab senden.

DeepGuard auf "Um Erlaubnis fragen" umzustellen ist nicht empfehlenswert. "Bei unklaren Fällen fragen" und Serverabfragen einschalten ist hier die eindeutig empfohlene Einstellung.

Glaubst du das wirklich ?

Ich Nicht !

PS: Die werden dann gezwungen, dieses NUTZVOLLES Sample, strikt ausen vor zu lassen, aus der "search engine"

PSS: Es gab doch schon Meldungen, datrüber, usw...

Catweazle

[Hunepa]

Glaubst du das wirklich ?

Ich Nicht !

PS: Die werden dann gezwungen, dieses NUTZVOLLES Sample, strikt ausen vor zu lassen, aus der "search engine"

PSS: Es gab doch schon Meldungen, datrüber, usw...

Catweazle

Nein, wir glauben das nicht. Wir wissen es!

Entschuldige, aber irgendwelche haltlosen Vorwürfe vorbringen ohne auch nur einen Ansatz eines Beweises bringt einerseits niemanden weiter und andererseits ist dies im Zweifelsfalle auch rechtlich problematisch.

F-Secure hat sich bereits klar dazu geäussert. Es wird keine Kooperation mit staatlichen oder nicht-staatlichen Organisationen/Behörden hinsichtlich eines Whitelistings einer Malware geben.

"Gezwungen" werden mag ja einfach klingen, ABER dies ist es nicht. Der Staat hat keine rechtssichere Möglichkeit ein Unternehmen mal eben dazu zu zwingen eine solche Änderung einzubauen. Und selbst wenn ein Richter dies anweisen würde, wäre der nächste Schritt ein Verfahren. Ein solches muss dann erstmal die Gerichte passieren. Spätestens das Bundesverfassungsgericht würde sich wohl gegen die Bevorzugung von Malware staatlicher Stellen stellen.

Zu den "Meldungen": Wo gab es Meldungen, dass F-Secure in dieser Hinsicht mit irgendeiner Strafverfolgungsbehörde kooperiert?`Diese kann es nicht geben, da dies definitiv nicht von F-Secure gemacht wird.

Gruss,
Patrick

Der Beitrag wurde von Hunepa bearbeitet: 02.05.2009, 22:37

[Gast_Nightwatch_*]

@Nightwatch:
Zu 1: Abwarten! In den von dir genannten Bereichen gibt es Änderungen.

Vielen Dank für die Info und die gute Neuigkeit! Prima...ich glaube die 2010er-Produkte werden ein wirklich großer Wurf!
Habe gerade den Feedback-Bogen zur ISTP ausgefüllt.

Die Final wird mit absoluter Sicherheit auch in den Tests zeigen, dass wir uns weiterentwickeln. :-)

Da bin ich von Euch nichts anderes gewohnt. Take your time to make it right


Zum "Bundestrojaner":
In der Tat. Die Statements von F-Secure dazu waren und sind bisher immer klar gewesen. Ich werde ihn finden, wenn er an die Tür klopft. Da bin ich fest von überzeugt


Beste Grüße,
Nightwatch

[Catweazle]

@ Alle

Nun, gut dan habe ich mich halt geirrt.

PS: Man wird es sehen..oder nicht.

Catweazle