G Data Behaviour Blocker, Neuer BETA-Test Einstellungen

[Xlice]

Wenn ein Programm hunderte Virendomains aufruft ist das schon ein sehr verdächtiges Verhalten

[Virusscanner]

Wenn ein Programm hunderte Virendomains aufruft ist das schon ein sehr verdächtiges Verhalten

VM oder nicht? Ich hab so ein Verhalten bislang mit keinem Sample unter real-life-Bedingungen geschafft. Ist GData sauber installiert?

Versteht mich nicht falsch, ich bin alles andere als zufrieden mit der bisherigen Leistung. Aber mit alleinigem Anprangern ist niemandem geholfen. Auch du hast nicht vermerkt, welches Sample du eingesetzt hast, damit es andere unter anderen Bedingungen nachvollziehen können.

Der Beitrag wurde von Virusscanner bearbeitet: 04.02.2010, 17:15

[Ford Prefect]

Ihr versteht das anscheinend garnicht weil ihr euch damit garnicht auseinandersetzt ? Was nützt es wenn ich jetzt ein Sample xy zeige und Gdata das nur fix so hinbiegt das genau das erkannt wird aber die eigentliche Frage dabei ungeklärt und unbeantwortet bleibt ..
Ihr tut sowas von helle aber ganz erlich, das ist peinlich

Du bist echt der Brüller

Du solltest Doch wissen, dass BBs vor einem multi-kriteriellen Entscheidungsproblem stehen.
BB A gewichtet Event X als stark "bösartig", BB B schätztz die entsprechende Gefährdung geringer ein etc.

Aber was soll´s - ohne Deine ewigen, sinnentleerten Bash-Postings würde das Ganze nur halb so viel Spass machen.

[Voyager]

Ja , wenn die Argumente ausgehen ..

[Ford Prefect]

Wenn ein Programm hunderte Virendomains aufruft ist das schon ein sehr verdächtiges Verhalten

Der Wächter schlägt in Deinem Beispiel ja schon signaturbasiert an, bevor es überhaupt zu einem durch die Malware vreursachtem Verhalten kommen kann, welches der BB dann beanstanden könnte.

[Ford Prefect]

Ja , wenn die Argumente ausgehen ..

Die habe ich Dir geliefert - hast Du aber wohl nicht verstanden.
Macht ja nichts.

[quertiy]

can someone explain what exactly this BB mean? what's new from gdata internet security 2010 20.2.4.1?

[Voyager]

Der Wächter schlägt in Deinem Beispiel ja schon signaturbasiert an, bevor es überhaupt zu einem durch die Malware vreursachtem Verhalten kommen kann, welches der BB dann beanstanden könnte.

Was ist wenn der AV den nachgeladenen Content garnicht kennt ? Wie man im Bild sieht springt nur der AV an sonst ist da nichts. Wir sprechen hier schliesslich über Verhaltensblocker.

Naja ich gebs auf ...

Der Beitrag wurde von Voyager bearbeitet: 04.02.2010, 17:19

[Virusscanner]

can someone explain what exactly this BB mean? what's new from gdata internet security 2010 20.2.4.1?

There's a beta version of a behavior blocker in this version (it's not a normal public release). So there's no changes apart from this BB.

[Xlice]

Der Wächter schlägt in Deinem Beispiel ja schon signaturbasiert an, bevor es überhaupt zu einem durch die Malware vreursachtem Verhalten kommen kann, welches der BB dann beanstanden könnte.

aha und dann soll ich immer wiederkehrende Popups hinnehmen?
Sample such ich nachher mal raus.

[Ford Prefect]

Was ist wenn der AV den nachgeladenen Content garnicht kennt ? Wie man im Bild sieht springt nur der AV an sonst ist nichts. Wir sprechen hier schliesslich über Verhaltensblocker.

Naja ich gebs auf ...

Ist nicht zu fassen...
Testfall bei deaktiviertem Wächter wiederholen und sehen, ob der BB anspringt.
Aber Du hast vollkommen Recht - es ist ganz bestimmt maliziöser Content nachgeladen worden und weder vom Wächter noch vom BB erkannt worden.
Geht ja aus dem Testfall ganz klar hervor

[Ford Prefect]

aha und dann soll ich immer wiederkehrende Popups hinnehmen?
Sample such ich nachher mal raus.

Bin mir nicht sicher, ob ich Dich verstanden habe

Hätte aber definitiv Interesse an dem Sample.

Gruß
Ford

[G Data Dev GB]

Hallo Xlice,

danke für dein Feedback, du hast natürlich Recht!
Bitte schick das Sample auch an rokop@gdata.de

Gruß
GB

[scu]

Ich bekomme nach Ausführung verschiedener Samples von GData hunderte dieser Popups:

Teilweise mit unterschiedlichen Domains. Warum löscht GDATA nicht den Virus auf dem PC sondern meckert nur beim nachladen??

Bin mir nicht sicher, ob ich Dich verstanden habe

Hätte aber definitiv Interesse an dem Sample.

Gruß
Ford

Wenn ich es richtig verstanden habe, wurde nicht der Dropper/Downloader erkannt, sondern der Webschutz hat auf Port 80 das erkannt und geblockt, was nachgeladen werden sollte.
Xlice hätte aber sicherlich gerne, dass direkt der Downloader vom BB erkannt wird.

Korrigiert mich, wenn ich falsch liege...

[Xlice]

Hab nach dem Ausführen des Samples GDATAs Popups(Desinfizieren, sonst Quarantäne usw.) einfach immer bejaht.

Link: http://cid-69f07b98b7369f08.skydrive.live....DATA/g55f4f.zip
PW: "infected"
@G Data Dev GB: E-Mail ist raus.

@scu: Ja so meine ich das.

Edit: Windows XP 32bit SP3 in VMware Workstation.

Der Beitrag wurde von Xlice bearbeitet: 04.02.2010, 17:58

[Voyager]

Nur AV basierende Erkennung und nicht erkanntes Verhalten mit command Promt , Netzwerkaktivität ect..


http://www.abload.de/img/2_1bfx3.jpg

und so müsste das Aussehen wenn wir hier von einem Verhaltensblocker reden.


http://www.abload.de/img/21znq.jpg

Und jetzt könnt ihr wieder Fauchen und Machen das ändert aber nichts...

[Xlice]

Der Taskmanager wird bei meinem Sample übrigens auch noch deaktiviert.

[Voyager]

Das Beispiel von Xlice ist komplettes Versagen einer Verhaltenserkennung , Es kommen nur 2 Virenerkennungen, danach geblockte Webinhalte und wenn ich in den Taskmanager schaue (hier geht er) dann sehe ich dort 4 ! laufende Malwareprozesse , das bedeutet im besten Fall hat dort der Schutz vor Webinhalten versagt. Dann kommen ständig nurnoch Webinhalte Warnungen.


http://www.abload.de/img/2_1jznw.jpg


http://www.abload.de/img/2_2oakt.jpg

Und so hätte das aussehen können.


http://www.abload.de/img/20xce.jpg

Wie ich bereits erwähnt hatte , man braucht hier nichts spezielles um irgend etwas nachvollziehen zu können.

[scu]

In diesem Thread stellt die G Data Software AG einen neuen Behaviour-Blocker zum Beta-Test zur Verfügung. Bitte beachtet, dass es sich um eine Beta-Version handelt, die unter Umständen noch Probleme verursachen könnte.
[SCHNIPP]

Das Beispiel von Xlice ist komplettes Versagen einer Verhaltenserkennung [SCHNIPP]

Voyager, meinst du das ernst?
Hattest du erwartet, dass G Data eine selbst entwickelte Verhaltensüberwachung als Beta-Version zum testen zur Verfügung stellt, die auf Anhieb besser ist als Symantecs Sonar?
Bleib mal auf dem Teppich. Und wenn du was zu meckern hast, bleib konstruktiv.

[Voyager]

@scu

Ich war konstruktiv , ich hatte von Anfang an gesagt das ich keine speziellen Neue Verhaltenserkennung feststellen konnte im Gegensatz zur 2010 Version und die Fans haben ja nichts besseres zu tun als ein auf Kindergarten zu machen und mit verbalen Tomaten zu werfen...
Ausserdem dient der Vergleich nur dazu um darstellen zu können das eine Verhaltensbasierte Erkennung auf dem Objekt funktionieren kann , ohne dem würden die Fans doch nur "pöpeln" weil sie glauben der Lügt , wie man gesehen hatte.

Der Beitrag wurde von Voyager bearbeitet: 04.02.2010, 18:42