Mamutu 3.0 veröffentlicht, Emsisofts Behavior Blocker nun mit komplettem x64 Support Einstellungen

[shad]

Unser Behavior Blocker geht offiziell in die dritte Runde und beschützt nun auch x64-Systeme. Mamutu schließt die Versorgungslücke konventioneller Viren-Scanner und enttarnt neue und zurzeit noch unbekannte Schadprogramme allein aufgrund ihres destruktiven Verhaltens.

Die relevantesten Änderungen in der Kurzübersicht:

* Kompletter x64 / Windows 7 Support
* Neue schädliche Verhaltensweisen werden erkannt
* Hunderte Detailverbesserungen für noch weniger Fehlalarme und eine schärfere Erkennung
* Verbesserte Benutzerführung

Download und Information: Mamutu Homepage

Der Beitrag wurde von shad bearbeitet: 20.07.2010, 15:25

[Gast_Solaris_*]

Glückwunsch zum Release!

Ist die neue Version bereits in die AM5.0 eingeflossen? Gibt es technische Details zu den neu erkannten, schädlichen Verhaltensweisen?
Und frecherweise noch eine dritte Frage ( ) : Gibt es schon Erfahrungen mit der 3.0 und dem Stuxnet-Rootkit?

LG

[hachi']

[...] Ist die neue Version bereits in die AM5.0 eingeflossen?

Mamutu ist eher eine Ausgliederung der Verhaltensanalyse von Emsisoft Anti-Malware.

Gibt es technische Details zu den neu erkannten, schädlichen Verhaltensweisen?

Soweit ich weiß, werden jetzt unteranderem Änderung sensibler Teile der Registry (z.B Systemrichtilinien) gemeldet.

[subset]

Ich habe Mamutu unter Windows 7 x64 mit den gleichen Schadprogrammen getestet, die ich bei dem "64-Bit Sandbox & Systemvirtualisierung" Test genommen habe.

Das waren diese Schadprogramme:
AdWare.Win32.Boran.g // MD5: 01457bd9b57d3b11e79392fee3172b9c
Packed.Win32.Krap.ai // MD5: cb1075a4d5f9409e35b0bca8d2f21c28
Packed.Win32.Krap.an // MD5: 406a673deb8cac3a48a7d19775d69953
Trojan.Win32.Delf.tfc // MD5: 8ec2796869bc29079ea0318a14500152
Trojan.Win32.KillDisk.b // MD5: 36efcf8abfc31280cc7a8038f1e1967e
Trojan.Win32.KillMBR.f // MD5: cf583f75125d50dd0cab5a7f09fa5a2c
Trojan.Win32.VB.abgz // MD5: f655f4d9d2b7b492d4269b64c71e5152
Trojan-Dropper.Win32.Flystud.yi // MD5: 55a47b7e89ddb060b65ec89c9bbf11f4
Trojan-PSW.Win32.Agent.pfz // MD5: ca0c1177d7a7acbae9b21521fa3610ba
Worm.Win32.AutoIt.r // MD5: e5487a9b095071f74914d605340d61a0

Ein Scan danach mit dem Emsisoft Emergency Kit brachte dieses Ergebnis.



Mamutu konnte alle Angriffe abwehren, es fanden also keine schädlichen Aktionen statt.
Allerdings gelang es zwei Schadprogrammen an Mamutu vorbei Dateien zu erstellen.

Im Bild unten sieht man, wie der Trojan-Dropper.Win32.Flystud.yi eine Reihe von Dateien erstellt noch während die Mamutu Meldung unbeantwortet ist. Die fraglichen Dateien sind rot markiert.



Registrierungseinträge wurden von den Schadprogrammen aber keine erstellt, somit waren diese Dateien also nur verwaiste Reste.

Auch ist mir aufgefallen, dass das Verschieben in die Quarantäne aus dem Meldungsfenster heraus nicht immer funktioniert.
Also der Prozess wird zwar beendet, aber das Verschieben in die Quarantäne findet nicht statt.
Wenn man das Schadprogramm wieder ausführt, kommt erneut ein Meldungsfenster, da ja keine Regel erstellt wurde.
Fehlermeldung gibt es auch keine.

MfG

[Kenshiro]

Danke subset für den Test

[Aasblume]

Zu welchen AV's setzt Ihr denn so MAMUTU ein?
Kandidaten die mir da so einfallen würden (mit der entsprechenden Installation, auf Grund des fehlenden oder nicht so tollen BB) wären:

-AVAST (ohne BB)
-AVIRA (?)
-PANDA CLOUD (?)
-MSE (?)

AVAST (ohne den Verhaltensschutz) und MAMUTU habe gestern installiert. Bis jetzt alles flüssig und rund.

[DerHexer]

also ich hab nod32 mit mamutu am laufen bisher keine probleme

[Gast_Solaris_*]

Soweit ich weiß, werden jetzt unteranderem Änderung sensibler Teile der Registry (z.B Systemrichtilinien) gemeldet.

Oki, danke Dir für die Infos!
Wenn ich mir den Test von @subset anschaue, denke ich, dass das Stuxnet-Rootkit da auch nicht durchkommen wird. Einziger Nachteil des IDS ist die Nutzerabfrage und geforderte Interaktion. Für mich zuhause super einsetzbar, auf der Arbeit und auf dem Laptop quasi unbrauchbar.

LG

[Gast_Oldie_*]

Zu welchen AV's setzt Ihr denn so MAMUTU ein?

MSE, keine Probleme.

[winchester]

Habe mir mal die 30 Tage Version installiert und mit NIS gibt es auch keine Probleme.

[Steinlaus]

Norton und Mamutu für was ? Norton hat doch Sonar !

[Solution-Design]

Verschieben in die Quarantäne findet nicht statt.

Auch nicht nach einem Neustart des Systems? Wenn auf die Datei aus irgendeinem Grund nicht zugegriffen werden kann und sei es, dass es der Verhaltensblocker selbst ist, welcher die Datei festhält, dann wird die Datei erst nach Neustart in die Quarantäne verschoben. Daher meine Frage.

[winchester]

Habe das auch nur aus reiner Neugierde mal installiert.

[subset]

Auch nicht nach einem Neustart des Systems?

Habe ich jetzt getestet, bringt auch nichts, das Ding ist immer noch da.
Je schneller man "In Quarantäne" und "OK" klickt, desto größer scheint die Wahrscheinlichkeit, dass es nicht funktioniert. Also nach meinem subjektiven Empfinden.
Als ob das Beenden des Prozesses und das Verschieben in die Quarantäne sich gegenseitig in die Quere kommen würden.

MfG

[Solution-Design]

Je schneller man "In Quarantäne" und "OK" klickt, desto größer scheint die Wahrscheinlichkeit, dass es nicht funktioniert. Also nach meinem subjektiven Empfinden.

grins.... Eigentlich wollte ich mein subjektives Empfinden (EAM 5) nur mal bestätigt wissen

[Firegeier]

läuft gut mit avast

Der Beitrag wurde von Firegeier bearbeitet: 21.07.2010, 21:23

[fenriz]

Nichts gegen Mamutu ist ein schönes Programm. Aber rein von buchhalterischen her muss ich sagen das man 30€ sinnvoller anlegen kann und hat für das Geld sogar mehr und besseren Schutz. Jetz mal ganz analytisch gedacht.

Der Beitrag wurde von fenriz bearbeitet: 21.07.2010, 21:57

[Gast_claudia_*]

Mal ganz analytisch festgestellt, Mamutu kostet 20 Euro! 30 Euro kostet die Anti Malware

[Gast_uweli1967_*]

l

äuft gut mit avast thumbup.gif

@Firegeier
Avast mit dessen Verhaltenschutz oder ohne in Kombination mit Mamutu?

[Firegeier]

hab ihn noch an momentan , da er er sowieso keine regel unter 64 bit systeme hat , ob das nun falsch ist ihn dennoch mitlaufen zulassen weiss ich nicht ^^.