Mamutu 3.0 veröffentlicht, Emsisofts Behavior Blocker nun mit komplettem x64 Support Einstellungen

[Aasblume]

@Schattenfang
Meine Einschätzung kann im entscheidenden Moment falsch sein. Aber dann kann ich mich im Anschluss nicht über die Software, die mich ja nur informiert hat, es könnte was faul sein, beschweren. Geht das ganze also in die Hose, habe ich (so hoffe ich) was gelernt, auch wenn's erst mal weh tut und mich zum kot*** bringt.
Aber denke mal so (versuche es einfach mal kurz):
Bestes Beispiel ist hier für mich (im Vergleich) SONAR:
Erkennung (selbst entscheidend) unschlagbar; alles schreit HURRA!!! Ist auch so!!! Der Anwender ist zufrieden.
Aber wehe SONAR (nein, nicht ich, sondern das jetzt so doofe SONAR) killt mir die Anwendung....Schuldigen gefunden

Hut ab vor denen, die hier ganz ohne AV/IS durch's www kommen. Durch Selbstentscheid kann man wenigstens trainieren......

[Gast_florian5248_*]

Mamutu erkennt das was auch das Malware IDS von EAM 5 erkennt.

Also Malware die folgende Verhaltensweisen oder Kombinationen davon an den Tag legen um Windows-Systeme zu komprimittieren:

@M.Richter

liegst doch garnicht so verkehrt.

[M.Richter]

@M.Richter

liegst doch garnicht so verkehrt.

ja, ich weiß, aber weil ich auch die signaturen und die generische erkennung beschrieben hab, die ist aber nur in EAM meine ich. wobei wenn eine MAlware-Familie per verhalten erkannt wird, müsste auch mamutu dass wissen meine ich und die malware klar benennen (bei thratfire z.b. ist es zumindest so)

[hachi']

So läuft das bei Mamutu aber nicht.
Du kriegst ein Pop Up, ob du willst oder nicht, und dann musst du selbst entscheiden. Das Program nimmt dir das nicht ab.
Allerdings sind die Beschreibungen bei den Alarmen meist äußerst gut, so dass eigentlich jeder gut selbst entscheiden können sollte.

Sehe ich nicht so.
Mamutu (EAM natürlich auch) verfügt über mehrere verschiedene Mechanismen Fehlalarme zu reduzieren.

[Schattenfang]

Aber wehe SONAR (nein, nicht ich, sondern das jetzt so doofe SONAR) killt mir die Anwendung....Schuldigen gefunden

bisher sind genau die rechner von meinen freunden am saubersten gewesen. wenn du erstmal klicken musst und keine ahnung hast geht alles den bach runter. panda genauso, habs den meisten verpasst. seitdem ist ruhe mit accountdiebstahl usw.

[Schattenfang]

wollte mich grad mal ein wenig mit mamutu 3.0 beschäftigen und hab mir ein paar reviews auf youtube angesehen. intention war es sogar mir das teil mal zu installieren.
ich will hier nichts anzetteln oder irgendetwas runter machen sondern mal fragen wie das hier passieren kann?
http://www.youtube.com/watch?v=z4n5PtRoJi8

gibts nicht sowas wie ein selbstschutz?

[subset]

Wenn du als Admin und ohne UAC unterwegs bist, dann kannst du den Selbstschutz ziemlich vergessen.
Dann kämpfen die Programme auf Augenhöhe miteinander und einer gewinnt eben.

Ein Verhaltensblocker bietet auch keinen so hohen Schutz wie ein HIPS oder eine Sandbox, sondern eben einen durchschnittlichen - ungefähr so wie ein AV, allerdings ist er weniger anfällig für neue Schadprogramme.

Der Link zu dem Zeus Trojaner ist übrigens tot.

MfG

[Catweazle]

OT, mußt halt suchen, wen du das Sample brauchst.

Catweazle

[Schattenfang]

Dann kämpfen die Programme auf Augenhöhe miteinander und einer gewinnt eben.

aber das ist doch nicht bei allen programmen so, hört sich nach einer 50/50-chance an. gute av-software stürzt ja auch nicht bei (theoretisch) jedem zweiten unerkannten sample ab. wenn mamutu sich zwischen eine aktion schaltet, um sie im zweifelsfall auch blocken zu können, darf das teil doch nicht abschmieren. und schon gar nicht bei zeus, da gibt´s ja noch schlimmere. hoffentlich schauen sich emsi&co das mal an und schützen den prozess noch besser. ich bin kein computer-programmierer, aber andere schaffen das trotz admin-rechten ja auch, wie z.b. kaspersky oder dr.web.

[subset]

ich bin kein computer-programmierer, aber andere schaffen das trotz admin-rechten ja auch, wie z.b. kaspersky oder dr.web.

Das mit Dr.Web musst du EP_X0FF erzählen.
Lies mal den Thread hier -> AV self-protection http://www.kernelmode.info/forum/viewtopic...70&start=10

MfG

[Schattenfang]

sondern mal fragen wie das hier passieren kann?
http://www.youtube.com/watch?v=z4n5PtRoJi8

ich würd gern nochmal darauf zurückkommen, weil ich mir mamutu schonmal gern anschauen würde.
vielleicht gibts ja sogar ein offizielles statement dazu, wie es um den selbstschutz/die blockierfunktion im programm bestellt ist. habe selten gesehen dass ein programm abgeschossen wird, bevor man blockieren gedrückt hat.

[Julian]

Ohne die gleichen Samples zur Verfügung zu haben, kann man das vergessen.
Vielleicht war es der vorige Zbot, vielleicht ein FF-Exploit...

[ABE]

Ohne die gleichen Samples zur Verfügung zu haben, kann man das vergessen.
Vielleicht war es der vorige Zbot, vielleicht ein FF-Exploit...

Leider wahr....

Hatte Mamutu jetzt ein paar Tage testweise installiert, bremste meinen Rechner allerdings ziemlich stark (auch nach den ersten Programmstarts, jeden Neustart das gleiche Theater...)

[Schattenfang]

Ohne die gleichen Samples zur Verfügung zu haben, kann man das vergessen.

ja das stimmt, aber eigentlich ist es auch egal welches sample es war. das darf bei keinem passieren. wenn ich eine datei ausführe und auf ja klicke, das teil sich installiert und dann das av abschießt, finde ich das bei weitem nicht so schlimm. Aber wenn sich etwas (kann ja auch automatisch sein) versucht zu installieren und ich dann auf nein klicke, darf mamutu nicht abschmieren.
vielleicht können ja emsi&co das doch reproduzieren, einen eventuellen fehler finden und ausbügeln?

[Julian]

Aber wenn sich etwas (kann ja auch automatisch sein) versucht zu installieren und ich dann auf nein klicke, darf mamutu nicht abschmieren.
vielleicht können ja emsi&co das doch reproduzieren, einen eventuellen fehler finden und ausbügeln?

Vielleicht war das ja kein Fehler, sondern die Malware.
Mamutu muss ja nicht jede Aktion der Malware abgefangen haben, etwa weil es vielleicht teilweise dazu vom technischen Design her nicht in der Lage oder der Selbstschutz zu schlecht war.

So etwas kann halt dabei rauskommen, wenn man (mangels Ressourcen?) nur dann Lücken im Schutz fixt, wenn Malware sie ausgenutzt haben, und nicht schon irgendwelche PoCs...

Ist halt kein gutes HIPS, sondern ein BB. Wer glaubt, mit den Dingern alles gefahrlos starten zu können, der irrt.

Der Beitrag wurde von Julian bearbeitet: 22.11.2010, 20:23

[Schattenfang]

Mamutu muss ja nicht jede Aktion der Malware abgefangen haben, etwa weil es vielleicht teilweise dazu vom technischen Design her nicht in der Lage oder der Selbstschutz zu schlecht war.

stimmt, daran habe ich nicht gedacht. wenns nicht der selbstschutz war, könnte das eine gute erklärung sein!

[IBM]

Da ja des öfteren die Diskussion aufkommt ob ein Verhaltensschultz (HIPS,BB) sinvoll ist oder nicht möchte ich kurz was anmerken da ich seit gestern Mamutu in Verbindung mit Avast free einsetze.

Man probiert ja im laufe der Zeit so einige AV Programme/Suites..sei es aus Langeweile oder weil es Spaß macht

Wer verschiedene Backup Konfigs hat der läuft dabei auch nicht Gefahr sich das System vollzumüllen.

Ich verwende immer zum testen ein Backup wo das System ziemlich jungfräulich ist mit aktuellen Treibern und Updates...anschliessend wird das AV Proggi bzw. Suite installiert und danach meine bevorzugten Programme...so kann ich feststellen ob sich das Schutzprogramm sehr/teilweise oder kaum belastend auswirkt....dann noch ein paar große Dateien per Copy/Paste zwischen den Festplatten verschieben usw...das sollte man natürlich auch ohne jegliche Schutzsoftware machen da ja einem ansonsten der Vergleich fehlt. Mir persönlich ist der Punkt Performance sehr wichtig.

Es folgen dann weitere Tests wie Seitenaufbau des Browsers...Verhalten beim Download von infizierten Dateien...infizierte Seiten besuchen etc.etc.. (Anmerk: Avast hat tadellose Leistung erbracht in diesen Punkten..konnte weder infizierte Seiten besuchen oder gar aktuelle infizierte Files runterladen) Verhaltensschutz habe ich übrigens bei Avast nicht mit installiert da der eh nicht pralle ist (pseudo Schutz unter Win7 64bit).

Als Ergänzung habe ich mich für Mamutu (danke an uweli) entschieden. Ich wollte natürlich sehen wie sich Mamutu verhält aber leider konnte ich ihn nicht rauslocken ohne Avast du deaktivieren.

Ich spielte noch ein wenig mit meiner Systemkonfig. rum...ich benutze aus Komfortgründen für das ein oder andere Tuneup und Schwups gab es eine Flut von Mamutu Popups.
Für den einen oder anderen wird das jetzt nichts ungewöhnliches sein aber für mich schon denn ich habe in den letzten Wochen/Monaten fast jegliche Schutzsoftware ausprobiert u.a. Avira,AVG,AVAST,Comodo IS V5,Gdata IS 2011,NIS2011,MSE,Kaspersky AV aber keiner von denen (teilweise mit eigenem Verhaltensschutz) hat sich bei Tuneup gemeldet!

Was macht also Tuneup damit sich Mamutu meldet...eigentlich nichts anderes als das System Positiv oder Negativ zu manipulieren...also genau das gleiche wie Malware nur das es da immer Negativ ist.
Erstaunlich für mich ist allerdings das sich alle anderen Schutzprogramme nie gemeldet haben...völlig wurscht ob der Eingriff Positiv oder Negativ ist da die Software das nicht unterscheiden kann..es geht um die Systemmanipulation.

Also ich denke das ein gut funktionierender (in diesem Fall Mamutu) Verhaltensschutz/blocker ein positiver Gewinn ist auch wenn es von einem mehr erfordert.
Bleibt nur die Frage..warum haben die anderen Schutzprogramme alles durchgewunken? Sind sie intelligenter als Mamutu oder ist Mamutu zu sensibel? (was ich nicht glaube...dann müsste sich ja Mamutu bei jedem Programm melden weil eine Systemveränderung stattfindet).
Was meint ihr?

[flachbrot]

...tja dann probier mal VIPRE (momentan leider nur auf Englisch)
und aktiviere, dass Du bei Systemveränderungen benachrichtigt werden möchtest
und schwupps....VIPRE meldet sich brav bei TU.

Ist ja logisch, dass sich Mamutu meldet, da Systemveränderungen vorgenommen werden.

[SLE]

Bleibt nur die Frage..warum haben die anderen Schutzprogramme alles durchgewunken? Sind sie intelligenter als Mamutu oder ist Mamutu zu sensibel? (was ich nicht glaube...dann müsste sich ja Mamutu bei jedem Programm melden weil eine Systemveränderung stattfindet).
Was meint ihr?

Ist das jetzt gut oder schlecht von Mamutu?
Viele anderen Programme erkennen eben in den Standardeinstellungen das es sich bei TuneUp um ein bekanntes, vertrauenswürdiges Programm handelt. Wer dies startet und damit was macht - DER WILL DAS (warum auch immer). Warum also fragen: "Willst du wirklich was du willst?"

Natürlich kann man als Kontrollfreak auch bei anderen Programmen dieses automatische Vertrauen abstellen - dann wird auch bei TuneUp gefragt was das Zeug hält.

[IBM]

...tja dann probier mal VIPRE (momentan leider nur auf Englisch)
und aktiviere, dass Du bei Systemveränderungen benachrichtigt werden möchtest
und schwupps....VIPRE meldet sich brav bei TU.

Ist ja logisch, dass sich Mamutu meldet, da Systemveränderungen vorgenommen werden.

Das VIPRE das macht will und kann ich nicht abstreiten...es ging mir mehr darum warum haben sich die anderen Schutzprogramme bzw. Suites mit teilweise eigenem Verhaltensblocker nicht gemeldet? Den Punkt "aktivieren bei Systemveränderung" will ich jetzt mal nicht so richtig gelten lassen...dann müßte sich ja VIPRE bei jeder Programminstallation melden...weil das System mit jeder Installation verändert wird. Mamutu hat sich nur bei Tuneup gemeldet.

Es geht nur darum die Spreu vom Weizen zu trennen...setze ich einen externen HIPS,BB ein oder sind die Beilagen der meisten Suites ausreichend!?

Gruß

Edit:
@Sebastian

das kann ich nachvollziehen...aber dann müßte es sich doch ständig melden bei einer Systemänderung? oder nicht..stehe irgendwie aufm Schlauch

Der Beitrag wurde von IBM bearbeitet: 29.11.2010, 11:13