Bitdefender 8 Wächter "blind" bei jpg? Einstellungen

[cyberpeter]

Hallo,

bin gerade dabei, mal Bitdefender 8 Prof zu testen und habe dabei das jpg von hier
http://www.nod32.de/download/jpegcompoc.jpg
herunter geladen.

1. Wurde ohne Warnung im Browser angezeigt (das war auch keine Überraschung)
2. Konnte auf der Platte gespeicht werden ??
3. Konnte von der Platte geöffnet werden ????

Bei Antivirus/Schild/Erweitert sind alle Dateien ausgewählt.

Scannt man die Datei manuell, wird das Exploit gefunden.

Hab ich was falsch eingestellt oder hat Bitdefender ein Problem?

[Stefan]

Mit welchem Browser denn, Firefox?
Ich erhalte beim Aufruf mit der Standard Version sowohl in Opera, als auch im IE ein Warn-Fenster. Allerdings wird das Bild trotzdem angezeigt. Das Speichern ist natürlich auch nicht möglich.



Der Beitrag wurde von Stefan bearbeitet: 22.12.2004, 00:59

[christian4u2]

Das Bild wurde mit Opera und KAV angezeigt....dann wollte ich speichern und bevor ich auch nur in die Nähe der Speichern.taste kam meckerte KAV los.....

[forge77]

Hier das selbe wie bei Stefan mit Bitdefender 8 Prof. ...

Der Beitrag wurde von forge77 bearbeitet: 22.12.2004, 01:13

[Kool_Savas]

Du benutzt bestimmt 1.0 Version, weil in dieser Version von Firefox ist die JPG-Sicherheitlücke gefixt. Dadürch können auch kein Trojaner mehr auf Pc geschleust werden, ich frage mich wie lange es dauert bis IE so weit ist (holt schon mal den Kalender raus).

[cyberpeter]

Das Problem ist nicht, das das jpg im Firefox (Vers. 1.) angezeigt wird. Das ist bei den meisten anderen Scannern ja auch so und würde mich nicht groß beunrühigen, da Firefox ja nicht die bekannte Lücke aufweist.

Das Problem ist, das ich die jpg-Datei auf die Festplatte speichern konnte und sogar über Imaging nach dem speichern anzeigen konnte ohne das Bitdefender gezuckt hat.

Nachdem es bei allen anderen anscheinend nicht zu diesem Problem kommt, muß irgendwas mit dem Wächter nicht stimmen. Werd im mir mal heut Abend genau anschauen, gestern war es dann schon etwas spät.

[Gast_Jens1962_*]

Das Problem ist nicht, das das jpg  im Firefox (Vers. 1.) angezeigt wird.[right][snapback]67763[/snapback][/right]

Der Norton schlägt mit dem IE direkt bei Aufruf der Seite an, mit dem Firefox erst beim Speicher-Versuch.

[Kool_Savas]

Weil Firefox keinen Schaden mit Bilder mehr anrichten kann, deshalb schlagt es nicht. Das Probleme aber besteht weiterhin beim IE, deshalb schlagt AVK, Norton oder sonst einer an.

Der Beitrag wurde von Kool_Savas bearbeitet: 22.12.2004, 13:15

[Gast_Jens1962_*]

Weil Firefox keinen Schaden mit Bilder mehr anrichten kann, deshalb schlagt es nicht. Das Probleme aber besteht weiterhin beim IE, deshalb schlagt AVK, Norton oder sonst einer an.
[right][snapback]67802[/snapback][/right]

Versteh ich Dich jetzt richtig, wenn ich mir eine Schädlingsdatei mit dem Firefox auf den Rechner lade, dann habe ich nichts zu befürchten?

[forge77]

Weil Firefox keinen Schaden mit Bilder mehr anrichten kann, deshalb schlagt es nicht. Das Probleme aber besteht weiterhin beim IE, deshalb schlagt AVK, Norton oder sonst einer an.

Das ist Quark, woher sollte denn der Virenscanner "wissen", welchen Browser du benutzt, während sie eine jpg-Datei scannen?

Die jpg-Lücke ist erstens überhaupt kein Browser-Problem, und wurde zweitens schon längst gefixt. Wer ein gepatchtes System hat, braucht sich um die Erkennung von jpg-Malware überhaupt nicht zu kümmern.

Der Grund, dass die Virenscanner beim IE und Opera anschlagen, und beim Firefox nicht, liegt nur an der unterschiedlichen Cache-Handhabung. Beim Firefox werden die Cache-Dateien offenbar verschlüsselt o.ä., während sie beim IE und Opera im Original gepeichert werden. Daher erkennen die AVs die Malware nur im IE- und Opera-Cache.

[Visitor]

Guten Abend erstmal...
Der Firefox alleine kann nicht vor der jpg Lücke schützen. Um das zu checken braucht man nur dieses Testpic öffnen.
Soviel ich weiß ist im Moment nur das Virentool von Eset in der Lage das öffnen zu verhindern, es wird bei richtiger Konfiguration des Scanners erst gar nicht angezeigt sondern es kommt nur die Warnung vom Virenscanner.
Die meisten anderen Programme warnen zwar auch aber lassen das öffnen des Pic's noch zu.

[Gast_Jens1962_*]

Der Grund, dass die Virenscanner beim IE und Opera anschlagen, und beim Firefox nicht, liegt nur an der unterschiedlichen Cache-Handhabung. [right][snapback]67875[/snapback][/right]

Hat eine andere Ursache, ist mir nur grad entfallen.
Beim IE wird das Zeug direkt beim Eintreffen angemeckert, bei Mozillas erst beim Abspeichern, also wenn das Zeug auf die Platte soll.
Ich würde mir nur Sorgen machen, wenn es überhaupt nicht erkannt wird, das war ja wohl das Eingangsthema.

[Krond]

Hat eine andere Ursache, ist mir nur grad entfallen.
Beim IE wird das Zeug direkt beim Eintreffen angemeckert, bei Mozillas erst beim Abspeichern, also wenn das Zeug auf die Platte soll.
Ich würde mir nur Sorgen machen, wenn es überhaupt nicht erkannt wird, das war ja wohl das Eingangsthema.
[right][snapback]67880[/snapback][/right]

Nein, bei Firefox und NOD wird das Bild angemeckert, BEVOR es angezeigt wird. Auch bei IE und NOD. Daran liegts also nicht. Es liegt sicher an der Handhabe der Scan-Engines, dass eine erst beim Speichern meckert, die andere (NOD z.B.) schon beim Öffnen.......

Der Beitrag wurde von Krond bearbeitet: 22.12.2004, 19:54

[forge77]

@Jens1962

Hat eine andere Ursache, ist mir nur grad entfallen.

Was meinst du damit? Dass ich mit meiner Erklärung falsch liege? Schau dir einfach selber mal an, wie Firefox Daten im Cache speichert, und wie das im Gegensatz dazu der IE und Opera machen. Dann sollte es klar werden.

Beim IE wird das Zeug direkt beim Eintreffen angemeckert, bei Mozillas erst beim Abspeichern, also wenn das Zeug auf die Platte soll.

"Beim Eintreffen" trifft es nicht ganz, denn selbstverständlich erkennen normale AV-Scanner (Nod32 mit seinem IMON ist hier ein Sonderfall!) den exploit-Code in der jpg-Datei erst, wenn die Datei im IE-Cache auf der Festplatte gespeichert wurde. Das passiert aber direkt nach dem Anzeigen des jpg's im Browser.

Beim Firefox meckert der AV dagegen erst, wenn man die Datei manuell speichert, da hast du recht. Den Grund dafür hab ich oben geliefert - der Festplatten-Cache, in dem das jpg nach dem Anzeigen im Browser abgelegt wird, ist offenbar verschlüsselt. Da kann kein AV-Scanner was finden.

Nod32's IMON scannt die Daten dagegen schon _bevor_ sie überhaupt beim Browser ankommen - die einzige Möglichkeit, um das Anzeigen des Bildes zu verhindern.

Der Beitrag wurde von forge77 bearbeitet: 22.12.2004, 20:58

[olli]

Moin!

Ich kann forges77´s ausführungen bestätigen. Hier verhält sich F-Secure genau wie von forge beschrieben. Bei IE wird sofort gemeckert, bei FF erst, wenn man die Grafik abspeichern will.

Gruß
Olli

[cyberpeter]

Hallo,

das Problem ist viel schlimmer als angenommen. Trotz des aktivierten Wächters scheint keine Datei gescannt zu werden. Habe es mit Eicar, Beagle usw. probiert ....

Werde Bitdefender nochmal deinstallieren und wieder installierten, vielleicht hilft es

[Kool_Savas]

Es ist ganz einfach:
Der Cache von Firefox so gemacht, das keine Datei auf den Rest der Festplatte zugreifen kann.

Kein Angst es wird nichts passieren.

[cyberpeter]

Auch die Neuinstallation von Bitdefender hat nichts gebracht. Habe auch mal die Standard versucht ohne Erfolg.

Der Wächter schlägt nicht an, egal was ich auf der Platte starte. Es ist zum verrückt werden ....

[Stefan]

Ist denn unter Antivirus-Schild-Einstellungen ein Haken bei "Warnen wenn ein Virus entdeckt wurde" gesetzt? Ich meine, nicht dass der Wächter die Datei einfach kommentarlos blockiert.

Edit:
Wird denn, wenn du mal bei Einstellung "In Quarantäne verschieben" wählst, die Datei vielleicht doch verschoben?

Der Beitrag wurde von Stefan bearbeitet: 22.12.2004, 23:32

[cyberpeter]

Ist denn unter Antivirus-Schild-Einstellungen ein Haken bei "Warnen wenn ein Virus entdeckt wurde" gesetzt?
[right][snapback]67993[/snapback][/right]

Ja.

Werde es morgen nochmal auf meiner normalen Installation versuchen. Vielleicht ist die Testinstallation, auf der ich gerade teste, inzwischen schon zu versaut ?!

Trotzdem ist das ganze irgendwie komisch und für mich nicht gerade vertrauenserweckend.

Der Beitrag wurde von cyberpeter bearbeitet: 22.12.2004, 23:32