Hat schon jemand das a-squared IDS getestet? Einstellungen

[emsi]

Wie Shakal erwähnt hat, enthält das übermittelte Logfile leider keinerlei Infos über mögliche Modifikationen (Packer, Unpacker, Crypter, etc.) der gescannten Dateien.

Wir konnten bisher jedoch feststellen, daß a² die Mehrzahl der Malwares namentlich auch in den Signaturen enthalten hat.

Details kann man erst mit einem ausführlicherem KAV Log, das mehr Infos zu den gefundenen Dateien enthält, sagen.

[Voyager]

kurzum der scanner von a2 schützt nicht gegen geänderte malware .

[Solution-Design]

kurzum der scanner von a2 schützt nicht gegen geänderte malware .
[right][snapback]96125[/snapback][/right]

Kurzum, das macht kein Scanner. Außer er hat gerade durch Zufall die passende Unpack-Engine. Je nachdem wie viel Mühe sich der Bursche gegeben hat, reicht auch NODs Heuristik nicht

[Gast_Forenleser_*]

@Shakal,

Jetzt, wo es in diesem Thread etwas ruhiger zugeht ist, möchte ich Dir kurz mitteilen, warum ich den befallenen PC damals nach einem Scan mit a² noch mit AntiVir gescannt habe.
Es lag einfach daran, dass ich an dem Tag nur wenig Zeit hatte.
Ich hatte schon daran gedacht, Escan runterzuladen, um den PC damit zu scannen, wär ja mal interessant gewesen, aber ich hatte einfach keine Zeit dafür.

AntiVir war bereits auf dem PC installiert-ohne danach jemals ein Update gesehen zu haben- , so dass ich es nur auf den neuesten Stand bringen musste, um damit einen Scan durchzuführen.

In den Veröffentlichungen in Fachforen wird allgemeinen festgestellt, dass KAV (=Escan) als Referenz-Scanner anzusehen ist, das war mir schon klar, ich habe auch nicht behauptet, dass der PC jetzt frei von Malware ist, sondern hier nur meine Erfahrung zu a² mitgeteilt.

Vielleicht habe ich nochmal die Möglichkeit, den PC mit KAV zu scannen; ich werde dann hier berichten. Ich hatte zwar empfohlen, das System neu aufzusetzten, dies wurde aber bisher nicht gemacht, "schliesslich wurden ja alle Viren gelöscht"

Gruss Forenleser

[Internetfan1971]

Vertrau mir einfach wenn ich sage, einen Backdoor vor Kaspersky unentdeckt zu machen ist defacto einfacher als ihn z.B. vor AntiVir zu verstecken .
[right][snapback]95890[/snapback][/right]

Also da komme ich jetzt nicht mit! Seit Jahren werden die Unpackfähigkeiten und sonstigen Fähigkeiten von KAV gelobt und jetzt das?

Wie haben wir das bitte zu verstehen?

Eine kurze Begründung oder Erklärung wäre nett!

[Voyager]

man könnte auch sagen , seit jahren wurden auf einigen unpackingschwächen von sehr exotischen exe-packern im NAV gewettert und geflucht und drauf ein gerdroschen und jetzt das ?
da a2 in der richtung völlig blind und taub zu sein scheint müssten diesselben leute eigentlich dieses produkt in der luft zerreissen... es seih denn man orientiert sich halt doch nur am produktname .

[emsi]

bond7, du verdrehst da was..

Fakt ist, daß wenn man z.B. einen Backdoor gezieht auf einem bestimmten System für AVs unentdeckt machen will, das relativ einfach möglich ist. Grund dafür ist schlichtweg, daß es IMMER Tools zum manipulieren des Servers gibt, für die keine Emulation eines AVs ausgelegt ist. Wenn jemand nun einen Wurm schreibt, der sich auf möglichst vielen Rechnern verbreiten soll, wird es in der Regel nicht lange dauern, bis AV Hersteller nachziehen und ihn entdecken können. Anders jedoch bei Malwares, die nur für einzelne Angriffe konzipiert sind. Auf die wird nie ein AV Hersteller aufmerksam und kann daher auch keine Gegenmaßnahmen einleiten.

Aus diesem Grund ist der Scanner von a² eher nebenranging, da es wie gesagt immer Möglichkeiten geben wird, ihn zu umgehen. Egal wie gut die Scan-Engine ist.

Das wesentliche an a² ist der Hintergrundwächter mit dem Malware-IDS, das anhand einer Verhaltensanalyse bestimmen kann, ob ein Programm ein möglicherweise schädliches Verhalten aufweist. Somit ist a² in der Lage, jegliche manipulierte Programme zu erkennen, was sonst kaum einer schafft.

Für a² ist nicht wichtig WIE eine Malware bestimmte Aktionen macht, für a² ist nur wichtig DASS die bestimmte malware-typische Aktionen macht. Nur dann schlägt es Alarm.

Das ist auch der Punkt, um den es in meinem ersten Posting in diesem Thread ging. Hat eine Weile gedauert, daß wir wieder zum eigentlichen Thema zurückgefunden haben..

[Voyager]

@emsi

sicher weiss ich worauf du hinaus willst , genau dafür ist auch die IDS im nav2005 verantwortlich , schadprogramme zu erkennen die der scanner übersieht .
ich hab das nur etwas verglichen , zumal es die diskussionen ja immer gab das der scanner alles zu enddecken hat und der krempel drumm herum völlig unwichtig und indiskutabel seih.
insofern die IDS auch das macht was sie verspricht kann ich das persönlich nur gutheissen.

[Internetfan1971]

Fakt ist, daß wenn man z.B. einen Backdoor gezieht auf einem bestimmten System für AVs unentdeckt machen will, das relativ einfach möglich ist. Grund dafür ist schlichtweg, daß es IMMER Tools zum manipulieren des Servers gibt, für die keine Emulation eines AVs ausgelegt ist. [right][snapback]96278[/snapback][/right]

Tja, woweit schon klar. Trotzdem stellt sich mir die Frage warum das bei KAV einfacher sein sollte als bei anderen Scannern...

[JoJo]

"Hat schon jemand das a-squared IDS getestet?"
Ich habe mir mal diese a² IDS genauer angeschaut und bei meinem kurzen Test war das Ergebnis eher ziemlich bescheiden.
Man braucht einfach nur die gewünschte Trojaner Datei in den Exclude Bereich von a² in der Registry eintragen und schon zeigt die IDS von a² keine Alarmmeldungen mehr.
(siehe screenshot.)



aber bestimmt wird alles in version 1.7 verbessert

[Solution-Design]

Dennoch ist es der Weisheit nicht letzter Schluss, wenn schon eine Treiber-installation, oder der profane Start einer CD mit einem solchen Bildchen einherkommt.



Ob da die User/innen nicht total verunsichert werden? Also, ein Check ala Virenscan, wäre vielleicht doch nicht so schlecht. Außerdem, ihr lasst doch auch a² immer gegen KAV laufen. Einfach nur um zu sehen, ob die Virenwarnung echt ist. Nichts gegen das IDS, tolle Sache, aber es hat auch ein paar Haken und Ösen. In erster Linie die Verunsicherung des Users, welcher vielleicht kein AV-Profi ist und dann wie im Screenshot zu sehen, zu einer Entscheidung gezwungen wird.

[Solution-Design]

Man braucht einfach nur die gewünschte Trojaner Datei in den Exclude Bereich von a² in der Registry eintragen und schon zeigt die IDS von a² keine Alarmmeldungen mehr.
[right][snapback]96323[/snapback][/right]

Stimmt, dafür müsste es einen unangreifbaren Bereichgeben, die Registrierdatei müsste überwacht werden.

[Gast_Jens1962_*]

Stimmt, dafür müsste es einen unangreifbaren Bereichgeben, die Registrierdatei müsste überwacht werden. [right][snapback]96325[/snapback][/right]

Da kommst Du an den Schwachpunkt, die auch jede PFW hat. Alles, was vor dem Start eines Überwachungsprogrammes passiert, hat gewonnen.
Selbst wenn es gelingt, daß als allererstes das Schutzprogramm startet, dann kommen die "Fehler"meldungen, die unerfahrene User dazu verleitet, sich ihr System zu zerschießen. Wenn Du das, von mir aus über eine whitelist, auch noch abgleichen willst, dann mußt Du wahrscheinlich allmählich über einen Doppelprozessor-PC nachdenken.

Jens

[Gast_Andreas Haak_*]

Also da komme ich jetzt nicht mit! Seit Jahren werden die Unpackfähigkeiten und sonstigen Fähigkeiten von KAV gelobt und jetzt das?   

Wie haben wir das bitte zu verstehen? 

Eine kurze Begründung oder Erklärung wäre nett! 
[right][snapback]96273[/snapback][/right]

Signaturen relativ zum EIP. Den EIP kannst du "irgendwo" hin setzen - bei Delphi Applikation sogar problemlos einfach um 1 Byte erhöhen und KAV findet gar nichts mehr.

Ansonsten gibts ja immer noch Rebasing und die ganzen Spielereien ... . Undetected im Automatik Modus quasi .

[Gast_Andreas Haak_*]

"Hat schon jemand das a-squared IDS getestet?"
Ich habe mir mal diese a² IDS genauer angeschaut und bei meinem kurzen Test war das Ergebnis eher ziemlich bescheiden.
Man braucht einfach nur die gewünschte Trojaner Datei in den Exclude Bereich von a² in der Registry eintragen und schon zeigt die IDS von a² keine Alarmmeldungen mehr.[right][snapback]96323[/snapback][/right]

Oder auf Deutsch:

Das IDS hat alles erkannt und weil ich am IDS nicht vorbei komme, muss ich es halt gezielt modifizieren - so richtig wiedergegeben?

[Gast_Scrapie_*]

Das IDS hat alles erkannt und weil ich am IDS nicht vorbei komme, muss ich es halt gezielt modifizieren - so richtig wiedergegeben?

Der Weg ist das Ziel
Ob ich einen Packer verwende, oder das anscheinend beliebte "Rebasing", oder die Registry modifiziere ist im Endeffekt ja das selbe. Hauptsache es geht ...

Scrapie

[Gast_Andreas Haak_*]

Das hatten wir im Zusammenhang mit Flux schon mal ...

Es ist ein Unterschied ob es sich bei einer nicht funktionierenden Erkennung um ein prinzipielles Problem oder schlichtweg um ein Fehlen von Erkennungsdaten handelt .

Ich werd mal den eigenen Registry Key und das eigene Verzeichnis mit zu der Liste der geschützten Objekte hinzufügen .

[Solution-Design]

bei Delphi Applikation sogar problemlos einfach um 1 Byte erhöhen und KAV findet gar nichts mehr.[right][snapback]96336[/snapback][/right]

Egal wie man die Bytes von Schädlingen verbiegen kann. Egal wo in welchem Land wie auch immer getestet wird, es ergibt sich immer wieder das gleiche Bild.

http://www.virus.gr/english/fullxml/default.asp?id=69&mnu=69

Nur ein nettes nicht immer leicht zu konfigurierendes IDS wird den unbedarften User nicht so richtig überzeugen. Egal wie wirkungsvoll es auch ist. Meine persönliche Meinung.

[Gast_the_dark_side_*]

Es ist ein Unterschied ob es sich bei einer nicht funktionierenden Erkennung um ein prinzipielles Problem oder schlichtweg um ein Fehlen von Erkennungsdaten handelt

stimmt.

vor allem ist das für den Kunden, der 38 € (oder was weiß ich) gezahlt hat, unheimlich wichtig zu wissen.. WARUM jetzt der Rechner doch im Eimer ist
das fehlen der unpack-engnie ist einfach ein großer Mangel...

[Gast_Jens1962_*]

das fehlen der unpack-engnie ist einfach ein großer Mangel... [right][snapback]96763[/snapback][/right]

Falls es beim Entpacken zuverlässig erkannt werden würde, dann nicht. Zumindest geht ein Scan ohne unpacking deutlich schneller....... (beim Scan-Tempo habe ich doch jetzt glatt ein dejavu-Erlebnis )

Jens