Hat schon jemand das a-squared IDS getestet? Einstellungen

[Gast_Scrapie_*]

@ R2D2:

Danke für die Info
Man lernt nie aus....
Wir haben also bisher einen Wurm (über Google finden sich etwa 250 versch. Varianten), welcher VM- Detection und dadurch geändertes Verhalten zeigt.

Ob VMs einfach zu erkennen sind ist hierbei aber ein anderes Thema. Entscheidend ist doch, wird dies in der Praxis auch von Maleware genutzt und wenn ja in welchem Umfang.

Bei wieviel Prozent sind wir nun, gemessen an der Gesamtsumme aller bekannten Würmer?
RATs und sonstiges ist ja bisher nichts genannt worden...
Reicht das für die Statistik aus, um die Aussage treffen zu können, das alle Tests auf VMs gleich pauschal "in den Mülleimer" kommen?

Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 10.05.2005, 13:11

[Gast_R2D2_*]

Das kommt auf den "Tester" an. Wenn Du einen Blindgaenger hast, der nur testet um zu gucken was eine Malware macht dann ja. Hast Du jemanden der die Malware disassembliert, der braucht (wenn er gut ist) nix mehr auf einem VMWare System zu testen. Deswegen schaut man sich (normalerweise) unbekannte Malware erst mal im Disassembling an um genau solche Sachen rauszufinden.
Bei bekannter Malware die sich nur geringfuegig aendert (Registry Eintraege etc) spielt das keine Geige, die kann man einfach in VMWare schmeissen und entsprechende Bedingungen manuell schaffen dass sie beispielsweise Datumsabhaengige Files droppen oder Downloaden. Bestes Beispiel: Mytob Wuermer.

[Voyager]

neues beispiel für eine exploiterkennung und IDS-schutz .

wenn ich aus dem HEISE Browsercheck DEMOs den "Gefälschte Fenster via DHTMLed (IE 6) " demo-exploit nur ! auswähle passiert folgendes :

Details: Attempted Intrusion "HTTP MSIE DHTML Edit Ctrl Attack" against your machine was detected and blocked.
Intruder: www.heise.de(193.99.144.85)(http(80)).
Risk Level: Medium.
Protocol: TCP.
Attacked IP: localhost.
Attacked Port: 3335.

Intrusion detected and blocked. All communication with www.heise.de(193.99.144.85) will be blocked for 30 minutes. 

You can get detailed information about this attack at Symantec Security Response.  http://securityresponse.symantec.com/avcen...s_ids/o294.html

[christophs]

Blockt die firewall die falsche ZRL oder sind das die Browsereinstellungen?

Bei dir, bond7, sieht es so aus, dass NPF die URL blockt.
KAH blockt sie derzeit nicht.

Der Beitrag wurde von christophs bearbeitet: 13.05.2005, 08:40

[christophs]

Wie sieht das bei euch anderen aus?
Blockt eure Firewall die Seite?
Microsoftseite wird angezeigt ohne "Sie sind verwundbar!"

[Manu]

Wie sieht das bei euch anderen aus?

So, wie die Microsoft Seite halt aussieht.

Blockt eure Firewall die Seite?

Hab keine.

Microsoftseite wird angezeigt ohne "Sie sind verwundbar!"

Bei mir nicht. Hinweis auf heise gelesen?

[Heike]

Ich mache wohl was verkehrt, bei mir passiert nichts.



Nur ein Hinweis.

[Voyager]

@heike

begründe das bitte mal, wie die heise-demonstration in verbindung damit steht , was in deinem meldefenster drinn steht.

[Manu]

Unter XP SP2 ist's viel hübscher.


Christoph, Du kannst z.B. die Stufe für Internet unter "Internetoptionen -> Sicherheit" auf "Hoch" stellen und dann vertrauenswürdige Seiten unter "Vertrauenswürdige Seiten" eintragen und dort eine niedrigere Stufe wählen.

[Voyager]

das ist es also....naja aber bei manchen webseiten dürfte man probleme bekommen wenn man alles verweigert und verbietet !

[Manu]

das ist es also....naja aber bei manchen webseiten dürfte man probleme bekommen wenn man alles verweigert und verbietet !
[right][snapback]92985[/snapback][/right]

Korrekt. Ich nutze den IE faktisch nicht und "kann es mir deshalb erlauben".
Auch Christoph benutzt ihn nicht - warum er also nicht einfach die Hinweise von heise beachtet, ist mir unklar.

[christophs]

Doch, seitdem ich die mails von Opera nicht auf XP habe rüberkriegen können, benutze ich den IE6.
Beui dir, bond7, ist es doch so, dass die firewal das blockt, pder?
Wenn ja, dann blockt sie mehr als KAH.

[Manu]

Schalt einfach ActiveX ab und gut ist's.
Windows Update dann als vertrauenswürdig eintragen und die Updates gehen fein.

[christophs]

Ok, ich möchte jedoch wissen, ob eine Firewall so etwas blockt.
Bei bond7 sah es ja ganz so aus, oder?

[Gast_Jens1962_*]

Ich mache wohl was verkehrt, bei mir passiert nichts.
[right][snapback]92978[/snapback][/right]

Feigling!
Die Chance zum Zocken muß schon gewahrt bleiben.



Mit signierten Active-X hatte ich noch nie Probleme, allerdings suche ich mir die auch aus.

[christophs]

Wie ist das denn nun mit der firewall?
Weiß keiner Bescheid?

[Voyager]

@christophs

das steht doch da , wie sich das verhält. hier nochmal den link zum symantec security responce , englisch kannst du ja...
http://securityresponse.symantec.com/avcen...s_ids/o294.html

p.s. nicht die firewall blockt das, sondern das Intrusion Detection system IDS.

Der Beitrag wurde von bond7 bearbeitet: 13.05.2005, 17:50

[Gast_Jens1962_*]

p.s. nicht die firewall blockt das, sondern das Intrusion Detection system IDS.
[right][snapback]93011[/snapback][/right]

und was macht das IDS von a² an dieser Stelle?

Jens

[christophs]

Danke, bond7!
Also wird es letztendlich von der NIS 2005 geblockt?!
Gratuliere!

[Voyager]

@Jens1962

*Däumchendrehen* !

@christophs

nicht ganz, NAV2005 wäre dazu auch in der lage.