Welche Internet-Programme sollte eine Firewall kennen?

#0
25.10.2005, 20:48
Member

Beiträge: 39
#1 Hallo!

Hier soll's um folgendes gehen: Kaspersky will für seine nächste Firewall Regeln für die gebräuchlichsten Programme mitliefern, die Verbindung mit dem Internet aufnehmen.

Gedacht ist an ca. 200 (!). Ich mache dort unentgeltlich als Beta-Tester mit, und wollte Euch mal fragen, welche Programme eurer Ansicht nach da rein gehören. Die Vorteile sind klar:

* Das Teil wird nicht mehr pausenlos nachfragen, wenn jemand nur per Firefox surfen geht.

* Andererseits kennt es z.B. die Gewohnheiten des Online-Updaters von Bitdefender Free Edition schon heute sehr genau. Wenn sich da plötzlich was ändert (Code-Injection, o.ä.), dann wird es nachfragen. (Sowas zu tun ohne Alarmstufe Rot auszulösen, wird übrigens auch nicht mehr so einfach sein wie früher.) Und es wird dafür Updates geben. (Ist im Grunde viel einfacher, als die 10.000 neuen Malware-Programme pro Monat im Auge zu behalten.)

* Grade Anfänger werden dadurch entlastet. Die denken ja nach kurzer Zeit nur: "Ach diese verdammte Firewall schon wieder!", und klicken entnervt "Allow All" ohne zu lesen.

Also: her mit Euren Wunschlisten! Benennt einfach Programme - aber bitte mit Download-Link. Oder wenigstens die Homepage des Herstellers. Das folgende braucht Ihr übrigens NICHT zu benennen, weil es bereits abgedeckt ist:

* Alle Windows-Bestandteile (einschl. Updater, IE, Outlook Express, Media Player)
* Alle Office-Bestandteile
* MS-Antispyware
* Bitdefender Free Edition
* Nero
* Mozilla Firefox
* Mozilla Thunderbird
* Opera
* Diamond-CS Port Explorer

Die Auswahl ist stark mitgeprägt von dem was die Beta-Tester hatten. Mehr ist in der Mache, aber bis 200 ist noch viel, viel Luft.

Also nochmals - was darf's denn sein?
Maxtor


P.S.: Wer direkt mitmachen will, Forum hier... http://forum.kaspersky.com/index.php?showforum=16 ,
... und zu Firewall-Regeln bitte hier: http://forum.kaspersky.com/index.php?s=f68be6abc86c221fefc6a7ec180d40f2&showtopic=4293
Dieser Beitrag wurde am 26.10.2005 um 05:32 Uhr von Maxtor editiert.
Seitenanfang Seitenende
26.10.2005, 16:55
Member
Avatar Ajax

Beiträge: 890
#2 Hi Maxtor,
zwar kann ich dir nicht mit Namen von Anwendungen dienen, dafür aber mit meiner Meinung über dieses Thema.

Zitat

Maxtor postete
Welche Internet-Programme sollte eine Firewall kennen?
Gedacht ist an ca. 200 (!).
Alle. Das dürften etliche Tausend sein...

Zitat

Maxtor postete
Hier soll's um folgendes gehen: Kaspersky will für seine nächste Firewall Regeln für die gebräuchlichsten Programme mitliefern, die Verbindung mit dem Internet aufnehmen.
Bei allem Respekt für die exzellente AntiVirus-Engine von Kaspersky, ist die obige Ankündigung m.E. ein riesengroßer Unsinn, vermutlich mit dem Zweck somöglich vielen DAUs auch ihre mittelmäßige FW zu unterjubeln. Wenn's richtig an's Geld geht hört scheinbar bei alle Hersteller die Seriosität auf. Der Mittel heiligt ja bekanntlich den Zweck. Kaspersky täte gut daran erstmals eine gute FW seinen Kunden zu bieten. Da aber heutige Security Suites sowieso DAUs als Kundenstamm ansprechen, dürfte eine gute FW in naher Zukunft von Kaspersky nicht zu erwarten sein. Hauptsache die FW ist DAU-tauglich.

Zitat

Maxtor postete
(Ist im Grunde viel einfacher, als die 10.000 neuen Malware-Programme pro Monat im Auge zu behalten.)
Was hat denn das eine mit dem anderen zu tun? *kopfschüttel*
Wird dann in Zukunft Kaspersky für DAUs auch tägliche Updates für tausende Programme bringen, die eine Versionsänderung erfahren haben? *staun*

Zitat

Maxtor postete
* Grade Anfänger werden dadurch entlastet.
Na dann, viel Spaß für alle Anfänger...

Zitat

Maxtor postete
Also nochmals - was darf's denn sein?
Wie wäre es denn mit einer guten FW die alle ausführbare Dateien die eine Internetverbindung aufnehmen wollen verlässlich erkennt?

Gruß
Ajax
Seitenanfang Seitenende
26.10.2005, 19:56
Member

Themenstarter

Beiträge: 39
#3 Hallo Ajax!

Weitreichende Urteile. Offensichtlich hast Du dir diese Beta noch nicht angeschaut.

Für den 01.11.2005 ist die erste Public Beta geplant. Bis dahin würde ich an Deiner Stelle noch warten, zur Zeit gibt's noch vereinzelte Berichte über BSOD's. Aber dann würde mich mal interessieren, wie du KIS 2006 findest.

Du hättest gerne eine gute Firewall, die auch alle ausgehenden Verbindungsversuche erkennt? Genau das ist in der mache. Und andere verdächtige Aktivitäten (Windows-Hook, Startup-Eintrag in der Registry, etc.) werden ebenfalls gemeldet - von Proactive Defense.

Ein Problem dabei ist natürlich, legitime von verdächtiger Aktivität zu unterscheiden. Also sollen zumindest alle Windows-Bestandteile plus die gebräuchlichsten Internet-Programme bereits vorab bekannt sein. Tausende geht natürlich nicht. Aber den Ansatz, das "Grundrauschen" von Alerts über Firefox, etc. zu minimieren, damit die Leute wirklich hinschauen, wenn denn doch mal ein Alert kommt, den finde ich gut und richtig.

Darüber hinaus sind verbreitete Programme auch die beliebtesten Ziele für Malware, die durch Code-Injection oder DLL-Injection versucht, unter deren unverdächtigem Namen nach draußen zu kommunizieren. Neben der verdächtigen Aktivität im Augenblick der Manipulation ist genaue Kenntnis der normalen Aktivitätsmuster verbreiteter Software ein möglicher Anhaltspunkt. Kommuniziert so ein Programm plötzlich mit Servern, mit denen es sich sonst nie verbindet? Werden Protokolle benutzt, die es normalerweise nicht verwendet? Dazu braucht man maßgeschneiderte Regeln für das betreffende Programm.

Angesichts der rapide anschwellenden Flut von Malware ist es im Grunde viel einfacher, die damit verglichen wenigen, nur langsam mehr werdenden, "guten" Programme zu kennen. Und nur bei für diese unüblichen Aktivitäten Alarm zu schlagen. Bei der Installation obskurer Programme, die in der "Top-200" nicht enthalten sind kann dann auch gezielter nachgefragt werden, ob dies und das denn auch erwünscht ist. Kein Grund zum kopfschütteln.

Last not least... Du scheinst die DAU's ja wirklich zu verachten. Die sind aber die Mehrheit. Lieschen Müller oder der Rentner von nebenan kann und will nicht so tief einsteigen wie Du. DAS sind aber die Leute, von denen Botnets, Phisher, Pharmer, etc. leben. Die brauchen eine Security Software, die eine hochkomplexe Aufgabe weitgehend ohne sie bewälitgt - oder die beste machbare Näherung daran. Klar, es wird immer unperfekt bleiben - aber viel besser als die früheren Versionen wird KIS 2006 allemal.

Ich jedenfalls bereue keine Minute, die ich dafür in Form von Bugreports und Vorschlägen gespendet habe.

Gruß,
Maxtor
Seitenanfang Seitenende
26.10.2005, 23:49
Member
Avatar Ajax

Beiträge: 890
#4 Hi Maxtor

Zitat

Maxtor postete
Aber dann würde mich mal interessieren, wie du KIS 2006 findest.
Es gibt keine Security-Suite/Wollmilchsau die man mit gutem Gewissen empfehlen könnte, es sei denn man ist Redakteur bei einer Fachzeitschrift und wird dafür bezahlt ;)

Zitat

Maxtor postete
Du hättest gerne eine gute Firewall, die auch alle ausgehenden Verbindungsversuche erkennt?
Persönlich brauche ich keine aber eine FW mit Application-Filtering sollte es doch können.

Zitat

Maxtor postete
(Windows-Hook, Startup-Eintrag in der Registry, etc.) werden ebenfalls gemeldet - von Proactive Defense.
Wäre es für einen Anfänger nicht leichter als Proactive Defense nicht mit Root-Rechte am PC zu hanteln?
Wie wird ein ahnungsloser Anfänger auf verschiedene Warnungen der FW übrigens reagieren (können) ? ;)

Zitat

Maxtor postete
Ein Problem dabei ist natürlich, legitime von verdächtiger Aktivität zu unterscheiden. Also sollen zumindest alle Windows-Bestandteile plus die gebräuchlichsten Internet-Programme bereits vorab bekannt sein.
Mit vorgefertigte Regeln?
Mahlzeit ;)

Zitat

Maxtor postete
Tausende geht natürlich nicht.
Schade, ich wäre wirklich neugierig gewesen wie so eine FW mit tausende von vordefinierte Regeln arbeitet ;) (200 sind ja auch schon lustig)

Zitat

Maxtor postete
Aber den Ansatz, das "Grundrauschen" von Alerts über Firefox, etc. zu minimieren, damit die Leute wirklich hinschauen, wenn denn doch mal ein Alert kommt, den finde ich gut und richtig.
Warum muß denn eine FW das Grundrauschen unbedingt durch Warnmeldungen veranschaulichen?
Grundrauschen gibt es egal welchen Browser man verwendet. Den gibt es übrigens auch ohne gestarteten Browser ;)

Zitat

Maxtor postete
Darüber hinaus sind verbreitete Programme auch die beliebtesten Ziele für Malware, die durch Code-Injection oder DLL-Injection versucht, unter deren unverdächtigem Namen nach draußen zu kommunizieren.
Wurde erst eine Malware auf den PC mit Root-Rechte ausgeführt dann kann es theoretisch auf Kernel-Ebene alles anrichten ohne erkannt zu werden.

Zitat

Maxtor postete
Neben der verdächtigen Aktivität im Augenblick der Manipulation ist genaue Kenntnis der normalen Aktivitätsmuster verbreiteter Software ein möglicher Anhaltspunkt. Kommuniziert so ein Programm plötzlich mit Servern, mit denen es sich sonst nie verbindet?
Wird denn Kaspersky zwecks Analyse, alle Server mit denen Programme kommunizieren, in eine verschlüsselte Datenbank abspeichern? *grübel*

Zitat

Maxtor postete
Werden Protokolle benutzt, die es normalerweise nicht verwendet? Dazu braucht man maßgeschneiderte Regeln für das betreffende Programm.
Jo und der arme DAU der es nicht rafft eine einfache Regel für seinen Browser zu erstellen wird nun mit diese Regeln konfruntiert...
Übrigens sind die hier beschriebene Ansätze um in Zukunft auch Code-Injection zu erkennen sehr merkwürdig *hüstel*

Zitat

Maxtor postete
Last not least... Du scheinst die DAU's ja wirklich zu verachten. Die sind aber die Mehrheit. Lieschen Müller oder der Rentner von nebenan kann und will nicht so tief einsteigen wie Du.
Ich verachte ewige DAUs die daran glauben daß ein Stück Code gesunden Menschenverstand ersetzen kann. Außerdem verachte ich Softwarehersteller die diese Mentalität bewußt fördern und zusätzlich auch noch Panik machen.

Zitat

Maxtor postete
DAS sind aber die Leute, von denen Botnets, Phisher, Pharmer, etc. leben.
Und natürlich auch die Hersteller diverser fragwürdiger Sicherheitssoftware ;)
Das wird sich auch in Zukunft nicht ändern.

Zitat

Maxtor postete
Die brauchen eine Security Software, die eine hochkomplexe Aufgabe weitgehend ohne sie bewälitgt - oder die beste machbare Näherung daran.
Diese Software wird es nie geben. Allerdings könnte man den User total entmündigen und ihn zum Super-DAU erziehen ;)
Anfänger brauchen nur ein paar elementare Grundregeln zu beachten.
Man könnte diese Regeln an einer Hand aufzählen und sie sind einem jeden lesefähigen Anwender zumutbar !!!

Zitat

Maxtor postete
Klar, es wird immer unperfekt bleiben - aber viel besser als die früheren Versionen wird KIS 2006 allemal.
Na ja, wie verlässlich die frühere Kaspersky FW notfalls Schädlinge aufhalten könnte ist teilweise hier ersichtlich.
Eine gewisse Steigerung wäre allemal drinnen ;)

Gruß
Ajax
Dieser Beitrag wurde am 26.10.2005 um 23:55 Uhr von Ajax editiert.
Seitenanfang Seitenende
27.10.2005, 02:26
Member

Beiträge: 546
#5 Etwas Senf von mir dazu...

1.) Regeln outgoing, Presets div. (aller) PFWs
Ich bekomme immer Sodbrennen, wenn ich mir die vorgefertigten Regeln der allseits bekannten FWs in Bezug auf Windows
Software anschaue. ;)
Warum ist dem Browser nur erlaubt Kontakt mit URL:80, URL:1080 etc.pp. aufzunehmen?
Warum darf ein Telnet-Client nur zur IP:23 verbinden?
Warum darf ein Email-Client nur zu 25, 110 oder IMAP connecten?
Wieso existiert eine Regel, die dem Newsreader nur erlaubt, sich zu Port 119 zu verbinden?
(Weitere hirnlose Beispiele könnten nun ohne Ende fortgeführt werden)

Solch ein Regelwerk ist absolut sinnfrei und trägt in keinster Weise zur Sicherheit bei. Was soll mit solchen Regeln
verhindert werden und was wird letztendlich mit diesen Rulesets verhindert?
Es existieren eigentlich nur 4 verschiedene Varianten für *ausgehenden* Verkehr, die durch eine PFW sinnig gehandelt werden
können:

a) Ich blocke das Programm komplett (kein I-Net Zugriff - (so es denn möglich ist))
b) Ich gebe dem Programm volle Zugriffsrechte für das Netz
c) Das Programm darf ins Netz, jedoch nicht zu IP xxx.xxx.xxx.xxx oder FQDN blubber.de connecten.
d) In Ausnahmefällen angebracht: Ich erlaube nur ein bestimmtes Protokoll

Was für einen Sinn macht es also, irgendeinem Programm vollen Internet-Zugriff zu gewähren, aber um Himmels Willen
diese 'Narrenfreiheit' nur auf den für dieses Programm üblichen Ports zu erlauben? Keinen, eben!
Warum kann man nicht einfach Firefox vertrauen? Warum muss für Emule eine Regel erstellt werden? Dito für The Bat, JAP
TOR, Update-Dienste von AV-Software usw.bla.blubb.
Wenn ich nach solchen Standards den Browser konfiguriere, habe ich halt Pech wenn der URL in Form eines un-
übliches Sockets angegeben wird. URL:1333 ist leider nicht abrufbar, Schade auch...

Angst vor einem Blacklisting und/oder Phonehome scheiden als Argument komplett aus. Dieses wird nicht dadurch ver-
hindert, indem man der Software generell Internetzugriff erlaubt, jedoch die Ziel-Ports beschneidet. Das wäre in etwa
so effektiv, als wenn man mit der eigenen Frau ins Bordell geht.
Sicherheitstechnisch fällt mir leider auch kein Argument ein, die dieses Prozedere stützen könnte.
Entweder ich vertraue einem Programm oder ich tue dies nicht bzw. nur eingeschränkt. Wenn letzteres zutrifft, sollte
man sich besser überlegen, sich von diesem Programm zu trennen und nach Alternativen Ausschau halten.

Ergo: Ich pers. halte nicht viel von diesen vorgefertigten Regeln wie sie derzeit publiziert werden. Ich wäre sehr positiv
und angenehm überrascht, wenn sich Kaspersky bspw. bei bekannten Programmen dazu überwinden könnte, diese schlicht und einfach
als vertrauenswürdig einzustufen: Allow outgoing all....Punkt.

2.) Erkennen *sämtlicher* ausgehenden Verbindungen und verhindern selbiger
Maxtor schrieb:

Zitat

Ich mache dort unentgeltlich als Beta-Tester mit[..]
Du hättest gerne eine gute Firewall, die auch alle ausgehenden Verbindungsversuche erkennt? Genau das ist in der mache.
Sorry, das bezweifele ich stark. Nein, nicht das du Beta-Tester bist, sondern das die Final in der Lage sein wird,
*jede* ausgehende Verbindung zu entdecken, zu melden und auf Wunsch zu verhindern. Sollte ich mich irren, mache ich
einen Kniefall und zolle Kasperksy maximum Respect! Da du ja testest, checke doch mal http://www.dingens.org/breakout.exe
Und...wurde die Beta getunnelt?

Insgesamt gesehen bin ich, wie Ajax, generell erst einmal skeptisch. Ich erwarte von Kasperksy prinzipiell vorab
keinen Quantensprung. Erkennung von DLL-Injection, Code-Manipulation etc.pp. wäre an sich auch keine Neuerung,
zumindest Konkurrenz-Produkte haben sich dieses Feature seit längerem auch auf ihre Fahne geschrieben.

Trotzdem wünsche ich natürlich happy testing! ;)

Gruß,

Sepia
Seitenanfang Seitenende
27.10.2005, 20:23
Member

Themenstarter

Beiträge: 39
#6 Stellen wir die Diskussion um den Sinngehalt von Firewall-Regeln mal einen Augenblick zurück...

Sepia,
Du hast aber einige Leute ganz schön zum schwitzen gebracht! Guck mal hier:
http://forum.kaspersky.com/index.php?showtopic=5658&pid=33454&st=0&#entry33454

Was mich wirklich enttäuscht ist, daß Kaspersky Breakout.exe ganz einfach zu einem Trojaner erklärt hat. Seit heute Nachmittag verweigern Kaspersky, F-Secure, usw. jeden Zugriff auf diesen "Trojaner" - weil sie ihn per Signatur erkennen. Da muß sogar ich als Kaspersky-Enthusiast sagen: schwaches Bild!

Das Demo-Programm per Signatur erkennen - aber nicht die zugrundeliegende Methode. Das deutet darauf hin, daß letzteres nicht so einfach ist. Und daß dingens.org mit ihrer Kernaussage denen offenbar nicht genehm ist.

(Der Typ der Breakout als Trojaner eingestuft hat, hat übrigens mit Adresse und e-mail gepostet...)

Tester haben dort drüben auch gefragt, wieviel sich auf die Tour tatsächlich bewirken läßt. Also: könnten weniger nette Abkömmlinge von Breakout.exe auch nicht-sichtbare Browser-Fenster öffnen, oder code nachladen und starten? Kaspersky schweigt sich dazu aus - dann sagt Ihr doch mal was.

Einen Screenshot von dem Sourcecode gibt es übrigens hier: http://forum.kaspersky.com/index.php?showtopic=5658&view=findpost&p=33362

Gruß,
Maxtor
Seitenanfang Seitenende
27.10.2005, 22:04
Member
Avatar Ajax

Beiträge: 890
#7

Zitat

Maxtor postete
Was mich wirklich enttäuscht ist, daß Kaspersky Breakout.exe ganz einfach zu einem Trojaner erklärt hat.
Es ist nicht das erste Mal daß Kaspersky Unsinniges in seiner Signaturendatenbank aufnimmt nur um bei DAUs zu beeindrucken. Langjährigen Benutzer ihrer AV stößt das bitter auf. Mir persönlich auch. Als ich die Seriosität von Kaspersky bemängelte bezog ich mich auf dieses Gebaren.
Die gute Unpacking-Engine von KAV ist der einzige Grund weshalb ich noch die Software auf dem Rechner habe...
Allerdings ist es die v3.5. Die DAU-übliche überladene graphische Oberfläche späterer Versionen waren für mich schon ein mahnendes Vorzeichen...
Ich frage mich ob mit Eugene eine Ära seinem Ende naht. Seine Tochter Natalya mag gut im Marketting sein aber das war's dann auch schon.
Da fallen mir spontan Paralelle zum guten alten Hr. Norton ein...
Über KIS oder die Kaspersky FW sage ich jetzt besser nichts...
Immerhin könnte es sein daß Kaspersky die erste FW baut, welche .DLL- und Code-Injection per Signaturen aufdeckt. Ein Weltnovum in der Security-Branche ;)
Natalya weis aber was die alten Römer auch schon wußten, Pecunia non olet ;)

Gruß
Ajax
Seitenanfang Seitenende
27.10.2005, 22:55
Member

Beiträge: 546
#8 Maxtor schrieb:

Zitat

Was mich wirklich enttäuscht ist, daß Kaspersky Breakout.exe ganz einfach zu einem Trojaner erklärt hat.
I don't understand chinese, so chinese must be evil!
Getreu diesem Motto scheint Kaspersky gehandelt zu haben. Ich sehe das wie du...ein Armutszeugnis. Mit einem solchem
Gebahren disqualifizieren sie sich selbst.
Wenn sie sich Mühe gegeben hätten, hätten sie den Source Code finden, downloaden und analysieren können:
http://www.dingens.org/breakout.c

Ob du es glaubst oder nicht, nachdem och heute früh obiges Posting auf die Reise geschickt hatte, meinte mein
alter Ego Nostradamus, "sie (Kaspersky) werden doch wohl nicht einfach die Exe blocken?" ;)
Ich finde es übrigens spitze, dass du die Sache sehr objektiv angehst!

Zitat

Tester haben dort drüben auch gefragt, wieviel sich auf die Tour tatsächlich bewirken läßt. Also: könnten weniger nette Abkömmlinge von Breakout.exe auch nicht-sichtbare Browser-Fenster öffnen, oder code nachladen und starten? Kaspersky schweigt sich dazu aus - dann sagt Ihr doch mal was.
Ja, das wäre möglich. Vorab: Bevor jetzt jemand von Kaspersky oder den anderen Beta-Testern auf die
Idee kommen könnte, Breakout wäre 'IE only', hier die Version für Firefox:
http://www.dingens.org/breakout-mozilla-firefox.exe
(Source: http://www.dingens.org/breakout-mozilla-firefox.c)

Breakout selbst ist das Programm, welches der CCC im Rahmen ihrer Dokumentation über Personal Firewalls verwendete,
um *jede* erhältliche PF zu tunneln. Mehr zum Thema bzw. den gesamten Vortrag als Video Mitschnitt erhälst du auf
http://ulm.ccc.de/chaos-seminar/personal-firewalls/recording.html

Ajax postete:

Zitat

Da fallen mir spontan Paralelle zum guten alten Hr. Norton ein...
[..]Natalya weis aber was die alten Römer auch schon wußten, Pecunia non olet
Aber sowas von FACK! ;)

Gruß,

Sepia
Seitenanfang Seitenende
28.10.2005, 09:05
Member

Beiträge: 3306
#9 Ich frage mich wie die ihre Signatur aufbauen um dieses supersimple Programm sicher erkennen zu wollen. Der Code besteht im wesentlichen ja nur aus FindWindowEx und Post/SendMessage Aufrufen. Sowas findet sich in zig anderen Programmen zu Hauf. Es ist supersimpel selbst für jemanden der sonst nicht viel Ahnung vom Programmieren hat das Programm ein bisschen zu modifizieren und schwups findet KAV das nicht mehr.

Das eigentliche Problem liegt natürlich bei Windows und seiner Art wie Anwendungen miteinander kommunizieren. Siehe dazu auch:
http://security.tombom.co.uk/shatter.html
http://www.heise.de/newsticker/meldung/63668

Auch wenn sich die Programmierer bei Kaspersky auf den Kopf stellen und mit den Ohren schlackern werden sie keine Designschwächen in Windows beheben können. Das wissen die auch, deswegen versuchen sie es gar nicht erst. Die einzige echte Möglichkeit so etwas zu verhindern ist das "böse" Programm erst gar nicht starten zu lassen und genau das machen sie.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 28.10.2005 um 09:08 Uhr von asdrubael editiert.
Seitenanfang Seitenende
28.10.2005, 12:32
Member
Avatar Dafra

Beiträge: 1122
#10

Zitat

asdrubael postete
Ich frage mich wie die ihre Signatur aufbauen um dieses supersimple Programm sicher erkennen zu wollen. Der Code besteht im wesentlichen ja nur aus FindWindowEx und Post/SendMessage Aufrufen. Sowas findet sich in zig anderen Programmen zu Hauf. Es ist supersimpel selbst für jemanden der sonst nicht viel Ahnung vom Programmieren hat das Programm ein bisschen zu modifizieren und schwups findet KAV das nicht mehr.
Jo, aber ich denke die haben einfach zur Signatur noch die Größe des Files hinzugefügt....
Das Ganze soll einfach dazu diehnen die Daus im Forum zu beruhigen.

MFG
DAFRA
Seitenanfang Seitenende
28.10.2005, 13:00
Member

Beiträge: 19
#11 Lol, da drüben ist jetzt richtig was los! ;) ;)

Und hier ist Kaspersky's Kapitulationserklärung: http://forum.kaspersky.com/index.php?showtopic=5658&view=findpost&p=33711

Zitat

Sorry, but we can not do anything with it - only signatures.
@bugbuster - you will not be able to suggest "type of activity" without false alarms. Theme is closed for us now (maybe idea for MPx).

Thank you, all.
Es wird aber noch putziger: Ich hab' mir dieses breakout mal runtergeladen, dann kam diese tolle Signatur raus - und F-Secure konnte diesen Trojaner nicht desinfizieren!! Er verweigerte jeden Zugriff darauf - auch sich selbst. Ich mußte das Ding im abgesicherten Modus löschen, damit die Alarme aufhörten.

Selten so gelacht!
Orpheus

P.S.: Was heißt eigentlich MPx?
Seitenanfang Seitenende
28.10.2005, 13:39
Member

Beiträge: 3306
#12 Ja und auch dort gab es jetzt die schöne Erkenntnis.

Zitat

It is impossible to block this attack without patching Windows itself. The reason for this is, that as soons as the victim starts a malware, this malware can do everything the user can. For a target program there is no reliable way to distinguish if the window messages were send by the system because of user interaction or by the malware.
Und das die Malware "nur" alles kann was der User kann ist dabei auch nichtmal richtig siehe die Links oben. Der eigentliche Schluss müsste also lauten "It is impossible to secure Windows". Aber das würde der Vertriebsabteilung gar nicht gefallen ;)
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
28.10.2005, 13:49
Member
Avatar Dafra

Beiträge: 1122
#13

Zitat

asdrubael postete
"It is impossible to secure Windows".
Lan-Kabel ziehen ;)
MFG
DAFRA
Seitenanfang Seitenende
28.10.2005, 21:29
Member

Themenstarter

Beiträge: 39
#14 Leute,
vielen Dank noch für die Auskünfte! Das ursprüngliche Thema hat sich erledigt. War ein Spaß zuzusehen, wie copton da drüben mal ein paar Dinge klargestellt hat. Kaspersky hüllt sich seit der "Kapitulation" in eisiges Schweigen.

@Asdrubael: Das Zitat stammt denn auch nicht von Kaspersky - copton vom CCC hat das dort zum Vortrag gebracht. ;)

Viele Grüße,
Maxtor
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: