datenschutz + vorgehensweise bei angeblichen virus.

#1 hallo,

es kommt bei aktivierter heuristik öfters mal vor, dass avira einen virus meldet.

wenn ich nun eine zweite meinung einholen möchte habe ich ein paar bedenken was die überprüfungsmethode angeht.

weiterhin ist in frage 2 ein weiteres anliegen zu lösen.

hier meine fragen.

1. ist es möglich, dass in angeblich infizierten exe dateien bereits eingaben eines users gespeichert werden die rückschlüsse auf die verwendeten daten einhergeben?

2. wenn ich eine angeblich infizierte datei auf plausabilität bei anderen anbieter wie virus total etc. testen möchte .. wie kann ich dann sicherstellen, dass sich der virus (den ich dann z.b. mit avira ignorieren müsste) sich nicht beim deaktiviertem guard verbreitet?

vielen dank..

#2 1. versteh ich überhaupt nicht was deine frage ist

2. Warum solltest du denn den Guard ausschalten um etwas auf Virustotal zu testen ?
__________
Mein Leben verläuft streng nach Murphys Gesetz

#3 Avira meldet oft gecrackte Programme als Virus. Habe ich in der Praxis immer ignoriert.
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick

#4 Aber in diesen cracks befinden sich doch meist auch Viren wie man es an unseren Viren und Spyware Foren sieht !
Also ist dass meiner Meinung nach nichts was man Ignorieren sollte !
__________
Mein Leben verläuft streng nach Murphys Gesetz

#5 Jein, so ganz stimmt das nicht.
Virenscanner liefern zu solchen `Tools` oft falschen Alarm.
Das kann man schwer sagen, zb. ein einfacher win32 ASM code der ein Fenster öffnet per dll invoke genügt schon damit AVG es als Trojan erkennt

Edit:

Wer zweifel hat kann diesen code kompilieren

Code

.386
.model flat, stdcall
option casemap:none
include C:\masm32\include\windows.inc
include C:\masm32\include\kernel32.inc
includelib C:\masm32\lib\kernel32.lib
include C:\masm32\include\user32.inc
includelib C:\masm32\lib\user32.lib

.data
    MsgBoxCaption    db "Message", 0
    MsgBoxText    db "Hello World!", 0

.code
start:
    invoke MessageBox, NULL, addr MsgBoxText, addr MsgBoxCaption, MB_OK
    invoke ExitProcess, NULL
end start

__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6

Zitat

Aber in diesen cracks befinden sich doch meist auch Viren wie man es an unseren Viren und Spyware Foren sieht !

Es gibt Leute, die cracken Programme für ihre Kollegen im Forum, als Freundschaftsdienst. Sie haben es sich selbst beigebracht und wollen nur Anerkennung. Wenn du so einen siehst, erkennst du ihn.

Was ist dll invoke, bitte?
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick

#7

Zitat

Was ist dll invoke, bitte?

Ach dll ist hier unglücklich gewählt, aber is jetz Nebensache.
Mit invoke ruft man einfach ne API Funktion auf wie du da oben siehst,
ich wollte lediglich zeigen das ein simpler code der einfach nen Fenster öffnet bereits als trojan erkannt wird weil er bestimmte Routinen nutzt.

Somit können solch cracks halt auch ohne Probleme auch fehl-erkannt werden obwohl sie gar keine Viren sind.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#8 Das ist sehr informativ. Ich war gestern auf einer XXX-Seite. Und jedes Mal, wenn ich ein Video öffen wollte, kam eine Trojanermeldung.

Hatte IE 8 und Avira Echtzeitscanner.
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick

#9 Heh ja klar aber das ist da eher schon glaub würdiger, ich denke mal es gibt genügend XXX ohne Viren (obwohl des schon verbreitet ist) aber Zeugs durch Flash zu verbreiten ist möglich.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10 Und wie arbeiten diese Heuristiken? Das konventionelle System arbeitet mit Signaturen, oder auf gut Deutsch: Es liest einfach eine Liste vor.

Nachteil: Gegen selbst gebaute Trojaner ist es machlos?
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick

#11 Vereinfacht gesagt sind Virensignaturen nur Checksummen für einen oder mehrere Schädlinge. Diese lassen sich auf verschiedene Weise manipulieren, beispielsweise durch Exe-Packer, die AV Hersteller steuern entsprechend gegen. Hauptproblem sind aber Viren für die es einfach noch gar keine Signaturen gibt. Bei neuen Schädlingen dauert es immer eine gewisse Zeit, bis die AV Hersteller neue Signaturen anbieten und bis dahin ist der Virenscanner quasi auf sich gestellt.

Hier greifen dann die Heuristiken die nach "verdächtigem" Verhalten von Anwendungen suchen, z. B. einen Autostart Eintrag anlegen, einen Dienst installieren oder einen systemweiten Hook auf Tastatureingaben zu registrieren. Natürlich machen auch "normale" Anwendungen sowas und es kommt damit oft zu Fehleralarmen, wie von Xeper schon beschrieben. Mal als Beispiel gibt es von Microsoft eine Sammlung von Kommandozeilen Tools und das bekannte (obsolete) Tool von dingens.org:
http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx
http://dingens.org/

Wenn man diese z. B. bei VirusTotal testet melden jeweils zwei Virenscanner etwas im Sinne von "Hacktool" oder "UnclassifiedMalware", weil hier Dienste beenden werden etc. Und das sind wohlgemerkt seit Jahren bekannte Programme für die es eigentlich von jedem Hersteller Außnahmeregeln geben sollte/könnte. Bei anderer Software, die nicht schon Millionen von Benutzer verwenden, hat man oft seine liebe Mühe an Mail Gateways und Co. vorbei seine eigentliche Arbeit erledigt zu bekommen...
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#12

Zitat

Nachteil: Gegen selbst gebaute Trojaner ist es machlos?

Solange bis er publik wird, aber stell dir ein Trojaner bauen nicht so einfach vor.
Das ist wahre Kunst - das machen keine Leute die nichts dafür bekommen dazu kommt das ich persönlich denke das es nicht viele Leute mit solchen Fähigkeiten gibt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Diskriminierung - mein Avira bezeichnet meinen Lieblingssänger als Witz: http://smouch.net//

Zitat

Das ist wahre Kunst - das machen keine Leute die nichts dafür bekommen

Wieviel glaubst du, würde ein angehender Anwalt spendieren, um einen Kollegen auszuschalten? Oder ein Vorstandsvorsitzender?
__________
Firefox - Sofort anonym surfen für Laien - Google Chrome anonymisiert
Homepage mit Infos zum Schutz der Privatsphäre - Klick