Warum Virenscanner Unsinn sind

#1 Ich habe gerade eine garantierte Virenmail mit einem zip Anhang bekommen.
Leider hat meine Virenscanner hier nicht reagiert, warum ich die Datei mal bei Virustotal hochgeladen habe.

Das Resultat ist hier im Anhang und zeigt das nur 2!!! von 53 Virenscannern das Problem erkannt haben.

https://www.virustotal.com/de/file/325bb7c69dfc6c481dca504080b00cefc2879dc5a811dc6aa0e7933f84574ff2/analysis/1401704748/
(falls die Erkennung inzwischen besser ist, siehe bitte Anhang)

Da frage ich mich echt, wofür man überhaupt noch Virenscanner installiert hat.

#2 Das ist halt ein Katz und Maus spiel. Die Hersteller der Malware testen so lange, bis kein/wenigh AVs die Malware erkennen. Die AV Hersteller versuchen diese Art von Malware durch andere Dinge zu blocken. Sei es durch ein HIPS/IDT System, durch Cloudloesungen usw. Aber egal, was sie versuchen, sie koennen nur reagieren.

En AV Programm kann auch nur eines Teil des Sicherheitssystems darstellen. Die hauptaufgabe hat der Nutzer vor dem Rechner. Das scheint bei dir ja gut zu funktionieren!

Das selbe heute bei einem Anhang, der auf eine der Protecus Adressen aufgeschlagen ist:
https://www.virustotal.com/de/file/d52bcc0e1a2536b73987d597bf6deeae4dace99bca99eca2bbfa6f8064f96222/analysis/

Diese Malware hat z.B. Avira via Clouderkennung gemeldet. Sie ist sehr gut, aber das heisst nicht, das sie beim naechsten Anhang doch versagt....
__________
MfG Ralf
SEO-Spam Hunter

#3 Richtig, Glückwunsch du hast es erfasst - AV Software ist Unsinn.
Das Ende der Virenscanner haben ja auch schon so manch andere Leute nun prophezeit, ich denke das ist auch zum größten Teil wahr - du kannst die Produkte kaufen und weiter daran glauben wenn du willst, aber das ändert nicht die Realität.

Da wir gerade beim Thema Mails sind, eines der häufigsten Sachen die ich immer so sehe sind:

Zitat

Betreff: BANNED contents (.exe,.exe-ms,Ihr Vodafone Anschalttermin.pdf.exe) in mail FROM [212.82.97.76]:28683)

(In diversen Variationen natürlich)

Der älteste Trick der Welt, einfach doppelte Dateierweiterungen geben (nur die letzte zählt) in der Hoffnung das der User das nicht merkt... die bekannten Dateierweiterungen werden ja bekanntlich bei MS Windows basierten Betriebssystemen ausgeblendet (obwohl diese natürlich nach wie vor zum Dateinamen gehören).

Eine Faustregel die ich auf meine MTAs immer mache ist, einfach keine PE-EXE basierten Dateien akzeptieren (auch nicht in Archiven).
Denn es ist unlogisch und sinnlos so etwas via E-Mail zu verschicken, wenn man wirklich Programme verschicken möchte dann findet/hat man bereits einen besseren Weg als E-Mail.
Überhaupt ist binary für das alte SMTP Protokoll Gift da alles nach base64 enkodiert werden muss - dies erhöht die Größe des zu verschickenden Anhangs um ca. 33–36 %.

Es reicht also wenn du einfach einige Standardregeln beherzigst und diese strikt befolgst, da brauch man keinen AV für - da kann man besser lernen zu unterscheiden was was ist in der IT Welt.

Die ganze Situation ist meiner Meinung nach bereits viel zu komplex geworden um von einer Software wie AVs richtig überwacht zu werden.
Desweiteren sind solche Programme aufgrund ihrer Natur auch immer schwerfällig und hoffnungslos überladen - der hohe Aufwand der nötig ist verlangsamt das ganze Betriebssystem.

Eine andere Möglichkeit wäre einfach die Komplexibilität des Systems zu reduzieren, je weniger Komplexibilität desto stabileres/sicheres System.
Da sind aber dem normalen Windows Benutzer völlig die Hände gebunden, Windows ist halt ein sehr komplexes Betriebssystem (nicht immer notwendigerweise) - COM+ usw. diese ganzen Subsysteme die vorbei an dem normalen OS, I/O Usage existieren und alle parallel mitanander arbeiten/kommunizieren müssen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#4 Das Märchen davon, dass die Zeit der Virenscanner vorbei ist, halte ich eben für ein Märchen... selbstverständlich ist es notwendig, dass Softwares intelligenter und komplexer werden, weil auch die Gefahren komplexer werden.

In einem guten Sicherheitskonzept spielt auch Antivirensoftware meiner Meinung nach eine wichtige Rolle, zusätzlich zu anderen Dingen, die hier schon genannt worden sind und einer guten Portion gesunder Menschenverstand.

Wer sichergehen will, setzt eben auf Scanner, die mehrere Engines bündeln und erhöht so die Erkennungsrate.
__________
https://einbruchsicherung-info.de

#5

Zitat

Das Märchen davon, dass die Zeit der Virenscanner vorbei ist, halte ich eben für ein Märchen... selbstverständlich ist es notwendig, dass Softwares intelligenter und komplexer werden, weil auch die Gefahren komplexer werden.

Du hast meinen Post gar nicht gelesen, dass ist ja genau das was man die ganze Zeit versucht und genau das funktioniert eben nicht.

Software besitzt keine Intelligenz, eben nur Komplexibilität und das ist ein sehr großes Problem.

Zitat

Wer sichergehen will, setzt eben auf Scanner, die mehrere Engines bündeln und erhöht so die Erkennungsrate.

Damit erreichst du nichts, die Viren verändern ihre Signatur, Kombinationen für neue Signaturen gibt es genügend. Und jetzt?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#6 Hallo

Gebe @Xeper da vollkommen recht, das ist wie mit dem Hasen und dem Igel, jetzt ratet mal wer der Igel ist !

Diesselbe Auusage hatz doch letze ein CEO eienr Antiovirensw geamcht und hat gesagt, das sie kein Antivirenprodukt mehr herstellen würden, weil sie ben immer hinterlaufen würden.

Der Beste Schutz ist nunmal ein sicheres OS und kein Dummkopf vor dem Minitor, also jemand der nicht nur brain-exe.1.o einsetzt sondern sich auch an mimimale Sicherheitsstandards hält.
__________
Mfg
schwedenmann

#7 Es wird nie ein Super-Antivieren Programm geben. Die Security-Industrie lebt ja durch neue Updates etc. Zumal ich immer noch der Meinung bin, dass die großen Antiviren-Software Entwickler auch selber mal Viren etc. freilassen, damit die Updates schön gerechtfertigt sind.

#8 Es gibt nichts 100% sicheres. Aber zumindest kannst Du das Risiko minimieren.

Ich habe schon an anderer Stelle geschrieben. Steige einfach auf Linux um und arbeite mit dem Rechner. Auf einem anderen kannst Du surfen, downloads machen und daddeln.

Wenn Du daten kopierst, scannst Du diese mehrfach mit verschiedenen Scannern und anschliessen noch in Linux.

#9 Hallo, ein Freund von mir macht das so. Haupt PC läuft auf Linux = Firewall und Neben PC arbeitet er wie wild.

Ich habe neben meinem PC noch einen Apple laufen, wo ich eigentlich so gut wie all meine finanziellen Dinge tätige, Onlinebanking, Paypal,etc....

Ich schaue immer wieder auf die Clean.MX Seite. An Hand dieser Seite sieht man welche Adressen derzeit infiziert sind.

Das man dubiose Exefiles nicht öffnet ist mir persönlich klar.

Aber was haltet Ihr von Wscript Dateien ? Bösartige Wscriptdateien können via Hintertür wiederum Viren runterladen oder ?

#10

Zitat

Aber was haltet Ihr von Wscript Dateien ? Bösartige Wscriptdateien können via Hintertür wiederum Viren runterladen oder ?

Soweit ich weiß ist das script host system unter Windows Betriebssystemen aber standardmäßig abgeschaltet und diese Scripte können nicht mehr ausgeführt werden.
Ist doch schon seit WinVista der Fall (falls ich mich da nicht täusche, aber auf jedenfall schon etwas länger).

Zitat

Aber was haltet Ihr von Wscript Dateien ? Bösartige Wscriptdateien können via Hintertür wiederum Viren runterladen oder ?

Da so gut wie jeder PC genug Leistung besitzt um mehrere Betriebssysteme gleichzeitig zu bedienen, kannst du die anderen die du brauchs einfach virtualisieren.
Es ist nicht mehr nötig mehrere physische Geräte besitzen, als Host System sollte man sich halt etwas sicheres aussuchen - und wenn das nicht Windows ist, dann ist das halt was anderes.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#11 Hallo Xeper,

nun ich habe wie gesagt meinen Apple für jeweilige Finanztransaktionen laufen, hier mache ich mir weniger Sorgen um Viren.

Den PC verwende ich fürs zocken oder Filme gucken.

Die Wscript.exe Dateien konnte ich im Test normal ausführen, wurden nicht geblockt.
Vielleicht hängt es auch daran, dass ich unter der Systemeinstellung bei Win8 die Firewall ausgeschaltet habe (beabsichtigt natürlich als Test).

Was ich allerdings beobachtet habe war, als ich die Firewall wieder eingeschaltet habe, diese aktiv war und neu gebootet habe, wurden Einträge der Wscriptdateien im Autostart mitgeladen und via Taskmanager konnte ich diese normal sehen. Weder meine beiden Virenscanner haben die erkannt, erst als diese Scripts einen weiteren Virus runterladen wollten hat das System geschrien.

Wie es bei Vista war kann ich mich nicht mehr erinnern, ich war froh Vista alias Speicherkiller los zu sein und auf (glaube ich) Win7 auszuweichen.

#12

Zitat

Den PC verwende ich fürs zocken oder Filme gucken.

Hmm das würde mit einem Apple ja teilweise auch funktionieren, oder ist das son ganz alter ppc?

Zitat

Die Wscript.exe Dateien konnte ich im Test normal ausführen, wurden nicht geblockt.

Wscript.exe ist ja auch eine EXE Datei, wie du selber schon bemerkt hast.

Ich bezog mich hier rauf:
http://de.wikipedia.org/wiki/Windows_Script_Host

Schau mal was bei dir
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows Script Host\ Settings
sagt, müßte auf 0 stehen.
Die neueren PSH scripts lassen sich auch nicht normal ausführen, außer man öffnet die PSH direkt und macht es von da.

Zitat

...erst als diese Scripts einen weiteren Virus runterladen wollten hat das System geschrien.

Das ist normal, Scripte sind ja auch nur Text und erstmal kein Binärcode - da gibts nichts zu erkennen.
Wie gesagt, normalerweise ist das alles sicherheitsmäßig deaktiviert - WScript.exe tut alleine nichts.
Aber vielleicht hast du dies ja getestet als dem noch nicht so war und diese Einstellung noch kein Standard war - dann dürfte das aber schon einige Jahre zurück liegen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#13 Hallo Xeper,

der Apple ist ein Imac (habe ich geschenkt bekommen, etwa 3 Jahre alt).
Dort habe ich FB, Paypal, diverse Einkaufsseiten, Internetbanking,etc.. über Mozilla laufen, also überall wo man PW benötigt und wo man Angst um seine Daten haben muß.
Für Apple gibt es angeblich nur 2-3 Würmer, welche glaube ich Spam verursachen, aber nicht so wie Backdoors/Trojaner Daten klauen (lass mich hier gerne auch eines Besseren belehren).

Am PC laufen meine Spiele. Sicher bei World of Warcraft kann es schon sehr gefährlich werden, wenn hier ein PW geklaut wird. Deshalb benutze ich auch einen Authenticator, welcher ebenso nicht 100% sicher ist, aber besser als ohne. Die Einloggdaten für User und PW habe ich auf einem Stick, welche ich mittels copy/paste Funktion dort dann einfüge, um Tastenschläge-Aufnahme bei einem eventuellen Keylogger zu vermeiden, ist aber wie gesagt auch nicht 100 pro sicher.

Die Einstellung guck ich mir heute am Abend mal über Regedit an und poste dann demnächst hier die Einstellung.

Die Dateien welche ich als "Test" ausführe sind z.B. XXX.vbs
Den Namen des enthaltenen Schadcodes poste ich auch demnächst, da mein Virenscanner nur wenige der infizierten Programme erkennt.

Kleiner Nachtrag noch zum Threadthema:

Was bringen Virenscanner, wenn man Phisingmails erhaltet, welche meiner Meinung nach viel gefährlicher sind als Dateianhänge mit Viren. Sicher, viele von uns reagieren nicht auf Phising, aber was macht die ältere Generation ? Ältere Menschen welche sich an Mailverkehr, Apps und Co lange gewöhnen mussten und nun fast täuschend echte Aufforderungen mittels Mail von Ihrer Hausbank erhalten, PIN und TAN Codes einzugeben ?

Hier bringt der beste Virenscanner und top gesicherter PC nichts.

#14

Zitat

Die Dateien welche ich als "Test" ausführe sind z.B. XXX.vbs

Du hast recht, ich muss mich korrigieren - habe das gerade mal auf Win7 SP1 ausprobiert - ein normales "Hallo Welt" funktioniert da.
Aber poste bitte trotzdem mal welche Scripte du ausführst, ich denke schon das es da Restriktionen gab und man nicht alles machen konnte.

Vermutlich habe ich das deswegen so geschrieben weil es über den Browser eben nicht mehr ohne weiteres möglich ist Scripte auszuführen (das betrifft auch WPF Plugins usw.)
Da müßte man ja wirklich mutwillig ein VBS lokal ausführen, warum sollte man das tuen.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#15 Guten Morgen Xeper,

ich mache das meistens so, ich gehe auf einen Hoster (bitte um Info an den Admin, ob man hier LINKS zu Seiten, welche man Testen posten darf), gebe ich Suchmodus dann z.B. : .vbs ein und gehe auf Enter. Dann lade ich mir ein oder mehrere VBS Files runter, die ich einmal abspeicher. (Nebenbei lasse ich immer DOS-Fenster, Eingabeaufforderung, Netstat -f laufen, damit nicht irgend eine Mailspam auf meinen Rechner womöglich startet) und führe File aus. Im TaskManager gehe ich unter "Ansicht" auf "Aktualisierungsgeschwindigkeit:Hoch" damit ich sehe, welche Programme, welche gerade aktiv sind drastisch verändern.

Abgesehen davon, interessiert mich dort die DWM (Desktopmanager). Wenn diese (steht bei mir meistens bei etwa 19.000) sich plötzlich erhöht, dann stimmt etwas nicht.

Gestern hat sich nach einem Test ein XYZ.VBS File meine Registry geändert. Ich konnte mit meiner linken Maustaste nicht mehr arbeiten, nur noch die rechte Taste war aktiv.

Habe darüber dann Emsisoft Anti Malwarebytes und Kaspersky Antivir laufen lassen, jedoch haben die Programme meine Autostart Datei nicht gereinigt, dies habe ich händisch machen müssen.

Dazu habe ich alle Sicherheitseinstellungen am PC zurück gestellt beim Test, bei der Virenreinigung wieder aktiviert.

Nach Reboot wurde mir ein Fenster angezeigt, dass eine Datei XYZ meine Registry verändern möchte und ob ich das zulassen will. Hier klickte ich natürlich auf NEIN.

Das VBS File war etwa 19 kb groß.

Xeper: Oja es geht. Bei Mozilla Firefox kannst Du die Files ohne Probleme downloaden ohne das das Programm schreit, bei Internet Explorer OKAY da schreibt er das es sich um eine ?gefähliche Datei handelt und man kann diese nicht ausführen. Es hängt somit immer auch vom jeweiligen Browser ab, welchen man auf seinem PC verwendet.