Inwiefern ist AntiVir Glauben zu schenken?

mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“

04.08.2008, 18:24 Optionen

Erstmal:
Ein Virenprogramm kann es dann etwas finden, wenn es bekannt ist.

Allerdings mit der Heuristik wird nach ähnlichen Mustern gesucht und dann wird es als Suspect ausgegeben. (Suspicious file)

Antivir ist sicherlich da ein wenig "übermotiviert".
Schick denen doch einfach das File zur Überprüfung. Danach werden die ihre Viren-Datenbank anpassen und es wird nicht mehr angemault.

mediapcuser

peterson „Erstmal: Ein Virenprogramm kann es dann etwas finden, wenn es bekannt ist....“

04.08.2008, 21:31 Optionen

Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es sich um eine Falschmeldung handelt, nicht alleine zu sein. Aber es verunsichert doch enorm, wenn man einen solchen Fund bekommt.

peterson

mediapcuser „Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es...“

04.08.2008, 23:18 Optionen

Virenscanner.

Antivir hat das Programm bei mir nicht innerhalb eines Jahres zum Laufen gebracht.

(Bezahlversion)

mmk

peterson „Dann nimm halt einen vernünftigen“

05.08.2008, 23:13 Optionen

Dann nimm halt einen vernünftigen Virenscanner.

Antivir hat das Programm bei mir nicht innerhalb eines Jahres zum Laufen gebracht.

Dass ein Programm, insbesondere ein Virenscanner, der einen gewissen Schutz gewähren soll, "zum Laufen gebracht" werden kann bzw. "vernünftig läuft", ist die Grundvoraussetzung für dessen Betrieb.

Allerdings: Wenn so ein Programm denn mal "läuft", und da ist es egal, ob es sich um einen Avira, Norton AV oder Kaspersky handelt: Fehlalarme können bei allen auftreten, sie können es nicht nur, sie sind auch "tatsächlich" zu beobachten. Insofern wird ein Virenscannerwechsel keine grundlegende Besserung mit sich bringen.

mmk

mediapcuser „Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es...“

05.08.2008, 23:08 Optionen

Aber es verunsichert doch enorm, wenn man einen solchen Fund bekommt.

Daher ist es auch von grundlegender Bedeutung, Meldungen von Virenscannern jederzeit richtig einschätzen zu können.

jueki

mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“

05.08.2008, 00:32 Optionen

Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir Workstation gekauft.
Das Programm hat mich und die von mir betreuten PCs ziemlich zuverlässig vor Schaden bewahrt.
Richtig eingestellt, halten sich die (fast immer durch die Heuristik verursachten) Alarme in Grenzen.
Ich hatte in den vergangenen Jahren grad mal 3 Fehlalarme.

Jürgen

mediapcuser

jueki „Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir...“

05.08.2008, 11:33 Optionen

Okay, also ich habe im Großen und Ganzen die Standardeinstellungen, bis auf dass ich alle Dateien durchsuchen lasse und die Rootkit Suche aktiviert habe.
Die Heuristik ist bei mir auf Mittel, ist das denn noch zu viel?

jueki

mediapcuser „Okay, also ich habe im Großen und Ganzen die Standardeinstellungen, bis auf...“

05.08.2008, 11:49 Optionen

...habe ich ebenfalls.
Noch eines - ich lege den kompletten Ordner
C:\ Dokumente und Einstellungen\ All Users\ Anwendungsdaten\ Avira\ AntiVir Workstation\ *.*\
in eine logische Partition.
Damit habe ich recht gute Erfahrungen gemacht, ist dieser wichtige Knotenpunkt doch damit etwas entfernt vom eigentlichen Ziel möglicher Angriffe - dem Betriebssystem.
Ich lasse die von mir eingerichteten PCs täglich im 6- Stunden- Abstand updaten, und zwar "unsichtbar".
Die Fehlalarme meldete ich jedesmal - eines davon war gar mein Lieblingstool "German nLite 1.0 final".

Jürgen

mmk

jueki „Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir...“

05.08.2008, 23:16 Optionen

Richtig eingestellt

Genau - das ist ein weiterer wichtiger Punkt, der oft keine Berücksichtigung findet: Programme werden schlicht in Standardkonfiguration belassen - mit entsprechenden Konsequenzen im Laufe der Zeit.

mmk

mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“

05.08.2008, 23:06 Optionen

ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.

Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:WindowsTemp als .tmp Datei.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.

Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.

Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.

Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.

mediapcuser

mmk „ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den...“

06.08.2008, 12:02 Optionen

@mmk:

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.

Eine genauere Analyse hat durchaus stattgefunden, habe ich vergessen zu schreiben. Auch ein Scan mit Ad-Aware, Spybot und HijackThis brachte nach dem Fund keine Treffer.
Der Fundort war auch damals schon im Temp-Verzeichnis.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Ok, daran habe ich nicht gedacht, das wäre aber die naheliegendste logische Erklärung.

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.

Das ist mir klar, genau das war ja der Grund weshalb ich dieses Forum hier konsultiert habe.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.

Sicher, aber für mich persönlich macht es doch einen Unterschied, ob jetzt "CAT-QuickHeal", was ich noch nie gehört habe, oder Kaspersky einen Fund vermeldet. Das kann man aber sicher auch anders sehen.

Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.

Die Story wirkt ziemlich übertrieben, aber ich glaube im Endeffekt ist sie realistischer als man denkt. Die dort genannten Schutzmechanismen sind mir bekannt.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.

Das habe ich ja auch getan, nach dem Tipp von peterson. Hoffentlich hat es was gebracht.

jueki

mediapcuser „@mmk: Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht. 1. Es...“

06.08.2008, 12:37 Optionen

Mal eine kleine Ergänzung dazu:
"Der Fundort war auch damals schon im Temp-Verzeichnis"
Da habe ich mir auch eine kleine Änderung einfallen lassen.
Ich habe per Reg- Datei alle tmp und temp aus dem Betriebssystem in eine logische Partition verlegt. Mache ich immer gleich nach einer Neuinstallation.
(zu finden in der Reg unter HKey_Users/.../Environment/)
Und mit Hilfe eines Scripts (*.cmd) und der Rechtevergabe lösche ich diesen Ordner bei jedem Bootvorgang.
Hab ich hier beschrieben:
http://www.juekirs.de/Dateien/systemhygiene.pdf
Hat sich bisher sehr bewährt, diese Methode.

Jürgen

Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge