ebay-Mail geändert - Nod32<>ClamAV

SchUFT_Pinky · 17.04.2007

Zur Zeit werden wir ja wieder von Viren-Mails heimgesucht. Dieses Mal sind es ebay-Mails wegen angeblich geänderter Mail-Adresse.

Wie dem auch sei, die Dinger erkennt man blind als virenverseucht. Als Anhang gibt es in Zip-Archiv mit einer ebay.doc.exe als Inhalt - doppelte Dateiendung.

Nun stand ich neulich vor der Problematik meinen Nod32 zu verlängern oder auf ClamAVWin umzusteigen. Clam gefiehl mir eigentlich recht gut, schnitt aber miserabel in der c't 05/07 ab (Heuristik was ist das?). Nod32 war wieder mal top in der Heuristik, IMO eines oder das wichtigste Kriterium.

Also gut doch noch mal 24,-? für 1 Jahr Nod32 inverstiert. Nod32 soll ja jetzt auch Spy-/Ad und Riskware erkennen und dann natürlich potentially unwanted and unsafe Applications.

Feine Sache, nur diesen selten dämlich getarnten Trojaner erkennt Nod32 weder ge- noch entpackt. Clam schreit sofort, zur Erinnerung das war der Scanner quasi ohne Heuristik laut Test.
Wenn schon die Heuristik nicht klappt dann sollte doch schon alleine die doppelte Dateiendung als potentially unsafe gelten.

Komme mir grad leicht verarscht vor.
Zufällig auf heise-Security grad wieder von 2 Sicherheitslücken bei Clam gelesen inkl. einer fetten Werbung für Nod32 mitten im Artikel...

Hab das File dann mal auf virustotal.com scannen lassen und finde das Ergebnis für einen Virus mit Ansage äusserst erschreckend:

http://www.virustotal.com/en/indexx.html

Der unbedarfte User der sich auf die Scanner verlässt bzw. verlassen muss kann einem IMO nur Leid tun.

Eddie · 17.04.2007

Haste die Datei mal an die Entwickler von NOD32 geschickt?

Eddie

SchUFT_Pinky · 17.04.2007

Nö, da hatte ich gestern keine Lust mehr drauf den Virus einzuschicken.

Mir geht auch mehr darum, dass diese tolle Funktion potentiell unsichere Applikationen User nicht mal vor etwas so simplen wie einer doppelten Dateiendung warnt.

Für mich hab ich nun endgültig entschieden zukünftig Clam und/oder einen Online-Scanner zu verwenden.

mmk · 18.04.2007

MrOrange schrieb:
Wie dem auch sei, die Dinger erkennt man blind als virenverseucht.

Prima, dann hat die eigene Heuristik bestens funktioniert - so soll es sein.

Nod32 war wieder mal top in der Heuristik, IMO eines oder das wichtigste Kriterium.

Das ist im Prinzip korrekt - durch das weiterhin stetig steigende Schädlingsaufkommen wird es immer wichtiger, Malware bereits ohne Signaturenupdates zu erkennen. Nichts desto trotz bleibt auch die Bedeutung schneller Reaktionen auf neue Schädlinge durch passende Signaturen erhalten, denn nicht jeder wird heuristisch erkannt.

Also gut doch noch mal 24,-? für 1 Jahr Nod32 inverstiert.

So ist das nun einmal: Die Leistungen müssen bezahlt werden, Malware-Analysten sind ständig damit beschäftigt, Dateien zu prüfen und Signaturen für Schädlinge zu erstellen - diese Arbeit und die Arbeitsplätze müssen auch irgendwie bezahlt werden.

Nod32 soll ja jetzt auch Spy-/Ad und Riskware erkennen und dann natürlich potentially unwanted and unsafe Applications.

Ja, das bezieht sich auf Programme, die zwar nicht als Malware einzustufen, evtl. aber unerwünscht sind. So z.B. Adware oder FTP-Server, die möglicherweise ein Sicherheitsrisiko bergen könnten.

Feine Sache, nur diesen selten dämlich getarnten Trojaner erkennt Nod32 weder ge- noch entpackt.

Weil die Heuristik in diesem Fall nicht griff und eine passende Signatur noch fehlte.

Clam schreit sofort, zur Erinnerung das war der Scanner quasi ohne Heuristik laut Test.

Die Erkennung erfolgte signaturenbasiert, das hatte in diesem Fall nichts mit Heuristik zu tun.

Wenn schon die Heuristik nicht klappt dann sollte doch schon alleine die doppelte Dateiendung als potentially unsafe gelten.

Das wäre dann aber auch eine Form der proaktiven Erkennung. Sieht man im ersten Deiner Screenshots ganz gut an der Erkennung durch AntiVir.

Komme mir grad leicht verarscht vor.

Weshalb?

Zufällig auf heise-Security grad wieder von 2 Sicherheitslücken bei Clam gelesen inkl. einer fetten Werbung für Nod32 mitten im Artikel...

Nun ja, heise.de wird sicher nicht wissen können, dass Du genau zwischen ClamAV und NOD32 in Deiner Entscheidung schwanktest. Insofern sicher ein Zufall, zumal heise.de in der Regel sehr objektiv berichtet - auch NOD32-Schwachstellen waren dort bereits Thema:

http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/71743&words=NOD32
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/82830&words=NOD32

Hab das File dann mal auf virustotal.com scannen lassen und finde das Ergebnis für einen Virus mit Ansage äusserst erschreckend:

Solche Ergebnisbilder kommen durchaus vor, es kann sogar noch schlechter aussehen:

http://sicher-ins-netz.info/img/malwarescan/svehost-scan.png

Das eine Mal finden die einen Scanner mehr, beim nächsten Mal jedoch kann es schon wieder ganz anders aussehen.

Der unbedarfte User der sich auf die Scanner verlässt bzw. verlassen muss kann einem IMO nur Leid tun.

Nur weil man einen Virenscanner einsetzt, heißt das ja noch lange nicht, dass man fortan am PC das logische Denken abschalten kann.

Nö, da hatte ich gestern keine Lust mehr drauf den Virus einzuschicken.

In dem Wissen, dass einem AV-Lab durchaus Schädlinge entgehen könnten, wäre es doch auch anderen Nutzern gegenüber sinnvoll, so eine Datei einzusenden. Davon profitieren dann Dritte, die durch eine Erkennung dieses Schädlings geschützt sind. Das nächste Mal sendet jemand anderer so eine Datei ein, Du bist dieses Mal der Nutznießer, weil der Scanner die Malware bereits erkennt.

Mir geht auch mehr darum, dass diese tolle Funktion potentiell unsichere Applikationen User nicht mal vor etwas so simplen wie einer doppelten Dateiendung warnt.

Diese Funktion ist dafür nicht gedacht. Ich stimme Dir allerdings zu, dass man so eine Warnung für doppelte Suffixes dieser Art prinzipiell einbauen sollte.

Eddie · 18.04.2007

Diese Funktion ist dafür nicht gedacht. Ich stimme Dir allerdings zu, dass man so eine Warnung für doppelte Suffixes dieser Art prinzipiell einbauen sollte.

Wieso? Nur weil MS meint, man müsste bekannte Dateiendungen ausblenden? Diese blödsinnige Einstellung habe ich noch nie verstanden und sie ist das Erste, das ich ausschalte. Mich würde ein entsprechender Hinweis der Antivirenprogramme deswegen nur nerven.

Eddie

SchUFT_Pinky · 18.04.2007

Prima, dann hat die eigene Heuristik bestens funktioniert - so soll es sein.

Meine Heuristik hat mich noch nie im Stich gelassen

Nun ja, heise.de wird sicher nicht wissen können, dass Du genau zwischen ClamAV und NOD32 in Deiner Entscheidung schwanktest. Insofern sicher ein Zufall,

Das meinte ich damit nicht ;D

In dem Wissen, dass einem AV-Lab durchaus Schädlinge entgehen könnten, wäre es doch auch anderen Nutzern gegenüber sinnvoll, so eine Datei einzusenden. Davon profitieren dann Dritte, die durch eine Erkennung dieses Schädlings geschützt sind. Das nächste Mal sendet jemand anderer so eine Datei ein, Du bist dieses Mal der Nutznießer, weil der Scanner die Malware bereits erkennt.

Ich bin mir dessen durchaus bewusst, aber ich hatte wie geschrieben einfach kein Lust.
Übrigens ein entsprechendes Signatur-Update war heute morgen immer noch nicht da, Nod32 erkennt dern Trojaner immer noch nicht und richtig, ich habe immer noch keine Lust.

Nur weil man einen Virenscanner einsetzt, heißt das ja noch lange nicht, dass man fortan am PC das logische Denken abschalten kann.

Die Realität scheinst Du aber zu verdrängen ;D

mmk · 18.04.2007

Eddie schrieb:
Wieso? Nur weil MS meint, man müsste bekannte Dateiendungen ausblenden? Diese blödsinnige Einstellung habe ich noch nie verstanden und sie ist das Erste, das ich ausschalte.

Richtig - diese Maßnahme ist eigentlich dringend jedem zu empfehlen, der ein System erstmalig in Betrieb nimmt.
Auch mit Vista wurde die Situation ja leider nicht grundlegend verbessert.

Mich würde ein entsprechender Hinweis der Antivirenprogramme deswegen nur nerven.

Nun, wenn solche Meldungen auf Dateien mit *.doc.exe oder *.pdf.exe erfolgen würden, hätte man solche Warnungen fast nur bei wirklicher Malware, denn niemand sollte sinnvoller Weise harmlosen Dateien solche Bezeichnungen geben. Für die von MrOrange benannte Benutzergruppe, die sich evtl. zu sehr nur auf den Virenscanner verlässt, könnte so eine Erkennungsfunktion jedoch eine sinnvolle Hilfe sein.

MrOrange schrieb:
Meine Heuristik hat mich noch nie im Stich gelassen

Na, dann hast Du damit doch genau die Zuverlässigkeit, die Du brauchst.

Das meinte ich damit nicht ;D

Das ist schon klar, Du meintest die Kombination der Meldung von Sicherheitslücken in ClamAV mit der gleichzeitigen Werbeanzeige für ein anderes AntiViren-Programm. Daher nannte ich auch zwei Meldungen zu Lücken in NOD32, die bei heise in der Vergangenheit auftauchten. Solche Werbeeinblendungen werden halt zielgerichtet themenspezifisch platziert - bei Meldungen zu Sicherheitsproblemen, neuer Malware, usw., findet man Werbung für Virenscanner, Firewalls, und so weiter, und so fort.

Übrigens ein entsprechendes Signatur-Update war heute morgen immer noch nicht da, Nod32 erkennt dern Trojaner immer noch nicht und richtig, ich habe immer noch keine Lust.

Dann sind mehrere unterschiedliche Varianten dieser Malware in den Mails unterwegs - ein verseuchter Anhang, der vorgestern (u.a. auch von NOD32) noch nicht erkannt wurde, wird inzwischen als Schädling identifiziert (allerdings habe ich den Trojan-Downloader nicht nur an Eset, sondern auch andere AV-Labs weitergeleitet, die über noch keine Erkennung verfügten).

Die Realität scheinst Du aber zu verdrängen ;D

Nö, mir ist schon bewusst, dass sich sehr viele Nutzer, viel zu viele, nur auf ihre Hilfssoftware verlassen - sonst würde man ja auch nicht so viele infizierte Systeme vorfinden, ob nun mit oder ohne Virenscanner bestückt.

Man muss diesen Umstand jedoch nicht als unabänderlich einordnen, sondern kann durchaus darauf hinwirken, das Grundwissen solcher Nutzer verbessern zu helfen - ob nun in Foren, im privaten Umfeld, oder sonstwo. Dazu kann natürlich auch gehören, dass die AV-Hersteller eine proaktive Erkennung für doppelte Dateiendungen bereitstellen.

SchUFT_Pinky · 18.04.2007

Dann sind mehrere unterschiedliche Varianten dieser Malware in den Mails unterwegs

Stimmt, das ist natürlich sehr gut möglich. Es gibt ja ausreichend Buchstaben um die verschiedenen Varianten zu bezeichnen ;D.

Man muss diesen Umstand jedoch nicht als unabänderlich einordnen, sondern kann durchaus darauf hinwirken, das Grundwissen solcher Nutzer verbessern zu helfen - ob nun in Foren, im privaten Umfeld, oder sonstwo. Dazu kann natürlich auch gehören, dass die AV-Hersteller eine proaktive Erkennung für doppelte Dateiendungen bereitstellen.

Als unabänderlich will ich den auch gar nicht einordnen.
Die Erkennung von doppelten Endungen gehört mich essentiell genauso dazu so wie die Erkennung von Schädlingen aus der ITW-Liste.
Ich verstehe auch Eddies Argument, aber man sowas ja auch abschaltbar machen.

Ich halte ja Nod32 auch weiterhin für einen der guten AV-Scanner, mir ist das eben nur sauer aufgestossen.
U.a. weil ich wieder 24.-? für nix ausgegeben haben, ich fass mich da aber schon auch an die eigene Nase...

ebay-Mail geändert - Nod32<>ClamAV

SchUFT_Pinky

Eddie

SchUFT_Pinky

mmk

Eddie

SchUFT_Pinky

mmk

SchUFT_Pinky

ebay-Mail geändert - Nod32<>ClamAV

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums