ebay-Mail geändert - Nod32<>ClamAV

Dieses Thema ebay-Mail geändert - Nod32<>ClamAV im Forum "Firewalls & Virenscanner" wurde erstellt von SchUFT_Pinky, 17. Apr. 2007.

Thema: ebay-Mail geändert - Nod32<>ClamAV Zur Zeit werden wir ja wieder von Viren-Mails heimgesucht. Dieses Mal sind es ebay-Mails wegen angeblich geänderter...

  1. Zur Zeit werden wir ja wieder von Viren-Mails heimgesucht. Dieses Mal sind es ebay-Mails wegen angeblich geänderter Mail-Adresse.

    Wie dem auch sei, die Dinger erkennt man blind als virenverseucht. Als Anhang gibt es in Zip-Archiv mit einer ebay.doc.exe als Inhalt - doppelte Dateiendung.

    Nun stand ich neulich vor der Problematik meinen Nod32 zu verlängern oder auf ClamAVWin umzusteigen. Clam gefiehl mir eigentlich recht gut, schnitt aber miserabel in der c't 05/07 ab (Heuristik was ist das?). Nod32 war wieder mal top in der Heuristik, IMO eines oder das wichtigste Kriterium.

    Also gut doch noch mal 24,-? für 1 Jahr Nod32 inverstiert. Nod32 soll ja jetzt auch Spy-/Ad und Riskware erkennen und dann natürlich potentially unwanted and unsafe Applications.

    Feine Sache, nur diesen selten dämlich getarnten Trojaner erkennt Nod32 weder ge- noch entpackt. Clam schreit sofort, zur Erinnerung das war der Scanner quasi ohne Heuristik laut Test.
    Wenn schon die Heuristik nicht klappt dann sollte doch schon alleine die doppelte Dateiendung als potentially unsafe gelten.

    Komme mir grad leicht verarscht vor.
    Zufällig auf heise-Security grad wieder von 2 Sicherheitslücken bei Clam gelesen inkl. einer fetten Werbung für Nod32 mitten im Artikel...

    Hab das File dann mal auf virustotal.com scannen lassen und finde das Ergebnis für einen Virus mit Ansage äusserst erschreckend:

    [​IMG]

    [​IMG]

    http://www.virustotal.com/en/indexx.html

    Der unbedarfte User der sich auf die Scanner verlässt bzw. verlassen muss kann einem IMO nur Leid tun.
     
  2. Haste die Datei mal an die Entwickler von NOD32 geschickt?

    Eddie
     
  3. Nö, da hatte ich gestern keine Lust mehr drauf den Virus einzuschicken.

    Mir geht auch mehr darum, dass diese tolle Funktion potentiell unsichere Applikationen User nicht mal vor etwas so simplen wie einer doppelten Dateiendung warnt.

    Für mich hab ich nun endgültig entschieden zukünftig Clam und/oder einen Online-Scanner zu verwenden.
     
  4. mmk
    mmk
    Prima, dann hat die eigene Heuristik bestens funktioniert - so soll es sein. :)

    Das ist im Prinzip korrekt - durch das weiterhin stetig steigende Schädlingsaufkommen wird es immer wichtiger, Malware bereits ohne Signaturenupdates zu erkennen. Nichts desto trotz bleibt auch die Bedeutung schneller Reaktionen auf neue Schädlinge durch passende Signaturen erhalten, denn nicht jeder wird heuristisch erkannt.

    So ist das nun einmal: Die Leistungen müssen bezahlt werden, Malware-Analysten sind ständig damit beschäftigt, Dateien zu prüfen und Signaturen für Schädlinge zu erstellen - diese Arbeit und die Arbeitsplätze müssen auch irgendwie bezahlt werden.

    Ja, das bezieht sich auf Programme, die zwar nicht als Malware einzustufen, evtl. aber unerwünscht sind. So z.B. Adware oder FTP-Server, die möglicherweise ein Sicherheitsrisiko bergen könnten.

    Weil die Heuristik in diesem Fall nicht griff und eine passende Signatur noch fehlte.

    Die Erkennung erfolgte signaturenbasiert, das hatte in diesem Fall nichts mit Heuristik zu tun.

    Das wäre dann aber auch eine Form der proaktiven Erkennung. Sieht man im ersten Deiner Screenshots ganz gut an der Erkennung durch AntiVir.

    Weshalb?

    Nun ja, heise.de wird sicher nicht wissen können, dass Du genau zwischen ClamAV und NOD32 in Deiner Entscheidung schwanktest. Insofern sicher ein Zufall, zumal heise.de in der Regel sehr objektiv berichtet - auch NOD32-Schwachstellen waren dort bereits Thema:

    http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/71743&amp;words=NOD32
    http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/82830&amp;words=NOD32

    Solche Ergebnisbilder kommen durchaus vor, es kann sogar noch schlechter aussehen:

    http://sicher-ins-netz.info/img/malwarescan/svehost-scan.png

    Das eine Mal finden die einen Scanner mehr, beim nächsten Mal jedoch kann es schon wieder ganz anders aussehen.

    Nur weil man einen Virenscanner einsetzt, heißt das ja noch lange nicht, dass man fortan am PC das logische Denken abschalten kann.

    In dem Wissen, dass einem AV-Lab durchaus Schädlinge entgehen könnten, wäre es doch auch anderen Nutzern gegenüber sinnvoll, so eine Datei einzusenden. Davon profitieren dann Dritte, die durch eine Erkennung dieses Schädlings geschützt sind. Das nächste Mal sendet jemand anderer so eine Datei ein, Du bist dieses Mal der Nutznießer, weil der Scanner die Malware bereits erkennt.

    Diese Funktion ist dafür nicht gedacht. Ich stimme Dir allerdings zu, dass man so eine Warnung für doppelte Suffixes dieser Art prinzipiell einbauen sollte.
     
  5. Wieso? Nur weil MS meint, man müsste bekannte Dateiendungen ausblenden? Diese blödsinnige Einstellung habe ich noch nie verstanden und sie ist das Erste, das ich ausschalte. Mich würde ein entsprechender Hinweis der Antivirenprogramme deswegen nur nerven. ;)

    Eddie
     
  6. Meine Heuristik hat mich noch nie im Stich gelassen ;)

    Das meinte ich damit nicht ;D

    Ich bin mir dessen durchaus bewusst, aber ich hatte wie geschrieben einfach kein Lust.
    Übrigens ein entsprechendes Signatur-Update war heute morgen immer noch nicht da, Nod32 erkennt dern Trojaner immer noch nicht und richtig, ich habe immer noch keine Lust.

    Die Realität scheinst Du aber zu verdrängen ;D
     
  7. mmk
    mmk
    Richtig - diese Maßnahme ist eigentlich dringend jedem zu empfehlen, der ein System erstmalig in Betrieb nimmt.
    Auch mit Vista wurde die Situation ja leider nicht grundlegend verbessert.

    Nun, wenn solche Meldungen auf Dateien mit *.doc.exe oder *.pdf.exe erfolgen würden, hätte man solche Warnungen fast nur bei wirklicher Malware, denn niemand sollte sinnvoller Weise harmlosen Dateien solche Bezeichnungen geben. Für die von MrOrange benannte Benutzergruppe, die sich evtl. zu sehr nur auf den Virenscanner verlässt, könnte so eine Erkennungsfunktion jedoch eine sinnvolle Hilfe sein.

    Na, dann hast Du damit doch genau die Zuverlässigkeit, die Du brauchst.

    Das ist schon klar, Du meintest die Kombination der Meldung von Sicherheitslücken in ClamAV mit der gleichzeitigen Werbeanzeige für ein anderes AntiViren-Programm. Daher nannte ich auch zwei Meldungen zu Lücken in NOD32, die bei heise in der Vergangenheit auftauchten. Solche Werbeeinblendungen werden halt zielgerichtet themenspezifisch platziert - bei Meldungen zu Sicherheitsproblemen, neuer Malware, usw., findet man Werbung für Virenscanner, Firewalls, und so weiter, und so fort.

    Dann sind mehrere unterschiedliche Varianten dieser Malware in den Mails unterwegs - ein verseuchter Anhang, der vorgestern (u.a. auch von NOD32) noch nicht erkannt wurde, wird inzwischen als Schädling identifiziert (allerdings habe ich den Trojan-Downloader nicht nur an Eset, sondern auch andere AV-Labs weitergeleitet, die über noch keine Erkennung verfügten).

    Nö, mir ist schon bewusst, dass sich sehr viele Nutzer, viel zu viele, nur auf ihre Hilfssoftware verlassen - sonst würde man ja auch nicht so viele infizierte Systeme vorfinden, ob nun mit oder ohne Virenscanner bestückt.

    Man muss diesen Umstand jedoch nicht als unabänderlich einordnen, sondern kann durchaus darauf hinwirken, das Grundwissen solcher Nutzer verbessern zu helfen - ob nun in Foren, im privaten Umfeld, oder sonstwo. Dazu kann natürlich auch gehören, dass die AV-Hersteller eine proaktive Erkennung für doppelte Dateiendungen bereitstellen.
     
  8. Stimmt, das ist natürlich sehr gut möglich. Es gibt ja ausreichend Buchstaben um die verschiedenen Varianten zu bezeichnen ;D.

    Als unabänderlich will ich den auch gar nicht einordnen.
    Die Erkennung von doppelten Endungen gehört mich essentiell genauso dazu so wie die Erkennung von Schädlingen aus der ITW-Liste.
    Ich verstehe auch Eddies Argument, aber man sowas ja auch abschaltbar machen.

    Ich halte ja Nod32 auch weiterhin für einen der guten AV-Scanner, mir ist das eben nur sauer aufgestossen.
    U.a. weil ich wieder 24.-? für nix ausgegeben haben, ich fass mich da aber schon auch an die eigene Nase...
     
Die Seite wird geladen...

ebay-Mail geändert - Nod32<>ClamAV - Ähnliche Themen

Forum Datum
Bilder in ebay-Mails werden nicht angezeigt Windows XP Forum 8. Mai 2008
Geänderte Laufwerkbuchstaben Windows 7 Forum 16. Aug. 2015
Backup mit XCOPY (nur geänderte, neuere Dateien) Windows XP Forum 8. Mai 2015
Windows Schrift hat sich geändert. Windows 7 Forum 4. Mai 2015
Anzeige von Dateitypen-Erweiterungen von Geisterhand geändert? Windows 7 Forum 10. März 2013