Frage an die IT-Security Experten Melde Dich an, um diesen Inhalt zu abonnieren 0

[Merlin 33]

Hi,

gerade habe ich eine Warnmeldung von meinem Norton-Virensacnner für eine exe-Datei bekommen, ohne diese ausgeführt zu haben.

Norton hat dann diese Datei sofort entfernt.

Es handelt sich um ein kommerzielles Programm, für welches ich bezahlt habe und welches ich heruntergeladen habe.

Eigentlich ist es eine Software, welche in wissenschaftlichen Studien schon zur Prüfung der Verbesserung der Intuition eingesetzt wurde.

Deswegen bin ich etwas erstaunt.

Kann mir jemand sagen, wie exe-Dateien von Scannern geprüft werden und wie hoch die Wahrscheinlichkeit für ein Fehlalarm ist?

Wird da auf Bit-Ebene nach bestimmten Mustern von Viren gesucht?

September 19, 2011 bearbeitet von Merlin

[olDirty 9]

Du hättest nen blick in die details werfen sollen und mal die norton datenbank zu diesem fall konsultieren können. Ansonsten google mal nach "virus" + "name des programms.exe" vlt ist ja was bekannt. Weiterer ansatz ist die quelle, von der du das programm her hast (in tauschbörsen werden häufig veränderte dateien angeboten). Deine bisherige formulierung ist zu ungenau und in nem forum wie bei fachinformatiker.de bist du bestimmt besser aufgehoben mit dieser frage.

[kaifromthebox 47]

Es werden in der Regel Mustervergleiche durchgeführt. Hat der AV-Scanner eine Virensignatur mit einem bestimmten Muster vorliegen und kommt dieses Muster in einer Datei vor besteht schon mal Malware-Verdacht. Wer seinen AV-Scanner so einstellt, dass es alles ohne Rückfrage löscht ist selbst schuld. False positives sind keine Seltenheit. Einige AV-Scanner besitzen auch weitere Funktionen, wie Heuristik, um unbekannte Malware erkennen zu können.

Das Problem ist, dass kein AV-Scanner 100%ig sicher ist und eben auch False positives hervor bringen kann. Aussage des BSI dazu ist, dass erst ab ab mindestens 3 verschiedenen eingesetzten AV-Scannern eine 90%ige Sicherheit besteht.

Im Grunde genommen ist der Einsatz von On-Access AV-Scannern wie Norton Blödsinn. Das ist so, als ob die Feuewehr die ganze Zeit im Ort herum fährt um zu sehen, ob es irgendwo brennt. Viel besser ist es Malware zu von vornherein zu vermeiden:

1. Benutze für ungeschützten Verkehr (womit wir wieder bei PU wären;-)) ein Kondom, sprich bei ungeschütztem Netzwerk-Verkehr eine Sandbox.

2. Installiere rechtzeitig alle Sicherheitspatches.

3. Bei unbekannten Dateien, die Du runterlädst benutze einen, oder besser mehrere, "On-Demand" AV-Scanner. Das ist der einzig sinnvolle Einsatz eines AV-Scanners.

4. Benutze ein vernünftiges Betriebssystem, das nicht so anfällig für Malware ist.

5. Niemals als Administrator an der Kiste arbeiten

6. Sichere deinen Rechner vernünftig ab, benutze Paketfilter (diie heute in der Regel schon in den DSL-Routern vorhanden sind) und bei WLAN eine gute Verschlüsselung (heutiger Stand ist WPA2).

[nalye 20]

4. Benutze ein vernünftiges Betriebssystem, das nicht so anfällig für Malware ist.

Da sichere ich mir mal ein "Bullshit-Veto"

Es gibt so markant viele Viren für Windows, weil das OS einfach nur unglaublich populär ist. Wäre Linux oder Mac OS X auf der "Beliebtheitsskala" jenseits der 80%+, dann gäbe es auch für diese mehrere Viren, Würmer, Trojaner etc. Die Aussage "Linux = sicher" ist einfach Schwachsinn^10, da man das nicht verallgemeinern kann!

Bestes Beispiel für Linux: Die massive Anzahl von 0-Days, die da kursieren... Momentan ist auch ein Trend zu vermehrten Antisec-Tools für OS X zu sehen.

MfG Florian, Sysadmin, MSCSA- und LPI-2-Inhaber

[itzi 1592]

Muss ich mir nun Gedanken machen mit meinem Ubuntu 10.04?

Naja, demnächst wollte ich mir eh mal wieder was neues draufziehen. Irgendeinen Vorschlag für einen x64 mit AMD-Karte?

[Shao 6453]

Es gibt so markant viele Viren für Windows, weil das OS einfach nur unglaublich populär ist. Wäre Linux oder Mac OS X auf der "Beliebtheitsskala" jenseits der 80%+, dann gäbe es auch für diese mehrere Viren, Würmer, Trojaner etc. Die Aussage "Linux = sicher" ist einfach Schwachsinn^10, da man das nicht verallgemeinern kann!

Ich behaupte jetzt mal, dass kein einziges System sicher ist. Ich hab in letzter Zeit auch einiges an Viren für Mac Systeme gesehen. Microsoft reagiert im Test ungefähr 3x so schnell auf Exploits und schickt Sicherheitsupdates raus wie Apple btw. Die haben damit auch etwas weniger Erfahrung, da sie einfach weniger Attacken abkriegen ;)

[nalye 20]

@Itzi: Passt schon

@Shao: Nichts anderes habe ich gesagt

[kaifromthebox 47]

4. Benutze ein vernünftiges Betriebssystem, das nicht so anfällig für Malware ist.

Da sichere ich mir mal ein "Bullshit-Veto"

Es gibt so markant viele Viren für Windows, weil das OS einfach nur unglaublich populär ist. Wäre Linux oder Mac OS X auf der "Beliebtheitsskala" jenseits der 80%+, dann gäbe es auch für diese mehrere Viren, Würmer, Trojaner etc. Die Aussage "Linux = sicher" ist einfach Schwachsinn^10, da man das nicht verallgemeinern kann!

Bestes Beispiel für Linux: Die massive Anzahl von 0-Days, die da kursieren... Momentan ist auch ein Trend zu vermehrten Antisec-Tools für OS X zu sehen.

MfG Florian, Sysadmin, MSCSA- und LPI-2-Inhaber

Jain. Teilweise trifft das Popularitätsargument sicher zu, teilweise aber auch nicht.

Zum einen arbeitet man in der Praxis unter unixoden Betriebssystemen wie Linux viel weniger als Root als wie unter Windows als Administrator. Zum anderen ist die große Vielfalt an Linux-Distributionen ein Hindernis - eine potentieller Malware-Autor hat viel weniger Anknüpfungspunkte, da die einzelnen Distros sich doch erheblich unterscheiden. Dazu kommt noch, dass man sich Software in der Regel aus den Paket-Repositories der Distribution zieht, und nicht von irgendwelchen ominösen Warez-Seiten. Trojaner sind damit schon mal außen vor.

Die Zero-Days betreffen in der Regel Exploits irgendwelcher Web-Skripte (PHP und co), seltener die Serversoftware selbst (Apache, etc.), was dann meist auch schnell gefixt wird. Beim Linux-Kernel gibt es öfter Schwachstellen die eine Privilegien-Eskalation erlauben, aber um diese auszunutzen musst Du ja erstmal lokalen Zugang zur Maschine haben, also zumindest einen SSH-Account.

Die grösste Gefahr unter Linux als Desktop ist der Webbrowser, der mit Abstand das häufigste Angriffsziel sein dürfte. Daher sollte man zumindest diesen immer aktuell halten.

Und jeder Einbruch den ich in den letzten 10 Jahren auf eine Linux-Kiste gesehen habe basierte auf zu schwachen Passwörtern. Daher: Immer schön schwer zu erratende Passwörter benutzen.

[Shao 6453]

Und jeder Einbruch den ich in den letzten 10 Jahren auf eine Linux-Kiste gesehen habe basierte auf zu schwachen Passwörtern. Daher: Immer schön schwer zu erratende Passwörter benutzen.

Echt? Ich hab bisher vor allem MITM Maßnahmen als Grundlage mitbekommen...

[nalye 20]

Hmm, ich würde da eher Spearphishing und Social Engineering an der Spitze sehen...

[kaifromthebox 47]

Nicht alles durcheinander bringen. Ich sprach ja von Einbrüchen auf Rechnern. Diese haben meist das Ziel entweder die Ressourcen der Maschine zu nutzen (z. B. als Teil eines Bot-Netzes), Schaden anzurichten (z. B. Defacement von Webseiten), oder gezielt Daten zu entwenden die auf der Maschine lagern.

Phishing/Social Engeneering dient meist dazu Zugangsdaten zu erhalten (z. B. Bankkonten oder andere Passwort-geschützte Bereiche). Natürlich können so auch Passwörter akquiriert werden, die dann zum Einbruch auf Maschinen führen, das ist aber m. E. selten, da viel zu mühsam. Viel einfacher ist es einfache Passwörter zu erraten, entweder mit Brute-Force oder Rainbow-Tables. Irgendwo findet man immer einen Account mit "Passwörtern" wie "12345". Hat man dann erstmal den Zugang und der Admin der Maschine ist nicht auf Zack findet man recht schnell einen Exploit, der einem höherwertige Rechte verschafft.

MITM ist zwar auch gut dafür geeignet Passwörter zu erspähen, eignet sich aber eher allgemein zum sniffen von Daten und wird deswegen meist dafür eingesetzt. Bekannt wurde in diesem Zusammenhang kürzlich das DigiNotar-Disaster, als sich Leute (vermutlich die iranische Regierung) mit einer gestohlenen Root-CA von DigiNotar gültige SSL-Zertifikate ausstellten und damit durch MITM mutmaßlich sämtlichen Googlemail-Verkehr iranischer Benutzer mitbekamen. Die Root-CA zu stehlen erforderte zuvor natürlich einen Einbruch auf den DigiNotar-Server und der wurde möglich - tadaa - aufgrund eines schwachen Passworts.

[afc_squared 25]

@Itzi: Nalye hat zwar im Prinzip Recht, über dein Ubuntu brauchst du dir trotzdem keine Sorgen zu machen so lange du alle Updates brav einspielst.. was bei der Langzeitversion Version 10.04 ja noch eine Weile lang kein Problem sein dürfte. (Siehe https://wiki.ubuntu.com/LTS)

Wie oben gesagt hat jedes Betriebssystem Schwachstellen, aber für die 1,6% Desktop Systeme die in Deutschland unter Linux laufen (weltweit sind es weniger), mit ihrer Klientel mit hohem Rechner Enthusiasten Anteil und der Tatsache dass man unter Linux kaum "Klauware" benutzt weil es für fast alles gute Open Source Software gibt.... das macht Linux Desktops für Computerkriminelle ziemlich uninteressant so lange man unter Windows viel mehr Leute viel leichter abzocken kann.

Mac ist zwar auch nicht so verbreitet, aber aufgrund der tendentiell betuchteren Klientel lohnt es sich da eher...

=> ein gut gewartetes Desktop Linux ist sehr sehr sicher.

Bei Servern soll es bereits kommerzielle Würmer geben da diese häufiger sind. Das dürfte den normalen Desktop User hinter seinem Router mit Paketfilter aber nicht groß jucken.

September 20, 2011 bearbeitet von afc_squared

[afc_squared 25]

@Merlin: guck doch mal ob du die Datei in einem Quarantäne Bereich des Scanners findest.

Allgemein würde ich einen On Access Scanner immer so einstellen dass er die Dateien verschiebt aber nicht löscht.

Ob eine Datei auch von anderen Scannern als gefährlich eingestuft wird kannst du mit Online Scannern wie Jotti prüfen. Wenn ja würde ich das Programm (wenn es legal gekauft oder selbst compiliert wurde) an einen Antiviren Hersteller schicken mit der Bitte es zu prüfen.

(Bei Delphi soll es mal einen Virus gegeben haben der die Entwicklungsumgebung verseuchte und sich über damit kompilierte Programme weiterverbreitete .. geniale Idee weil die Kunden dieser Entwickler diesen schließlich vertrauen.. und die Entwickler gar nicht wissen dass sie Schadsoftware mitverteilen...)

Selbstverständlich gibt es bei Scannern falsche Alarme, vor allem wenn ein Packer verwendet wurde der auch bei Viren zum Einsatz kommt oder wenn die Heuristik Ähnlichkeiten zu bekannten Schadprogrammen findet...

Wenn es sich um ein teures Programm handelt kannst du auch versuchen es mit Tesdisk / Photorec oder ähnlicher Software wiederherzustellen.

September 20, 2011 bearbeitet von afc_squared

[Merlin 33]

Vielen Dank an alle für die umfangreichen Antworten.

@ afc_squared: Werde Deinen Rat befolgen und zusätzlich Online Scanner einsetzen. Gerade deshalb, weil ich denke, dass da Norton vorschnell wg. dieses Themas Alarm gegeben hat:

http://securityresponse.symantec.com/secur...;vid=4294919973

http://www.mindworkshop.info/windows/the-n...false-positive/

@Herry: Habe bei der Installation meines VS bequemerweise die Default Einstellungen übernommen, werde aber auf on-demand umstellen.

Das mit dem anderen OS ist leider nicht möglich (so gern ich früher auf dem Mac gearbeitet habe), da es sich um ein Spezialprogramm zur Verbesserung der Intuition (in Studien getestet) handelt,welches nur auf Windows läuft.

Und da ich bereits ein neues Verfahren entwickelt habe, das die Intuition von Fußballern misst und auch bei einem Bundesligisten bereits im Einsatz ist, möchte ich dieses Programm unbedingt zusätzlich erproben.

September 23, 2011 bearbeitet von Merlin

[nalye 20]

welches nur auf Windows läuft.

- Parallels

- vmWare

- Bootcamp

- Wine

- mono (über Ports)