Frage an die Experten - Bester Malware Scanner fundiertert mit belegter Begründung

Und weils so schön ist und die naive Vermutung widerlegt, AVs mit Sandboxen wären "besser":

http://heise.de/-2824437

Viel Spaß beim Lesen, Garack.

Was die Malware-Erkennung bei Virustotal.com angeht, hier ein schönes Beispiel von HEUTE (!!):

Eingereicht wurde das Sample kurz nach 16 Uhr und erkannt haben es nur 2 von 56 Scannern (Rising und Tencent, also nicht mal eines der namhaften). Es handelt sich um eine Variante der sehr bekannten Malware "Upatre", die erstmals im August 2013 auffiel. Trotzdem versagen die AVs reihenweise.

VT_upatre.png
 
Zuletzt bearbeitet:
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

max_1234 schrieb:
Jedes AV Tool kann umgangen werden. Ich habe im Rahmen meines Studiums einen POC hierfür durchgeführt und konnta Avira, Avast, Kaspersky und Norton (360) komplett umgehen, um bestehenden Schadcode auszuführen.

Guter Beitrag!

Was hälst du von dem HIPS der PrivateFirewall?
Kann man das ebenfalls einfach so ausknipsen?
Ergänzung ()

Garack schrieb:
Somit ist Avast (hat eine Sandbox) in meinem Augen sicherer und besser als Scanner XX.

schau mal dort:
https://code.google.com/p/google-security-research/issues/detail?id=546

Im Screenshot steht calc.exe als Kindprozess von Avast.
Das bedeutet: der Angreifer konnte eine Schwachstelle von Avast dazu ausnutzen, um jedes beliebige Programm zu starten.
Dieser eine Bug im Avast wurde inzwischen gefixt. Einige weitere Bugs sind natürlich immer noch offen. In sämtlichen Antivirus-Programmen.
Ein Angreifer hat durch die Ausnutzung eines dieser Bugs dann Zugriff auf den Ring 0 des Betriebssystem, also auf Kernelebene, denn nur so können Antivirusprogramme überhaupt funktionieren.
Es ist also sicherer, wenn man solche Programme (Anti-Virus) gar nicht erst installiert hat, denn dann hat man auf jeden Fall dessen Bugs schonmal nicht im System und damit weniger Schwachstellen.

Ein guter Schutz sind mehrere getrennte virtuelle Maschinen mit vmWare.
Persönliche Daten liegen in der einen VM.
Internet-Surfen macht man mit einer anderen VM (bevorzugt Linux-Gast OS).
Neue Programme testet man erstmal in einer dritten VM.

Im Windows muss man UAC auf die höchste Stufe einstellen.
 
Zuletzt bearbeitet:
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

Es gibt keinen besten, einfach Windows und Programme durch regelmäßige Updates aktuell halten, dazu die Windows-Firewall und Virenscanner nach Wahl sowie noch einen zweiten reinen OnDemand Scanner wie den Emsisoft Emergency-Kit oder Malwarebytes Free und gut isses. ;)
 
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

IceDragon2 schrieb:
Hallo Garack,

natürlich gibt es gute und weniger gute (und sogar beste) Antivirus-Programme.

Wer diesen Titel an der Erkennungsrate in irgendwelchen Tests festmacht, hat das Problem dann aber nicht verstanden. Sinnvollerweise kann man nur über Bedienbarkeit, Design, Ressourcenverbrauch und Support debattieren. Ich hab grad ein Déjà-vu ...
 
Noch ein Tipp Richtung Garack der ja unbedingt fachmännisch erklärt haben will welcher Scanner warum wohl der beste ist und warum dem so ist. Probiere es mal beim Trojaner Board und frag da mal schrauber und schau mal ob du im Netz in einem Forum den User SLE findest der bei Rokop eine bekannte Grösse ist. Vielleicht können dir die beiden oder einer von ihnen Antworten und Erklärungen liefern.
 
IRON67 schrieb:
Und weils so schön ist und die naive Vermutung widerlegt, AVs mit Sandboxen wären "besser":

http://heise.de/-2824437

Viel Spaß beim Lesen, Garack.

Was die Malware-Erkennung bei Virustotal.com angeht, hier ein schönes Beispiel von HEUTE (!!):

Eingereicht wurde das Sample kurz nach 16 Uhr und erkannt haben es nur 2 von 56 Scannern (Rising und Tencent, also nicht mal eines der namhaften). Es handelt sich um eine Variante der sehr bekannten Malware "Upatre", die erstmals im August 2013 auffiel. Trotzdem versagen die AVs reihenweise.

Anhang anzeigen 518691

Ja, danke. Den Artikel hab schon mal gelesen. Mal wieder nicht vernünftig programmiert das ganze.
Tja Virustotal ist kein Allheilmittel, allerdings.
 
Garack schrieb:
Beispiel:
Wenn z.b. mit Windows 10 ein Malware-Scanner schon AMSI nutzt wäre das für mich ein Pluspunkt für einen gutes AV.
Der Windows-Defender nutzt es bereits. Den anderen wirst Du noch etwas Zeit einräumen müssen - AMSI ist schließlich noch sehr jung.
Auch andere Sicherheitssysteme können gerne mit einbezogen werden werden (On demand Scanner, Sandboxen, Script Blocker, DEP/ALSR usw. also quasi alles das was EMET kann usw)

on demand scanner:
Würde ich nur mit einem Live-System in Betracht ziehen.

Sandboxen:
Uneingeschränkt empfehlenswert! Sei es als Nutzung der Integritätslevel von Windows zur Rechteeinschränkung (z.B. Google Chrome) oder echter Virtualisierung mittels VM oder Sandboxie. Konsequent umgesetzt, erhöht es das Schutzniveau beträchtlich und das nahezu ohne Einschränkungen bei Komfort und Performance.

Scriptblocker:
Hält momentan noch sehr viele Angriffe ab. Es gibt aber genügend Webmaster, die Ihr CMS bzw. die Plugins nicht regelmäßig aktualisieren und Angreifer somit Ihren Schadcode direkt auf der Website hinterlegen können. Dann schützt auch ein Scriptblocker nur noch wenn nix mehr freigegeben wird. Und das kann ja nicht Sinn und Zweck sein.

DEP/ASLR:
Wird nur bei wenigen Anbietern konsequent eingesetzt.

Wie mein Titel schon sagt Frage an die Experten, also Leute die sich fachlich in der Windows Sicherheits Welt auskennen.

Da bist Du hier falsch. Dies ist kein Security-Expertenforum.

purzelbär schrieb:
Probiere es mal beim Trojaner Board und frag da mal schrauber und schau mal ob du im Netz in einem Forum den User SLE findest der bei Rokop eine bekannte Grösse ist. Vielleicht können dir die beiden oder einer von ihnen Antworten und Erklärungen liefern.
Weder das Trojaner Board noch Rokop sind dafür geeignete Fachforen. Um die Fragen des TO fundiert beantworten zu können, braucht man schon (neben einem Malware-Zoo zum Testen) sehr gute Windows-Kenntnisse und Erfahrungen im Bereich der AV-Entwicklung. Auch solche Foren gibt es. Deren Mitglieder sehen es aber nicht gerne, wenn sie auf fachfremden Plattformen verlinkt werden.
 
Zuletzt bearbeitet:
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

max_1234 schrieb:
Gar keiner.
Jedes AV Tool kann umgangen werden. Ich habe im Rahmen meines Studiums einen POC hierfür durchgeführt und konnta Avira, Avast, Kaspersky und Norton (360) komplett umgehen, um bestehenden Schadcode auszuführen.

Hierfür waren keine 30 Zeilen managed c# Code nötig :)
Antiviren-Programme sind nur eine weitere Idiotensteuer.

mfg,
Max

Yep, so ein Scanner bietet ja auch massiv Angriffsfläche. Würdest du also einer Firma empfehlen keinen Scanner zu nutzen? (Statt dessen Brain.exe, keine Admin-Rechte, usw..Was ist denn mit den Millionen von erkannten Samples..die sollte es doch endecken?)
Ergänzung ()

HominiLupus schrieb:
Das ist alles totaler und völliger Blödsinn. Es zeigt aber das du auch nicht im Geringsten die Befähigung hast über die Argumente die u hier einforderst zu urteilen. Du verstehst sie schlicht nicht. "Alles wird nur über API's (sic!) gesteuert." Köstlich sowas.

Interessant,dann Beleg das doch mal. Wieder einfach eine Aussage unterlegt mit Verstärkern wie Blösdinn usw. Erkläre es mir, oder lass es halt mit diesem Thema.
Hier:

http://blogs.msdn.com/b/cdndevs/arc...secure-windows-phone-8-apps-the-platform.aspx
Ich bin nun kein Coder habe das mit den APIs zu rausgelesen.
Chambers - Introduced with Windows Phone 7 security model, you can think of a chamber as your app running within its own sandbox or silo not having any access to other apps chambers. Every app, including Microsoft apps, OEM Apps and Third Party Apps will run in their own chamber and have to declare their capabilities.
Capabilities - A chamber will disclose what operating system capabilities an app is required to use to function. A capability can be accessing user location using GPS, camera access, sensor access, and microphone access as well as others.

Und das ganze über API´s
Ergänzung ()

meesurik schrieb:
Der Windows-Defender nutzt es bereits. Den anderen wirst Du noch etwas Zeit einräumen müssen - AMSI ist schließlich noch sehr jung.


on demand scanner:
Würde ich nur mit einem Live-System in Betracht ziehen.

Sandboxen:
Uneingeschränkt empfehlenswert! Sei es als Nutzung der Integritätslevel von Windows zur Rechteeinschränkung (z.B. Google Chrome) oder echter Virtualisierung mittels VM oder Sandboxie. Konsequent umgesetzt, erhöht es das Schutzniveau beträchtlich und das nahezu ohne Einschränkungen bei Komfort und Performance.

Scriptblocker:
Hält momentan noch sehr viele Angriffe ab. Es gibt aber genügend Webmaster, die Ihr CMS bzw. die Plugins nicht regelmäßig aktualisieren und Angreifer somit Ihren Schadcode direkt auf der Website hinterlegen können. Dann schützt auch ein Scriptblocker nur noch wenn nix mehr freigegeben wird. Und das kann ja nicht Sinn und Zweck sein.

DEP/ALSR:
Wird nur bei wenigen Anbietern konsequent eingesetzt.



Da bist Du hier falsch. Dies ist kein Security-Expertenforum.


Weder das Trojaner Board noch Rokop sind dafür geeignete Fachforen. Um die Fragen des TO fundiert beantworten zu können, braucht man schon (neben einem Malware-Zoo zum Testen) sehr gute Windows-Kenntnisse und Erfahrungen im Bereich der AV-Entwicklung. Auch solche Foren gibt es. Deren Mitglieder sehen es aber nicht gerne, wenn sie auf fachfremden Plattformen verlinkt werden.

Sehr schöne Antwort danke! DEP/ALRS interesannter Link! Anhand der Antworten bisher glaube ich wirklich ich bin hier falsch. Ich werde auch bei Bleeping nachfragen oder andere Foren suchen. Vielleicht kommt hier ja noch was interessantes...
 
Zuletzt bearbeitet:
Adblocker der beste Blocker, dens gibt, weil er dafür sorgt, dass die Quelle größtenteils versiegt...
 
Stimmt. Keine Werbung, keine Websites, keine Schädlinge. Zum Glück gibt´s ja noch Bibliotheken. Leider finden die Leute da ohne Internet gar nicht mehr hin.
 
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

Garack schrieb:
Würdest du also einer Firma empfehlen keinen Scanner zu nutzen? (Statt dessen Brain.exe, keine Admin-Rechte, usw..

Firmen haben Admins. Deren Aufgabe ist es, salopp gesagt, die Nutzer vor ihrer eigenen Blödheit zu schützen, indem sie deren Systeme so konfigurieren und einschränken, dass es möglichst unwahrscheinlich wird, dass fremde Software ausgeführt werden kann. Außerdem sind sie natürlich dafür zuständig, sämtliche Aktualisierungen einzuspielen, die User zu schulen und für Sicherheitsfragen zu sensibilisieren sowie die hauseigene Kommunikation auf verdächtige Vorgänge hin zu untersuchen. Dafür sind sie ausgebildet und qualifiziert. Ein Laie an seinem Privatrechner ist sein eigener unqualifizierter Admin und braucht sich keinerlei Hoffnungen zu machen, mit irgend einer Schutzlösung sein Infektionsrisiko senken zu können.

Ein AV ist eine unter SEHR VIELEN Maßnahmen. Mehr nicht.

Was ist denn mit den Millionen von erkannten Samples..die sollte es doch endecken?)

Was nützt das? Du weißt ja vorher nicht, was dich erwischt. Wie wahrscheinlich ist es, dass dich ausgerechnet etwas zu infizieren versucht, das schon lange bekannt ist, wo es doch täglich neue Varianten gibt?

Anhand der Antworten bisher glaube ich wirklich ich bin hier falsch.

Allerdings. Wer nicht dazu lernen will, sondern naiv daran glaubt, dass Software seine Probleme löst, der versteht die Software nicht und auch nicht seine Probleme. Das ist übrigens ein minimal angepasstes Zitat eines ausgewiesenen Sicherheitsexperten, den selbst du gelten lassen musst - Bruce Schneier.
 
Ja da hast du wohl recht Iron. Ich werde mal etwas technischere Forum suchen, hier kommt recht wenig Technik rüber, und mich weiter informieren.
 
Garack schrieb:
...
Sehr schöne Antwort danke! DEP/ALRS interesannter Link! Anhand der Antworten bisher glaube ich wirklich ich bin hier falsch. Ich werde auch bei Bleeping nachfragen oder andere Foren suchen. Vielleicht kommt hier ja noch was interessantes...

Da wird auch nicht viel mehr kommen, außer aggressive Vorwürfe.

Trotzdem kann ich es mir nicht verkneifen einen noch aktuellen 2015 AV-Test von c't zu nennen, der 2016er-Test ist hoffentlich schon in der Vorbereitungsphase.

Zum Thema:
Da es nicht immer möglich ist (bei Spielen denke ich) eine VM oder eine live-CD* zu starten, was für wichtige Arbeiten das beste wäre,
kann ich noch den process explorer und weitere aus den MS-Sysinternals nennen, die nach ihren eigenen Möglichkeiten und mit etwas Glück versteckte Prozesse in Lila anzeigen (selber getestet anhand eines harmlosen Keyloggers), aber ohne weitere Wertung, so Marc Russinovich:
You can't know you're infected unless you find a symptom
in seinem schon etwas älterem PDF.
Hier ist leider die eigene Erfahrung gefragt, aber nur "Brain.exe" ist meist ein schlechter Ratgeber.
Mal im Ernst, kann "Brain.exe" wirklich erahnen, was sich hinter einem neutral aussehenden Objekt befindet? Nein!

Auch können die Ergebnisse von gmer, frst und otl (schon etwas älter) über z.B. http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html analysiert werden. Scan-Hinweise gibt es dort.
Diese kommen ohne die Notwendigkeit von aktuellen Signaturen zurecht.

IPS wäre ja eine zu schöne Lösung, wäre sie vom Marketing nicht so verzerrt.
Zudem wird dem Thema IPS in allen Formen zu wenig Beachtung geschenkt, daher nur am Rande erwähnt.

* Auch hier kann sich ein BIOS-Trojaner in den Hauptspeicher kopieren und Dokumente befallen.
 
Zuletzt bearbeitet:
engine schrieb:
Mal im Ernst, kann "Brain.exe" wirklich erahnen, was sich hinter einem neutral aussehenden Objekt befindet? Nein!

Au contraire, mon capitan! Das kann es sehr wohl und nicht selten zuverlässiger als irgend ein AV. Freilich muss es genug Erfahrung besitzen, um die Begleitumstände zu berücksichtigen, wie z.B. die konkrete Herkunft dieses "Objektes". Das ist natürlich insofern ein unlösbares Dilemma, als der Laie diese Erfahrungen noch nicht in ausreichendem Maße hat, aber andererseits bei dem typisch blinden Vertrauen in die "Schutzsoftware" oft genug entweder falsch beraten wird oder mit den Meldungen überfordert ist.
 
AW: Frage an die Experten - Bester Malware Schutz fundiertert mit belegter Begründung

Garack schrieb:
Yep, so ein Scanner bietet ja auch massiv Angriffsfläche. Würdest du also einer Firma empfehlen keinen Scanner zu nutzen? (Statt dessen Brain.exe, keine Admin-Rechte, usw..Was ist denn mit den Millionen von erkannten Samples..die sollte es doch endecken?)

Ganz ehrlich?
Eine 0815 Sekretärin gehört einfach abgeschottet von sensiblen Firmennetzwerken.
Ich kenne viele Firmen (im Sicherheitsbereich) die komplett auf Linux Rechner setzen - selbstnatürlich ohne dämliche AV tools.

Die braucht man nur unter Windows, damit jeder 0815 Computerbild Abonnent auch regelmäßig vor der Gefährlichkeit seiner Cookies zusammenzucken kann und brav 30eur jährlich für neue GUIs bezahlt.

mfg,
Max
 
Schon irgendwie amüsant wie hier einige die Fragen des TE ignorieren um ihn mit ihren Trivialerkenntnissen zu zutexten. Es sind immer die gleichen Threadanektierer.:rolleyes:

@Garack
Deine Fragen lassen sich unmöglich beantworten, fürchte ich.
Die meisten AV-Programme setzen die gleichen Techniken ein. Woher soll z.B. jemand wissen welche Heuristik oder Sandboximplementierung besser ist? Das erfordert meiner Meinung nach Kenntnis der Quelltexte und/oder ständige umfangreiche Tests.

Die sicherste Variante ist wahrscheinlich der Einsatz mehrerer AV-Scanner. Im Livebetrieb funktioniert das leider nicht problemlos. Man kann dafür aber mehrere Boot-CD unterschiedlicher Hersteller verwenden. Um nicht immer manuell die CDs erstellen und die Virenüberprüfung starten zu müssen, ist etwas Aufwand notwendig. Aber es ist möglich die Scanvorgänge vollständig zu automatisieren.
 
Zurück
Oben