Combine schrieb:
Du nicht, aber der per Drive-by oder wie auch immer auf deinen Rechner gelangte Schädling. Mittlerweile dürfte er es leicht haben diverse Files aus dem Netz zu laden und das AV bewusst eingreifen zu lassen. Sind die Files noch nicht bekannt und das AV fragt ständig nach wird der Nutzer irgendwann "Ja" klicken oder das AV ausschalten. Die eigentliche Arbeit im dringenden Fall auf den Nutzer abzuwälzen, ist der K.O.
Es soll nicht Aufgabe des Nutzers sein die Algorithmen der heuristischen Erkennung zu bewerten! Bei so wenig Selbstvertrauen in die eigene Technik kann sich der Hersteller die Entwicklung echt klemmen.
Zum einen ist die Gefahr eines Drive-by DLs eher gering, wenn man sich nicht auf unseriösen Seiten herum treibt. Zum anderen nutzen viele Leute Werbeblocker, die auch einen potentiellen Großteil an Drive-by verhindern. Vor langer Zeit gabs mal bei Heise was derartiges in der Werbung.
Auch Downloads von seriösen Seiten sollten helfen sich nicht irgendwas einzufangen, zumindest die Gefahr deutlich verringern. Wer aber ständig Torrent oder Filehoster nutzt, jeder wie er will.
Meines Wissens besteht ein großer Unterschied zwischen der von dir genannten Heuristik, die ich nicht meine, und der von mir genannten Verhaltensüberwachung.
Erkennung durch Heuristik führt in der Regel zum Virenfund und wenn eine Verhaltensüberwachung ein verdächtiges Programm meldet, führt das eben bei manchen AV Herstellern zur Nachfrage ob man das Programm eben weiter ausführen möchte, oder blocken/löschen/in Quarantäne verschieben soll.
Wenn man z.B. Mircorosfts "Mouse without Borders" nutzt, kann es durch die Verhaltensüberwachung zum FP kommen, obwohl das Programm nichts böses tut, aber eben viele Dinge tut, die Malware auch gerne mal macht.
Auch Tools von Nirsoft/WSCC führen gelegentlich zu FPs durch die Verhaltensüberwachung. Das läßt sich prinzipbedingt nicht vermeiden, dennoch arbeiten da viele Menschen mit, weil einige Tools einfach hilfreich sind.
Da fände ich es mega ätzend, wenn die Programme, ohne das ich die Chance hätte es zur Laufzeit selbst zu entscheiden(z.b einmal erlauben, immer erlauben), geblockt/gelöscht/in Quarantäne verschoben werden und ich wohl möglich im Nachhinein nicht mal die Möglichkeit habe diese zu erlauben, außer ich stelle gleich die Verhaltensüberwachung aus.
Soll heißen, dass wenn man nicht allzu viel mit unseriösen "Dingen" rummacht, die Verhaltensüberwachung nicht allzu häufig den User penetriert. Ich kann mich unter anderem an einen FP der Verhaltensüberwachung von G DATA und dem WOW Launcher erinnern. Wenn der einfach sang und klanglos ohne Meldung, weil ja fälschlicherweise als Böse erkannt, verschwunden wäre, wäre der Aufschrei ziemlich groß gewesen. Da ja jeder lesen kann und wenn es um ein geliebtes Spiel geht, das vl die Leute auch machen, konnte man einfach auf immer erlauben klicken und gut war.
Also nochmal, heuristische Erkennung führt zum direkten Virenfund(dessen Händling man bei allen AV Programmen universell einstellen kann), verdächtiges Verhalten von Programmen führt zur Meldung der Verhaltensüberwachung (wenn vorahnden) und auf genau die habe ich mich bezogen.
Da in den Charts von AV-C der gelbe Teil bei einigen AV Programmen groß ist, wie eben manchmal bei G DATA, schrieb ich eben, dass ich es nicht gut finde, wenn man bei solchen Sachen, wie der Verhaltensüberwachung die Userinteraktion abwertet. Die bei AV-C müssen halt jedes mal auf erlauben/löschen etc klicken(oder per Script), wenn eine andere Malware von der Verhaltensüberwachung erkannt wird. Bei tausenden Samples mit Sicherheit nervig.
Das trifft aber auch Otoo Normalverbraucher nicht zu.
