Kaspersky erkennt Virus nicht

[CED999]

Hallo,

ich habe eine Phishing Email von Paypal erhalten, die diesmal echter war als sonst. ich habe die Datei bei Virustotal hochgeladen und das Ergebnis erhalten:

Kaspersky: Trojan-Ransom.Win32.Gimemo.bucd
Symantec: Trojan.Zbot
Sophos: Mal/MatsnuZp-A
...

Ziemlich eindeutig also. Zu Testzwecken habe ich die Datei auf meinen Rechner heruntergeladen und Von Kaspersky scannen lassen. Das krasse Ergebnis ist jetzt: Laut Virustotal sagt Kaspersky die Datei ist ein Virus, laut meiner Desktop-Installation von Kaspersky sagt die Datei wäre in Ordnung. 10min später lud Kaspersky ein Update - dann wurde die Datei als Virus erkannt. Jetzt dachte ich O.k. das ist halt ein sehr neuer Virus - und Kaspersky hat die Signatur gerade per Update erhalten.

Wenn man den Namen des Virus googelt gibt aber Berichte über den Virus von sehr viel früher.

Wie kann es nun sein, dass Kaspersky den alten Virus nicht erkennt ihn aber nach einem Update plötzlich erkennt???

Mein Vertrauen in Kaspersky hat jedenfalls einen leichten Knacks erhalten

Grüße!

 

[kalkone]

So einfach is das ganze nicht... Kaspersky muss den Virus selbst auch erst mal erkennen, etwas dagegen programmieren und es dann !fehlerfrei! Ins bestehende Programm Updaten.
Viel interessanter währe zu Wissen wie lange die Konkurrenz braucht um den Virus zu erkennen.
Noch dazu gibt es vielleicht sogar mehrere Arten mit dem selben Namen (Versionen)?

Ich hab meine noch seit dem ich kaspersky besitze (5jahre ca. ) nicht mehr Virus bedingt formatieren und neu aufsetzen müssen. Zuvor waren es alle 1/3 bis 1/3 Jahre. Jetzt is er sogar bis zum SSD Upgrade 3 Jahre ohne formatieren geloffen...

 

[Gaspedal]

Kommt drauf an welcher AntiViren-Hersteller so ein Virus zu erst programmiert und verbreitet hat um ihr Antivirus-Programm besser zu verkaufen. Ist doch mit der Pharma-Industrie auch nicht anders. Erst die Vogelgrippe züchten & verbreiten, dann innerhalb kürzester Zeit millionen von Impfungen verkaufen. Das nennt man Marketing!

 

[Deamp]

Habe seit 5 Jahren kein Antivirus-Programm mehr im Hintergrund am Laufen... Führe aber jedes halbe Jahr einen Viruscheck mit 2 verschiedenen Antivirus-Programmen durch. Spam/Trojan Mails werden doch schon von deinem email-Anbieter gefiltert oder sind meist sehr leicht zu erkennen (Firmen fragen nie nach password/login Daten in emails etc) und durch adblock & Sonstige Browser-Plugins sollte man auch nicht mehr ausversehen auf komische Quellen klicken können.

Hatte mich damals gegen jeglichen Schutz entschieden weil es die Performance beeinträchtigt. Ist dies eigentlich immernoch der Fall?

 

[r0ck3r]

@Deamp
Du brauchst nicht unbedingt auf "komische Quellen zu klicken....
Wenn jemand großen Schaden verursachen will, sucht er sich bestimmt keine Seite mit 10 Besuchern pro Monat


Früher haben Scanner, insbesondere Norton, einen Haufen Ressourcen gefressen. Heute wirst du das vermutlich gar nicht mehr merken, ob nun ein AV Programm läuft, oder nicht.

 

[Voyager10]

Hatte mich damals gegen jeglichen Schutz entschieden weil es die Performance beeinträchtigt. Ist dies eigentlich immernoch der Fall?

Bei der Leistung heutiger CPUs und großen Arbeitsspeichern und schnellen Platten (SSDs) merkt man laufende Antivirenprogramme nichtmehr. Vor Jahren hat man die abfallende Leistung des PC deshalb gespührt weil die Scanner die HDD Zugriffsgeschwindigkeiten ausgebremst hatten und bei Scans auch die CPU-Leistung. Beides gibts mit aktueller Hardware im Überfluss sodass man dort Zugriffe im Hintergrund nichtmehr spührt.

 

[r0ck3r]

Heute läuft sogar eine Defragmentierung im Hintergrund und man merkt sie so gut wie gar nicht.

Früher ging der Rechner in die Knie, wenn man so eine 10 GB Platte defragmentiert hat (also man konnte sonst kaum noch etwas machen)

 

[Schiller72]

Habe seit 5 Jahren kein Antivirus-Programm mehr im Hintergrund am Laufen... Führe aber jedes halbe Jahr einen Viruscheck mit 2 verschiedenen Antivirus-Programmen durch. Spam/Trojan Mails werden doch schon von deinem email-Anbieter gefiltert oder sind meist sehr leicht zu erkennen (Firmen fragen nie nach password/login Daten in emails etc) und durch adblock & Sonstige Browser-Plugins sollte man auch nicht mehr ausversehen auf komische Quellen klicken können. ...

Ich denke auch ! Der beste Virenschutz ist noch immer Brain.exe und daran wird sich auch in naher Zukunft kaum etwas ändern.
Ein Standard-Virenscanner ist heutzutage sicher zu empfehlen, aber ob man dafür nun Geld ausgeben muss bzw. ob man für Geld nun besser "geschützt" ist bzw. sich besser geschützt fühlt, steht auf einem anderen Blatt.

 

[InteGralFormat]

@CED999

Seit wann verschickt PayPal Phishing eMails? Wollen die jetzt ihre eigenen Kunden ködern?

Viren werden mit der Zeit überarbeitet. Ich denke nicht, dass die AntiVirushersteller bei jeder Anpassung die Katalognummer des jeweiligen Virus komplett anpassen. Von daher würde ich mir keine Sorgen machen.

Hatte mich damals gegen jeglichen Schutz entschieden weil es die Performance beeinträchtigt. Ist dies eigentlich immernoch der Fall?

Eher weniger. Zumindest auf aktuellen Geräten. Solange du keine uralt Festplatten verwendest ..

Wenn jemand großen Schaden verursachen will, sucht er sich bestimmt keine Seite mit 10 Besuchern pro Monat

Wie war das - ein Facebookaccount gekapert und 3 Hops weiter und du hast die Welt gelistet? Wenn man sich so manche Domains anschaut, die da im Minutentakt generiert werden, dann ist vielleicht auch einfach die Masse an Seiten für die Verteilung verantwortlich.

Bei der Leistung heutiger CPUs und großen Arbeitsspeichern und schnellen Platten (SSDs) merkt man laufende Antivirenprogramme nichtmehr.

Interessanterweise bremst bei mir mittlerweile der CPU, wenn die SSD gescannt wird. Antivirenprogramme scheinen noch nicht wirklich auf Multicore optimiert zu sein. Bei mir wird zumindest nur ein Kern genutzt.

 

[HappyFeet]

Man sagt nicht umsonst das man Brain.exe aktivieren soll und wenn man das getan hat, dann kann man getrost auf Antiviren verzichten.
Aber gleich kommen die IT-Sicherheitsexperten
Paypal ist und bleibt ein drecksladen, dennoch lernt man nicht umsonst in der Grundschule des Internets: Niemals Anhänge in E-Mails öffnen.


PS: Wenn dein "Vertrauen" jetzt ein knicks erlitten hat, dann renn bitte nicht sofort zum nächsten AV-Hersteller... Die großen haben eh eine identische Heuristik Datenbank.

TIPP: Paypal Account löschen

And now hates me. Wer die Wahrheit sagt wird bestraft und ignoriert hashcat Edward Snowden

 

[Wolfsrabe]

...
Interessanterweise bremst bei mir mittlerweile der CPU, wenn die SSD gescannt wird. Antivirenprogramme scheinen noch nicht wirklich auf Multicore optimiert zu sein. Bei mir wird zumindest nur ein Kern genutzt.

Im Gegenteil! Das ist mir bei einem manuell angeworfenen Scan bei G Data aufgefallen, da wurden alle verfügbaren Kerne angesprochen!

Man sagt nicht umsonst das man Brain.exe aktivieren soll und wenn man das getan hat, dann kann man getrost auf Antiviren verzichten.
Aber gleich kommen die IT-Sicherheitsexperten

Der "Tip" mit Brain.exe ist schon ziemlich breitgelatscht, findest du nicht? Grundsätzlich ist Vernunft zwar der beste Schutz, aber ein Problem besteht immernoch: "Brain.exe" kann nicht gegen Programmlücken und grundsätzliche Schwächen von Betriebssystemen, insbesondere von Windows, schützen. Zudem werden selbst vertrauenswürdige Internetseiten hin und wieder mal befallen, und die liegen außerhalb deines Einflussbereiches. Außerdem ist nicht jeder User auch ein Experte, das ist nun mal leider so.

Also wer hier Brain.exe als einzigen Schutz empfiehlt und Antivirenprogramme komplett ablehnt, sollte dann auch so konsequent sein und auf weniger verbreitete Betriebssysteme umsteigen.

 

[brianmolko]

@HappyFeet
Warum sollte PayPal ein Drecksladen sein? Nutze PayPal seit Jahren und hatte nie irgendwelche Probleme mit denen.

 

[Randy89]

Wie kann es nun sein, dass Kaspersky den alten Virus nicht erkennt ihn aber nach einem Update plötzlich erkennt???

Vielleicht war der alte Virus speziell eingepackt, sodass es einer stärkeren Heuristik zur Erkennung benötigt worden ist oder es gab ein Beta-Update für eine neure Variante des selben Schädlings. Siehe auch FAQ zu VirusTotal:

A given antivirus in VirusTotal detects a file and its equivalent commercial version does not

VirusTotal antivirus solutions sometimes are not exactly the same as the public commercial versions. Very often, antivirus companies parametrize their engines specifically for VirusTotal (stronger heuristics, cloud interaction, inclusion of beta signatures, etc.). Therefore, sometimes the antivirus solution in VirusTotal will not behave exactly the same as the equivalent public commercial version of the given product.

Hatte mich damals gegen jeglichen Schutz entschieden weil es die Performance beeinträchtigt. Ist dies eigentlich immernoch der Fall?

Schon länger nicht und Antiviren-Scanner sind im Hintergrund insofern relevant, als dass die Chancen steigen, bei einer wirklichen Bedrohung frühzeitig gewarnt zu werden. Ist ja ok, dass du die anderen Einfallstore möglichst zuhälst und zumindest überhaupt mal nach kontrollierst. Was machst du aber, wenn plötzlich etwas schädliches gefunden und du es erst nach einem halben Jahr bemerkst, weil du erst dann den Scan gestartet hast? Wäre es dann nicht besser, vorher gewarnt zu werden, selbst wenn es auch schon 1-2 Tage zu spät ist und/oder es dich mit Fehl-Alarmen belästigen würde? Immerhin würde das ja dann den möglichen Schaden begrenzen.

Antivirenprogramme scheinen noch nicht wirklich auf Multicore optimiert zu sein. Bei mir wird zumindest nur ein Kern genutzt.

Der Scanner im Emsisoft-Emergency-Kit kommt bei mir (i5 3570K Stock) auf 100% maximaler Auslastung, HitmanPro auf 99%, Qihoo 360 um die 60-70% und Malwarebytes dümpelt häufig bei 40-50% herum.

 

[CED999]

Vielleicht war der alte Virus speziell eingepackt, sodass es einer stärkeren Heuristik zur Erkennung benötigt worden ist oder es gab ein Beta-Update für eine neure Variante des selben Schädlings. Siehe auch

Das könnte natürlich sein. Wie auch ein Vorposter schon geschrieben hat das das eine Abwandlung eines älteren Virus ist, der dann nicht einen neuen Namen bekommt.

Zum Thema speziell eingepackt eher nicht, das war ein Zip-Archiv im Zip-Archiv und darin lag eine "MS-Dos Anwendung" also verdächtiger gehts halt kaum noch...

Grüße!

P.S. zum Thema Performance kann ich ein bisschen was erzählen habe in den letzten Jahren mit einigem experimentiert. Was ich nicht so empfehlen kann ist Gdata, die bekommen in Vergleichstests zwar meist mit die höchsten oder höchste Erkennungsrate, aber das wird damit erkauft das 2 Engines unabhängig voneinander scannen. Das ist so als ob man 2 Virenscanner gleichzeitig drauf hätte, entsprechend "taxing" ist das ganze für die Performance. Kaspersky, Norton und Avira sind mittlerweile sehr schnell. Von den Erkennungsraten ist Kaspersky in Tests sehr sehr gut, Norton schwer einzuschätzen, da es sich bei wirklich unabhängigen Tests nicht listen lässt und Avira ist nicht immer ganz so gut wie sein Ruf - aber halt aus D, was seit Snowden vielleicht auch nicht so unwichtig ist.

 

[InteGralFormat]

Hm - MBAM dümpelt bei mir im Schnitt bei 15% rum. Wohlgemerkt im Schnitt und inkl. der Windows Grundlast. Mit Spannweite zwischen 10-25%.
Rechnet man HT raus, kommt man auf 30% im Schnitt, also kaum mehr wie einen Kern. Nimmt man noch die Grundlast mit 5% an, ist's exakt einer

Mein normaler Scanner kommt nicht auf über 13%, respektive 25%. Im Schnitt verarbeitet der Scannerprozess beim Scan über die System SSD rund 60-80MB/s Schnitt, Maximum bei ca. 350 MB/s.
Angezeigt wird zwar eine verteilte Last auf 5/8 Kernen, rein rechnerisch kommt wiegesagt nur 1 Kern raus.

 

[Randy89]

@ CED999: Es gibt verschiedene Kompressionsmethoden bzw. Packer, um einen Schädling zu schützen. Archiv ist nicht gleich Archiv.
Themida und Mpress würden mir da als erstes einfallen, weil grade diese auch Fehlalarme herbeirufen, bei Anwendungen, die damit geschützt, bzw. verkleinert worden sind.

@ InteGralFormat: Verwendest du die 2.0 Version oder noch die alte 1.75? Welche CPU besitzt du? Und was ist dein "normaler Scanner"?
Aber interessante Angaben, vielleicht sollte ich bei Gelegenheit und Lust und Laune auch mal im Task-Manager nach der Datenträgerauslastung schauen.

 

[CED999]

@Randy: Achso hatte ich ja nicht geschrieben es war nur Winzip-Archiv in Winzip-Archiv und dann halt die MS Dos Anwendung..

 

[InteGralFormat]

@Randy

Danke für den Hinweis, hatte noch die 1.75. Ich versteh nicht, warum es beim Update keinen Hinweis darauf gibt ..
Update auf neue Version ändert aber auch nichts an der Auslastung. Nach Taskmanager im Schnitt so um 10%. Geht vereinzelt mal nen Sekundenbruchteil auf 15%.
Datenaktivität mit 10-20MB/s Schnitt und 85MB/s Maximum.

CPU ist ein etwas älteres Modell, ein i7-860. Mein normaler Scanner ist Avira, da ich mir vor Ewigkeiten mal sehr günstig für mehrere Jahre die Bezahlversion erstehen konnte.


ps: Ich fand den alten MBAM deutlich weniger nervend und übersichtlicher. Außerdem hat der sich nicht an den Windows eigenen Wallpaper aufgehängt

 

[Randy89]

@ CED999: Und die MS-Dos-Anwendung kann sonstwie gepackt sein. Auch wenn es dir verdächtig erscheint, ein Antiviren-Programm hat sich an gewisse Regeln zu halten, sonst würde die Heuristik ja alles verdächtige gleich als Schädling einstufen und dann kommen die Beschwerden von Software-Entwicklern oder ähnliche, die mal unkonventionelle Programme benutzen.
Wie gesagt gibt es jedenfalls einen Unterschied zwischen dem Kommandozeilen-Produkt auf VT und dem tatsächlichen Produkt. Bei VT können die Hersteller auch die Ausführung in einer virtuellen Umgebung/Sandbox von allen hochgeladenen Dateien sich anschauen und sie haben mehr Möglichkeiten, allgemein Daten über eine mögliche Bedrohung oder Nicht-Bedrohung mit den anderen auszutauschen.

@InteGralFormat: Weil wahrscheinlich nur die Signaturen gepudated werden. Jedenfalls hat die neue Version noch vereinzelt Schwächen und grade die integrierte Rootkit-Suche verlangsamt das Scannen sehr stark, weswegen wahrscheinlich solange keine Meldung kommt, bis die 2er Version wirklich ausgereift ist und der Support der alten somit eingestellt werden könnte.

 

[Conqueror_01]

Hallo,

ich habe eine Phishing Email von Paypal erhalten, die diesmal echter war als sonst. ich habe die Datei bei Virustotal hochgeladen und das Ergebnis erhalten:

Kaspersky: Trojan-Ransom.Win32.Gimemo.bucd
Symantec: Trojan.Zbot
Sophos: Mal/MatsnuZp-A
...

Ziemlich eindeutig also. Zu Testzwecken habe ich die Datei auf meinen Rechner heruntergeladen und Von Kaspersky scannen lassen. Das krasse Ergebnis ist jetzt: Laut Virustotal sagt Kaspersky die Datei ist ein Virus, laut meiner Desktop-Installation von Kaspersky sagt die Datei wäre in Ordnung. 10min später lud Kaspersky ein Update - dann wurde die Datei als Virus erkannt. Jetzt dachte ich O.k. das ist halt ein sehr neuer Virus - und Kaspersky hat die Signatur gerade per Update erhalten.

Wenn man den Namen des Virus googelt gibt aber Berichte über den Virus von sehr viel früher.

Wie kann es nun sein, dass Kaspersky den alten Virus nicht erkennt ihn aber nach einem Update plötzlich erkennt???

Mein Vertrauen in Kaspersky hat jedenfalls einen leichten Knacks erhalten

Grüße!

Das was Du festgestellt hast ist völlig normal, den Viren werden mit sogenannten Virensignaturen erkennt, oder eben auch nicht, wenn die Signatur noch nicht abgelegt ist.
Und dies ist bei allen Virenscannern dasselbe.
Du solltest aber nicht eine veraltete Programmversion von Kaspersky verwenden und die Virensignaturen updaten. Wenn du Kaspersky käflich erworben hast, kannst Du mit der selben Seriennummer die neueste Programmversion installieren.