Sinn oder Unsinn, Archive scannen zu lassen?

[1lluminate23]

Guten Morgen zusammen,
mir ist so heute Morgen beim Kaffeetrinken durch den Kopf gegangen, das ist doch eigentlich gar keinen Sinn macht, dass ich meinen Virenscanner Archive scannen lasse, wie 7ZIP, RAR, ZIP egal was, weil so lange diese nicht entpackt werden, richten sie ja keinen Schaden an. Liege ich damit, richtig?

Lasst ihr Antiviren-Scanner Archive scannen?

Kann man beim Microsoft Defender in der Verwaltung gegebenenfalls einstellen, ob er Archive scannen soll?

 

[LukS]

Ich lass alles scannen. Es kann ja sein das dein Programm eine Lücke hat und du dir schon beim reinen öffnen und ansehen von archiven etwas einfängst. Gab es erst kürzlich bei 7-zip.

 

[Tevur]

Wenn du Archiv aus nicht vertrauenswürdiger Quelle prüfen willst, kannst du das machen. Oder du lädtst einfach nichts aus nicht vertrauenswürdigen Quellen runter.

Ein Virenscanner entpackt das Archiv übrigens zum Scannen... ein entsprechen präpariertes Archiv, das von der Heuristik nicht erfasst wird, richtet dann genau in diesem Moment seinen Schaden an.
Mal abgesehen von dem sinnlosen Stromverbrauch, weil deine CPU ständig sinnlos Archive entpacken muss.

 

[1lluminate23]

Ich lade Software nur bei Computerbase, oder bei Deskmodder. Bin ich mir nicht sicher, laqsse ich es vei VirusTotal oder Jott*s Anti Malware scannen.

 

[MikeLitoris]

lädtst einfach nichts aus nicht vertrauenswürdigen Quellen

Na dann definier mal Deine vertrauenswürdigen Quellen. Wird ne ziemlich kurze Liste.

Theorie gut, Praxis druchgefallen.

 

[bin/bash]

Der Windows Defender scannt doch bereits in Echtzeit, noch während des Downloads oder direkt danach.
Du wirst in der Regel auch kein kompromittiertes Archiv öffnen können, wenn der Defender selbst oder irgendwelche Funktionen nicht beabsichtigt deaktiviert wurden.

 

[1lluminate23]

Bei Microsoft Defender gab es ja immer mal wieder Updates für die Schadsoftware Plattform. Das ist damit gemeint, was du meinst, wenn eine Datei entpackt wird dann wird sie in dieser Schadsoftware Plattform entpackt. Wenn die lückenhaft ist, dann trinken natürlich eine Zip-Datei, oder eine Malware natürlich ins System über, was nicht gewünscht ist, deswegen wäre die Frage lass’ ich die Finger ganz von dem von der Zip-Datei vertraue ich dem Programm!?

 

[Tevur]

definier mal Deine vertrauenswürdigen Quellen.

So ziemlich jede Website mit Renommee.
Ehrlich gesagt fallen mir kaum Quellen für Dateien, die ich lieber prüfen lassen oder Sandboxen würde, ein, da ich solche Quellen aus Prinzip nicht nutze.

 

[DJMadMax]

Ich mache mir ganz ehrlich nicht die Mühe, da irgend etwas umzuschalten. Allein auch nur eine Sekunde darüber nachzudenken (oder hier darüber zu referieren) kostet doch mehr Zeit, als was man durch das Deaktivieren eines Archivscans sein gesamtes Leben lang in irgend einer Form einsparen könnte. Das läuft doch sowieso alles parallel im Hintergrund mit.

 

[andy_m4]

Es kann ja sein das dein Programm eine Lücke hat und du dir schon beim reinen öffnen und ansehen von archiven etwas einfängst.

Das gilt dann aber auch für den Antivir-Scanner.
Kann auch sein das der ne Lücke hat und darüber exploitet wird (gabs ja auch schon).
Da bleibt dann nur die vage Hoffnung, das der Scan-Prozess unpriviligiert ist und nur readonly-Rechte auf Dateien hat und nach dem Scan auch restartet wird.

 

[dermoritz]

Also bei Defender wird nix irgendwo hochgeladen und entpackt. Die Datenbank funktioniert mit "hash"Summen. Das heißt alle downloads bekommen einen Fingerabdruck der nicht fälschbar ist. Downloads deren Fingerabdruck bekannt ist und die unbedenklich sind werden automatisch als unbedenklich eingestuft (Abgleich des Fingerabdrucks reicht).
Wenn du zum ersten Mal einen Download machst der unbekannt ist wird ein Fingerabdruck erstellt und in die Datenbank geladen. Das gleiche gilt auch, falls Schadsoftware drin ist - der Fingerabdruck wird zusammen mit der Info über die Schadsoftware gespeichert. Jeder der es dann runterlädt bekommt die Warnung ohne dass die Datei entpackt werden musste.

 

[mibbio]

Ein Virenscanner entpackt das Archiv übrigens zum Scannen... ein entsprechen präpariertes Archiv, das von der Heuristik nicht erfasst wird, richtet dann genau in diesem Moment seinen Schaden an.

Das Entpacken und Scannen von Archiven machen Virenscanner heutzutage eigentlich in einer Sandbox. Sofern der Schadcode dabei nicht schafft, aus der Sandbox auzubrechen, hat der gar keinen Zugriff auf das umliegende System.

 

[Utensil1538]

Der Defender macht das automatisch.

 

[SoDaTierchen]

weil so lange diese nicht entpackt werden, richten sie ja keinen Schaden an. Liege ich damit, richtig?

Naja, jain. Fasse die "Erkenntnis" mal weiter: Solange eine Schadsoftware nicht ausgeführt wird, richtet sie keinen Schaden. Das gilt nicht nur für Archive, das gilt für ausnahmslos jede Schadsoftware.

Das heißt, dass unterm Strich ein Archiv zu scannen genauso sinnvoll oder sinnlos ist, wie jede andere Datei. Und über das Ausmaß dieser Sinnhaftigkeit kann man streiten, wie du ja hier im Thread schon siehst. Ich bin lieber fünf mal zu vorsichtig als einmal zu unvorsichtig, aber das ist eine persönliche Note.

 

[andy_m4]

Das Entpacken und Scannen von Archiven machen Virenscanner heutzutage eigentlich in einer Sandbox

Was heißt eigentlich? :-)
Und wir macht der Virenscanner das bei großen Archiven die möglicherweise auch gar nicht in den RAM passen? Dann bleibt ja nix anders übrig als auf Disk zwischenzuspeichern. Wenn der Scan-Prozess aber das kann, dann ist es ja schon nicht mehr wirklich sandboxed.

Sofern der Schadcode dabei nicht schafft, aus der Sandbox auzubrechen, hat der gar keinen Zugriff auf das umliegende System.

Dann kann es aber immer noch sein, das der Scanner als solchen kompromittiert ist und z.B. keine (nachfolgenden) Viren mehr erkennt. Das heißt, er müsste sicherheitshalber nach jedem Scan neu gestartet werden. Macht natürlich aus Geschwindigkeitsgründen keiner.

 

[Geisterwolf]

Wir nutzen bei uns in der Firma GData (warum auch immer, nicht meine Baustelle), der ist jedenfalls so eingestellt, dass er auch Dateien in Archiven prüft, sofern diese nicht durch Passwortschutz unzugänglich sind.

 

[MikeLitoris]

So ziemlich jede Website mit Renommee.

Da die niemals nie nicht angegriffen werden können, korrekt?

 

[tRITON]

Microsoft Office Dateien sind jedenfalls auch nur ZIP Archive. Also wo anfangen und wo aufhören?

 

[PC295]

Kann man beim Microsoft Defender in der Verwaltung gegebenenfalls einstellen, ob er Archive scannen soll?

Standardmäßig werden Archive durch den Defender gescannt.
Wenn du die Funktion deaktivieren willst, kannst du das über PowerShell machen.
Starte es mit Rechtsklick als Administrator ausführen und gib folgenden Befehl ein:

Set-MpPreference -DisableArchiveScanning 1

wenn du die Überprüfung wieder aktivieren willst verwende folgenden Befehl:

Set-MpPreference -DisableArchiveScanning 0

 

[1lluminate23]

Vielen Dank für deine Hilfe @PC295

Das hilft mir weiter.