Computerhilfe (PC-Abteilung) Was kann ein Virenscanner wirklich?

Elko
Elko
Mitglied

Was kann ein Virenscanner wirklich?
geschrieben von Elko
Hallo!

In diesen Themen zur PC-Abteilung sind jüngst in Threads zur XP-Sicherheit die Vor-und Nachteile von Scannern ausführlich beschrieben worden. Es gibt auch Nutzer welche primär sich für NoScript zur Abwehr von Viren entscheiden. Diese Meinungsbildung beruht auf der Annahme, Echtzeitscanner würden lediglich vergleichend mit einer Datenbank PC- Schädlinge erkennen, somit also auch manchmal verspätet.

Ja, im Prinzip nicht falsch! Bei den IT–Security Unternehmen stehen massenweise ungeschützte Rechner. Diese fischen dann weltweit nach Schädlingen zur Analyse, letztlich landen dann die Spezifikationen der erkannten Schadsoftware in die Datenbanken, welche auch eine Grundlage für sie Scanner sind. So ist mir das mal plausibel von einem Fachmann erklärt worden.

Ich bin ein alter Qualitätssicherungsfachmann! Diese Leute der QS glauben im Prinzip erstmal nichts, sondern die prüfen sachlich bis zum Ergebnis: JA oder NEIN!

Anlässlich einer ähnlichen Diskussion wie hier im Forum, habe ich mir damals 2001 einige Testdateien geschaffen! Ich wollte es mit dem Scanner genau wissen. Ich kann mich aber nicht mehr erinnern ob das noch WIN 2000 oder schon XP war.

(@ Hallo klaus46! Könnte es sein, dass wir uns vor einigen Jahren an anderer Stelle auch schon über ein Ähnliches unterhalten haben??)

Jetzt noch Warnhinweise bezüglich der sogenannten "Rogue Sicherheitssoftware", sonst könnte das nach Falle riechen! Ladet also nicht jede empfohlene Sicherheitssoftware aus irgendwelchen Quellen herunter und lasst jeden externen Scan eures PC sein! Und der Stuxnet-Wurm kam auch nicht über das Internet, sondern über USB-Wechselmedien.

http://www.microsoft.com/de-de/security/pc-security/antivirus-rogue.aspx

http://www.pc-support-hamburg.de/pc-hilfe-hamburg-rouge-anti-spyware/

Mein Test vollzog sich unter Verwendung von Scannern anerkannter Sicherheitssoftwarefirmen. Und ja, diese Dateien und der Code dieser Jux-Viren sind inzwischen vernichtet und haben garantiert nie meinen Privat-PC verlassen.

Mein Standardscanner wurde nicht eingesetzt. Dieser war ja zum Zeitpunkt der Kompilierung der ASM-Dateien zur EXE aktiv.

Die Kriterien:
Zuerst hatte ich zwei Dateien zur ausführbaren Exe kompiliert. Die wurden also nicht installiert.

Nochmal, da diese Dateien nie meinen PC verlassen haben, konnten die auch damals in keiner externen Datenbank vorhanden sein. Bitte beachten!

Danach wurden erst zwei kostenlose Antvirenprogramme heruntergeladen. DE-Cleaner ist ja ein Begriff. Es waren je eine Versionen von Avira und Norton.

1. Der Scan mit Avira brachte keine Ergebnisse. Die Dateien wurden nicht erkannt! Keine Bedrohungen.

2. Der Scan mit Norton brachte andere Ergebnisse. Die Dateien wurden als Risiko erkannt und als "verdächtig" eingestuft und beseitigt.


Ein Virenscan



Da war die Stichprobe. Ja, der Norton hat eindeutig erweiterte Fähigkeiten.

JA oder NEIN oder UNBESTIMMT.

Für Arbeitsergebnisse braucht er also keine Datenbank.


Die Qualität der Software wird bestimmt durch ihre Eigenschaft dem Verwendungszwecke zu genügen. Oder auch Technologie ist alles! Also gibt es für XP zumindest noch Hoffnung.

Schöne Grüße, meine Sicherheitssoftware ist nicht von Norton.

Peter
klaus46
klaus46
Mitglied

Re: Was kann ein Virenscanner wirklich?
geschrieben von klaus46
als Antwort auf Elko vom 18.03.2014, 19:45:29
Hallo Peter.

Ja , das stimmt.

Ich kann mich noch vage daran erinnern.
Aber frag mich nicht nach Einzelheiten.
Das ist schon zu lange her.

Klaus
Mitglied_5ccaf87
Mitglied_5ccaf87
Mitglied

Re: Was kann ein Virenscanner wirklich?
geschrieben von ehemaliges Mitglied
als Antwort auf klaus46 vom 18.03.2014, 22:55:12
Ein Scanner kann nur Malware mit Sicherheit erkennen und beseitigen, wenn er dazu eine Signatur in seiner Datenbank besitzt. Nun werden neue Malware weltweit im Minutentakt in Umlauf[/url] gesetzt. Aus diesem Grund sind Scanner restlos überfordert. Die den Scannern mitgelieferte Whitelist (Dateien die nicht geprüft werden) ist nun auch schon dutzende Megabyte groß. Ältere Signaturen werden entweder von den Herstellern "vergessen" oder in der sg. Heuristik erfasst.

Dazu hier nachlesen: lutz donnerhacke.de: Fachbegriffe der Informatik
# 464: Heuristische Suche
Je heuristischer desto langsamer und fehlerhafter die Suche. (Manfred Fiebig)


Wie sicher/unsicher Scanner einzelner Hersteller sind kann man testen, wenn man verdächtige Dateien von den 40 Scannern bei https://www.virustotal.com/ prüfen lässt. Erschreckende Ergebnisse!

Selbst harmlose Install.exe-Dateien können schon als Malware erkannt werden, wie in diesem Thread berichtet wird: http://www.anlagenmeisterei.de/viewtopic.php?t=351&p=7720
- Infekte, die über den Browser ablaufen, unterbindet [u]sicher man mit der Erweiterung NoScript zum Firefox
- Einen vorhandenen Infekt kann man mit 99,9%iger Sicherheit mit dem ProcessExplorer gemeinsam mit Autoruns aus den SysInternals von M$ feststellen.
- Gezielt entfernt werden diese mit einer LiveCD/LiveStick mit Schreibberechtigung auf NTFS-Partitionen. Das kann im einfachsten Fall eine kostenlos erhältliche Knoppix sein.

Dieser Vortrag von Mark Russinovich fand schon vor zwei Jahren statt: channel9.msdn.com: Malware Hunting with the Sysinternals Tools Über das Verfahren habe ich schon vor vier Jahren hier im ST berichtet und dazu ein Tutorial veröffentlicht. Als ich ein ähnliches Tutorial vor 5 Jahren im Forum einer Fachzeitschrift veröffentlichte, gab es zwar von den Redakteuren keine fachlichen Einwände, aber man lies mir die Mitteilung zukommen, das man so etwas nicht in den Zeitschriften neben ganzseitigen Anzeigen der Scanner-Hersteller drucken lassen kann. Das ist die Wahrheit.

Wer das docs.google.com: Entfernung von Malware aller Art nicht lesen will oder kann, dem ist nicht zu helfen. Einer der Leser aus dem ST hat sogar bezweifelt das ich der Urheber sei.

Mein Scanner für Windows ist ClamWin und für Linux ist ein Scanner unnütz, denn ich beziehe die Linuxsoftware grundsätzlich mit Hilfe von YaST von http://packman.links2linux.de/.

Anzeige