Hi!
Wenn man auf einem infizierten System einen Virenscanner installiert, ist dann garantiert, dass er alle Viren findet, die er normalerweise findet, oder kann der Virus merken, dass man ein Antivirenprogramm installiert und sich dann irgendwie verstecken?
Ich benutze die Freeware
www.free-av.de ist die zu empfehlen?
EDIT: Na sowas, da habe ich mir vor 2 Stunden die neueste Version gesaugt (3 Tage alt), und jetzt gibt's schon wieder das nächste Update (30 Minuten alt) [img]
http://www.fb18.de/gfx/7.gif[/img]
Hmm. Wäre ein recht schlauer Virus. So aus dem Bauch raus würde ich nein sagen. Aber zu free-av, da war ich auch mal. Finde ich eigentlich nicht so gut. Relativ langsam, kann nicht (früher zumindest) auf einzelne Dateien oder Verzeichnisse angewendet werden und bindet sich auch nicht in den E-Mail-Client mit ein. Ich bin sehr mit der Freeware-Version von AVG zufrieden:
http://www.grisoft.com/ Hat in Tests gut abgeschnitten. Nicht ganz so toll wie Norton (in einigen Bereichen dennoch besser), aber sollte reichen.
BTW: Autoupdates führt es auch aus, war bei free-av glaube ich auch nicht der Fall?
Ich hab bei Symantec (Norton) gelesen, dass z.B. Klez.H versuchen soll, gezielt auch Antivirensoftware außer Kraft zu setzen.
Der Wurm versucht, Virusprüfprogramme und einige früher verbreitete Würmer (wie W32.Nimda und CodeRed) durch Beenden aller aktiven Prozesse zu deaktivieren. Der Wurm entfernt die Registrierungsschlüssel, die von Antivirusprodukten beim Start verwendet werden, und löscht Prüfsummendatenbankdateien…
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.klez.h@mm.htmlirgendwie geht die Adresse kaputt…
Von daher wäre es da sogar noch besser, die Software hinterher zu installieren.
Hmm.. mag sein, dass der Virus das versucht, aber.. da mein Norton (Defintionen immerhin über ein halbes Jahr alt) den ohne Probleme finden kann, würde ich mal sagen… nice try, aber.. klappt nicht [img]
http://www.fb18.de/gfx/25.gif[/img]
Na ja. Eigentlich ist das eh relativ überflüssig. In den letzten zwei Jahren habe ich das Programm nur effektiv dazu nützen können, nicht einen virenverseuchten Anhang (Weihnachtskarte) zu öffnen, den Steffi fröhlich an einige weitergeschickt hat. %)
Na ja. Eigentlich ist das eh relativ überflüssig. In den letzten zwei Jahren habe ich das Programm nur effektiv dazu nützen können, nicht einen virenverseuchten Anhang (Weihnachtskarte) zu öffnen, den Steffi fröhlich an einige weitergeschickt hat. %)
Ack. Heutzutage gibts doch quasi nur noch Viren auf Trojanerbasis. Wer sein Mailprogramm immer schön dicht hält (Sicherheitsupdates oder Mozi benutzen ;)), und mit ein bisschen Verstand seinen Attachments begegnet, den Plagen auch keine Virensorgen. Mal davon abgesehen habe ich in mienen Jahren auch an Trojanern nur einen gesehen der in einer massiv offensichtlichen Müllmail enthalten war. Ansonsten habe ich mir nur früher Parity.Boot und Delwin von Disketten eingefangen [img]
http://www.fb18.de/gfx/7.gif[/img]
Wenn man auf einem infizierten System einen Virenscanner installiert, ist dann garantiert, dass er alle Viren findet, die er normalerweise findet, oder kann der Virus merken, dass man ein Antivirenprogramm installiert und sich dann irgendwie verstecken?
Natürlich geht das und wie und zwar sogar mit Windows Bordmitteln. Man kann einen Hook installieren, der ALLE Dateizugriffe auf unterster Ebene abfängt (VxD_InstallFileSystemAPIHook), so dass man als Virus die von Lesezugriffen zurückgegebenen Daten von seinen eigenen Spuren beseitigen kann. Selbst infizierte Programme können durch einen Selbsttest der geladenen EXE keine verräterischen Spuren feststellen, denn selbst der Windows EXE-Loader lässt sich mit dieser Methode austricksen. Eine Datei zu infizieren ohne die Dateigröße zu ändern ist ohnehin nicht weiter wild, da es durch das großzügige Section-Alignment in PE-Executables genügend ungenutzter Platz gibt, der mit Virencode überschrieben werden kann.
Diese Methode ist allerdings nur in Ring0 anwendbar und meines Wissens existieren unter Windows NT/XP noch keine effektiven Methoden von Ring3 auf Ring0 zu gelangen. Unter Windows 95/98/Me ist das allerdings ohne weiteres möglich, das Ding ist offen wie ein Scheunentor.
Ein Virus der diese Methode ziemlich effektiv einsetzt ist z.B. Zerg (
http://29a.host.sk/29a-4/29a-4.604).
Um ganz sicher zu gehen würde ich von einer sauberen Diskette oder CD booten und von dort testen, dann ist man auf jeden Fall vor solchen Täuschungsmanövern gefeit. Zu empfehlen wäre da z.B. Koppicillin, was in einer der letzten Ct's zu finden war, vor dem Testen werden die neuesten Signaturen aus dem Netz geladen und die Viren haben nichts mehr zu lachen.
Natürlich geht das und wie und zwar sogar mit Windows Bordmitteln. Man kann einen Hook installieren, der ALLE Dateizugriffe auf unterster Ebene abfängt (VxD_InstallFileSystemAPIHook), so dass man als Virus die von Lesezugriffen zurückgegebenen Daten von seinen eigenen Spuren beseitigen kann.
Vorausgesetzt ein Virus hat das nicht schon vorher gemacht. AUßerdem gibts VxD unter Win2k garnicht [img]
http://www.fb18.de/gfx/28.gif[/img]
Diese Methode ist allerdings nur in Ring0 anwendbar und meines Wissens existieren unter Windows NT/XP noch keine effektiven Methoden von Ring3 auf Ring0 zu gelangen. Unter Windows 95/98/Me ist das allerdings ohne weiteres möglich, das Ding ist offen wie ein Scheunentor.
Och als Administrator auch kein Problem mehr. Mit Treiber oder auch ohne (da gabs mal nen schönen Artikel) ist Ring0 dein :) Aber wie gesagt, da muss man sowieso anders ansetzen mangels VxD.
Um ganz sicher zu gehen würde ich von einer sauberen Diskette oder CD booten und von dort testen, dann ist man auf jeden Fall vor solchen Täuschungsmanövern gefeit. Zu empfehlen wäre da z.B. Koppicillin, was in einer der letzten Ct's zu finden war, vor dem Testen werden die neuesten Signaturen aus dem Netz geladen und die Viren haben nichts mehr zu lachen.
Ack, denn wie gesgat, wenn der Virus vorm Antivirenprogramm da ist, kann der simulieren was er will und das Antivirenprogramm kann so oder so nichts machen. Aber wie gesagt, alles halbes Jahr oder bei Verdacht nen Scan und das sollte ansich ausreichen.
Vorausgesetzt ein Virus hat das nicht schon vorher gemacht.
Es ist durchaus möglich mehrere Hooks parallel laufen zu lassen, die Daten werden dann durch alle Durchgereicht. Allerdings hat es sich gezeigt, dass die meisten Viren nicht untereinander kompatibel sind [img]
http://www.fb18.de/gfx/23.gif[/img].
AUßerdem gibts VxD unter Win2k garnicht [img]http://www.fb18.de/gfx/28.gif[/img]
Potzblitz du hast recht. Allerdings wird es auch unter Windows NT/2k/XP gleichwertige Möglichkeiten geben. In Ring0-Wonderland ist alles möglich :)
Vorausgesetzt ein Virus hat das nicht schon vorher gemacht.
Es ist durchaus möglich mehrere Hooks parallel laufen zu lassen, die Daten werden dann durch alle Durchgereicht. Allerdings hat es sich gezeigt, dass die meisten Viren nicht untereinander kompatibel sind [img]http://www.fb18.de/gfx/23.gif[/img].
Aber nur wenn ein Virus nicht absichtlich verhindert, dass keine weiteren Hooks installierbar sind.
Aber nur wenn ein Virus nicht absichtlich verhindert, dass keine weiteren Hooks installierbar sind.
Wenn das möglich ist.. warum gibt das Betriebssystem dann die Möglichkeit, Hooks zu installieren?
Na Dich möchte ich sehen, wenn Dir Dein BS das verbietet. [img]
http://www.fb18.de/gfx/10.gif[/img]
Aber nur wenn ein Virus nicht absichtlich verhindert, dass keine weiteren Hooks installierbar sind.
Wenn das möglich ist.. warum gibt das Betriebssystem dann die Möglichkeit, Hooks zu installieren?
Weil es viele sinnvolle Anwendungen dafür gibt, wie man z.B. Virenscanner da einhängen könnte. Im übrigen: sobald man auf Ring 0 gleichwertig mit dem Kernel ist, kann man sowieso alles kaputt machen.
Um ganz sicher zu gehen würde ich von einer sauberen Diskette oder CD booten und von dort testen, dann ist man auf jeden Fall vor solchen Täuschungsmanövern gefeit.
Und welcher Scanner kann von DOS aus Windowsviren finden und bekämpfen? URL?
Und welcher Scanner kann von DOS aus Windowsviren finden und bekämpfen? URL?
Etliche Hersteller haben noch DOS-Versionen, allerdings werden diese nicht mehr so gut geplegt.
Generell ergibt sich das Problem, das man NTFS-Partitionen meist nicht scannen kann (außer man startet vorher selber NTFSDOS).
Alternativ kann man unter Linux scannen, das kommt gerade in Mode (und mit Knoppix-CDs wird ja schon fast überhäuft).
Heutzutage gibts doch quasi nur noch Viren auf Trojanerbasis. Wer sein Mailprogramm immer schön dicht hält (Sicherheitsupdates oder Mozi benutzen ;)), und mit ein bisschen Verstand seinen Attachments begegnet, den Plagen auch keine Virensorgen.
Das stimmt nicht. Zwar verbreiten sich die meisten Viren bzw. Würmer noch per Email, aber andere Methoden werden immer beliebter.
Z.B. verbreiteten sich einige Würmer (z.B. Fizzer) über KaZaa.
Einige Viren nutzen Schwächen in Webservern zur Verbreitung (z.B. Slapper), evtl. auch noch Schwächen im IE, um sich auch auf den Clients zu verbreiten.
Es gibt auch schon Vorhersagen, das sich Bootviren bald wieder stärker verbreiten, da bootfähiger USB-Speicher so langsam die Disketten und CDs ablöst.
Ansonsten ist der Trojaner* bzw. Keylogger,Backdoor,Passwordstealer,… "nur" die Payload und hat nichts mit der Klassifizierung des Virus/Wurms an sich zu tun.
*: Das muß natürlich "trojanisches Pferd" oder "Grieche" heißen (Kritik vom Linuxtag [img]
http://www.fb18.de/gfx/22.gif[/img])
Wenn man auf einem infizierten System einen Virenscanner installiert, ist dann garantiert, dass er alle Viren findet, die er normalerweise findet, oder kann der Virus merken, dass man ein Antivirenprogramm installiert und sich dann irgendwie verstecken?
Nein, auf so einem System kann man nicht davon ausgehen, das irgendetwas normal funktioniert!
Inzwischen gibt es ziemlich viele Viren, die Antiviren-Programme deaktivieren.
Dazu enthalten Viren (wie z.B. Bugbear.B) umfangreiche Listen mit Dateinamen möglicher AntiVirus- und Firewall-Software, um das Ausführen dieser Dateien zu verhindern.
Deshalb stellen AV-Firmen oft spezielle (und vor allem anders benannte [img]
http://www.fb18.de/gfx/22.gif[/img]) Programme zum Entfernen bestimmter Viren bereit.
Alternativ kann man versuchen, den Dateinamen selber zu ändern. Allerdings funktioniert das nicht, wenn der Virus auch die notwendigen Programmbibliotheken blockiert.
Ich benutze die Freeware www.free-av.de ist die zu empfehlen?
Für H+BEDV Antivir haben wir im VTC (
http://agn-www.informatik.uni-hamburg.de/vtc/ nur die letzten Ergebnisse im Test 2001-10. Wenn ich mich richtig erinnere, hatte der leichte SChwächen bei In-The-Wild-Viren.
Anitvir ist aber im aktuellen Test wieder mit dabei.
EDIT: Na sowas, da habe ich mir vor 2 Stunden die neueste Version gesaugt (3 Tage alt), und jetzt gibt's schon wieder das nächste Update (30 Minuten alt) [img]http://www.fb18.de/gfx/7.gif[/img]
Ohne Updates sind Virenscanner miest auch relativ sinnlos.
Es gibt auch schon Vorhersagen, das sich Bootviren bald wieder stärker verbreiten, da bootfähiger USB-Speicher so langsam die Disketten und CDs ablöst.
[img]
http://www.fb18.de/gfx/8.gif[/img] ich dachte, wenigstens die Zeit in der man jedes Medium was nicht von einem selbst kommt, kritisch beäugt, ist vorbei. Dann kann man sich ja bald bei der nächsten geliehenen USB-Digicam wieder sorgen machen [img]
http://www.fb18.de/gfx/28.gif[/img]
Theoretisch besteht diese Gefahr auch bei CDs (jede CD kann bootfähig sein und viele BIOS-Defaults booten erst von CD).
Allerdings ist die Weiterverbreitung als Boot- oder "Autostart"-Virus anscheinend schwierig genug (obwohl heutzutage viele CDs gebrannt werden), um sich da (noch) keine größeren Sorgen machen zu müssen.
Und welcher Scanner kann von DOS aus Windowsviren finden und bekämpfen? URL?
www.f-prot.com
Kann mir jemand den Gefallen tun und ein bootbares Nero Image erstellen und irgendwo uploaden, wo dieser Virenscanner mit drauf ist? Ich würde es ja selber machen, aber mein Diskettenlaufwerk ist im Arsch.
Kann mir jemand den Gefallen tun und ein bootbares Nero Image erstellen und irgendwo uploaden, wo dieser Virenscanner mit drauf ist? Ich würde es ja selber machen, aber mein Diskettenlaufwerk ist im Arsch.
Hey ho.
Ich hab das mal gemacht, konnte es aber nicht testen, weil ich meine RWs gerad verliehen habe. Und für 5 MB nen Rohling verschwenden ….
Ich konnte es daher nicht testen. Gebrauch daher auf eigene Gefahr.
Es handelt sich hierbei um F-Prot für DOS, Stand: 8.Mai 2003
mit einem Windows 98 SE BootImage [img]
http://www.fb18.de/gfx/15.gif[/img]
Viel Spass dabei.
http://217.160.138.15/azrael/fprot-boot.nrg
Kann mir jemand den Gefallen tun und ein bootbares Nero Image erstellen und irgendwo uploaden, wo dieser Virenscanner mit drauf ist? Ich würde es ja selber machen, aber mein Diskettenlaufwerk ist im Arsch.
Nimm doch einfach eine Knoppix-CD und hol dir dann von
ftp.fprot.com die aktuelle Linux-Version sowie aktuelle Signaturen.
Die DOS Version der Scan engine ist deutlich älter und somit nicht so empfehlenswert.
