Hallo,

ich habe eine e-mail erhalten, wo man schon am Header der Nachricht erkennt, dass ein/e Backdoor/Trojaner installiert wird.

Jetzt wollte ich doch mal sehen, was das Antivirenkit 2005 so taugt. Also die *.exe gestartet
und der Virenscanner hat nicht angeschlagen. Die Datei mit dem Namen dc.exe hat sich
in C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp eingenistet und versucht
munter sich mit einem Server zu verbinden. Die Firewall hat die ausgehende Verbindung gemeldet.

Jetzt habe ich mir gedacht, ich könnte der AVK-Internetambulanz einfach die Datei per e-mail schicken,
damit die Signaturen angepasst werden. Fehlanzeige, funktioniert nur mit Dateien die als Malware erkannt werden.

Allerdings bietet die H+BEDV Datentechnik GmbH eine Möglichkeit verdächtige Dateien hochzuladen
und zu überprüfen und das habe ich gerade gemacht.

Sollte ich jetzt eine Nachricht erhalten, dass die Datei als "schädlich" eingestuft wird,
ist es aus mit dem hochgelobten AVK. Dann werde ich H+BEDV unterstützten und die PersonalEdition Premium für 20€ kaufen.


Gruß

Woodmaster

mmm...

Jup, diese Art von Support finde ich bei Antivir auch sehr angenehm. Bei McAfee und den anderen muss man wesentlich mehr suchen oder findet sowas nicht. In diesem Punkt ist Antivir sehr nett.

Naja, ansonsten hast du gerade das Prob mit Signaturen erkannt ;). Ein auf Signaturen basierender Scanner braucht Informationen über Viren (Trojaner, Würmer, Malware), damit es die Sachen jagen kann. Die Alternative dazu ist die sogenannte Heuristik, welche anhand von verschiedenen Mustern versucht ein böses Programm zu erkennen. Bei Signaturen ist die Quote für Fehlerkennnungen niedriger, aber dafür werden neue Viren mit grösster Wahrscheinlichkeit nicht erkannt. Teilweise reicht es schon, dass die Viren mit einem anderen Compiler neu compiliert werden und schon versagt der Virenscanner schon wieder. Bei der Heuristik gibt es eine bessere Chance, dass diese Sachen erkannt werden, aber wenn man gerne mit Opensourcesoftware rumspielt, ist die Chance hoch, dass diese einem einige Progs mal eben just for fun wegballern, weil diese böse sein können. Nod32 setzt sehr stark auf Heuristik ... ich würde das Teil mal bei http://virusscan.jotti.org/ oder http://www.virustotal.com/flash/index_en.html hochladen und gucken, welcher Scanner was findet ... vielleicht kannst du das Ergebnis mal posten :) ...

Hallo Lokadamus,

vielen Dank für den Tipp mit VirusTotal. Ich habe die Datei hochgeladen und
hier ist das Ergebnis.

http://img344.imageshack.us/img344/9897/virustotal5hk.png (http://imageshack.us)


Gruß

Woodmaster

Was macht dich so sicher dass Du alle schädlichen Teile beseitigen/finden konntest? Hast Du daraufhin Windows neuinstalliert oder alles in vmware laufen lassen? Mal eben einen unbekannten Virus testen scheint bei dir nicht sonderlich unbehagen auszulösen...

Hallo HeldImZelt,

ich habe auf einem Notebook getestet. Nach dem Test habe ich die
Originalpartition mit TrueImage von einer DVD wiederhergestellt.

Gruß

Woodmaster

Hallo Lokadamus,

vielen Dank für den Tipp mit VirusTotal. Ich habe die Datei hochgeladen und
hier ist das Ergebnis.

http://img344.imageshack.us/img344/9897/virustotal5hk.png (http://imageshack.us)


Gruß

Woodmaster

Faszinierend, dass das hochgelobte NOD32 den Virus auch nicht erkannt hat. Was ist an diesem Scanner so gut? Die Heuristik? Die Signaturen sinds anscheinend nicht. Was nicht heißen soll, dass NOD32 schlecht ist. Nur ist das Hochloben nicht alles.

Grüße

Vielleicht war es kein Virus, sondern nur Malware, Adware oder ein DataMiner. Nicht alle Virenkiller beachten diese, bzw. finden diese nur optional, wie z.B. Kaspersky.

Vielleicht war es kein Virus, sondern nur Malware, Adware oder ein DataMiner. Nicht alle Virenkiller beachten diese, bzw. finden diese nur optional, wie z.B. Kaspersky.mmm...

Im Prinzip müsste man in ein paar Tagen nochmal nachschaue, meistens erkennen dann alle diesen Schädling, egal ob Malware oder was immer es nachher ist. Die Erkennung ist eben auch von der Verbreitung abhängig. Symantec hat zum Beispiel relativ lange auf die Erkennung von Dialern verzichtet, da diese in Amiland sehr selten vorkommen, Antivir hatte hier immer eine relativ hohe Erkennungsquote, wobei man selber überprüfen sollte, ob auch eingestellt ist, dass nach Dialern (und Jokeprogrammen) gesucht wird.

Allerdings kann man an solchen Ergebnissen immer wieder sehen, dass es nicht "den" Virenscanner gibt und man sich niemals 100% auf seine Schutzmaßnahme verlassen soll/ darf. Es gibt eben immerwieder unbekannte Viren und irgendjemand ist immer erstmal ein Opfer, bevor das Teil bei den Virenscannern bekannt ist ...

Hallo,

ich habe die Datei jetzt erneut hochgeladen. Ich sehe die Angelegenheit genauso wie "Lokadamus - nixBock", es gibt nicht den "Virenscanner" überhaupt.
Eine Grundsicherheit wir nur erreicht, wenn mehrere Faktoren berücksichtigt werden. Daher werde ich meinen nächsten Virenscanner über den Preis kaufen.

http://img461.imageshack.us/img461/6124/virustotal7pr.png (http://imageshack.us)


Gruß

Woodmaster