Hallo,

ich habe vor kurzem einen PC bei meinem Großvater aufgesetzt und da er auch ein klein wenig im Internet unterwegs ist, möchten wir natürlich auch für den Virenschutz (http://www.antivirus-test.org/virenschutz/)sorgen.
Er möchte allerdings nichts oder nur sehr wenig dafür ausgeben, daher wollte ich euch fragen ob ihr gute kostenlose Programme kennt, die zuverlässig arbeiten und nur wenige Sicherheitslücken haben?
Er ist nur 5 Stunden im Monat online, also nicht wirklich oft.

Ich hab bei mir eine Kombination aus ThreatFire für die Verhaltenserkennung und den Microsoft Security Essentials als Virenschutz am laufen und bin damit recht zufrieden. Die MSE sind zwar etwas langsam, aber nicht so, als dass es nicht mehr akzetabel wäre.

Die free Version von Avast ist so ziemlich das beste kostenlose antiviren programm das es gibt.

Das beste antiviren programm hilft allerdings nichts wenn man nicht auch die software auf dem aktuellen stand hält:
- Browserplugins (adobe flash, java, adobe pdf reader)
- der Browser selbst
- windows updates

Daher immer vor dem surfen prüfen ob alles aktuell ist.

Die Browserplugins lassen sich hier schnell und einfach prüfen: https://www.mozilla.org/de/plugincheck/

kann ich so unterstreichen

hab in der ganzen familie Avast zum standard gemacht

Avast!

Auf meinem PC Avast und auf dem Notebook Microsoft Security Essentials 4

finde ich die "besten" Programme ohne Werbung...

Was macht Avast besser als Antivir-Avira?

Keine Werbung. Das reicht schon.

Naja, die lässt sich bei Avira auch abschalten. Viel wichtiger sind doch Dinge wie Erkennungsrate, Updates usw.

Dann lieber AVG.

Avast ist viel zu restriktiv und schneidet dermaßen tiefe Kerben ins System, dass es manche Anwendung kommplett lahmlegt.
Und zwar dauerhaft bis zur kompletten Deinstallation.

Avira nervt mit der penetranten Werbung und bietet vom Funktionsumfang her einfach überhaupt nichts. Das Gesamtpaket ist hier einfach nicht gut.
Avira profitiert hierzulande nur noch ausschließlich von seinem alten Ruhm. Doch diese Zeiten sind längst vorbei.
Bevor man auf das billige Avira zurückgreift sollte man lieber gleich MSE drauf tun.

und bietet vom Funktionsumfang her einfach überhaupt nichts. Das Gesamtpaket ist hier einfach nicht gut.
Avira profitiert hierzulande nur noch ausschließlich von seinem alten Ruhm. Doch diese Zeiten sind längst vorbei.

Wie ist das gemeint?
Bei AV-Comparatives.org hat Avira 2011 (mal wieder) gut abgeschnitten.

Naja, die lässt sich bei Avira auch abschalten. Viel wichtiger sind doch Dinge wie Erkennungsrate, Updates usw.

Abschalten ist relativ. Erkennungsrate und Updates sind bei Avast ebenfalls gut. Und ich sehe auch nicht dass Avast tiefe Kerben ins System schneidet, um auf den Gastbeitrag einzugehen.

Avira nervt mit der penetranten Werbung und bietet vom Funktionsumfang her einfach überhaupt nichts.
Seit Version 12 habe ich überhaupt keine Werbung mehr, es öffnet sich lediglich ein kleines popup fenster in der Taskleiste mit Hinweisen ob ein Update erfolgreich war und selbst das kann ganz ausschalten.

Das Gesamtpaket ist hier einfach nicht gut. Avira profitiert hierzulande nur noch ausschließlich von seinem alten Ruhm. Doch diese Zeiten sind längst vorbei.

Was ist an Avira schlecht? Ich habe keine Probleme damit, es macht was es soll und das gut. Das einzige was man Avira zurzeit vorwerfen kann, ist das es übervorsichtig ist und schon mal Warnungen ausspricht wo überhaupt nichts gefährliches ist, aber auch das ist nichtmehr so schlimm wie es mal war. Bei Tests schneidet es immer noch gut ab, vor AVAST oder AVG.

Danke für die Info. Wußte nicht dass es sei Version 12 keine Werbung mehr gibt.

Threads wie dieser verlaufen immer nach dem gleichen, nein, nach dem selben Schema:
Einer sagt, Avast ist toll, der nächste Avira und der übernächste sagt, warum beide nix taugen und Produkt Dings das Obertollgrößte ist.
:facepalm:

Ich bin nach x-Jahren von Antivir auf MSE umgestiegen, bin hoch zufrieden und wüsste nicht, warum ich was anderes nehmen sollte.

- Keine Nagscreens
- bessere Hintergrundperformance
- Keine Fehlmeldungen

Meine Meinung: Die Top 3-4 der Scanner einfach selber mal ausprobieren und jeweils ne Woche einsetzten, dann sieht man schon was einem zusagt.

Also bei Avast hat mich der bayerische/fränkische(?) [für mich is dat dat gleische...] Tonfall von dem Sprecher genervt, bei Avira die lästigen Pop-Ups.
Ich verwende seit mehr als einem Jahr AVG free und finde das gut. Irgendwo habe ich mal nen Test gesehen, da war es innerhalb der 1. fünf Plätze was die Erkennung von Viren angeht und bezgl. Performance beim Gamen war es mit eines der besten Tools.
Vielleicht kann man ja nen Poll aus der Frage machen...?

Also bei Avast hat mich der bayerische/fränkische(?) [für mich is dat dat gleische...] Tonfall von dem Sprecher genervt
schonmal in den einstellungen von avast geschaut? da kann man die klänge mit einem klick einfach deaktivieren und dann ist für immer ruhe.

Nö... hat mich 2-3 Tage genervt und dann *uninstall. ;)

AVG free ist ebenso eine gute Wahl. War damit immer zufrieden, AntiVir hat leider versagt. hatte mal den Fall das ein file verseucht war, was diverse Virenscanner bei einem Onlinecheck erkannt haben aber AntiVir selbst nach Tagen nicht.

Die Oberfläche ist schlicht gehalten, braucht kaum Ressourcen wenn man nur den normalen Schutz aktiviert und hat noch einige nützliche Gimmicks. Zum einen findet es Spionage Cookies und kann diese gleich mit entfernen zum anderen kann beim Browsen oder sogar bei der Googlesuche schon vor dem Klick angezeigt werden, ob die Seite als (bekannte) verseuchte eingestuft ist.

Vor 1-2 Monaten wurden in der c't Virenscanner getestet.
Dort wurden von den kostenlosen Scannern AVG und Avast empfohlen, von Avira wurd wegen der penetranten Werbung abgeraten und von MSE wegen der schlechten Performance und Erkennungsrate.

Clamwin ist auch gut wenn man keine on demand Scanfunktion braucht.

Clamwin ist auch gut wenn man keine on demand Scanfunktion braucht.
Du meinst on access. :)
Clam taugt aber leider nichts, die Erkennung ist total mies.

Bitdefender.
Ist zwar nicht kostenlos, aber wenn du schnell genug bist, kannst dir einen diesen Lizenzschlüssel greifen.

Sollten noch etwa 4 Tage gültig sein. Danach kannst du Bitdefender 1 Jahr lang kostenlos nutzen.

7GAD4BZ
UDYDVVV
BKXZUBB
KPXHRUX

Nach mehreren Jahren Avast in der ganzen Family bin ich mittlerweile überall auf Microsoft Security Essentials umgestiegen.

Grund: das Tool verhält sich nicht so aufdringlich wie Avast und läuft schon integriert in Windows im Hintergrund.

Alle Tools, die regelmäßig mit Gefährundgswarnungen oder abgelaufenen Lizenzschlüsseln (früher Avast), oder sonstigen Meldungen unnötig auf sich aufmerksam machen gehen bei mir garnicht; dafür habe ich zuviele Laien im Bekanntenkreis, die den PC einfach nur nutzen wollen ohne sich groß damit auseinanderzusetzen und beim kleinsten Pups der nach einem Problem stinkt bei mir anrufen...

Threads wie dieser verlaufen immer nach dem gleichen, nein, nach dem selben Schema:
Einer sagt, Avast ist toll, der nächste Avira und der übernächste sagt, warum beide nix taugen und Produkt Dings das Obertollgrößte ist.

hier sind keine volldaus unterwegs und deswegen kann man einfach den am meisten empfohlenen nehmen.
warum weshalb ist doch unwichtig - die leute hier haben bestimmt schon paar durch und da wir alle wesentlich mehr erfahrungswerte haben als bild.de ist eine empfehlung durchaus ernst zu nehmen.

ob ein virenscanner 98,1 oder 98,2% erkennungsrate hat ist unwichtig.
diese werte schwanken von einem VDD update zum nächsten.

jeder hat andere prioritäten ... ich fand mal avira gut in der alten version und switchte dann zu avast.
der grund waren negative erfahrungen mit avira seitdem sie auf den werbezug aufgesprungen sind.
auch fand ich die leistung von avira nicht mehr so gut wie in der alten version ... avira bremst in der neuen version das system zu sehr aus.

Also bei Avast hat mich der bayerische/fränkische(?) [für mich is dat dat gleische...] Tonfall von dem Sprecher genervt

die sprachausgabe kann durchaus nützlich sein - du kannst sie aber auch deaktivieren.

ohne hier jetzt wieder eine Disku starten zu wollen,

für Windows, kostenlos und im "normalfall" ausreichend

http://windows.microsoft.com/de-DE/windows/products/security-essentials

Version 4 runterladen oder auf 4 upgraden.

ohne hier jetzt wieder eine Disku starten zu wollen,

für Windows, kostenlos und im "normalfall" ausreichend

http://www.avast.de/produkte/freeware/avast-free-antivirus.html

Version 7 runterladen oder auf 7 upgraden.

Im Kern schwankt die Erkennungsrate wie im Fußball: Mal topp, mal hopp. Insofern isses wurscht. Die beste Perfomance UND den besten Hintergrund ist in der Tat MSE.

ohne hier jetzt wieder eine Disku starten zu wollen,

für Windows, kostenlos und im "normalfall" ausreichend

http://www.avast.de/produkte/freeware/avast-free-antivirus.html

Version 7 runterladen oder auf 7 upgraden.


habens jetzt hinbekommen dass die 7 endlich läuft? War ja so dass die 7 Features hatte wo AVAST davon abriet sie zu nutzen da sonst unter Umständen garnichts mehr geht.

Gott sei dank bliebt ich davon verschont als ich die 7er mal schnell getestet habe (als 2t Scanner).

ohne hier jetzt wieder eine Disku starten zu wollen,

für Windows, kostenlos und im "normalfall" ausreichend

http://www.avast.de/produkte/freeware/avast-free-antivirus.html

Version 7 runterladen oder auf 7 upgraden.


Ich starte aber gerne eine Diskuh;

Avast ist scheiße, da es sich zu tief ins System eingräbt und wichtige Funktionen, Systemkomponenten lahmlegt. Kurzum - es verursacht massive Fehler in anderen Programmen, da es - insbesondere in Version 7 - extrem restriktiv ist.

Ein Virenprogramm dass mir Anwendungen zerschiesst und nur Probleme macht, ist keinen Pfifferling wert.

Ich werbe daher nur noch für MSE. Das beste was man im Moment an guter Freeware bekommt.
Avira hat nachgelassen und penetriert den Nutzer nur noch mit Werbemüll und anderen Zumutungen. Der Scanner an sich ist aber gut.
Ab und zu mal ein Fehlalarm, doch das ist zu verschmerzen. Immerhin teilt Antivir IMMER mit, wenn es irgendwas blockiert/sperrt und fragt nach. Avast tut das, ohne eine Erklärung dazu abzugeben und dem Nutzer die Wahl zu lassen. Das geht gar nicht!
Man muss erst ml auf Ursachenforschung gehen, warum was nicht funzt,
bis man dann nach Wochen des Wunderns auf Avast als Ursache kommt...


Im Gegensatz zu Avira und Avast kann ich noch AVG - neben MSE - sehr empfehlen.
Ein Scanner, der tut, was man von ihm erwartet. Mangels Alternativen, setze ich ihn bei meinem XP x64 ein.
Zumsammen mit dem kostenlosen BitDefender "on demand". Diese Kombination ist wirklich gut. Meine eigene "dual Engine" sozusagen.

habens jetzt hinbekommen dass die 7 endlich läuft? War ja so dass die 7 Features hatte wo AVAST davon abriet sie zu nutzen da sonst unter Umständen garnichts mehr geht.

Ach? Da schau an... Haben Sie dann vor ihren eigenen Features und dem eigenen Programm gewarnt?
Wow. Da hat der Drecksladen aus meinen Hassmails (und denen anderer Kunden Versuchskaninchen) wohl am Ende doch noch was gelernt. Nämlich, dass sie ihr Produkt besser nicht vertreiben sollten.

So lange habe ich das gar nicht mehr weiterverfolgt. Nach ein paar Wochen Avast habe ich unter größer Mühe die Überreste diese hartnäckigen Fucknprogramms aus meinen Betriebssystem geschabt.


Ganz ehrlich - wer jemanden Avast empfiehlt, der nur ein Quäntchen mehr macht als dreckige Clips auf Youp0rn zu glotzen und die Menschheit mit seinen bescheidenen Fähigkeiten auf Facebook zu beglücken, der hat keine Ahnung vom Thema. Und davon wiederum außerordentlich viel.

Avast ist scheiße, da es sich zu tief ins System eingräbt
Das ist kein Argument, weil das jede Sicherheitssoftware macht.

Nope, macht nicht jede Sicherheitssoftware. Die günstigsten laufen mit Admin-Rechten oder ein entsprechender Service das wars dann.

Gerade diese Woche bei einem Bekannten mit F-Secure auseinandergesetzt, was er für teures Geld gekauft hat. Iwie war es verschossen, eine (De-)installation ging schonmal nicht. Die Deinstallation mussten Services, Treiber (!), verschiedene, geschütze, versteckte Programmdaten (auch im Win-Verzeichnis) gelöschten werden, erst dann lief der Rechner. F-Secure war auch der Grund, dass FF und andere Browser beim ersten Start über eine halbe Minute - wirklich eine halbe Minute - sich totrödelten. Nach dessen Entfernung, guten Zureden des Kunden und MSE rauf, siehe da, FF startet sofort.

Fairerweise: Allerdings ist es nur eine Momentaufnahme. Kann in ienem halben Jahr schon ganz anders ausseheen ;)

Avast ist scheiße, da es sich zu tief ins System eingräbt und wichtige Funktionen, Systemkomponenten lahmlegt. Kurzum - es verursacht massive Fehler in anderen Programmen, da es - insbesondere in Version 7 - extrem restriktiv ist.
dann nenn doch mal ein paar wichtige funktionen bzw systemkomponenten die lahmgelegt werden? bzw fehler in anderen programmen?

@aufkrawall +1
Muss es auch - der AV achtet darauf, dass Schadsoftware nicht in den KernelMode gelangt (privilegierter Bereich). Früher war auch die Manipulation der Aufrufkette von Interrupts ein Problem um dem Monitoring durch den AV zu entgehen (Tunneling).
Behaviour Blocker zum Beispiel arbeiten zur Laufzeit und hängen auch mehr oder weniger tief im System.

Jedoch finde ich den Einsatz einer einzigen AV-Lösung nicht so optimal - auch sind die gratis Version doch eher beschnitten....

@seba86
laufen die Browser dann in einer Sandbox? Wenn ja würds den zeitlichen Aufwand erklären...
Sandboxing ist sowieso eine relativ gute Lösung um bei einem Vorfall den Schaden zu begrenzen.

@aufkrawall +1
Muss es auch - der AV achtet darauf, dass Schadsoftware nicht in den KernelMode gelangt (privilegierter Bereich). Früher war auch die Manipulation der Aufrufkette von Interrupts ein Problem um dem Monitoring durch den AV zu entgehen (Tunneling).
Behaviour Blocker zum Beispiel arbeiten zur Laufzeit und hängen auch mehr oder weniger tief im System.

So sieht es aus und...

@seba86: ...Software, die dies nicht tut, taugt nicht die Bohne.


Sandboxing ist sowieso eine relativ gute Lösung um bei einem Vorfall den Schaden zu begrenzen.
Genau, Sandboxie bewährt sich seit geraumer Zeit als absolut sicher.
Es ist auch so konzepiert, dass so lange kein Prozess in der Sandbox gestartet wird, es nicht durchs Abfangen von Systemfunktionen irgendwas stören könnte.
Dafür, dass es nur von einem einzigen Entwickler gemacht wird, ist es ein ziemliches Meisterwerk, das den Sandboxen von den im Geld erstickenden AV-Herstellern weit überlegen ist.

Ist zwar nicht kostenlos, aber in der nähe davon:
Die Computerbild-Edition von der Kasperky Suite

Hatte viele Jahre "Avira" genutzt.

Klappt leider nicht mehr mit meiner "Protect Software" der Fritzbox. Zwei Module von Avira werden nicht installiert. Das "Schnittstellenproblem" ist Avira bekannt.

Bin dann auf "Avast" umgestiegen und alles läuft wie es sein sollte.

Zwischendurch lasse ich mal "Malwarebytes" über das System ( WIN 7 64 ) drüberlaufen und gelegentlich den "WinDefender."

Hatte bisher nie ein Problem und bin im Netz seit es öffentlich zugänglich wurde.

hth

Avast ist scheiße, da es sich zu tief ins System eingräbt und wichtige Funktionen, Systemkomponenten lahmlegt. Kurzum - es verursacht massive Fehler in anderen Programmen, da es - insbesondere in Version 7 - extrem restriktiv ist.

Ein Virenprogramm dass mir Anwendungen zerschiesst und nur Probleme macht, ist keinen Pfifferling wert.



kann ich so nicht bestätigen - 5 minuten durch die einstellungen und avast läuft wie eine eins.
meine programme funken alle einwandfrei (das sind eine menge) und der vollbildspielemodus funktioniert auch einwandfrei.
bei den clienten läufts auf xp und win 7 (64) einwandfrei; keine ahnung was du für eine zerschossene windows installation bzw. defekte hardware hast.


Immerhin teilt Antivir IMMER mit, wenn es irgendwas blockiert/sperrt und fragt nach. Avast tut das, ohne eine Erklärung dazu abzugeben und dem Nutzer die Wahl zu lassen.

das ist ein sicherheitsrisiko - das popup fenster wird von unwissenden nutzern einfach weggeclickt - der normalo user liest das doch gar nicht oder versteht es.
schon mal mit der 50+ generation zu tun gehabt?
der dau user kann mit echtzeitmeldungen sowieso nichts anfangen ... warum also einblenden oder dem dau user gar "möglichkeiten" zur auswahl geben - das ist ein sicherheitsrisiko²

der profi sieht sowieso in den container / protokoll und führt danach eine recherche aus.

aber was machst du wenn von 50 virenscanner 25 sagen es ist ein virus und 25 sagen es ist keiner?
tja .. schlussendlich hilft nur noch ein live os bzw. eine sandbox - wobei selbst dies keine 100% sicherheit bietet.

gegen virtualisierte vieren/trojaner haben alle scanner keine chance; die erkennen virtualisierte viren/trojaner nämlich nicht.
ein virtualisierter sub7 neu verpackt als 2,3 mb exe geht bei virustotal durch mit 0 treffern. ;D
so viel zur windows "sicherheit" > windows bietet nunmal keine sicherheit und das muss man zur kenntnis nehmen.
die icmp sicherheitslücke hat auch kein einziger scanner oder eine "blödmann" firewall/internet security 0815 suit erkannt.
das auslesen manipulieren/verändern der user rechte erkennt auch kein einziger scanner; und das funkt unter windows selbst als GAST user.


fazit: wer sich mit sicherheitsthemen beschäftigt sollte zu erst mal windows von der liste streichen.

Microsoft Security Essentials umgestiegen

im letzten test von AVC (märz/april 2012) hat MSE knapp 10% des malware beschusses "on demand" nicht erkannt - 10% ist schon recht viel.
und im echtzeit "guard" modus 15% ... wobei es 10% geschaft haben das system zu kompromitieren.
der MSE ist der schlechteste guard/scanner von allen getesteten.

gegen virtualisierte vieren/trojaner haben alle scanner keine chance; die erkennen virtualisierte viren/trojaner nämlich nicht.
ein virtualisierter sub7 neu verpackt als 2,3 mb exe geht bei virustotal durch mit 0 treffern. ;D



Was genau ist ein virtualisierter Trojaner?

In so einem Fall kommen Behavioral Scanner zum Einsatz - Mamutu, Threatfire & Co.
Hier versagen Signaturbasierende Scanner..



das auslesen manipulieren/verändern der user rechte erkennt auch kein einziger scanner; und das funkt unter windows selbst als GAST user.


Von welcher Version redest du?
Unter 7 ist der Gast Account deaktiviert.

blablub

fazit: wer sich mit sicherheitsthemen beschäftigt sollte zu erst mal windows von der liste streichen.

Tja, laut Kaspersky ist Apple 10 Jahre hinter Microsoft bei der Sicherheit zurück, dann bleibt ja nicht mehr viel.

http://malware.cbronline.com/news/apple-10-years-behind-microsoft-on-security-kaspersky-250412

Mich würde auch stark interessieren was virtualisierte Malware ist :confused:
Meinst du damit mutierende? Poly- & Metamorphismus in Malware?
Weil dann stimmts - damit haben AVs schon noch Probleme...

@ icmp-Problem
wenn ich das noch richtig im Kopf habe ist das ein Problem der Implementierung und solange du ICMP nicht blockierst wird dir nur ein IDS bzw. IPS helfen oder vl. auch hostbased IDS/IPS und dafür braucht man wieder Signaturen (für Payload und Angriffsmuster, etc.) solange es keine Anomalie-Erkennung verwendet

Mich würde auch stark interessieren was virtualisierte Malware ist :confused:

Ich denke mal, er meint einfach Runtime-Crypter.

Dem aktuellen C'T Sonderheft (Preis: 8,90€) liegt eine Einjahreslizenz von NOD32 bei. Ist zwar nicht gratis, aber fast (sofern man Verwendung für das Heft oder den sonstigen Inhalt der DVD hat).

@aufkrawall hm hört sich heftig an, gibts da Whitepaper / ebooks dazu?
Wär echt interessant ob heuristik bzw. behaviour-blocker da etwas ausrichten können.

@Topic
Ich finde auch die desinfec't (aktuell 2012) von Heise sehr gut - 4 Scanner für ein Jahr von einem schreibgeschütztem Live-Medium ist fast nicht zu toppen. Damit bekommt man fast alles bekannte wieder weg... Viel besser gehts kaum, wenn es um Erkennung geht und nicht um Prävention...

Avast

@aufkrawall hm hört sich heftig an, gibts da Whitepaper / ebooks dazu?
Wär echt interessant ob heuristik bzw. behaviour-blocker da etwas ausrichten können.

Vielleicht meint er auch das hier:
http://de.wikipedia.org/wiki/Virtual_Machine_Based_Rootkit

Ist aber nur eine Demo und keine reale Gefahr bzw. sollte es mit Windows 8 und UEFI auch eigentlich nie werden.

Runtime-Crypter sind völlig normal bei Malware:
Sie entschlüsseln sich erst bei Ausführung im Speicher, damit die Dropper nicht von AVs erkannt werden können.
Man kann massenhaft sowas kaufen. Die Autoren werben damit, dass damit verschlüsselte Malware 100% Undetected von allen AV-Scannern ist.
Gibt sogar zig Gratisseiten, wo du deinen Dropper hochladen kannst, und du bekommst dann das Ding mit Runtime-Crypter/Packer raus.

Dagegen gibts, wie du schon sagtest, Verhaltensblocker, Emulatoren usw.
Das übliche Katz und Maus-Spiel halt.

Ahhh jetzt hab ichs geschnallt - eigentlich eh "nur" teilverschlüsselter Malwarebody mit Decryptor-Funktion a la Oligo- Poly- Metamorphismus....

Dachte schon es gäbe etwas Neuartiges das im Kernelmode per Prozessvirtualisierung vorn AV abschrimen kann...

EDIT: ah das Virtual Machine Based Rootkit ist relativ ähnlich zu dem was ich mir oben gerade vorgestellt habe.

also man kann doch per VM eine linux-distri aufsetzen und sämtliche internetbasierten und vertraulichen web anwendungen drauf laufen lassen.
so mach ich das zumindestens "für wichtige angelegenheiten bzgl. online-banking, kredit karte, buchungen etc."

ich frage mich nur was sicherer ist wenn man vom worst case szenario ausgeht.

beispiel: alte software auf einem relativ aktuellen OS.
zb.: firefox 2.0 ... wo ist der sicherer? unter windows oder unter linux?
denke das viele browser exploits doch auch eng mit betriebssystem-exploits zusammenhängen.
die malware verbreitet sich ja aus der web-anwendungen heraus ins system.

klar kann man das unter windows sandboxen; nur ist hier wiederum das problem das es sich selbst mit einer sandbox um einen windows host handelt und die software eben für windows geschrieben ist.
primäre innerhalb der sandbox laufende "malware" kann so aktiv werden.
zwar nur bis zum nächsten neustart der sandbox, aber immerhin.

Wenn Du nur Die vertraulichen Dinge in der VM machst und mit dem Host-OS trotzdem noch normal im Internet surfst, kannst Du Dir trotzdem einen Keylogger einfangen, der z.B. die Eingabe einer Kreditkartennummer in die VM aufnimmt. Also müsstest Du schon alles Internet in der VM laufen lassen.

Der überwiegende Anteil der Exploits für Firefox nutzt sicherlich Sicherheitslücken in diesem selbst aus, und nicht solche im OS.
Unter Linux hat man nur Glück, dass die Exploits wohl zu 99% Windows-Malware installieren, die dann natürlich nicht läuft.
Würd der Firefox mit Rootrechten laufen und durch ein Exploit Linux-Malware ausgeführt werden, wär das Linux auch kompromittiert, sofern die Malware unter der Distri läuft.

Unter Linux hat man nur Glück, dass die Exploits wohl zu 99% Windows-Malware installieren, die dann natürlich nicht läuft.

Viele Exploits scheitern vermutlich auch daran, dass die Browser die jeweiligen Sandboxen des Systems nutzen und die Implementierungen sich von OS zu OS unterscheiden. AppArmor funktioniert z.B. schon anders als die von OS X oder Windows.

Naja, also der Trojoner-de-jour muss ja auch irgendwie auf den Rechner kommen, und die Dinger haben alle Call-home Funktionen, sind dynamisch erweiterbar und recht weit verbreitet ("Bot Netze"). Also finde ich das Argument, man müsse sich nur um Browser Exploits und nicht um das OS sorgen, nicht besonders stichhaltig.

Also finde ich das Argument, man müsse sich nur um Browser Exploits und nicht um das OS sorgen, nicht besonders stichhaltig.
Wer sagt das?

@GTX999
Das Argument mit der alten Software hab ich nicht verstanden - dann fehlen ja die ganzen Sicherheitsupdates, oder nicht???

Naja als 100% sichere Lösung würde ich VMs nicht ansehen...
1. Schreibzugriff meist erlaubt
2. OS unabhänige Malware gibt es => wenn auch irre selten
3. Schädlinge können aus der VM ausbüchsen, z.B. per Netzwerk

@Milton
Browser sind eine Möglichkeit um in das System zu kommen - zumal da oft schön fehlerhafte Plugins laufen *Flash & co.*
Auch das OS hat viel mit Netzwerk und Internet zu tun (Freigaben und der gleichen wie von Sasser, Stuxnet und Conficker ausgenutzt wurden) ist ebenfalls als Infektionsweg anzusehen.
Der Boot von einem schreibgeschützem Live-Medium ist auch durch HW-Keylogger angreifbar, aber irgendwo muss man halt mal ansetzten....

ich finde es leider gerade nicht mehr, aber es gab da mal ein nettes anonymisiertes interview mit jemandem, der professionell malware schreibt und die dann an leute verkauft, die sie ausnutzen.
sobald ein exploit den großen virenscannern bekannt ist, bekommt man dafür quasi kein geld mehr. deswegen sterben bekannte exploits in der freien wildbahn sehr schnell aus. virenscanner, die mit signaturen arbeiten sind zwar besser als garnix, aber im grunde nahezu wirkungslos.
die einzigen wirklich wirkungsvollen virenscanner sind die, die gute heuristiken verwenden um unbekannte angriffe zu erkennen und von denen taugt eigentlich nur kaspersky wirklich was.
lustigerweise sind die meisten effektiven malwareschreiber wohl mitarbeiter oder ehemalige mitarbeiter von antivirenfirmen weil das diejenigen sind, die wissen wie man das zeug umgeht. :D

Kommt drauf an mit welcher Art von Signaturen - Signaturen verwendet auch die statische Heuristik und diese beschreiben dann ehrer Programmaktionen und nicht wie bei der herkömmlichen Signaturerkennung "nur" eine für den Malwarestamm einzigartige Bytefolge...
Die dynamische Heuristik sieht sich, ähnlich wie Behaviour Blocker, das Laufzeitverhalten an und entscheide dann erst..

EDIT OFF-T

Seien wir uns mal ehrlich wer kann den außer denen von der AV-Firma noch richtig gut Assembler?
Ich glaub da bleiben nicht viele übrig. (ich kanns selber nicht wirklich und tu mir schon richtig hart wenn ich virale Codeteile durchschaue)

lustigerweise sind die meisten effektiven malwareschreiber wohl mitarbeiter oder ehemalige mitarbeiter von antivirenfirmen weil das diejenigen sind, die wissen wie man das zeug umgeht. :D
Das halte ich für ein Gerücht.
Gegen Exploits hilft eigentlich nur Sandboxing, da dieses viel schwerer zu umgehen ist als jede Heuristik oder andere Blacklisting-Ansätze.

Wer sagt das?
Mir ging es nur um die Aussage, dass es sicher sei, Onlinebanking und co. in der VM zu machen und ansonsten lustig mit dem Host OS im Netz zu surfen. So hatte ich einen meiner Vorposter verstanden.

Mir ging es nur um die Aussage, dass es sicher sei, Onlinebanking und co. in der VM zu machen und ansonsten lustig mit dem Host OS im Netz zu surfen. So hatte ich einen meiner Vorposter verstanden.


die malware müsste ja die virtuelle verschlüsselte festplatte angreifen/infizieren und schadcode reinschreiben der dann unter linux auch ausführbar ist.
hinzu kommt noch ein verschlüsseltes ext von linux selbst wenn die virtuelle festplatte geöffnet werden "könnte".
so eine malware die das von einem windows host aus schafft gibt es garantiert noch nicht.

zwischen der VM und dem HOST gibt es keinen dateiaustausch sofern man keine gemeinsamen shares verwendet.
eine VM ist somit auch eine art sandbox jedoch mit der "sinnvolleren" option ein anderes "sicheres" betriebssystem zu verwenden.

Gegen Exploits hilft eigentlich nur Sandboxing

das ist eher eine notlösung.
mach mal ein sandbox windows 95 auf und gehe damit ins internet ... das sandbox windows 95 ist kompromittiert.
zwar nur bis zum nächsten neustart der sandbox .. aber innerhalb der sandbox ist das system während der session im eimer und nicht mehr vertrauenswürdig.

ich bin da eher für dualboot oder VM sofern man windows verwendet.

eine verschlüsseltes ext kann die malware gar nicht öffnen.

Hm die müsste ja bereits geöffnet sein, wenn du das OS davon startest. Dann wird sie ins FS eingehängt und die Malware setzt dann ja eine Ebene darüber an... (wenn ich mal von / als Mountpoint ausgehen darf)


zwischen der VM und dem HOST gibt es keinen dateiaustausch sofern man keine gemeinsamen shares verwendet.
eine VM ist somit auch eine art sandbox.


Ganz klares JEIN :freak:
zwischen Host und VM besteht immer noch eine Netzwerkverbindung wenn ich mich nicht irre...

@GTX
Vielleicht habe ich Dich da missverstanden. Ich meine nur, dass eine VM nichts bringt, wenn man auf dem Host-OS unsicheres Verhalten an den Tag legt. Weil Host und VM doch wenigstens Keyboard und Maus teilen. Sofern man nur in der VM surft und diese unter Linux laeuft, oder im Kiosk Modus, ist das schon sehr sicher.


Meine eigene Loesung fuer Sicherheitsprobleme: Ipad. iOS duerfte nach wie vor als sehr sicher gelten, fuer non-jailbroken Geraete gab es iirc noch nie einen Virus/Trojaner/Malware.
Also shoppe und banke ich mit dem Ipad und mache den Rest mit dem PC.

Vielleicht habe ich Dich da missverstanden. Ich meine nur, dass eine VM nichts bringt, wenn man auf dem Host-OS unsicheres Verhalten an den Tag legt. Weil Host und VM doch wenigstens Keyboard und Maus teilen. Sofern man nur in der VM surft und diese unter Linux laeuft, oder im Kiosk Modus, ist das schon sehr sicher.

jaein ... genaueres zu dem thema weiß ich nicht bis auf einen force modus in dem die VM 100% pass through über die kontrolle von eingabegeräte bekommt (maus/tasta/tablet/webcam etc.).
ob ein keylogger da in windows mitschneiden kann obwohl die tastatur in windows gar nicht mehr anspricht .. das glaube ich nicht.
aber selbst ohne so einem modus bin ich mir ziemlich sicher das malwarescanner auf dem host jegliche art von keyloggern aufspüren.

ps.: apple (phone/pad/X) finde ich relativ unsicher da diverse insider-quellen in interviews behaupten das apple zum schliessen von sicherheitslücken viel zu lange benötigt.
es gibt zwar weniger sicherheitslücken; die sind dafür länger "offen".

@Milton:
Über WLAN, ja?

@Milton:
Über WLAN, ja?
Ja, ist sicher. Geht ja alles ueber SSL, und mein Wlan ist eh so sicher wie es geht. Und ueber SSL-Man-in-the-middle Attacken muss man sich als normaler Buerger wohl keine Gedanken machen.
Wenn mich jemand so gezielt ausspionieren wollte, waere eine versteckte Kamera die beste Option. Gefolgt von der Attacke mit dem Knueppel - aeusserst effektive Methode des brute-forcings. :wink:

@GTX: Kann ich mir kaum vorstellen, dass man Hardware vom Host-OS so separieren kann. Dann muesste die VM ja abhaengig davon ob der Cursor gerade in der VM ist oder nicht die USB Verbindung staendig im Host-OS kappen.
Wenn man am Computer eine Taste drueckt, wird im Host-OS ein Ereignis ausgeloest, und den Handle kann man theoretisch hijacken. Wie wahrscheinlich das bei Win x64 ist steht auf einem anderen Blatt.

iOS duerfte nach wie vor als sehr sicher gelten, fuer non-jailbroken Geraete gab es iirc noch nie einen Virus/Trojaner/Malware.

Mobile Safari ist schon ziemlich sicher und die Exploits von z.B. comex und Co. für den 4.3.3 Jailbreak waren bisher so aufwendig, dass so etwas wohl niemand ernsthaft für Malware versuchen würde. Ob solche Browser Exploits in Zukunft überhaupt noch Sinn machen (sie werden wohl immer komplizierter), ist auch fraglich.

Um mal wieder auf die ursprüngliche Frage des TE zurück zu kommen:
Free Antivirus You Can Trust (https://www.pcworld.com/article/254121/free_antivirus_you_can_trust.html)

... haha

Computer, auf denen ein 32-Bit-Betriebssystem und die Avira-Programme Antivirus Premium 2012 oder Internet Security 2012 installiert sind, fahren eventuell nicht mehr ordnungsgemäß hoch, berichten Betroffene im Avira-Forum. Grund dafür ist ein fehlerhaftes Update, das dafür sorgt, dass die Software zur Verhaltensüberwachung „ProActive“ extrem sensibel auf ausführbare Dateien (.exe) reagiert. Betroffen sind unter anderem Systemprozesse wie cmd.exe und rundll32.exe, aber auch Anwendungen wie Microsoft Office.

Laut Avira wurde das defekte Update bereits über 70 Millionen Mal heruntergeladen :freak:

... haha

Computer, auf denen ein 32-Bit-Betriebssystem und die Avira-Programme Antivirus Premium 2012 oder Internet Security 2012 installiert sind, fahren eventuell nicht mehr ordnungsgemäß hoch, berichten Betroffene im Avira-Forum. Grund dafür ist ein fehlerhaftes Update, das dafür sorgt, dass die Software zur Verhaltensüberwachung „ProActive“ extrem sensibel auf ausführbare Dateien (.exe) reagiert. Betroffen sind unter anderem Systemprozesse wie cmd.exe und rundll32.exe, aber auch Anwendungen wie Microsoft Office.

Laut Avira wurde das defekte Update bereits über 70 Millionen Mal heruntergeladen :freak:

Na bumm! Also da find ich ja extrem oarg! Aber nun ja wenn mans weiß - vorher halt immer mal checken was denn andere so schreiben über die Sache.

Ich habe die Möglichkeit über die Uni kostenfrei Sophos Antivirus zu beziehen, vielleicht besteht dich Möglichkeit ja auch für den ein oder anderen. Dabei stellt sich natürlich die Frage: Was kann die Software? Im Netz findet man nicht viel dazu. Gibt es irgndwo einen Vergleich, in dem Sophos berücksichtigt ist?

AV-Comparatives (http://www.av-comparatives.org/)
AV-Test (http://www.av-test.org)

Auf beiden Seiten kannst du dir Übersichten über die Testergebnisse so gut wie aller AV-Programme laden.

Hm die müsste ja bereits geöffnet sein, wenn du das OS davon startest. Dann wird sie ins FS eingehängt und die Malware setzt dann ja eine Ebene darüber an... (wenn ich mal von / als Mountpoint ausgehen darf)

ob die systemplatte kompromittiert wird oder nicht ist egal - da befinden sich sowieso keine wichtige daten.
wenn man den befall rechtzeitig erkennt kann man zu 100% sicher sein das die daten auf der verschlüsselten partition nicht befallen sind.

zwischen Host und VM besteht immer noch eine Netzwerkverbindung wenn ich mich nicht irre...

da gibt es mehrere arten der netzwerkanbindung und noch dazu 2 unterschiedliche betriebssysteme.

ob die systemplatte kompromittiert wird oder nicht ist egal - da befinden sich sowieso keine wichtige daten.
wenn man den befall rechtzeitig erkennt kann man zu 100% sicher sein das die daten auf der verschlüsselten partition nicht befallen sind.

Kommt drauf an... Nochmal, wenn das verschl. Laufwerk bei der Kompromitierung ins FS bereits eingehängt war, kannst du nicht davon ausgehen, dass es sauber ist - weil die Malware arbeitet mit dem FS (darum mein ich die sitzt eine Ebene höher)
Anders sieht es aus, wenn du es immer manuell einhängst je nach Bedarf und es zum Zeitpunkt des Befalls (der oft nicht gleich wahrgenommen wird) geschlossen war. Wie soll denn die Malware eigenhändig ohne Schlüssel das Laufwerk öffnen und befallen? Da geb ich dir Recht, aber der Punkt ist, dass Verschlüsselung per se nicht gegen einen Befall hilft - kommt immer drauf an ob der Container offen war/ist oder nicht.



da gibt es mehrere arten der netzwerkanbindung und noch dazu 2 unterschiedliche betriebssysteme.
Stimmt schon, dass da noch weitere Faktoren mitspielen, aber darum geht es nicht! Das Argument zielte drauf ab, dass Sandboxing keine absolute Grenze zwischen Host und Gast errichtet - und Malware sehr wohl aus einer Sandbox "ausbrechen" kann.