Ein Abgrund von Trägheit
Alle Virus-Scanner haben ein Problem: Bei neuen Sachen hinken sie immer etwas hinterher. Manche mehr als andere.
Dieses Exemplar - laut Kaspersky Trojan-Downloader.Win32.Nurech.aa - hat es geschafft, sowohl am "stündlich aktualisierten Profi-Scanner" von GMX, als auch an acht Spam-Filtern vorbeizukommen.
Die E-Mail kam heute um 12:55. Absender war 124.216.23.102, registriert auf KOREA CABLE TV ULSAN STATION.
Absender: billing8585@ebay.de
Betreff: Handlungsbedarf: Zahlung per Lastschrift 491131 abgelehnt
Anhang: E260883905016-Rechnung.pdf.exe
Text:
eBay-Kontonummer: E260883905016-EUR
Bankkontonummer: XXXXXXXX5302
Fälliger Betrag: Euro‚-426,96
In dem angefügten Anhang sehen Sie eine detaillierte Auflistung Ihrer Verkäufe.
Bitte diese genauestens durchlesen und bei einer Unstimmigkeit Ebay kontaktieren.
Zum Lesen wird kein zusätzliches Programm benötigt.
Der Widerspruch ist nach neuen AGB's innerhalb von zwei Wochen zulässig!
[...]
Die Erkennungsrate (es sieht finster aus):
Von 29 Scannern finden ihn nur 7. Der E-Mail-Wurm ist zumindest Kaspersky seit ca. 8 Stunden bekannt.
P.S.: Das Open-Source-Programm ClamAV hat bei mir gerade Punkte gemacht.
Links
8 Kommentare:
NIS2007
Habe in Foren jetzt schon verschiedntlich die Meinung gelesen, das der Ressourcenhunger von NIS (oder zumindest der AV-Komponente) geringer sei und die Performance jetzt besser.
Das bringt micht jetzt zwar auch nicht zu Symantec zurück, aber wenns stimmt, sollte man es auch mal lobend erwähnen.
ClamAV werde ich auf jeden Fall auch mal ausprobieren.
ClamAV hat aber keinen Hintergrundwächter. Dafür belegt es aber auch keinen Speicher ;-)
Link zur Windows-Version:
http://www.clamwin.com/
Clamwin
Habe mal einen Scan laufen lassen.
Der Scan ist seeehr langsam.
V.a. bei chm-files !
Bei anderen AV-Programmen nehme ich auch alle file-Extensionen aus der Ausschlussliste, habe da aber bei chm-files diese Auffälligkeit nicht beobachtet.
Habe den Scan dann irgendwann abgebrochen.
Immerhin brachte mir das Programm die Meldung:
"Broken executable: unacev2.dll"
(unter dem Antivir-Programmverzeichnis)
Das ist wohl eine dll zum Entpacken von ACE-Archiven.
Mehr zu dieser Datei
http://winfuture.de/news,20728.html
Werde den Scan mal ohne chm-files laufen lassen.
Auf alle Fälle lasse ich das Programm mal auf der Festplatte.
Frisst ja kein Brot.
Obiges Bild von VirusTotal verwirrt micht ein wenig:
Dort hat der Ewido-Scanner 4.0 die Schadsoftware gefunden.
Ewido ist jeoch schon länger von "AVG" besser gesagt "Grisoft" übernommen worden.
Siehe auch Ewido-Homepage, wo AVG-Antispyware 7,5 angeboten wird.
Meinen die mit Ewido4.0 jetzt AVG Antispyware 7.5 ?
Und warum findet denn der AVG-Scanner diese Schadsoftware nicht, wenn das Know-How von Ewido in AVG eingeflossen ist ?
Macht es Sinn, dass Grisoft zwei Produkte hat: eines gegen Viren,Torjanner etc. = AVG-Free und eines gegen "Spyware" = AVG Antispyware 7.5 ?
(ausser Geldverdienen)
War oben genannte Schadsoftware nun Spyware oder andere Schadsoftware ?
Immerhin wird das Ding als "Trojaner" in den Namen von div. AV-Herstellern bezeichnet.
Und ein Trojaner sollte eigentlich von AVG-Free gefunden werden.
Ist Spyware nicht eigentlich immer ein Trojaner ?
????
Ewido-Homepage:
"Die bisher unter dem Namen "ewido anti-spyware 4.0" vertriebene Software wird nun als neues Produkt unter dem Namen "AVG Anti-Spyware" weiterentwickelt und angeboten. AVG Anti-Spyware enthält die ewido Technologie in optimierter Form: ..."
"http://return.to/scheinsicherheit/"
Die Seite habe ich schon vor längerer Zeit entdeckt (das Lesezeicheichen habe ich am 25.09.2005 im Opera erstellt)
Wird zwar, glaube ich, nicht mehr gewartet, aber ist immer noch sehr lesenwert und interessant, v.a. für Otto-Normal-PC-Benutzer.
http://de.wikipedia.org/wiki/Intrusion_Detection_System
Nun Synabtec hatte ein IDS in ihrer NIS eingebaut und emsisoft hat es in ihrem a-squared-Guard integriert.
Mich würde nur mal interessieren wie wirksam IDS ist.
Scheinsicherheit:
Viel Blah-blah und total veraltet. Für die Aussage "Crypter sind ein Problem für Signatur-Scanner" hätte man keine 30 Seiten gebraucht. Praktische alle AVs haben heute Code-Emulatoren.
IDS:
Ich glaube du verwechselst jetzt IDS und (H)IPS. Der a-squared-Guard ist ein "Hintergrundwächter", also ein HIPS (auch wenn der Hersteller es "Malware-IDS" nennt). HIPS kann im Prinzip jede Art von Malware unterdrücken, man muss aber unter Umständen dauernd irgendwelche Bestätigungen wegklicken.
Kommentar veröffentlichen (Editor öffnet sich in Popup-Fenster) Smilies