Er und seien Freunde haben sich zu Weihnachten einen Diascanner von
Tchibo gegönnt. ;-)

Grüße Harald

Hallo,
Du bist offenbar zu daemlich, um zu begreifen, dass sich die Daten
unter der URL von der ein Schaedling weitere Komponenten nachlaedt
von einem Moment zum anderen aendern kann. Wenn also der Svanner-
hersteller den nachgeladenen Code analysiert, anaöysiert er evt.
etwas voellig anderes als das, was nur eine halbe Stunde vorher
bei der Infektion eines anderen Systems nachgeladen wurde. Noch
schlimmer ist es bei Schaedlingen, die eine Hintertuer installiert
installiert haben: da kann man nicht wissen, ob bis zur vermeint-
lichen "Bereinigung" nicht jemand diese Hintertuer genutzt und
manuelle Aenderungen am System vorgenommen hat (und wenn ja, welche).
"sauber" waere das System erst wieder, wenn alle diese Veraenderungen
rueckgaengig gemacht wurden, aber wie will man das machen, wenn ,an
nicht weiss, was alles veraendert wurde? Nein, der Scannerhersteller
kann das unter solchen Umstaenden auch nicht wissen ...
Das nuetzt nichts, wenn sie (da sich die Komponenten unter der
"Nachlade-URL" mittlerweile geaendert haben) etwas viellig anderes
analysieren, als das was bei der Infektion bei deren Kunden nachge-
laden wurde ...
Wenn sogar ein Programmierfehler in der bei Debian mitgelieferten
openssl-Version, der dazu fuehrte, dass die damit generierten Schluessel
nur 16 Bit Entropie enthielten, ueber mehr als 2 Jahre unentdeckt blieb,
obwohl sogar der Quelltext fuer *jeden* frei verfuegbar war, dann ist
es sehr unwahrscheinlich, dass jede Aenderung an einem System durch
einen Virenscanner automatisiert erkannt werden koennte, wo doch der
Scannerhersteller weder vom System noch von den Veraenderungen am System
Quelltexte vorliegen hat ...
Ich habe es (bei einem Rechner eines Kunden) erlebt, dass dieser
infiziert war (es war zwar kein Windows sondern Linux, aber es
gibt mit Sicherheit auch genug entsprechende Beispiele fuer
Windows). Ich habe alle von verschiedenen "rootkit-Erkennungs-
Tools" erkannten Infektionsmerkmale beseitigt (damit wir den
Rechner temporaer wieder ans Netz haengen konnten, damit der
Kunde noch seine Daten sichern konnte). Es existierten aber
offenbar noch weitere nicht gefundene Veraenderungen am System,
denn nur 24 Stunden spaeter (als der Kunde seine Daten gesichert
hatte, wobei ich nicht weiss, ob ihm die fesicherten Daten noch
etwas genutzt haben ...) war die Maschine abermals infiziert ...
Seitdem wird bei mir sowie bei meinem Arbeitgeber auf den Aufwand
eines "Reinigungsversuchs" verzichtet und kompromittierte Rechner
nicht mehr (auch nicht temporaer) ans Netz gelassen, bis sie
komplett neu aufgesetzt sind. Dieses Erlebnis ist schon etliche
Jahre her, hat aber bis heute sicherlich keinerlei Aktualitaet
verloren (ausser dass kompromittierungen heute teils noch schwerer
zu erkennen sind).

Ueberigens hat es seinen Grund, wenn man sogar im Microsoft Technet
so etwas hier liest:

http://technet.microsoft.com/en-us/library/cc512587.aspx
Joanna Rutkowska hat im Jahre 2006 vorgefuehrt (durch einen selbst-
programmierten "Proof of Concept" namen "blue pill"), dass ein Schaed-
ling sich *unerkennbar* fuer einen auf dem infizierten System laufenden
Virenscanner berstecken kann. Die Behauptung eines Scanner-Herstellers,
er koenne eine solche Infektion trotzdem aus dem infizierten System
geraus erkennen, konnte *nie* nachgewiesen werden. Das sind *Tatsachen*
(die du leicht mit einer Suchmaschinen-Recherche nach "blue pill"
finden kannsz). Dass das funktioniert, wurde 2006 *live* *vorgefuert*,
es sind also keine unbeldten Behauptungen, und es wird heutzutage
von *keinem* wirklichen Experten angezweifelt. Scanner-Hersteller
verschweigen so etwas aber gern, da sie sonst Luecken ihrer Produkte
zugeben muessten. Und Zeitschriften berichten nicht darueber, weil
das ein uralter Hut ist ...
Wenn du es ausprobieren willst: AFAIK ist der Quelltext von blue pill
oeffentlich verfuegbar. Aber so etwas willst du ja nicht hoeren oder
lesen ...
Was genau hast du an den von mir beschriebenen Szenarien (in denen der
regulaere Nutzer des Rechners jeweils *gar* *nichts* *selbst* nachge-
laden hat) nicht verstanden?
Jahrzehntelang ohne eine Kompromittierung zu bleiben.
Nach Aussagen des Rechnerbesitzers ja, und ich habe keinen Grund,
ihm diesbzgl. zu misstrauen.
Viele tun *genau* *das*, und sind z.N. mit den von Stefan vorgeschlagenen
Methoden auch sicher unterwegs.
Dass Schaedlinge weitere Komponenten nachladen, kannst du sogar in den
Beschreibungen der Scannerhersteller nachlesen (bei allem, was so etwas
wie "trojan-Downloader" oder dergleichen im Namen hat, und davon gibt
es reichlich). Das sich die nachgeladenen Teile von einem Augenblick
zum anderen aendern koennen (weil jemand die Datei azf dem Server von
den bachgeladen wurd geaendert haben koennte) sagr einem der gesunde
Menschenverstand, dafuer benoetigt man keine Beweise.
Ich weiss nicht, was er (ausser der Malware) noch verbreitet hat, aber
ich weiss, dass Botnetze schon mal benutzt wurden, um solchen Schrott
zu verbreiten (was zumindest beweist, dass so etwas moeglich ist, un-
abhaengig von dem von mir angesprochenen Fall).
Hast du schon mal einen (z.B. mit wireshark) erstellten Netzwerkdump
gelesen und analysiert? Ich schon ...
Doch sie sind *genau* *gleich*. Der Unterschied ist, dass sie bei
Viren ohne Rueclmeldung an einen Menschen auskommen (muessen), das
ist aber auch schon der einzige Unterschied. Jeder von einem mensch-
lichen Hacker durchgefuehrte Angriff kann genauso auch in einem
Virus implementiert werden.
Hacker, die Botnetze aufbauen wollen, bedienen sich dabei nur allzu
oft "speziell angepasster Viren", um den Botnetzclient in moeglichst
viele Systeme zu bekommen.
Diese Frage zeigt, dass du nicht in der Lage bist mitzudenken, was das
denn in der Konsequenz bedeutet. Gaettest du mizgedacht, haettest du
diese Frage erst gar nicht gestellt.
Sie koennen aber nicht alle entsprechenden Server staendig auf Veraen-
derungen ueberwachen, da ihnen dazu schlicht die Resourcen fehlen. Es
ist also immer moegöich, dass sie bei mehreren kutz nacheinander auf-
tretenden Aenderungen eine davon nicht mitbekommen ...
Das sie auch mal Aenderungen mitbekommen heisst nicht, dass sie *jede*
Aenderung mitbekommen haetten ... Von Moeglichkeiten wie "anycast-Server,
die unterschuedliche Versionen der nachladbaren Komponenten bereitstellen"
(wo man dadurch von verschiedenen Stellen des Internets aus unterschied-
liche Ungalte sieht) oder "DNS-Caches", die dafuer sorgen, dass bei DNS-
Aenderungen unterschuedliche DNS-Server unterschiedliche Namensaufloesungen
liefern, und somit der selbe Schaedling auf verschiedenen Rechnern trotz
gleicher Diwnload-URL von unterschiedlichen Servern Komponenten nachlaedt
einmal ganz zuschweigen ... Du setzt Dinge als gegeben voraus, die im
realen Internet einfach nicht gegeveb sind. Gelegentlich werde ich mit
so etwas konfrintiert (wenn auch nicht im Zusammenhang mit Viren sondern
im Zusammenhang mit Wenseiten, die aufgrund solcher Dinge auf unter-
schiedlichen Rechnern zwischenzeitlich unterschiedliche Inhalte liefern).
Mancher, den du hier als "ahnungslos" bezeichnest, hat vielleicht
schon mehr ueber das Thema vergessen als du jemals wissen wirst ...
Es gibt ein einfaches Verfahren, das ausnahmslos *alle* Viren als
Schadsoftware erkennt: Man "erkennt" einfach *jede* *beliebige* Datei
als Schaedling. Dass dieses Verfahren trotz der 100%igen Erkennungs-
rate voellig unbrauchbar ist, ist fuer jeden leicht einsehbar. Mit
den "Heuristiken" ist es nicht viel anders: die Erkennungsrate liegt
noch immer deutlich unter 100%, dafuer sorgt eine deutlich hoehere
Rate von "false positives" dafuer, dass die Ergebnisse wieder deut-
lich unbrauchbarer werden ...
Man kann dann (sogar voellig unabhaengig vom Sc<nergebnis) ganz genau
sagen, dass das System kompromittiert ist oder auch nicht ... SEHR
HILFREICH!
Uberraschung: Bei Virenscannern tut man genau das, wenn man ihre
Wirksamkeit durch die Erkennungsraten von bereits bekannten Schaed-
lingen einzuschaetzen versucht ...
... was oft genug bei Virenscannern nicht anders aussieht.
Merkst du was? Bermutlich nicht ...
Welcher Scanner erkennt "blue pill", wenn er auf dem infizierten System
ausgefuehrt wird? Nenne nur *einen* *einzigen*.
Es zeugt von deiner Ahnungslosigkeit, dass du zwischen beidem prinzpielle
Unterschiede zu erkennen glaubst.
Wenn der Scannerhersteller sie niemals zu Gesicht bekommen hat (was
durchaus moeglich ist, wie ich schon mal erlaeutert habe) garantiert.
Heuristik ist nur gerungfuegig besser als raten oder wuerfeln. Nicht
umsonst gibt es keine einheitlichen Empfehlungen, welches Mass an
"Heuristik" empfehlenswert sein soll. Wenn das so gut funktionieren
wuerde wie du glaubst, warum kann man das dann in den Scannern unter-
schiedlich einstellen?
Ein Lebewesen hat (zumindest in gewissem Umfang) Selbstheilungskraefte
und Anpassungsfaehigkeit des Immunsystems, Eigenschaften, die Software
*vollstaendig* fehlt. Und auch in der Medizin gibt es Ktankheiten, die
bzr schwer oder gar nicht sicher "zu Lebzeiten des Patienten" diagnos-
tizierbar sind, und andere, die nicht geheilt werden koennen (z.B. HIV).
Ich merke, dass du *nicht* bemerkst, dass *DU* albern argumentierst.
Informiere dich ueber "blue pill", vesorf dir den Source und experimentiere
selbst damit herum.
Gar nicht, aber man hat zumindest eine Chance, die bekannten zu erkennen,
die sich imlaufenden System erfolgreich vor dem Scanner verstecken (so
etwas gab es uebrigens schon, wenn auch wegen fehlendem Virtualisierungs-
support bei damaliger Hardware noch nicht so ausgereift wie bei blue pill,
in den achziger Jahren bei den DOS-Viren ... Anfaenge davon waren z.B.
damals bei "Yankee-Doodle! zu finden (den ich damals mal ansatzweise
analysiert habe). Hast du schon mal selbst einen Virus analysiert?
Das kann sie nicht. Die Fritzbox "sieht" nur den Netzwerktraffic von
anderen Rechnern, nicht die Interprozesskommunikation (oder weisst du
gar nicht was das ist?).
Nein, Stichwort "Risikokompensation".
Ich habe es schon einigen Leuten beigebracht.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

Das wäre die Methode für Esoteriker, denn sie taugt fast nichts.
Wozu auch, es gibt ja die effektiven Methoden.
Auch für die ist es NICHT sinnvoll, eine Methode zu nutzen, die erstens
nicht wirklich schützt und zweitens auch noch erheblichen Schaden anrichtet.
Aber so ist die Lage derzeit halt nun mal. Diese Leute sind halt hilflose
Opfer von Malware-Schreiberlingen.
Deshalb macht es allen Sinn der Welt, die effektiven Methoden zu bewerben,
und Leute, die das ablehnen, sind nun leider mal Vollidioten.
Nein, ich halte es für besser, die Rechner effektiv zu schützen! Hatte ich
jetzt aber erst ca. 20 Mal geschrieben. Diejenigen, die mit AV-Ware als
einzigem Schutz unterwegs sind, sind halt auf ihr Glück angewiesen.
Nein, ich hatte dir schon mehrere Male erklärt, dass ich mir das nicht
einbilde. Was geht eigentlich in deinem Hirn vor, dass du diesen Nonsens
ständig unterstellst?
Das ist leider flasch. Wenn jemand z.B. seit Wochen damit beschäftigt ist,
sein durch eine AV-Ware beschädigtes Windows-Update wieder repariert zu
bekommen, so ist das nicht lächerlich. Es verschlingt ungeheuer viel
Arbeitszeit und Geld. Und noch mal: MSE existiert!
<recycle>
http://www.borncity.com/blog/2012/11/04/windows-8-anwenderwahn-und-die-virenscanner/
Das Verfahren gibt es schon lange: Normalusern erklären, wie sie es besser
machen können! Manche tun es dann, andere eben nicht. Und noch mal:
Die besagte INF z.B. läst sich von jedem DAU mit Rechtsklick einrichten.
Die Tatsache, dass jede Menge Normaluser dazu übergingen, ist der Beweis.
Man muss es ihnen aber erklären, sonst bleiben sie eben für immer ONUs.

Deine schwachsinnige Logik, weil nicht 100% der User darauf anspringen,
dürfe man nicht für bessere Methoden werben, ist die eines Vollidioten.
Du hast kein Gehirn, das ist dein Problem. Deine Ergüsse kommen
offensichtlich aus den Füßen.

Kannst du noch alberner sein.

Welches sind denn die sicheren Gurte, mit denen der Normalanwender auch
zurecht kommt?

Statt dumm zu lamentieren solltest du hier klare Vorschläge machen.

Schreib die notwendigen Massnahmen aus dem Gedächtis auf und verweise
nicht auf Webseiten irgendwelcher Leute die keinen etablierten der
Allgemeinheit nicht bekannten Namen haben.

Grüße Harald

Der beste Schutz (SRP/SAFER) soll deiner Logik nach also völliger Verzicht
auf Schutz sein.
Allerdings. :-)
Soweit OK, aber SRP/SAFER sind nun mal die normalen Gurte, während
AV-Ware Gurte aus Papier sind, um die Schutzwirkung zu vergleichen.
Beide helfen zwar nicht 100%ig aber der eine nähert sich den 100% an,
während der andere eher näher bei Null ist. So mit ist klar, welchen der
beiden man nehmen sollte.
Nein, ich begründe es damit, dass AV-Ware wesentlich schlechter ist
als die sinnvollen Maßnahmen. Wer bei klarem Verstand ist, nimmt die
sinnvollen.
Du hast einfach nichts verstanden, das ist das Seltsame.
Nein, das wird es eben nicht. Jeder Depp weiß, dass ein Einbrecher in
normale Türen und Fenster in wenigen Sekunden einbrechen kann.
Deshalb wird überall für die sicheren Varianten geworben, die nur noch
mit erheblichem Aufwand und schwerem Gerät zu überwinden sind.
In der Regel gibt jeder Einbrecher sofort auf, wenn er erkennt, dass
seine Methode erst nach Stunden Erfolg hätte.
Doch Klötzchen, SRP/SAFER! Das wäre ein Schutz, der nahe an 100% heran käme.
Und er ist auch für ONU machbar - wenn er will. Diejenigen, die nicht
wollen, sollen's halt bleiben lassen.