[Kirill]

Genau. Gegen 1 und 2 hilft ein Virenscanner (was ich auch gesagt habe), bei 3 kann der Virenscanner immerhin anzeigen, dass man einen Virus hat, sodass man weitere Schritte (Boot-CD mit Virenscanner oder für die ganz pingelingen Neuaufsetzen) einleiten kann. Und eine Meldung wegen Schadsoftware im Speicher hatte ich auch schon, das war ein (noch) unbekannter Virus, den MSE zunächst als verdächtig eingestuft und an MS gesendet hat, kurz darauf kam die Meldung, dass des ein Virus ist. Sicher, das ist ein Beispiel dafür, wie ein Virenscanner nicht proaktiv werden konnte (wie gesagt, Virus sehr unbekannt), aber immerhin zeigte es nachträglich an, dass es einen Virus gibt. Ohne einen Virenscanner wäre der Rechner immer noch verseucht, der Virus war nämlich nicht auffällig.

Thema Beweis: Wenn du mir sagst, wie Code aus einer vom Virenscanner gesperrten Datei ausgeführt werden soll, während die auf der Festplatte landet, dann glaube ich dir sofort alles, selbst wenn du sagst du seist der Osterhase.

Dieser Beitrag wurde von Kirill bearbeitet: 15. Dezember 2009 - 15:51

[Twisty]

Kirill sagte:

Ohne einen Virenscanner wäre der Rechner immer noch verseucht, der Virus war nämlich nicht auffällig.

Die Frage ist eher, wie kommt Schadsoftware auf dein produktives System? Und ein Befall ist auffällig, wenn man sein System pflegt. Man könnte Hashsummen verglichen, Firewall-Logfiles abgleichen oder Systemdienste pflegen.

Kirill sagte:

Thema Beweis: Wenn du mir sagst, wie Code aus einer vom Virenscanner gesperrten Datei ausgeführt werden soll, während die auf der Festplatte landet, dann glaube ich dir sofort alles, selbst wenn du sagst du seist der Osterhase.

Wie ich schon schrieb, wenn ein Drittprogramm wie der explorer.exe vor deinem AV-Programm die Datei bearbeitet und in den Speicher läd, dann ist die Malware für gewöhnlich aktiv. Und das äußert sich dann immer in Beiträgen wie: "Hilfe Rechner spinnt obwohl ich [AV-Programm] nutze, was soll ich tun?". Also falls du es wieder überlesen solltest: Wenn die Datei vor deinem AV-Programm von einem Drittprogramm in den Speicher geladen und ausgeführt wird, schlägt das AV-Programm erst nach einem Befall an.

Dieser Beitrag wurde von Twisty bearbeitet: 15. Dezember 2009 - 17:42

[Kirill]

Ganz einfach: Meine Freundin hat sich was runtergeladen, was einen recht neuen (=unbekannten) Virus hatte. Ist das ein Grund, den Virenscanner runterzuschmeissen?

Wenn die explorer.exe die Datei in den Speicher lädt, wird der Virus doch noch nicht aktiv. Denn schon in dem Moment, in welchem die Datei kopiert wird, landet sie im Speicher. Aber dadurch wird Code aus der Datei noch lange nicht aktiv. Der Virenscanner scannt aber die Datei bereits dann, wenn die Shell mit der Datei IRGENDWAS anfangen will. Warum glaubst du, dass man Dateien nur ausführen kann? Wenn ich ne Datei kopiere, landet sie ja auch bereits im Speicher (wo denn bitteschön auch sonst), der Code aus der Datei wird aber nicht ausgeführt.

[Twisty]

Kirill sagte:

Ganz einfach: Meine Freundin hat sich was runtergeladen, was einen recht neuen (=unbekannten) Virus hatte. Ist das ein Grund, den Virenscanner runterzuschmeissen?

Wenn es ein echt neuer und unbekannter Virus gewesen wäre, hätte dein AV-Programm die Malware nicht gefunden. Denn dein AV-Programm bewertet und misst nur an bekannten Eigenschaften bekannter Malware ob ein Programmcode gefährlich ist oder nicht. Selbst die Heuristik arbeit anhand bekannter Muster.

Kirill sagte:

Wenn die explorer.exe die Datei in den Speicher lädt, wird der Virus doch noch nicht aktiv.

Wenn die explorer.exe ein "malware.jpg" in den Speicher lädt um eine Bildvorschau zu generieren wurde die Datei ausgeführt. Zu dem ist es interessanter zu wissen wo der Schadcode im Programm selbst liegt und ob im Header eine Sprunganweisung direkt zum Schadcode verweist. Wenn dem so wäre, könnte beim Auslesen der Headerinformationen der Schadcode aktiv werden, wenn die Sprunganweisung abgearbeitet wird.

[Kirill]

Zunächst mal: Die Behauptung, Virenscanner könnten nichts, kann ich durch Beispiele widerlegen. Wenn ihr darauf besteht, filme ich meinen Desktop ab, während ich einen Virus (Sub7 ist nett) versuche zu installieren, der Virenscanner Alarm schlägt und danach kein Virus installiert ist. Ehrlich, das wirkt. Ich habe das selbst mal probiert. Und ich kann bestätigen, dass nach der Aktion kein Virus in Aktion war.

Sodele, jetzt mal zum Thema BEKANNT. Der Virenscanner hat die Datei tatsächlich ZUNÄCHST nicht entdeckt. Dann aber seitens der Datei Verdächtiges gefunden und hat mir angeboten, die Datei zur Zentrale zu schicken zwecks weiterer Analyse. Und als es dort dann analysiert wurde, wusste der Virenscaner, dass es ein Virus ist. Das habe ich übrigens weiter oben auch scho geschrieben.

Wenn die explorer.exe VERSUCHT die malware.jpg zu lesen, so wird ein jeder (guter) Virenscanner die Datei zuerst scannen und, so die versucht ist, sperren. Die explorer.exe wird danach höchstwarscheinlich erstmal hängen, bis der Benutzer (falls der Virenscanner fragt) die Datei abgewunken oder dem Vorschlag, sie zu löschen, zugestimmt hat. Nach der Aktion ist die Datei weg und keine Vorschau da.

Twisty, du solltest dich erstmal mit Virenscannern auseinandersetzen, mal einen (guten) benutzen und erst dann erzählen, was die machen und was nicht.

Ein Produktivsystem gehört nicht von einem Fachmann abgesichert sondern von jedem, der Bildschirmtexte lesen kann und etwas Grips hat. Microsoft hat in Windows genug Möglichkeiten eingebaut, sich zu informieren. Aber sei's mal drum, wie genau willst du absichern? Oder anders gefragt: Wie willst du (so man den Virenscanner ja runterschmeissen kann weil der ja eh nichts bringt, angeblich) verhindern, dass Malware mit Downloads auf den Rechner kommt? Eine Whitelist zu pflegen ist nicht praktikabel (ausser man ist in einem Firmenumfeld) und die Anwendungen müssten ja auch irgendwie auf Gurartigkeit geprüft werden. Einem AV-Tool zu verbieten, was zu scannen, kann man als Virus erst, wenn man sich ins System eingenistet hat. Da ein gutes AV-Tool aber den Code scannt, bevor er ausgeführt wird, ist das schonmal recht schwierig. UPX ist absolut egal, da ein (guter) Virenscanner die Sachen eben zur Laufzeit scannt und nicht nur mal die Datei, die auf der Festplatte liegt. Über Softwarefirewalls rede ich hier nicht, es ist die Aufgabe des Virenscanners, das System nach innen hin abzusichern und nicht der Firewall.

[Twisty]

Kirill sagte:

Wenn ihr darauf besteht, filme ich meinen Desktop ab, während ich einen Virus (Sub7 ist nett) versuche zu installieren, der Virenscanner Alarm schlägt und danach kein Virus installiert ist.

Der Virus ist bekannt. Es ging soweit ich das mitbekommen habe um unbekannte Viren oder Malware. Korrigiere mich bitte wenn ich falsch liege.

Kirill sagte:

Sodele, jetzt mal zum Thema BEKANNT. Der Virenscanner hat die Datei tatsächlich ZUNÄCHST nicht entdeckt. Dann aber seitens der Datei Verdächtiges gefunden und hat mir angeboten, [...]

Ja, er hat dann angeschlagen weil er einen möglichen Schadecode gefunden hat auf Grund seiner bekannten Informationen. Wo ist da bitte der Widerspruch? Er muss auch anhand bekannter Informationen die Dateien bewerten, sonst wäre jede Datei potenziell gefährlich.

Kirill sagte:

Wenn die explorer.exe VERSUCHT die malware.jpg zu lesen, so wird ein jeder (guter) Virenscanner die Datei zuerst scannen und, so die versucht ist, sperren.

Es stellt sich die Frage, was wird gelesen und wie viel. Die explorer.exe muss die Datei einmal komplett durchlesen, um sie dann anderswo wieder komplett schreiben zu können. Wenn jemand mit viel Kreativität ein Absturz der explorer.exe provoziert und Zeitgleich in den Speicherbereich einen Sprungmarke setzt, wie soll dein AV-Programm helfen? Einige Scanner ermitteln beispielsweise auch zuerst den sog. Entry Point (die Stelle innerhalb einer Datei, wo der ausführbare Code beginnt) und führen dann den Signaturvergleich innerhalb einer (relativ) bestimmten Distanz vom Entry Point durch. Wenn ich also den Entry Point hinter dem Schadecode platziere, ist für manches AV-Programm der Schädling nicht mehr vorhanden. Der Virenscanner wird nicht ohne weiteres die gesamte Datei durchforsten, weil er sonst zu langsam und einen zu hohen Ressourcenbedarf hätte.

Dieser Beitrag wurde von Twisty bearbeitet: 15. Dezember 2009 - 18:52

[Kirill]

Eigentlich ging es die ganze Zeit darum, dass manche Leute mir weissmachen wollen, dass Virenscanner fürn Eimer sind. Eine der Begründungen war die Schwäche bei unbekannten Viren, wobei total unterschlagen wurde, dass es auch bereits erkannte Viren nach wie vor gibt.

Scho klar, dass der Virenscanner die Datei anhang BEKANNTER Information als verdächtig eingestuft hat. Schliesslich ist es auch ein Programm und kein Wahrsager. Aber du liegst total daneben, indem du hier nach Signaturen suchst. Tatsächlich hat der Virenscanner die Datei viel warscheinlicher am Verhalten erkannt. Sonst wär es auch ein sehr großer Zufall, dass z.B. mein selbst geschriebener Werbeblocker irgendeinem Virus ähnelt (den wollte MSE auch an die Heimbasis zur Analyse schicken). Verhaltensbasierte Erkennung ist nichts Neues und schützt wunderbar dort, wo keine Signaturen reichen.

Die explorer.exe muss die Datei nicht komplett durchkaufen, bevor der Virenscanner darauf aufmerksam wird. Gute Produkte scannen schlicht alles, was andere Prozesse laden wollen und halten das Laden an, bis die mit dem Scannen fertig sind und die Datei erlauben. Wie ich bereits geschrieben habe, wird der Virenscanner aktiv, bevor die Bildvorschau generiert (=das Bild gelesen) wurde. So kannst du auch keinen Absturz der explorer.exe provozieren, ohne am Virenscaner vorbei zu müssen. Wie bestimmte Virenscanner arbeiten, ist eine andere Geschichte. Fakt ist aber nach wie vor dass die zuerst scannen und dann den ursprünglich angeforderten Vorgang zulassen.

[Spiderman]

Zitat (Kirill: 15.12.2009, 18:29)

Ganz einfach: Meine Freundin hat sich was runtergeladen, was einen recht neuen (=unbekannten) Virus hatte. Ist das ein Grund, den Virenscanner runterzuschmeissen?

Nein, es zeigt aber das Problem ist der Benutzer, sein Wissen, sein Verhalten, und die nicht dazu passenden Rechte.

Wenn sich jemand sicher verhält (nur von vertrauenswürdigen Quellen lädt, die Dateien z.B. auf Virustotal.com testet, einen Test Rechner benutzt ...), dann könnte man auch auf einen Scanner auf dem produktiven PC verzichten.

Vielleicht kommt ja einmal so etwas wie ein PC Führerschein.

[Kirill]

Falsch. Auf einen Scanner verzichten lohnt sich schon allein deshalb nicht, weil ein Virus erst im Speicher bemerkt werden könnte, vorher aber durchschlüpfen oder mit einer sehr generischen Signatur erkannt werden könne (und wenn man alles aussortieren würde, was sich entfernt wie ein Trojaner verhält, dann würde man viele legitime Programme ausschalten). Ein on-access-Scanner erreicht schon vom Prinzip her bessere Erkennungsraten als ein on-demand-Scanner. Die Diskussion wegen Virus im Speicher hatten wir da oben schon.

Ausser du sagst mir, wie ich die Prozesse auf meinem Rechner scannen kann, die laufen oder gerade dabei sind, gestartet zu werden.

Dieser Beitrag wurde von Kirill bearbeitet: 15. Dezember 2009 - 21:43

[Twisty]

Kirill sagte:

Eine der Begründungen war die Schwäche bei unbekannten Viren, wobei total unterschlagen wurde, dass es auch bereits erkannte Viren nach wie vor gibt.

Das wurde nicht unterschlagen sondern eher als weniger Relevant betrachtet. Bekannte Sicherheitslücken kann man als Sicherheitsrisiko eindämmen, in dem das eigene Sicherheitskonzept darauf ausrichtet. Und bei bekannter Malware sich einen Befall einzufangen grenzt alle mal an massiver Dummheit.

Kirill sagte:

Sonst wär es auch ein sehr großer Zufall, dass z.B. mein selbst geschriebener Werbeblocker irgendeinem Virus ähnelt.

Wenn also dein Werbeblocker als Virus erkannt wird, dann nur weil er entweder ein destruktives Verhalten an den Tag legt oder sich mit einigen Codeschnipseln bekannter Malware überschneidet. - Zu dem ist die Heuristik völlig unausgereift, allein die teilweise erschreckenden false-positive-Meldungen früherer Versionen von Antivir/Avira zeigen das deutlich. Und ein vernünftiger AV-Hersteller wird die Heuristik nie als Feature verkaufen.

Kirill sagte:

Gute Produkte scannen schlicht alles, was andere Prozesse laden wollen und halten das Laden an, bis die mit dem Scannen fertig sind und die Datei erlauben.

Das wäre der Tot deines Betriebsystems, allein die I/O-Commandos temporär zu blocken könnte dein gesamtes System lahmlegen.

Kirill sagte:

So kannst du auch keinen Absturz der explorer.exe provozieren, ohne am Virenscaner vorbei zu müssen.

Was macht dich da so sicher? Du musst dich ja nicht auf die explorer.exe versteifen, es kann auch irgend ein Windowsdienst sein, das Web ist voll mit solchen Beiträgen. Einfach mal $suchmaschine fragen und dich selbst davon überzeugen.

Kirill sagte:

Ausser du sagst mir, wie ich die Prozesse auf meinem Rechner scannen kann, die laufen oder gerade dabei sind, gestartet zu werden.

Abgleichen von Hashsummen wäre ein Anfang.

Dieser Beitrag wurde von Twisty bearbeitet: 16. Dezember 2009 - 03:50

[Kirill]

Reden wir hier von Sicherheitslücken oder von Viren? Dast ist nicht notwendigerweise dasselbe. Ich habe den Eindruck, dass du von einem Firmenumfeld ausgehst, wo man tatsächlich eine Whitelist pflegen kann (auf dem Rechner im Labor, den ich benutz, werden auch nur LabView und ein selbstgeschriebenes Mengenrechnungsprogramm ausgeführt und alles an Dateien sind ACSII-Textdateien). Im privaten Umfeld dagegen nervt es schlicht wie sau, nur ganz bekannte Dateien zu benutzen. Und ein vorheriger Scan bei virustotal ersetzt keinen on-access-Scanner wegen bereits genannten Gründen. Also so viel zum Thema Dateiviren, die keine Sicherheitslücken benötigen. Dem Ausnutzen von Sicherheitslücken kann man natürlich anderweitig vorbeugen, so das ebenfalls durch Dateien geschieht, schütz ein Virenscanner dagegen übrigens auch. Sicher nicht total, aber ganz gut.

Da ich (inzwischen) kein Antivir mehr benutze, sind mir dessen Fehlermeldungen völlig vollkommen total egal. Dass mein selbstgeshriebener Werbeblocker im VERHALTEN einem Virus ähnelt, ist mir vollkommen klar (schreibt er doch die HOSTS-Datei). Und genau deshalb hat ihn MSE als verdächtig eingestuft und genau deshalb ist man nicht (nur) auf Signaturen angewiesen, was ich vorher bereits erläutert habe.

Fakt ist nach wie vor, dass sowohl jede Datei, die gelesen/geschrieben wird (wobei man eins von den beiden bei manchen Produkten abstellen kann) sowie die Prozesse vom Virenscanner geprüft werden. Technische Informationen kann ich dir dazu nicht liefern, da ich von keinem on-access-Scanner den Quellcode habe. Wenn du darauf bestehst, könnte ich ja mal die Aktivität des Dienstes mit Process Monitor ne Zeit lang aufzeichnen und hochladen.

Die explorer.exe war nach wie vor ein Beispiel. Meinetwegen kannst du das durch jeden beliebigen Prozess ersetzen der durch eine präparierte Eingabe abstürzen kann.

Ich betonte den Unterschied zwischen einem on-demand und einem on-access-Scanner. Sag mir, wie ein on-demand-Scanner Viren ausm Speicher tilgen können soll. Ich rede hier davon, dass es sich absolut nicht lohnt, auf einen Virenscanner zu verzichten, da nur ein installierter Virenscanner on-access scannen kann. Dass hier warscheinlich auch (unter anderem) mit Hashsummen gearbeitet wird, ist mir auch selbst klar.

Dieser Beitrag wurde von Kirill bearbeitet: 16. Dezember 2009 - 13:41

[Twisty]

Kirill sagte:

Reden wir hier von Sicherheitslücken oder von Viren?

Ich rede tendenziell mehr von Malware mit destruktiven Verhalten, der immer eine Schwachstelle voraus setzt. Das sollte bei Viren nicht anders sein. Diese ganzen Würmergeschichten beruhen auf Malware, die eine kritische Sicherheitslücke ausnutzten. Also kann man wohl schlecht beide klar voneinander trennen.

Kirill sagte:

Im privaten Umfeld dagegen nervt es schlicht wie sau, nur ganz bekannte Dateien zu benutzen.

Ich rede nicht einzig vom Unternehmensumfeld. Es sollte jedem klar sein das die eigene Sicherheit nicht mit erhöhter Bequemlichkeit steigt. Entweder man legt wert auf Sicherheit und verzichtet auf (ausufernde) Bequemlichkeit oder halt andersherum. Wenn es dich nervt, dein Sicherheitskonzept zu pflegen, weil scheinbar dir deine Daten nicht wichtig genug sind, um sie ausreichend zu sichern, ist die Diskussion völlig deplatziert. Bisherige Antworten zielten darauf ab, dich davon zu überzeugen das ein AV-Programm selbst Schwächen besitzt und nur als Modul von einem Gesamtkonzept gesehen werden darf.

Kirill sagte:

Fakt ist nach wie vor, dass sowohl jede Datei, die gelesen/geschrieben wird (wobei man eins von den beiden bei manchen Produkten abstellen kann) sowie die Prozesse vom Virenscanner geprüft werden.

Der Fakt ist falsch, es wird nicht jede Datei geprüft. Ich schrieb dir doch schon das ab dem Entry-Point die Datei bis zu einem bestimmten Punkt durchsucht wird. Oftmals dort, wo in der Summe der bekannten Malware erfahrungsgemäß der Schadcode platziert war. Es wird also wohl eher nur jede Datei bis zu einem gewissen Punkt geprüft.

Kirill sagte:

Da ich (inzwischen) kein Antivir mehr benutze, sind mir dessen Fehlermeldungen völlig vollkommen total egal.

Das Problem bleibt trotzdem existent. Größere AV-Hersteller hatten sogar bei einigen Virendatenbankupdates geschafft, original Systemdateien als gefährlich einzustufen. Ein solches false-positive ist nicht einmal ansatzweise akzeptabel.

Du hast bei einem On-Demand-Scanner keinen Mehrwert gegenüber einem On-Access-Scanner. In beiden Fällen muss die zu prüfende Datei auf dem System befinden. Der Vorteil beim On-Access-Scanner wäre, dass er passiv arbeitet und keine notwendigen Ressourcen unnötig zur Laufzeit belegt.

[Kirill]

Malware setzt keine Sicherheitslücke voraus. Und diverse Würmergeschichten basieren (oder basierten in der Vergangenheit) auf E-Mails, in denen Nutzer dazu aufgefordert wurden, irgendwas anzuklicken. Ich kann dir ausm Stehgreif einen Virus programmieren, der ohne Sicherheitslücken auskommt sondern schlicht auf das Ausführen durch den Nutzer wartet.

Dass ein AV-Programm nicht der Weissheit letzter Schluss ist, ist mir bekannt und das habe ich selbst ein paar Mal im Verlauf der Diskussion gesagt. Das ist allerdings nach wie vor kein Grund, die Dinger als vollkommen unnütz darzustellen. DAS war nämlich der Anfang der Diskussion. Wenn du mir hier zustimmst, warumst tust du so, als ob du mir nicht zustimmst?

Du sagst dass nicht jede Datei geprüft wird und sagst kurz drauf, dass jede Datei bis zu einem gewissen Punkt geprüft wird. Einige dich mal bitte

Dass solche falsch-positiven Befunde vorkommen und sogar das System lahmlegen weiss ich. Gibt immer wieder Newsbeiträge auf Winfuture dazu. Aber was hat das mit mir zu tun?

Ein on-access-Scanner bietet klar ein Mehrwert an Sicherheit, da er auch aktiv wird, wenn sich ein ewaiger enthaltener Schadcode entpackt/entschlüsselt. Ein on-demand-Scanner muss dafür die Datei von sich aus in einer Sandbox laufen lassen, während der on-access-Scanner einfach nur zu schauen braucht, was im System gerade vorgeht und ggf. Codeausführung blocken. Dass der Ressourcenverbrauch unnötig ist, zeigt wieder, dass du für die Nutzlosigkeit von Virenscannern sprichst obwohl du am Anfang gesagt hast, dass die Dinger auch zu was gut sind aber nicht alles machen. Einige dich bitte auf eine Aussage.

Ich kann dir aus Erfahrung sagen, dass die Ressourcen mitnichten umsonst verbraucht werden. Virenscanner können sowohl Infektionen verhinden als auch bestehende Infektionen anzeigen.

Aber sag mal, lädst du dir nicht mal Bilder aus dem Internet, ohne sie vorher bei Virustotal.com hochzuladen?

Dieser Beitrag wurde von Kirill bearbeitet: 16. Dezember 2009 - 17:06

[Twisty]

Ich glaube du definierst Malware anders als ich. Wenn ich dazu noch schreibe "Malware mit destruktiven Verhalten" und du anfängst mit "setzt keine Sicherheitslücke voraus", komm ich mir etwas überlesen vor. Malware ist mehr als nur das Spaßprogramm was du nicht von deinem System losbekommst. Malware kann Komponenten enthalten wie Rootkits, Backdoors, Keylogger, diverse Schadensroutinen und was weiß ich noch. Um eines dieser Module installieren zu können, bedarf es einer Schwachstelle. Entweder im System selbst oder in einem Drittprogramm (ja auch dein AV-Programm zählt dazu).

In der Form wie du sie versuchst mir "schmackhaft" zu machen, sind sie unnütz. Wie ich schon erwähnte bringt der On-Demand-Scanner eben keinen Mehrwert. Dein Argument kann ich nicht nachvollziehen. Wenn ich eine Datei "malware.exe" herunter lade und diese passiv auf der Platte liegen lasse, was passiert mit der Schadensroutine? Nix. Also könnte ich auch später die Datei mit einem manuellen Scanauftrag (On-Access-Scanner?) prüfen lassen. Der Vorteil das ich keine Verzögerungen bei Programmstarts habe und Rechenzeit unnötig angefordert wird ist nicht von der Hand zu weisen. Also kein Widerspruch!

Also ich habe dir das mit dem Entry-Point deutlich erklärt, wenn du das nicht verstehen willst bitte. Aber hör auf falsche Aussagen zu treffen.

Was die false-positives mit dir zu tun haben? Du nutzt ein Sicherheitsprodukt welches im Stande ist dein System anhand solcher Fehlbewertungen außer Gefecht zu setzen und das zu jeder Zeit, nach dem eine solche Signatur im stillen vom Programm selber eingepflegt wurde. Warum wird das etwas mit dir zu tun haben? Ich kann mich täuschen aber nutzt du denn nicht ein Av-Programm von einem Markenhersteller?

Ein Virenscanner kann zwar eine bestehende Infektion anzeigen aber kann auch nur dann zuverlässige Angaben machen, wenn der Scanner nicht auf dem befallen System läuft. Ansonsten sind solche Aussagen nichtig, da Rootkits Systemausgaben mit Leichtigkeit manipulieren können und somit die Aussagen deines Virenscanners verfälschen.

Ich lade keine Bilder herunter um die dann irgendwo prüfen zu lassen. Außerdem verlangt meine Anwendung immer eine Hashsumme/-key zum überprüfen des Downloads. Die Wahrscheinlichkeit das der Downloadserver vom Hersteller/Projekt kompromittiert ist, dürfte äußerst gering sein. Kombiniert mit anderen Sicherheitsvorkehrungen bin ich bisher ganz gut gefahren.