Hilfe
Neues Thema
Antworten
Nö.
Ich empfehle keinem hier Antivir. Ich bleib bei AVK. Reine Erfahrungssache.
Einen Virenscanner kann ich nur dann empfehlen, wenn er Top-Scanergebnisse
hat. Und die hat Antivir bestimmt nicht...
Warum Verwenden Alle Norton?
#31
Meltdown 
- Gruppe: aktive Mitglieder
- Beiträge: 2.216
- Beigetreten: 02. November 03
- Reputation: 0
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 14:19
Nach oben
#32
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 14:51
Zitat (Meltdown84: 17.02.2004, 14:19)
Nö.
Ich empfehle keinem hier Antivir. Ich bleib bei AVK. Reine Erfahrungssache.
Einen Virenscanner kann ich nur dann empfehlen, wenn er Top-Scanergebnisse
hat. Und die hat Antivir bestimmt nicht...
Ich empfehle keinem hier Antivir. Ich bleib bei AVK. Reine Erfahrungssache.
Einen Virenscanner kann ich nur dann empfehlen, wenn er Top-Scanergebnisse
hat. Und die hat Antivir bestimmt nicht...
Ich bin ein NOD32-Fan!
Kann ich auch jedem empfehlen! Die tun was für's Geld!
#33
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 15:02
Ja, bei billigster gepackter Malware versagen. Ein SFX-ACE-Archiv reicht schon aus, um NOD32 zu unterlaufen. Von richtigen Packern und Cryptern mal gar nicht zu reden...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#34
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 15:04
Zitat (Rika: 17.02.2004, 15:02)
Ja, bei billigster gepackter Malware versagen. Ein SFX-ACE-Archiv reicht schon aus, um NOD32 zu unterlaufen. Von richtigen Packern und Cryptern mal gar nicht zu reden... 
Wie meinen?
#35
Dimension
geschrieben 17. Februar 2004 - 16:13
Zitat (rehleinkiller: 17.02.2004, 15:04)
Wie meinen?
* Datei entfernt * aber weder Norton noch McAfee (also die in den Geschäftern am meisten vertretenen Scanner) finden da was ...
Dieser Beitrag wurde von Dimension bearbeitet: 17. Februar 2004 - 16:32
#36
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:22
Zitat (Dimension: 17.02.2004, 16:13)
Zitat (rehleinkiller: 17.02.2004, 15:04)
Wie meinen?
Probier mal, ob du in dieser Datei was findest ... Du kannst das Teil auch ruhig mal entpacken - und ausführen
Das kenn ich schon! Da ist bei mir nix passiert! Deshalb frag ich ja Rika!
#37
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:22
Dimension, so ein Unsinn. Ein Archiv ist per se ungefährlich, man muss es erst entpacken, damit es schaden kann - und wenn es erstmal entpackt ist, dann findet auch Norton was.
Aber SFX-Archive können mit einfachen Methoden so umgestaltet werden, dass sie direkt in den RAM entpacken... also wenn man da vorher nicht prüfen kann, dann war's das.
@Dimension: Auch NOD32 kann mit UPX umgehen. Aber ich hab mir den Header nicht genau angeschaut, ist das ein manipulierter UPX-Header? Dann könnte NOD32 dran scheitern.
Trotzdem, dat is Netbus, damit spaßt man nicht.
Aber SFX-Archive können mit einfachen Methoden so umgestaltet werden, dass sie direkt in den RAM entpacken... also wenn man da vorher nicht prüfen kann, dann war's das.
@Dimension: Auch NOD32 kann mit UPX umgehen. Aber ich hab mir den Header nicht genau angeschaut, ist das ein manipulierter UPX-Header? Dann könnte NOD32 dran scheitern.
Trotzdem, dat is Netbus, damit spaßt man nicht.
Dieser Beitrag wurde von Rika bearbeitet: 17. Februar 2004 - 16:25
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#38
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:24
Zitat (Rika: 17.02.2004, 16:22)
Dimension, so ein Unsinn. Ein Archiv ist per se ungefährlich, man muss es erst entpacken, damit es schaden kann - und wenn es erstmal entpackt ist, dann findet auch Norton was.
Aber SFX-Archive können mit einfachen Methoden so umgestaltet werden, dass sie direkt in den RAM entpacken... also wenn man da vorher nicht prüfen kann, dann war's das.
Aber SFX-Archive können mit einfachen Methoden so umgestaltet werden, dass sie direkt in den RAM entpacken... also wenn man da vorher nicht prüfen kann, dann war's das.
Kannst du mal so eins bauen und mir zuschicken bzw. hier reinstellen? Ich würd das mal gerne Testen und evtl. auch an Eset weiterleiten!
#39
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:29
1. Hast du die Datei hier mal entpackt und dann gescannt? Wenn's nix findet, dann isses wirklich armselig.
2. Meinen Stats zufolge hat NOD32 Probleme mit PKLite. Kannst es dir mal suagen und damit was erstellen...
2. Meinen Stats zufolge hat NOD32 Probleme mit PKLite. Kannst es dir mal suagen und damit was erstellen...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#40
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:33
Zitat (Rika: 17.02.2004, 16:29)
1. Hast du die Datei hier mal entpackt und dann gescannt? Wenn's nix findet, dann isses wirklich armselig.
2. Meinen Stats zufolge hat NOD32 Probleme mit PKLite. Kannst es dir mal suagen und damit was erstellen...
2. Meinen Stats zufolge hat NOD32 Probleme mit PKLite. Kannst es dir mal suagen und damit was erstellen...
1. Ich dachte das wär das Endlos-Archiv was es hier schonmal gab... Ich bin grad nicht daheim, deshalb bringt das entpacken hier nix. Wir haben hier in der Firma OfficeScan installiert... Der hat nix gefunden!
2. Das tu ich mal! Ich hab Eset mal auf den Threat hier aufmerksam gemacht, mal schauen ob sie sich melden...
#41
Meltdown
- Gruppe: aktive Mitglieder
- Beiträge: 2.216
- Beigetreten: 02. November 03
- Reputation: 0
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:39
Zitat (rehleinkiller: 17.02.2004, 16:33)
1. Ich dachte das wär das Endlos-Archiv was es hier schonmal gab... Ich bin grad nicht daheim, deshalb bringt das entpacken hier nix. Wir haben hier in der Firma OfficeScan installiert... Der hat nix gefunden!
Von wegen. Trojaner-Alarm!
#42
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 16:42
Zitat (Meltdown84: 17.02.2004, 16:39)
Von wegen. Trojaner-Alarm!
Siehste mal! Scheiss Virenscanner hier auffer Arbeit!
#43
Dimension
geschrieben 17. Februar 2004 - 16:58
Zitat (Meltdown84: 17.02.2004, 16:39)
Von wegen. Trojaner-Alarm!
Welchen Scanner hast du benutzt? Interessant, dass UPX selbst die Datei nicht mehr erkennt, dafür der Scanner
#44
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 17:11
Sag ich doch, da hat wer am Header rumgespielt...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#45
radyr
- Gruppe: aktive Mitglieder
- Beiträge: 5.004
- Beigetreten: 05. September 03
- Reputation: 84
- Geschlecht:Männlich
geschrieben 17. Februar 2004 - 18:31
Hier die Antwort vom ESET-Support:
Naja, wenigstens haben sie schnell geantwortet!
Zitat
Hallo,
>> Ein SFX-ACE-Archiv reicht schon aus, um NOD32 zu unterlaufen. Von
>> richtigen Packern und Cryptern mal gar nicht zu reden...
Das stimmt teilweise, ja. NOD32 kennt definitiv nicht alle Formate, das
will ich auch nicht leugnen.
Die Frage ist, wie das der gute Mensch im Forum getestet hat. Hat er den
Virus in ein SFX ACE gepackt und einfach nur kopiert? Dann schlägt der
Hintergrundmonitor AMON auch nicht an, das ist normal. Hat er mal versucht,
das Archiv wieder zu entpacken? Es wrd nicht gehen, weil der AMON dies
blockiert, d.h. der Virus bleibt im Archiv eingeschlossen.
Es ist eine Philosophiefrage, welche Dateitypen der Monitor im Hintergrund
überhaupt scannen muß. Wenn er jedes .zip und .rar usw. überprüft, zwingt er
zwangsläufig den Rechner in die Knie. Zu Gunsten der Performance hat man
darauf verzichtet. Was kann ein Virus in einem RAR Archiv oder einer
verschlüsselten Datei schon anrichten? Nichts, es sei denn, es wird
entpackt, dann kriegts auch der AMON mit.
Eine andere Frage ist die Überwachung des Mailverkehrs. Hier werden vom
NOD32 Archive durchsucht, die als Attachment verschickt werden !! Hat
er das versucht? Sicher nicht. Dazu kommt noch die Advaced Heuristik, die
im IMON implementiert wurde. Sie enthält einen generischen Entpacker, der
sehr viele Archive direkt entpacken kann, ohne das exakte Format selbst
zu erkennen.
Es wird immer verbessert, gerade bei der Archivunterstützung wurde im
letzten Jahr massig Zeit investiert.
MfG
--------------------Ihr Partner in Sachen Virenschutz---------------------
Christian Hofmann
Linux Consulting & Support web: http://www.datsec.de
DATSEC Data Security e.K. tel.: +49 (0) 3641 6378-3
Talstrasse 84 fax.: +49 (0) 3641 6378-59
D-07743 Jena mail: [email protected]
--------------------------------------------------------------------------
>> Ein SFX-ACE-Archiv reicht schon aus, um NOD32 zu unterlaufen. Von
>> richtigen Packern und Cryptern mal gar nicht zu reden...
Das stimmt teilweise, ja. NOD32 kennt definitiv nicht alle Formate, das
will ich auch nicht leugnen.
Die Frage ist, wie das der gute Mensch im Forum getestet hat. Hat er den
Virus in ein SFX ACE gepackt und einfach nur kopiert? Dann schlägt der
Hintergrundmonitor AMON auch nicht an, das ist normal. Hat er mal versucht,
das Archiv wieder zu entpacken? Es wrd nicht gehen, weil der AMON dies
blockiert, d.h. der Virus bleibt im Archiv eingeschlossen.
Es ist eine Philosophiefrage, welche Dateitypen der Monitor im Hintergrund
überhaupt scannen muß. Wenn er jedes .zip und .rar usw. überprüft, zwingt er
zwangsläufig den Rechner in die Knie. Zu Gunsten der Performance hat man
darauf verzichtet. Was kann ein Virus in einem RAR Archiv oder einer
verschlüsselten Datei schon anrichten? Nichts, es sei denn, es wird
entpackt, dann kriegts auch der AMON mit.
Eine andere Frage ist die Überwachung des Mailverkehrs. Hier werden vom
NOD32 Archive durchsucht, die als Attachment verschickt werden !! Hat
er das versucht? Sicher nicht. Dazu kommt noch die Advaced Heuristik, die
im IMON implementiert wurde. Sie enthält einen generischen Entpacker, der
sehr viele Archive direkt entpacken kann, ohne das exakte Format selbst
zu erkennen.
Es wird immer verbessert, gerade bei der Archivunterstützung wurde im
letzten Jahr massig Zeit investiert.
MfG
--------------------Ihr Partner in Sachen Virenschutz---------------------
Christian Hofmann
Linux Consulting & Support web: http://www.datsec.de
DATSEC Data Security e.K. tel.: +49 (0) 3641 6378-3
Talstrasse 84 fax.: +49 (0) 3641 6378-59
D-07743 Jena mail: [email protected]
--------------------------------------------------------------------------
Naja, wenigstens haben sie schnell geantwortet!
