Schlimme MalWare auf dem PC? (Keylogger, WesternUnion-Seite)

Zitat von abc12

Es ist der TR/Spy.ZBot.WY der ist noch NICHT bekannt gewesen, deswegen konnte ihn auch kein Virensystem finden. [...] Es ist ein ganz neuer Virus gewesen.

Das stimmt so nicht. Zbot ist nicht neu. Im Gegenteil. Dieser Schädling taucht mittlerweile in zahllosen Varianten auf.

Jeder Schädling (auch Zbot) hat eine für ihn typische/charakteristische Signatur. Diese Signatur ist fast so einzigartig wie der DNA-Strang eines Lebewesens in der Natur. Quasi der Fingerabdruck des Schädlings.

Ein Antivirenprogramm kann eine infizierte Datei jedoch nur dann als schädlich erkennen, wenn die Signatur des Schädlings bereits bekannt ist. Genau das nutzen die Autoren von Malware aus.

Wenn Malwareautoren ihren alten Schädling nur um ein einzelnes Bit verändern, haben Virenscanner keine Chance den neuen Schädling zu erkennen. Selbst dann nicht, wenn der neue Schädling exakt die gleiche Schaden-Charakteristik hat wie die Vorgängervariante.

Das Ergebnis ist das sattsam bekannte Hase- und Igel-Spiel. Somit sind die Malwareautoren den Herstellern der Virenscanner immer einen kleinen aber entscheidenden Schritt voraus.

gruß,
docc

Zitat von Docc

Wenn Malwareautoren ihren alten Schädling nur um ein einzelnes Bit verändern, haben Virenscanner keine Chance den neuen Schädling zu erkennen. Selbst dann nicht, wenn der neue Schädling exakt die gleiche Schaden-Charakteristik hat wie die Vorgängervariante.

Dank der Heuristische Analyse [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.ng] stimmt das so nicht.

Weitere Info [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

Hallo Fox2Fox,

du kannst eine heuristische Erkennung nicht mit einer signaturbasierten Erkennung vergleichen. Letztere bietet ein hohes Maß an Zuverlässigkeit. Vorausgesetzt, der Scanner wird ständig mit aktuellen Signaturen versorgt. Aber sobald die Heuristik ins Spiel kommt, kommen auch so wunderbare Effekte wie False positives, komplette Fehlerkennung und Nichterkennungen hinzu, weil eben nicht der Ist-Zustand geprüft wird, sondern lediglich die Plausibilität auf den Prüfstand kommt.

Das Ergebnis eines heuristischen Scans kann also prinzipbedingt nur einen groben Anhaltspunkt liefern. Eine wirklich zuverlässige Aussage über sauber oder nicht, lässt sich daraus nicht ableiten. Gerade bei einem Schädling wie Zbot reicht es nicht aus, den Schädling anhand von vagen Anhaltspunkten abzuscannen. Zumal sich diese ohnehin schon diffusen Anhaltspunkte auch noch ständig verändern.

Mal ehrlich: Der Kaspersky-Support muss doch zwangsläufig schreiben, dass die heuristische Erkennung eine weitere tragende Säule innerhalb der Kaspersky Suite ist, und dass sie wesentlich zur Systemsicherheit beiträgt.

Kaspersky schreibt übrigens auch, dass ihre Suite jeden Schädlinge zuverlässig von einem System entfernen kann, und dass somit auch ohne Neuinstallation die Vertrauenswürdigkeit wieder hergestellt werden kann. - Aber das sind leider nur Werbeversprechen. Mehr nicht.

gruß,
docc

//

Zitat von Docc

Kaspersky schreibt übrigens auch, dass ihre Suite jeden Schädlinge zuverlässig von einem System entfernen kann, und dass somit auch ohne Neuinstallation die Vertrauenswürdigkeit wieder hergestellt werden kann. - Aber das sind leider nur Werbeversprechen.

Imho schreiben dies alle Vertreiber solcher Software (ob kostenpflichtig oder nicht). Für mich ein Fall für die Wettbewerbshüter, da dadurch Werbung gemacht wird die den Realitäten nicht stand hält.

Zitat von .Ulli

.. von möglichen nachgeladenen sekundären Schädlingen wird nicht gesprochen.

Da hast du recht, aber genau um diesen wichtigen Halbsatz gehts doch. Ich meine, das den Nutzern, die sich in dieser Materie nicht auskennen, durch die Firmen entsprechende Aufklärung geboten werden sollte (nach meinem Empfinden allerdings müsste)
BTW: Einen lieben Gruß von Brummelchen darf ich an dich weiterreichen...

// Werde ich machen..