Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Inwiefern ist AntiVir Glauben zu schenken?

mediapcuser / 12 Antworten / Baumansicht Nickles

Hallo,

ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.
Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:\Windows\Temp als .tmp Datei.
Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Datei PK4C8.tmp empfangen 2008.08.04 16:22:03 (CET)
Ergebnis: 4/36 (11.12%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.29.1 2008.08.04 -
AntiVir 7.8.1.15 2008.08.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.04 -
AVG 8.0.0.156 2008.08.04 -
BitDefender 7.2 2008.08.04 -
CAT-QuickHeal 9.50 2008.08.02 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.04 -
DrWeb 4.44.0.09170 2008.08.04 -
eSafe 7.0.17.0 2008.08.03 -
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.04 -
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.04 -
Ikarus T3.1.1.34.0 2008.08.04 -
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.04 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.04 -
NOD32v2 3324 2008.08.04 -
Norman 5.80.02 2008.08.04 -
Panda 9.0.0.4 2008.08.03 Suspicious file
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.04 -
Rising 20.56.02.00 2008.08.04 -
Sophos 4.31.0 2008.08.04 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.04 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.04 -
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.03 -
Webwasher-Gateway 6.6.2 2008.08.04 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 762368 bytes


Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können. Außer AntiVir nur 3 andere.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.
Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Vielen Dank für eure Hilfe.

bei Antwort benachrichtigen
peterson mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“
Optionen

Erstmal:
Ein Virenprogramm kann es dann etwas finden, wenn es bekannt ist.

Allerdings mit der Heuristik wird nach ähnlichen Mustern gesucht und dann wird es als Suspect ausgegeben. (Suspicious file)

Antivir ist sicherlich da ein wenig "übermotiviert".
Schick denen doch einfach das File zur Überprüfung. Danach werden die ihre Viren-Datenbank anpassen und es wird nicht mehr angemault.

bei Antwort benachrichtigen
mediapcuser peterson „Erstmal: Ein Virenprogramm kann es dann etwas finden, wenn es bekannt ist....“
Optionen

Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es sich um eine Falschmeldung handelt, nicht alleine zu sein. Aber es verunsichert doch enorm, wenn man einen solchen Fund bekommt.

bei Antwort benachrichtigen
peterson mediapcuser „Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es...“
Optionen

Virenscanner.

Antivir hat das Programm bei mir nicht innerhalb eines Jahres zum Laufen gebracht.

(Bezahlversion)

bei Antwort benachrichtigen
mmk peterson „Dann nimm halt einen vernünftigen“
Optionen
Dann nimm halt einen vernünftigen Virenscanner.

Antivir hat das Programm bei mir nicht innerhalb eines Jahres zum Laufen gebracht.


Dass ein Programm, insbesondere ein Virenscanner, der einen gewissen Schutz gewähren soll, "zum Laufen gebracht" werden kann bzw. "vernünftig läuft", ist die Grundvoraussetzung für dessen Betrieb.

Allerdings: Wenn so ein Programm denn mal "läuft", und da ist es egal, ob es sich um einen Avira, Norton AV oder Kaspersky handelt: Fehlalarme können bei allen auftreten, sie können es nicht nur, sie sind auch "tatsächlich" zu beobachten. Insofern wird ein Virenscannerwechsel keine grundlegende Besserung mit sich bringen.
bei Antwort benachrichtigen
mmk mediapcuser „Ja, gute Idee. Hab ich grade getan. Ich scheine bei meiner Vermutung, dass es...“
Optionen
Aber es verunsichert doch enorm, wenn man einen solchen Fund bekommt.

Daher ist es auch von grundlegender Bedeutung, Meldungen von Virenscannern jederzeit richtig einschätzen zu können.
bei Antwort benachrichtigen
jueki mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“
Optionen

Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir Workstation gekauft.
Das Programm hat mich und die von mir betreuten PCs ziemlich zuverlässig vor Schaden bewahrt.
Richtig eingestellt, halten sich die (fast immer durch die Heuristik verursachten) Alarme in Grenzen.
Ich hatte in den vergangenen Jahren grad mal 3 Fehlalarme.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mediapcuser jueki „Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir...“
Optionen

Okay, also ich habe im Großen und Ganzen die Standardeinstellungen, bis auf dass ich alle Dateien durchsuchen lasse und die Rootkit Suche aktiviert habe.
Die Heuristik ist bei mir auf Mittel, ist das denn noch zu viel?

bei Antwort benachrichtigen
jueki mediapcuser „Okay, also ich habe im Großen und Ganzen die Standardeinstellungen, bis auf...“
Optionen

...habe ich ebenfalls.
Noch eines - ich lege den kompletten Ordner
C:\ Dokumente und Einstellungen\ All Users\ Anwendungsdaten\ Avira\ AntiVir Workstation\ *.*\
in eine logische Partition.
Damit habe ich recht gute Erfahrungen gemacht, ist dieser wichtige Knotenpunkt doch damit etwas entfernt vom eigentlichen Ziel möglicher Angriffe - dem Betriebssystem.
Ich lasse die von mir eingerichteten PCs täglich im 6- Stunden- Abstand updaten, und zwar "unsichtbar".
Die Fehlalarme meldete ich jedesmal - eines davon war gar mein Lieblingstool "German nLite 1.0 final".

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mmk jueki „Ich habe im Januar das zweite Mal eine 3- Jahres- Lizenz für Avira Antivir...“
Optionen
Richtig eingestellt

Genau - das ist ein weiterer wichtiger Punkt, der oft keine Berücksichtigung findet: Programme werden schlicht in Standardkonfiguration belassen - mit entsprechenden Konsequenzen im Laufe der Zeit.
bei Antwort benachrichtigen
mmk mediapcuser „Inwiefern ist AntiVir Glauben zu schenken?“
Optionen
ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den Trojaner TR/Crypt.XPACK.Gen gefunden. Dieser wurde damals gelöscht und war seitdem auch nicht mehr in Scans aufgetaucht, daher ging ich von einer erfolgreichen Reinigung aus.

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.

Doch wie ich heute feststellen musste, befindet sich der angebliche Trojaner noch immer im System, in C:WindowsTemp als .tmp Datei.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Also habe ich die Datei namens PK4C8.tmp mal in Quarantäne geschoben und bei VirusTotal.com hochgeladen. Die Seite lieferte mir folgendes Ergebnis:

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.

Wie man also sieht, haben alle anderen für mich namhaften Antivirenprogramme wie z.B. AVG, BitDefender, F-Secure, Kaspersky, Symantec und wie sie alle heißen nichts finden können.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.

Was meint ihr, wie wahrscheinlich ist es sich um einen Hoax handelt? Mir ist bekannt, dass AntiVir öfters mal voreilige Schlüsse zieht.

Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.

Zu dem Trojaner findet man via Google nur äußerst widersprüchliche Angaben.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.
bei Antwort benachrichtigen
mediapcuser mmk „ich habe schon vor Monaten mal bei einem kompletten Systemscan laut AntiVir den...“
Optionen

@mmk:

Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht.

1.) Es handelte sich um eine heuristische Erkennung - eine genauere Analyse wäre also vonnöten gewesen.

2.) Du hast offensichtlich weder den Dateinamen noch den Fundort notiert, bzw. anhand dieser Angaben weitere Nachforschungen angestellt.

3.) Du bist einfach davon ausgegagen, dass a) durch das Löschen eine mögliche Infektion beseitigt worden wäre, b) bist Du unter anderem aufgrund der Tatsache, dass danach keine weitere Meldung erfolgt, zu diesem Schluss gelangt. Auch das ist nicht gut, weil Du dabei lediglich von Offensichkeiten auf den Zustand Deines Systems schließt, und nicht unter Einbeziehung von Eventualitäten.


Eine genauere Analyse hat durchaus stattgefunden, habe ich vergessen zu schreiben. Auch ein Scan mit Ad-Aware, Spybot und HijackThis brachte nach dem Fund keine Treffer.
Der Fundort war auch damals schon im Temp-Verzeichnis.

Nein - das ist wahrscheinlich nur die gleiche Erkennungsbezeichnung, ohne dass es sich dabei jedoch um den gleichen Schädling handeln müsste - denn es handelt sich dabei, wie gesagt, eine heuristische Erkennung.

Ok, daran habe ich nicht gedacht, das wäre aber die naheliegendste logische Erklärung.

Dieses Ergebnis kann nun zweierlei bedeuten:
1.) Vier Virenscanner liefern ein falsches Ergebnis (Fals Positive).
2.) 32 Virenscanner erkennen den Schädling nicht.


Das ist mir klar, genau das war ja der Grund weshalb ich dieses Forum hier konsultiert habe.

Ob ein AntiVirenprogramm "nahmhaft" ist oder nicht, spielt nicht zwangsläufig eine bedeutende Rolle: Ebenso, wie ein "nahmhafter" Scanner eine Daten übersehen kann, so kann auch ein weniger nahmhafter mal eine Malware entdecken, die andere nicht finden - und umgekehrt.

Die Erkennungsqualitäten der Scanner schwanken von Zeit zu Zeit. Daran, also an den Inhalten, müsste man sich orientieren. Nicht an den Namen.


Sicher, aber für mich persönlich macht es doch einen Unterschied, ob jetzt "CAT-QuickHeal", was ich noch nie gehört habe, oder Kaspersky einen Fund vermeldet. Das kann man aber sicher auch anders sehen.


Jeder Virenscanner kann Fehlalarme auslösen. Lies dazu auch hier.


Die Story wirkt ziemlich übertrieben, aber ich glaube im Endeffekt ist sie realistischer als man denkt. Die dort genannten Schutzmechanismen sind mir bekannt.

Weil es sich auch nur um eine recht allgemeine (-> heuristische) Erkennung handelt! Daher ist in solchen Fällen dieses Vorgehen indiziert.

Das habe ich ja auch getan, nach dem Tipp von peterson. Hoffentlich hat es was gebracht.

bei Antwort benachrichtigen
jueki mediapcuser „@mmk: Das ist keine gute Ausgangsposition - in mehrerlei Hinsicht. 1. Es...“
Optionen

Mal eine kleine Ergänzung dazu:
"Der Fundort war auch damals schon im Temp-Verzeichnis"
Da habe ich mir auch eine kleine Änderung einfallen lassen.
Ich habe per Reg- Datei alle tmp und temp aus dem Betriebssystem in eine logische Partition verlegt. Mache ich immer gleich nach einer Neuinstallation.
(zu finden in der Reg unter HKey_Users/.../Environment/)
Und mit Hilfe eines Scripts (*.cmd) und der Rechtevergabe lösche ich diesen Ordner bei jedem Bootvorgang.
Hab ich hier beschrieben:
http://www.juekirs.de/Dateien/systemhygiene.pdf
Hat sich bisher sehr bewährt, diese Methode.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen