Recommended Posts

Das ist kein Fehler sondern bewusstes Verhalten. Eicar (oder jede beliebige echte Malware) ist in der Form nicht laenger ausfuehrbar, stellt also keinerlei Gefahr fuer das System dar. Um Zeit zu sparen werden Signaturen generell nach Dateitypen vorgefiltert. Das bedeutet eine JPEG Datei wird generell nur nach Signaturen durchsucht, die auch in JPEGs enthalten sein koennen, was letztlich nur einige uralte Exploits sind. Genauso suchen wir in einer ausfuehrbaren Windows Datei auch nur nach Windows Malware und Signaturen fuer z.B. Android, Java, Linux oder MacOS Malware werden gar nicht erst angewendet.

Share this post


Link to post
Share on other sites

Eine JPEG Datei kann per Definition nichts installieren, da es sich dabei nicht um ein ausfuehrbares Format handelt. Dein Bild Viewer wird nicht von sich aus hingehen, Eicar aus dem Bild popeln und ausfuehren. Bedeutet Du benoetigst weiterhin eine regulaere ausfuehrbare Datei, die Eicar wieder aus dem Bild herausholt und dann ausfuehrt. So eine Datei an sich qualifiziert sich bereits als Malware. Genauer gesagt spricht man in diesem Fall von sogenannten Droppern, die selbstverstaendlich direkt in unseren Signaturen landen. Aber selbst wenn der Dropper unerkannt sein sollte, wuerde der Dropper nicht umhin kommen Eicar auf die Festplatte schreiben zu muessen, bevor die Datei ausgefuehrt werden kann. Sowohl das Schreiben von Dateien, als auch die Ausfuehrung wird vom File Guard ueberwacht und bei Erkennung unterbunden.

 

Die Alternative, blind in allen Dateien nach allen moeglichen Signaturen zu suchen, ist technisch nicht umsetzbar, da Scan Zeiten explodieren wuerden. Fuer die meisten User sind, voellig zu recht wohl gemerkt, bereits Verzoegerungen im Bereich von 200 - 300 Millisekunden unakzeptabel. Ich will gar nicht wissen wie Leute dann auf 2 - 3 Sekunden Bedenkzeit bei jedem Dateizugriff reagierten. Der Wert ist dabei nicht mal aus der Luft gegriffen, sondern in etwa die Zeit die wir benoetigen eine Datei zu scannen, wenn alle Vorabfilter deaktiviert sind. Wir sind auch nicht die Einzigen, die Signaturen auf Grund von Filterkriterien wie Dateitypen vorselektieren. Ich bin mir sicher, wenn Du Deine Bild Datei mal bei VirusTotal hochlaedst, werden die meisten AVs keine Eicar Infektion feststellen, einfach weil alle AVs solche Vorselektionen durchfuehren um die Anzahl der zu ueberpruefenden Signaturen pro Datei gering zu halten, das Risiko von Fehlalarmen zu reduzieren und letztlich das System nicht unnoetig zu belasten.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.