Jump to content

Fehler gefunden


Recommended Posts

Das ist kein Fehler sondern bewusstes Verhalten. Eicar (oder jede beliebige echte Malware) ist in der Form nicht laenger ausfuehrbar, stellt also keinerlei Gefahr fuer das System dar. Um Zeit zu sparen werden Signaturen generell nach Dateitypen vorgefiltert. Das bedeutet eine JPEG Datei wird generell nur nach Signaturen durchsucht, die auch in JPEGs enthalten sein koennen, was letztlich nur einige uralte Exploits sind. Genauso suchen wir in einer ausfuehrbaren Windows Datei auch nur nach Windows Malware und Signaturen fuer z.B. Android, Java, Linux oder MacOS Malware werden gar nicht erst angewendet.

Link to comment
Share on other sites

Eine JPEG Datei kann per Definition nichts installieren, da es sich dabei nicht um ein ausfuehrbares Format handelt. Dein Bild Viewer wird nicht von sich aus hingehen, Eicar aus dem Bild popeln und ausfuehren. Bedeutet Du benoetigst weiterhin eine regulaere ausfuehrbare Datei, die Eicar wieder aus dem Bild herausholt und dann ausfuehrt. So eine Datei an sich qualifiziert sich bereits als Malware. Genauer gesagt spricht man in diesem Fall von sogenannten Droppern, die selbstverstaendlich direkt in unseren Signaturen landen. Aber selbst wenn der Dropper unerkannt sein sollte, wuerde der Dropper nicht umhin kommen Eicar auf die Festplatte schreiben zu muessen, bevor die Datei ausgefuehrt werden kann. Sowohl das Schreiben von Dateien, als auch die Ausfuehrung wird vom File Guard ueberwacht und bei Erkennung unterbunden.

 

Die Alternative, blind in allen Dateien nach allen moeglichen Signaturen zu suchen, ist technisch nicht umsetzbar, da Scan Zeiten explodieren wuerden. Fuer die meisten User sind, voellig zu recht wohl gemerkt, bereits Verzoegerungen im Bereich von 200 - 300 Millisekunden unakzeptabel. Ich will gar nicht wissen wie Leute dann auf 2 - 3 Sekunden Bedenkzeit bei jedem Dateizugriff reagierten. Der Wert ist dabei nicht mal aus der Luft gegriffen, sondern in etwa die Zeit die wir benoetigen eine Datei zu scannen, wenn alle Vorabfilter deaktiviert sind. Wir sind auch nicht die Einzigen, die Signaturen auf Grund von Filterkriterien wie Dateitypen vorselektieren. Ich bin mir sicher, wenn Du Deine Bild Datei mal bei VirusTotal hochlaedst, werden die meisten AVs keine Eicar Infektion feststellen, einfach weil alle AVs solche Vorselektionen durchfuehren um die Anzahl der zu ueberpruefenden Signaturen pro Datei gering zu halten, das Risiko von Fehlalarmen zu reduzieren und letztlich das System nicht unnoetig zu belasten.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...