Emsiuser

Heises E-Mail-Check

Recommended Posts

Hallo

 

Auf dieser Seite gibts einen E-Mail-Check von heise-online:

http://www.heise.de/security/dienste/Emailcheck-2109.html

 

Ich wollte Emsisoft auf die E-Mail-Anhänge testen und es wurde oft einiges durchgelassen. Ich habe diese Dateien auch auf Virustotal hoch geladen und dort haben einige Scanner angeschlagen (13 von 51), es sind meist die selben Scanner. Muss man sich sorgen machen das Emsisoft diese Dateien nicht beanstandet?

Die übertragenen Dateien sind übrigens harmlos und erzeugen nur einen Hinweis das man verwundbar ist. Ein Empfang dieser Mails funktioniert allerdings nur wenn der Provider sie durchlässt und nicht schon vorher erkennt. T-Online und 1und1 haben relativ viel durchgelassen, Freenet weniger.

Laut heise-online sollten einige Dateien als Virus-Testfile erkannt werden was aber meist nicht der Fall ist.

Share this post


Link to post
Share on other sites

Hallo,

 

nein Sie müssen sich keine Sorgen machen, denn wie Sie selbst sagen sind es harmlose Testdateien. Von diesen Testdateien erkennt Emsisoft Anti-Malware den Eicar Testvirus. Erkennt Emsisoft Anti-Malware die anderen Testdateien nicht, bedeutet das lediglich das Sie nicht in unserer Signaturdatenbank enthalten sind wie es auch bei vielen anderen Produkten der Fall ist (siehe die Virustotal Ergebnisse).

 

Wenn eine Erkennung solcher Testdateien bei regulären Tests wie von zum Beispiel AV-C (http://www.av-comparatives.org/) gefordert wäre würden Sie auch in unserer Datenbank enthalten sein. Da es sich im Endeffekt aber um harmlose Dateien handelt sehen wir keine Veranlassung diese in die Signaturdatenbank aufzunehmen.

Share this post


Link to post
Share on other sites

Ich kann ja irgendwo verstehen das einige AV-Hersteller es nicht für nötig hält solche Testdateien in die Datenbanken einzubringen.Trotzdem wäre das aber von Vorteil weil man so seinen Scanner testen kann was er bei einem Fund macht. Ich habe das auch mit Testviren aus Webseiten heraus probiert und es wird nichts gemeldet. Jetzt werden Sie wieder sagen "alles nicht so schlimm". Ich würde aber gerne sehen wollen was der Wächter tatsächlich macht und wie ich mich dann verhalten kann/sollte. Ein Konkurenzprodukt das ich gerade am Testen habe findet alles und ich überlege zu wechseln. Das ist aber nicht der einzige Grund. Auch die Ignoranz von Emsisoft gegenüber dem Kunden wegen Verbesserungsvorschläge spielt dabei eine Rolle. Was bei anderen AV-Herstellen Gang und Gebe ist wird hier einfach ignoriert.

Share this post


Link to post
Share on other sites

Hallo,

 

Es macht sicherheitstechnisch keinen Sinn harmlose Sachen zu erkennen. Es wiegt den Benutzer lediglich in falscher Sicherheit. Ich kann daher nur empfehlen sich diverse Tests von Emsisoft Anti-Malware anzusehen oder auch Videos die reale Infektionsbedingungen nachstellen bei Youtube nachzuschlagen um einen Einblick in die Leistungsfähigkeit von Emsisoft Anti-Malware zu erhalten. Wenn Sie dazu Links benötigen kann ich Ihnen diese gern raussuchen.

 

Wurde von ihrer Seite der Wunsch schon einmal geäußert mehr Testsoftware in die Signaturdatenbank aufzunehmen und wurde abgelehnt?

 

Ich kann Ihr Anliegen und Wunsch zur Aufnahme von mehr Testsoftware gerne als Wunsch weitergeben oder Sie hinterlegen Ihren Wunsch hier im Unterforum Feedback, Comments and Suggestions oder schicken eine Anfrage an [email protected]

Share this post


Link to post
Share on other sites

Das mit der falschen Sicherheit mag für Leute zutreffen die glauben das man mit einem Virenscanner gegen alles geschützt sei und man auf alles klicken könnte. Mir geht es darum seine Software überhaupt mal testen zu können wie sie reagiert und welche Meldungen kommen und zwar am eigenen PC und nicht in Videos. Ein AV-Prog. ist ja keine Stereoanlage die man auf die Schnelle mal testen könnte. Deshalb würde ich es begrüßen wenn auch solche Testdateien in die Erkennung mit aufgenommen werden.

Während des surfens habe ich es mit Emsisoft noch nicht gehabt das eine Schadsoftware gefunden wurde. Das kann man positiv sehen aber man könnte auch skeptisch werden ob das AV-Prog. überhaupt richtig funktioniert. Wenn dann auch keine Testdateien erkannt werden ist meine Skepsis noch größer. Bei mir wurde letztens eine Schadsoftware von einem Konkurenzprodukt gefunden und ich habe sie auf Virustotal hoch geladen um sie dort testen zu lassen. Zu meinem Erstaunen wurde dort diese Datei auch von Emsisoft moniert, auf meinem System aber nicht. Skepsis ist also angebracht. Aber fragen Sie nicht welche Datei das war, ich habe sie schon gelöscht.

Müsste nicht die Verhaltenserkennung auf solche Testdateien regieren? Die reagiert auf auf harmlose Programme aber diese Testdateien werden nicht moniert.

Share this post


Link to post
Share on other sites

Hallo,

 

 

Müsste nicht die Verhaltenserkennung auf solche Testdateien regieren?

 

das ist eben das Missverständnis, nein die Verhaltensanalyse reagiert nicht darauf weil eben kein schädliches Verhalten vorliegt.

 

Diese Tests die versuchen falsche Einstellungen oder Sicherheitslücken in Programmen wie dem Browser oder Emailclient aufzuzeigen und auszunutzen führen im Endeffekt keine Schadroutine aus durch die sich Malware kennzeichnet. Da diese Tests aber nur aufzeigen, aber im Endeffekt keine schädlichen Routinen wie zum Beispiel Codeinjection, verdeckt Daten senden und empfangen usw. starten auf die das Regelset der Verhaltensanalyse anspringen würde, passiert auch nichts.

 

Hinter jedem Eintrag den Sie in Emsisoft Anti-Malware unter Wächter/Verhaltensanalyse finden steckt eine Regel die sich aus Kombinationen von Verhaltensweisen zusammensetzt die von Malware in der Realität benutzt wird. Keiner dieser Tests zeigt diese Kombinationen auf.

 

Wenn Sie bei jedem potentiell verdächtigen Vorgang wie in diesen Tests Meldungen erwarten sollten Sie eher zu einem HIPS als zur Verhaltensanalyse greifen.

 

 

Die reagiert auf auf harmlose Programme aber diese Testdateien werden nicht moniert.

 

Dann weisen diese Programme auch malwaretypisches Verhalten auf. Fehlalarme bei solch komplexen Analysevorgängen wie bei der Verhaltensanalyse wird man leider nicht komplett verhindern können. Sind Sie sich unsicher bei Meldungen der Verhaltensanalyse immer auf Nummer sicher gehen und Blockieren auswählen. Danach können Sie uns jeder Zeit kontaktieren damit wir Ihnen bei der Analyse der Meldung helfen können.

Share this post


Link to post
Share on other sites

Auch die Ignoranz von Emsisoft gegenüber dem Kunden wegen Verbesserungsvorschläge spielt dabei eine Rolle. Was bei anderen AV-Herstellen Gang und Gebe ist wird hier einfach ignoriert.

 

Ich habe keinen besonderen Grund für Emsisoft in die Bresche zu springen. Aber diese Aussage halte ich für total überzogen. Es sind doch gerade die meisten großen Hersteller, die den Kunden auf ganzer Linie ignorieren.

 

Gruß

Share this post


Link to post
Share on other sites

Ich habe keinen besonderen Grund für Emsisoft in die Bresche zu springen. Aber diese Aussage halte ich für total überzogen. Es sind doch gerade die meisten großen Hersteller, die den Kunden auf ganzer Linie ignorieren.

 

Gruß

Dem kann ich mich nur anschließen!

Share this post


Link to post
Share on other sites

Bei mir wurde letztens eine Schadsoftware von einem Konkurenzprodukt gefunden und ich habe sie auf Virustotal hoch geladen um sie dort testen zu lassen. Zu meinem Erstaunen wurde dort diese Datei auch von Emsisoft moniert, auf meinem System aber nicht.

.

Falls das Konkurrenzprodukt parallel zu Emsisoft Anti-Malware installiert war, ist das Verhalten voellig normal, da das Konkurrenzprodukt Emsisoft Anti-Malware am Scan der Datei hindern wird. Dateien, auf die zugegriffen wird, werden letztlich nicht parallel gescannt, sondern sequentiell. Die Reihenfolge in der Produkte Gelegenheit bekommen die Datei zu scannen, wird dabei von Microsoft ueber sogenannte Altitudes festgelegt. Die Liste ist dabei unter anderem hier einsehbar:

http://msdn.microsoft.com/en-us/library/windows/hardware/dn265170(v=vs.85).aspx

Generell gilt: Je hoeher die Altitude um so eher darf das Produkt die Datei inspizieren. Entscheidet einer der Treiber mit hoeherer Altitude, dass der Zugriff verweigert werden soll (weil z.B. in der Datei Schadsoftware erkannt wurde), bekommen alle anderen die Datei gar nicht erst zu sehen.

 

Könnte ihr auch was zum Thema beitragen?

Wenn Dir daran liegt eine konstruktive Unterhaltung mit anderen Forenteilnehmern zu fuehren, wuerde ich vorschlagen Deine Formulierungen etwas zu entschaerfen. Aussagen wie die obige fuehren nur dazu, dass der Thread eskaliert, was, so hoffe ich zumindest, nicht in Deinem Interesse ist.

Generell gibt es seit Jahrzehnten eine industrieweit anerkannte Testdatei die es Benutzern von AV Software ermoeglicht ihr Produkt zu testen: Das Eicar Anti-Malware Testfile. Das Eicar Testfile wird von uns bereits seit knapp 10 Jahren unterstuetzt und alle von Dir gewuenschten Szenarien sollten mit dieser Testdatei durchspielbar sein ohne die Sicherheit Deines Systems dabei zu gefaehrden. Sofern Du also keine spezifischen Beispiele fuer Szenarien benennen kannst, die mit Eicar (oder einer der anderen standardisierten Testdateien) nicht abgedeckt sind, ist es unwahrscheinlich das wir Resourcen von der Analyse echter Malware abziehen werden, um weitere nicht-standardisierte Testdateien zur Erkennung hinzuzufuegen, da dies schlicht nicht im Sinne der Sicherheit unserer Benutzer ist.

Solltest Du noch weitere Fragen haben, stehe ich gerne zur Verfuegung.

Share this post


Link to post
Share on other sites

Ich hatte zusätzlich Panda Free installiert, aber zum Zeitpunkt des manuellen scannens mit Panda hatte ich alle Hintergrundwächter bei Emsi deaktiviert. Panda ist jetzt aber wieder runter. Aber eigentlich ist das nicht relevant weil ja vorher Emsi allein installiert war und die Datei wurde nicht moniert. Ich führe ein mal pro Woche einen Scan aus.

 

Die Eicar-Test-Malware im oben genannten Link hatte ich ausprobiert und es wird nichts beanstandet (Kaspersky allein installiert fängt das aber ab). Ein Teil wird schon vom Browser (Chrome) abgefangen. 

Share this post


Link to post
Share on other sites

Die Eicar-Test-Malware im oben genannten Link hatte ich ausprobiert und es wird nichts beanstandet (Kaspersky allein installiert fängt das aber ab). Ein Teil wird schon vom Browser (Chrome) abgefangen.

Welche der Dateien werden denn nicht erkannt? Mit Standard Einstellungen, sollte eicar.com an der Ausfuehrung gehindert werden. Die gepackten Eicar Dateien (eicar_com.zip, eicarcom2.zip) werden spaetestens beim Entpacken der Datei erkannt.

Share this post


Link to post
Share on other sites

Ich kann das jetzt schlecht testen weil ich einen anderes AV-Prog. installiert habe. Ich werde mich später noch mal melden aber ich glaube das auch beim öffnen nichts moniert wurde.

Share this post


Link to post
Share on other sites

Also ich habe eine Backup mit Emsisoft wiederhergestellt und nun noch mal getestet. Dieses mal habe ich den Firefox verwendet, der blockt die Test-Dateien nicht. 

Ergebnis: Runterladen konnte ich alle Dateien ohne das sie geblockt wurden. Eine Ausführung von "EICAR.COM" wurde gelockt und ein entpacken der beiden Zip-Dateien wurde auch geblockt und in die Quarantäne gestellt. Einzig die "EICAR.com.txt" wurde bei der Ausführung nicht geblockt, aber wenn man mit dem Scanner drüber geht wird sie als EICAR-Test-File gefunden (wie alle anderen Testdateien auch).

Also es scheint doch zu funktionieren. Chrome hatte mir einige Downloads verwehrt, das spricht für den Browser. Wobei mir es lieber wäre wenn schon beim Download die Test-Dateien geblockt werden würden.

Share this post


Link to post
Share on other sites

Hallo,

 

Bitte einmal Emsisoft Anti-Malware öffnen und links im Menü auf Wächter gehen und zum Karteireiter Dateiwächter wechseln. Hier einmal den Haken bei "Scanne nur Dateien mit folgenden Endungen:" wegnehmen. Jetzt die eicar.com Datei von http://www.eicar.org/85-0-Download.html nochmals herunterladen. Emsisoft Anti-Malware sollte sich jetzt melden.

Share this post


Link to post
Share on other sites

Hey es funktioniert. Emsi meldet sich jetzt sofort wenn man die Dateien runterladen will. Das sieht sehr gut aus :) . Es öffnet sich zwar ein Fenster wo man es runterladen möchte aber es wird nichts auf die Festplatte geladen. Ich danke Ihnen für ihre Hilfe. :thumbs:

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.