Fabian Wosar

a-squared Anti-Malware 5.0 - Diskussionsthread zur Beta

Recommended Posts

a² gibt Warnmeldungen bei UAC-Abfragen (liegt vll. an englischer Win 7 Version?):

425f7b8365e4e0d8c80e12f112b2c9ce.png

Eine weitere Warnmeldung gab es, als ich mir die Regeln von einem Programm ansehen wollte:

ad9d3f961c9f483fcb3e87daf2a68fb0.png

Ja, das Problem wird verursacht durch einen fehlerhaften Zertifikatsfilter. Wird gefixt mit einem der nächsten Builds.

Das Windows Actioncenter wird gar nicht mehr unterstützt. Ich dachte erst, auf meinem Host wär was versaut, aber auf einer sauberen VM sieht es nicht anders aus:

79e88d34f5e440f3f236141fd0e444df.png

Werd ich nochmal weiterleiten. Das Action Center funktioniert bei mir problemlos. Aber nunja, das Teil hat ein Eigenleben.

Irgendwie scheint nach einem ersten Neustart nach der Installation der Selbstschutz nicht richtig zu funktionieren, ich kann dann die a2guard.exe über den Taskmanager killen.

Nur beim ersten Boot nachdem Du von 4.5 auf 5.0 upgedated hast?

Die Quarantäne-Funktion beim Dateiwächter funktioniert immer noch nicht richtig. Beim IDS tut sie dies aber ohne Probleme, also wird a² sich selbst blockieren, wie es S-D schon vermutete.

Die Quarantäne funktioniert derzeit wie sie soll, wie ich auch bereits erläutert hatte. Das die Quarantäne beim Behavior Blocker funktioniert liegt daran, daß der Prozess der die Datei offen hält (nämlich der gemeldete Prozess selbst) beendet wird. Das ist beim on-access Scan aber nicht zwangsläufig möglich.

Und leider kann Malware immer noch den Taskmanager abschalten. Allerdings scheint das IDS ja wieder an Umfang dazugewonnen zu haben, so meldet es z.B. jetzt auch direkten Sektorzugriff.

Aber ist es auch wirklich vollständig? Ich hab z.B. noch nie eine Warnmeldung bezüglich dessen gesehen, dass Malware versteckt Daten hertunerladen würde.

Eine ganze Reihe an Verhaltenserkennungen wurden mit dem letzten Update aktiviert (Invisible Installation, HOSTS access, Direct Sector Access etc.). Derzeit offen sind noch die Registry Überwachungen die im laufe nächster Woche aktiviert werden.

Share this post


Link to post
Share on other sites

Hallo zusammen,

nein, ich stelle nicht die Frage, wann die Final rauskommt.

Ich stelle die Frage anders: wie weit ist die Beta an der Final - oder anders gefragt: kann ich die Beta schon guten Gewissens installieren?

Die Fehler, die hier in der letzten Zeit noch auftauchen, scheinen nur bei bestimmten Konstellationen bzw. bei den Intensiv-Tests der Extrem-Tester aufzutreten.

Oder sehe ich das falsch?

@Fabian: wie ist hier dein Gefühl?

Nutze Win 7 Prof 32 Bit

Gruß

mattblau

Share this post


Link to post
Share on other sites

Als Nutzer eines 32bit Systems würd ich derzeit bei 4.5 bleiben. Es gab zwar während der Public Beta keinerlei ernsthafte Bugs, aber die neue Version bietet für 32bit User wenig Neues, wenn man auf den neuen File Guard keinen Wert legt.

Share this post


Link to post
Share on other sites
Guest Julian

Das Action Center funktioniert bei mir problemlos. Aber nunja, das Teil hat ein Eigenleben.

Tritt das Problem auch nicht auf, wenn du a² in einer sauberern Umgebung, wo noch nie ein AV oder ähnliches installiert war, installierst?

Wie gesagt: Ich kann es in einem zu 100% sauberen VM-Snapshot reproduzieren.

Nur beim ersten Boot nachdem Du von 4.5 auf 5.0 upgedated hast?

Werd ich noch mal nachstellen und es dir dann ganz genau sagen können.

Btw: Mit einer Trial von 4.5 konnte ich auch ein seltsames Verhalten beobachten: Der Schutz lief nicht, bevor nicht ein Update statt gefunden hatte (nach jedem Neustart erneut).

Werde mal versuchen, das mit einem neuen Useraccount zu reproduzieren.

Die Quarantäne funktioniert derzeit wie sie soll, wie ich auch bereits erläutert hatte. Das die Quarantäne beim Behavior Blocker funktioniert liegt daran, daß der Prozess der die Datei offen hält (nämlich der gemeldete Prozess selbst) beendet wird. Das ist beim on-access Scan aber nicht zwangsläufig möglich.

Online Armor ++ löscht problemlos per On Execution-Scan erkannte Malware. Von daher finde ich das bei eurem Programm, was ja die selbe Engine verwendet, etwas seltsam...

Eine ganze Reihe an Verhaltenserkennungen wurden mit dem letzten Update aktiviert (Invisible Installation, HOSTS access, Direct Sector Access etc.). Derzeit offen sind noch die Registry Überwachungen die im laufe nächster Woche aktiviert werden.

Dann hoffentlich auch die Taskmanager-Geschichte? :)

Wenn ich dann immer noch keine Meldungen bezüglich heimlichem Inettelefonieren zu Gesicht kriege, schlag ich hier noch mal Alarm.

Share this post


Link to post
Share on other sites

Tritt das Problem auch nicht auf, wenn du a² in einer sauberern Umgebung, wo noch nie ein AV oder ähnliches installiert war, installierst?

Wie gesagt: Ich kann es in einem zu 100% sauberen VM-Snapshot reproduzieren.

Habs auch reproduziert bekommen auf einer VM. Bugreport ist bereits raus an den entsprechenden Entwickler.

Online Armor ++ löscht problemlos per On Execution-Scan erkannte Malware. Von daher finde ich das bei eurem Programm, was ja die selbe Engine verwendet, etwas seltsam...

Das hat weniger mit der Engine zu tun als mit der Art wie der on-execution Scan implementiert ist. Ich hab keine technischen Details wie es bei OA läuft, aber ich nehme an sie werden die CreateProcess APIs hooken. Wir dagegen kommen ohne Hooks aus und benutzen statt dessen einen File System Filter der überwacht wenn Dateien in den Speicher gemappt werden und der Speicher als ausführbar markiert ist.

Ein kleiner Exkurs in Sachen Windows Prozesserstellung:

Wenn Du im Explorer eine ausführbare Datei doppelklickst, dann ruft der Explorer CreateProcess auf. CreateProcess öffnet die Datei dann im Kontext des Explorers (bedeutet der Explorer öffnet die Datei), mapped sie in den Speicher, bereitet diverse interne Strukuren vor und geht dann zum Kernel und sagt: "Guck mal hier. Ich möchte diese Anwendung starten. Ich hab alles schon mal vorbereitet für Dich. Musst dem Ganzen jetzt nur noch Leben einhauchen."

Wenn Du jetzt CreateProcess hookst, dann kannst Du die Datei scannen noch bevor sie geöffnet wird. Machst Du es so wie wir und fängst das "in den Speicher mappen" ab, dann hat der Explorer die Datei bereits geöffnet, was verhindert das wir sie Löschen können. Bedeutet wir müssen warten bis der Explorer (oder halt der Prozess der den neuen Prozess starten wollte) die Datei wieder freigibt. Man könnte über hässliche Hacks nachdenken und dem Prozess die Datei unterm Hintern wegklauen, was aber für Crashes sorgen kann. Daher unsere Entscheidung weitere Zugriffe zu blocken und zu warten bis die Datei von sich aus wieder frei wird.

Ich werd mich aber nochmal mit den Service Entwicklern zusammen setzen ob wir zumindest die Wartezeit bis die Datei gelöscht wird verkürzen können, so das es nicht bis zum Ausloggen dauert.

Dann hoffentlich auch die Taskmanager-Geschichte? :)

Wenn ich dann immer noch keine Meldungen bezüglich heimlichem Inettelefonieren zu Gesicht kriege, schlag ich hier noch mal Alarm.

Jo. Nicht nur die TaskManager Geschichte. Wir melden generell wenn Malware irgend eine Art von Policy ändern mag (z.B. Registry Editor deaktivieren, Laufwerke ausblenden etc.).

Share this post


Link to post
Share on other sites

Irgendwie scheint nach einem ersten Neustart nach der Installation der Selbstschutz nicht richtig zu funktionieren, ich kann dann die a2guard.exe über den Taskmanager killen.

Konnte das Problem nachvollziehen. Der Behavior Blocker wird erst beim ersten Reboot installiert (statt direkt beim Update) und ist erst ab dem zweiten Reboot vollständig aktiv.

Share this post


Link to post
Share on other sites
Guest Julian

Das hat weniger mit der Engine zu tun als mit der Art wie der on-execution Scan implementiert ist. Ich hab keine technischen Details wie es bei OA läuft, aber ich nehme an sie werden die CreateProcess APIs hooken. Wir dagegen kommen ohne Hooks aus und benutzen statt dessen einen File System Filter der überwacht wenn Dateien in den Speicher gemappt werden und der Speicher als ausführbar markiert ist.

...

Erst einmal danke für dein ausführliches Feedback.

Allerdings ist es ja so, dass Version 4.5 keine Probleme beim Verschieben in die Quarantäne hat. Habs gerade noch mal in einer VM getestet.

Noch mal zur Sache mit der BB-Erkennung von heimlichen Downloads:

Mit der 5er Beta seh ich solche Pop ups nicht. Sollten aber doch eigentlich da sein?

Mit Version 4.5 siehts so aus:

8bfe9a62b0c31a0886e42233b3e2d013.png

Mit 5.0 Beta gibts weder auf XP 32 (VM) noch Seven x64 (Host) so ein Pop Up zu sehen, obwohl das Sample Malware nachlädt.

Ich schick dir das Sample mal per PM.

Eine kleine Unschönheit:

2d351df6a8dc5ea0423856ef1529bcdb.png

Das "g" bei diesem Pop Up ist etwas abgeschnitten.

Share this post


Link to post
Share on other sites

Allerdings ist es ja so, dass Version 4.5 keine Probleme beim Verschieben in die Quarantäne hat. Habs gerade noch mal in einer VM getestet.

Version 4.5 benutzt eine andere Implementierung des on-execution Scan als Version 5.0.

Mit 5.0 Beta gibts weder auf XP 32 (VM) noch Seven x64 (Host) so ein Pop Up zu sehen, obwohl das Sample Malware nachlädt.

Ich schick dir das Sample mal per PM.

Dankeschön.

Das "g" bei diesem Pop Up ist etwas abgeschnitten.

Wird ans GUI Team weitergereicht.

Share this post


Link to post
Share on other sites
Guest Julian

Ich hätt noch einen Vorschlag für den AV-Wächter:

IMO würde es Sinn machen, auch im On Execution-Modus PDFs On Access zu scannen. Immerhin sind PDF-Exploits ja extrem verbreitet und gehen dem Wächter durch die Lappen, weil sie durch einen Interpretor ausgeführt werden. Sollte die Leistung auch nicht groß beeinträchtigen. Im Zweifel kann man ja eine Option zum Abschalten dieses Scans einbauen.

Share this post


Link to post
Share on other sites
Guest Julian

Mit 5.0 Beta gibts weder auf XP 32 (VM) noch Seven x64 (Host) so ein Pop Up zu sehen, obwohl das Sample Malware nachlädt.

Das Verhalten wird jetzt korrekt vom IDS erkannt. Allerdings bringt es zwei Mal das gleiche Pop Up, wenn man "Blockieren" ohne Regelerstellung auswählt, obwohl der Prozess nach dem Beantworten des ersten Pop Ups bereits gekillt wurde.

Share this post


Link to post
Share on other sites

Das Verhalten wird jetzt korrekt vom IDS erkannt. Allerdings bringt es zwei Mal das gleiche Pop Up, wenn man "Blockieren" ohne Regelerstellung auswählt, obwohl der Prozess nach dem Beantworten des ersten Pop Ups bereits gekillt wurde.

Ist eine Eigenheit des Samples, das in mehreren Threads Malware parallel herunterlädt. Ich werd mal mit dem GUI Team sprechen, ob man das evtl. filtern könnte.

Share this post


Link to post
Share on other sites
Guest Julian

Danke. :)

Nicht, dass ich quengeln möchte, aber zwei Sachen hast du noch nicht kommentiert:

1.) Warum die Community basierte Alarmreduktion z.B. auf Seven x64 standardmäßig deaktiviert ist, auf XP x32 aber nicht.

2.) Die Sache mit PDFs.

Share this post


Link to post
Share on other sites

Nicht, dass ich quengeln möchte, aber zwei Sachen hast du noch nicht kommentiert:

Die hab ich um ehrlich zu sein überlesen. Danke fürs erinnern!

1.) Warum die Community basierte Alarmreduktion z.B. auf Seven x64 standardmäßig deaktiviert ist, auf XP x32 aber nicht.

Das ist wahrscheinlich ein Fehler im Wizard, der sich mit dem 5.0 Release erledigen wird. Wenn Du 4.5 installierst und auf 5.0 updatest, wird noch der 4.5 Wizard ausgeführt, der allerdings Dinge wie Fehlalarmreduktion gar nicht abfragt (weil sie auf 64bit Systemen bei 4.5 keine Relevanz haben). Entsprechend werden die Settings dort nicht gesetzt.

Der 5.0 Wizard dagegen stellt die entsprechenden Fragen auch auf 64bit Systemen, weshalb der Wert dort korrekt gesetzt werden wird.

2.) Die Sache mit PDFs.

Prinzipiell möglich, aber unwahrscheinlich, daß es im 5.0 Release noch integriert wird.

Share this post


Link to post
Share on other sites

hallo fabian,

ab heute ist die neue version 10 (premium security suite) von avira-produkten verfügbar.

folgende datei hat einen fehlarlarm (beta 5.0.0.35), siehe auswertung virustotal:

(quelle: virustotal.de)

Datei UPDATE.EXE empfangen 2010.03.23 19:23:11 (UTC)

Status: Beendet

Ergebnis: 1/42 (2.39%)

Filter

Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.03.23 -

AhnLab-V3 5.0.0.2 2010.03.23 -

AntiVir 8.2.1.196 2010.03.23 -

Antiy-AVL 2.0.3.7 2010.03.23 -

Authentium 5.2.0.5 2010.03.23 -

Avast 4.8.1351.0 2010.03.23 -

Avast5 5.0.332.0 2010.03.23 -

AVG 9.0.0.787 2010.03.23 -

BitDefender 7.2 2010.03.23 -

CAT-QuickHeal 10.00 2010.03.23 -

ClamAV 0.96.0.0-git 2010.03.23 -

Comodo 4358 2010.03.23 -

DrWeb 5.0.1.12222 2010.03.23 -

eSafe 7.0.17.0 2010.03.23 -

eTrust-Vet 35.2.7383 2010.03.23 -

F-Prot 4.5.1.85 2010.03.23 -

F-Secure 9.0.15370.0 2010.03.23 -

Fortinet 4.0.14.0 2010.03.22 -

GData 19 2010.03.23 -

Ikarus T3.1.1.80.0 2010.03.23 -

Jiangmin 13.0.900 2010.03.23 -

K7AntiVirus 7.10.1004 2010.03.22 -

Kaspersky 7.0.0.125 2010.03.23 -

McAfee 5929 2010.03.23 -

McAfee+Artemis 5929 2010.03.23 -

McAfee-GW-Edition 6.8.5 2010.03.23 -

Microsoft 1.5605 2010.03.23 -

NOD32 4969 2010.03.23 -

Norman 6.04.10 2010.03.23 -

nProtect 2009.1.8.0 2010.03.23 -

Panda 10.0.2.2 2010.03.23 -

PCTools 7.0.3.5 2010.03.23 -

Prevx 3.0 2010.03.23 -

Rising 22.40.01.04 2010.03.23 -

Sophos 4.51.0 2010.03.23 -

Sunbelt 6031 2010.03.22 -

Symantec 20091.2.0.41 2010.03.23 Suspicious.Insight

TheHacker 6.5.2.0.242 2010.03.23 -

TrendMicro 9.120.0.1004 2010.03.23 -

VBA32 3.12.12.2 2010.03.23 -

ViRobot 2010.3.23.2240 2010.03.23 -

VirusBuster 5.0.27.0 2010.03.23 -

weitere Informationen

File size: 512769 bytes

MD5...: 009c3d3bccdc89063ca7ec4070f60a84

SHA1..: cdc5e3be66d1022660a8c1ac7ee0fd530df5cc07

SHA256: 35ed2666ff53f0572b2696c1dda9e46f30af3efbb6f4dc87b4aeb10b85cfc4d6

ssdeep: 12288:gF55eL6U8civ4tAFMohjihguAHMjT+pbETshDSQ:gF60v4Ohj3lGebET+D

SQ

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x376ee

timedatestamp.....: 0x4ba22bcf (Thu Mar 18 13:34:07 2010)

machinetype.......: 0x14c (I386)

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5f751 0x5f800 6.55 3c0d52ae5c877216e8bba993a1cac4ee

.rdata 0x61000 0x1a322 0x1a400 4.84 9a2dac55bfec96870d491aa2e6f4e3c4

.data 0x7c000 0x3e20 0x2a00 6.03 097a6fee93b3c61f063c417980c36190

.rsrc 0x80000 0x6ac 0x800 4.69 0a3ba114c4253158b5f9023bf480a584

( 10 imports )

> MSVCR90.dll: _configthreadlocale, __RTDynamicCast, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, [email protected][email protected]@QAEXXZ, _crt_debugger_hook, _invoke_watson, _controlfp_s, _initterm_e, wcscat_s, _getdrive, _chdrive, toupper, _beginthreadex, qsort, _strnicmp, atoi, strncpy_s, strcat_s, __iob_func, fwprintf, iswalnum, wcsncmp, iswdigit, wcscpy_s, strtok_s, wcstombs, _swprintf, _wcsupr, _vsnwprintf_s, _wsopen, strtoul, realloc, srand, rand, clock, swprintf_s, _wmakepath, _wcsdup, fopen, ftell, ferror, wcscat, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, _amsg_exit, _decode_pointer, _onexit, _lock, _encode_pointer, __dllonexit, _unlock, _except_handler4_common, [email protected]@YAXXZ, wcsftime, _snwprintf, _wctime64_s, mbstowcs, strncpy, _wcsupr_s, _wfopen_s, fwrite, _wcsnicmp, fgets, _recalloc, calloc, strnlen, _errno, sscanf, strcmp, wcscpy, [email protected]@[email protected], _lseek, _read, swscanf, strchr, strlen, memcpy, fseek, sprintf, strstr, mbstowcs_s, _wfsopen, fread, malloc, free, wcsncat_s, _wsplitpath_s, _ltow_s, _wfopen, feof, fgetws, fclose, wcsrchr, _time64, wcsncpy, swscanf_s, wcsncpy_s, [email protected]@Z, [email protected]@Z, wcschr, _wcslwr_s, _wsplitpath, wcsncat, [email protected]@[email protected], _filelength, _close, wcscspn, wcsspn, _itow_s, _wtoi, _waccess, [email protected]@@[email protected]@@Z, [email protected]@Z, wcsnlen, _invalid_parameter_noinfo, [email protected]@@[email protected], [email protected]@@[email protected], [email protected]@[email protected]@UBEPBDXZ, [email protected]@@[email protected]@Z, wcslen, vswprintf_s, _vscwprintf, wcsstr, _wcsicmp, wcscmp, iswspace, memmove_s, _CxxThrowException, memcpy_s, memset, _snwprintf_s, __CxxFrameHandler3, _purecall, [email protected]@Z

> SCEWXMLW.dll: -, -, -, -, -

> VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW

> WS2_32.dll: -, -, -, -, -

> KERNEL32.dll: GetVersionExW, GetFileSize, GetFullPathNameW, GetPrivateProfileIntW, TerminateThread, TryEnterCriticalSection, GetFileTime, MoveFileW, UnlockFile, LockFile, SetFilePointer, DuplicateHandle, SetLastError, WriteFile, ReadFile, RemoveDirectoryW, WideCharToMultiByte, CreateDirectoryW, GetFileAttributesExW, LocalFileTimeToFileTime, GetTimeFormatW, GetDateFormatW, CompareFileTime, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, RaiseException, CreateMutexW, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, CreateThread, GetLocaleInfoW, CreateProcessW, GlobalAlloc, GlobalFree, VerifyVersionInfoW, VerSetConditionMask, DeviceIoControl, SetErrorMode, GetExitCodeThread, GetSystemTime, WritePrivateProfileStringW, PulseEvent, LoadLibraryExW, SetFileAttributesW, GetFileAttributesW, lstrlenW, lstrcmpiW, SetFileTime, DosDateTimeToFileTime, LoadLibraryA, ExpandEnvironmentStringsA, InterlockedDecrement, CloseHandle, WaitForSingleObject, Sleep, CreateEventW, GetCurrentProcessId, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, GetCurrentProcess, GetDiskFreeSpaceExW, GetLastError, CopyFileW, FreeLibrary, GetProcAddress, LoadLibraryW, LocalFree, FormatMessageW, GetModuleFileNameW, OpenEventW, DeleteFileW, FindClose, FindNextFileW, FindFirstFileW, SystemTimeToFileTime, GetLocalTime, FileTimeToSystemTime, OutputDebugStringW, MoveFileExW, GetTempPathW, GetSystemWindowsDirectoryW, GetModuleHandleW, SetProcessShutdownParameters, GetCommandLineW, SetEvent, MultiByteToWideChar, lstrlenA, CreateFileW, TerminateProcess, GetExitCodeProcess, OpenProcess, GetComputerNameW, GetPrivateProfileStringW, GetSystemDirectoryW, GetWindowsDirectoryW, InterlockedExchange, InterlockedCompareExchange, GetStartupInfoW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetSystemTimeAsFileTime, InterlockedExchangeAdd, ReleaseMutex

> ADVAPI32.dll: AddAce, InitializeAcl, IsValidSid, GetLengthSid, CopySid, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, GetAclInformation, GetAce, GetSecurityInfo, SetSecurityInfo, RegCloseKey, RegOpenKeyExW, RegQueryValueExW, AdjustTokenPrivileges, LookupPrivilegeValueW, DeregisterEventSource, CreateProcessAsUserW, SetEntriesInAclW, BuildExplicitAccessWithNameW, GetSecurityDescriptorDacl, LookupAccountSidW, DuplicateTokenEx, RegQueryValueExA, RegOpenKeyExA, RegisterEventSourceW, GetTokenInformation, OpenProcessToken, GetUserNameW, ControlService, QueryServiceStatus, CloseServiceHandle, OpenServiceW, OpenSCManagerW, StartServiceW, QueryServiceConfigW, ImpersonateLoggedOnUser, RevertToSelf, SetThreadToken, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, ReportEventW

> SHELL32.dll: ShellExecuteW, SHGetSpecialFolderPathW, CommandLineToArgvW

> SHLWAPI.dll: PathGetDriveNumberW

> MSVCP90.dll: [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected]@@Z, [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected], [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected]@@Z, [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected][email protected], [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected][email protected], [email protected][email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@QBEPB_WXZ, [email protected][email protected][email protected]@@[email protected][email protected]@@[email protected]@[email protected]@@Z, [email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected][email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected][email protected][email protected]@@@[email protected]@QAEXXZ, [email protected]@@[email protected][email protected][email protected]@@@[email protected]@@Z, [email protected][email protected][email protected]@@@[email protected]@[email protected]@[email protected]@[email protected], [email protected][email protected][email protected][email protected]@@@[email protected]@QAEXXZ, [email protected][email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected][email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected][email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected]@@YA_NXZ, [email protected][email protected][email protected][email protected]@@@[email protected]@QAEXXZ, [email protected][email protected][email protected][email protected]@@@[email protected]@[email protected], [email protected][email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@@Z, [email protected][email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected], [email protected][email protected]@[email protected]@[email protected]@[email protected]@[email protected]@[email protected]@Z, [email protected][email protected]@@QAEXXZ, [email protected][email protected]@@QAEXXZ

> USER32.dll: GetSystemMetrics, ExitWindowsEx, GetForegroundWindow, LoadStringW

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (42.3%)

Win32 Dynamic Link Library (generic) (37.6%)

Generic Win/DOS Executable (9.9%)

DOS Executable Generic (9.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: Avira GmbH

copyright....: Copyright © 2000 - 2010 Avira GmbH. All rights reserved.

product......: AntiVir Desktop

description..: product updater

original name: update.exe

internal name: updater

file version.: 10.00.00.27

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

liebe grüße...

rohbau

Share this post


Link to post
Share on other sites

hallo fabian,

ab heute ist die neue vervion 10 (premium security suite) von avira-produkten verfügbar.

folgende datei hat einen fehlarlarm (beta 5.0.0.35), siehe auswertung virustotal:

(quelle: virustotal.de

Datei UPDATE.EXE empfangen 2010.03.23 19:23:11 (UTC)

Status: Beendet

Ergebnis: 1/42 (2.39%)

Filter

Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis

a-squared 4.5.0.50 2010.03.23 -

Wo siehst Du da einen Fehlalarm?

Share this post


Link to post
Share on other sites

diese meldung kommt bei jedem avira-update, vom der beta...

wächter: anwendungsregel

C:\TOOLS\PSS\Avira\AntiVir Desktop\update.exe

Datei Eigenschaften:

Dateiname: update.exe

Dateipfad: C:\TOOLS\PSS\Avira\AntiVir Desktop\

Beschreibung: product updater

Firma: Avira GmbH

Version: 10.00.00.27

Copyright: Copyright © 2000 - 2010 Avira GmbH. All rights reserved.

Geladene Module:

C:\TOOLS\PSS\Avira\AntiVir Desktop\update.exe

C:\Windows\SysWOW64\ntdll.dll

C:\Windows\SysWOW64\kernel32.dll

C:\Windows\SysWOW64\KERNELBASE.dll

C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.4926_none_508ed732bcbc0e5a\msvcr90.dll

C:\TOOLS\PSS\Avira\AntiVir Desktop\scewxmlw.dll

C:\Windows\System32\version.dll

C:\Windows\SysWOW64\msvcrt.dll

C:\Windows\SysWOW64\ws2_32.dll

C:\Windows\SysWOW64\rpcrt4.dll

C:\Windows\SysWOW64\sspicli.dll

C:\Windows\SysWOW64\CRYPTBASE.dll

C:\Windows\SysWOW64\sechost.dll

C:\Windows\SysWOW64\nsi.dll

C:\Windows\SysWOW64\advapi32.dll

C:\Windows\SysWOW64\shell32.dll

C:\Windows\SysWOW64\shlwapi.dll

C:\Windows\SysWOW64\gdi32.dll

C:\Windows\SysWOW64\user32.dll

C:\Windows\SysWOW64\lpk.dll

C:\Windows\SysWOW64\usp10.dll

C:\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.4926_none_508ed732bcbc0e5a\msvcp90.dll

C:\Windows\System32\imm32.dll

C:\Windows\SysWOW64\msctf.dll

C:\TOOLS\AM\a2hooks32.dll

C:\Windows\SysWOW64\ole32.dll

C:\Windows\System32\profapi.dll

C:\Windows\System32\wtsapi32.dll

C:\Windows\System32\winsta.dll

C:\Windows\System32\IPHLPAPI.DLL

C:\Windows\System32\winnsi.dll

C:\Windows\System32\dhcpcsvc6.DLL

C:\Windows\System32\dhcpcsvc.dll

C:\Windows\System32\mswsock.dll

C:\Windows\System32\dnsapi.dll

C:\Windows\System32\rasadhlp.dll

C:\Windows\System32\vdmdbg.dll

Share this post


Link to post
Share on other sites

diese meldung kommt bei jedem avira-update, vom der beta...

Auch dort ist keine Erkennung vermerkt. Das ist nur die Detailansicht. Was steht auf der Warnmeldung? Mach am Besten ein Screenshot von.

Share this post


Link to post
Share on other sites

Auch dort ist keine Erkennung vermerkt. Das ist nur die Detailansicht. Was steht auf der Warnmeldung? Mach am Besten ein Screenshot von.

bei der avira version 9, war sie nicht da!

die meldung kommt erst ab der version 10.

Screenshot, kommt gleich...

Share this post


Link to post
Share on other sites

Ich denke nicht, daß das nötig ist. Letztlich ist es nicht wirklich ein Fehlalarm und ich bezweifle das Avira daran etwas ändern wird. Avira wird einen Grund haben, wieso sie andere Prozesse manipulieren wollen.

Share this post


Link to post
Share on other sites

Die Meldung von Symantec sagt nichts über die Schadhaftigkeit der Datei aus, sondern nur etwas über die Reputation. Norton Insight kennt die Datei nicht (= nur wenige Leute die Norton Produkte verwenden, haben diese Datei), was aber auch normal ist, da die wenigsten 2 AntiViren Produkte einsetzen.

Ich wiederhole nochmals: Entspann Dich. Die Datei ist völlig harmlos. Erlaub sie in Anti-Malware und erfreue Dich an der neuen AntiVir 10 Version :).

Share this post


Link to post
Share on other sites

Ich hab Neuigkeiten zur WSC bzw. Action Center Integration. Wir haben vor kurzem das Zertifikat gewechselt, weil das alte abläuft. Das veränderte Zertifikat sorgt nun dafür, daß das WSC bzw. Action Center die Dateien nicht länger erkennt. Einen Fix dafür gibts mit einem der nächsten Updates.

Share this post


Link to post
Share on other sites

Derzeit gibts kein 5.0 Komplettsetup.

hy, gibt es nun eins?

desweiteren, warum werden dll gescannt?

in v4.5 soll das noch nicht so gewesen sein, erst in v5.

es verlangsamt UNGEMEIN und ist so nicht brauchbar für mich.

anar und solution gaben den tip die dll auszugrenzen, was auch half.

Share this post


Link to post
Share on other sites

hy, gibt es nun eins?

Nein, derzeit gibt es kein öffentliches 5.0 Setup.

desweiteren, warum werden dll gescannt?

in v4.5 soll das noch nicht so gewesen sein, erst in v5.

es verlangsamt UNGEMEIN und ist so nicht brauchbar für mich.

anar und solution gaben den tip die dll auszugrenzen, was auch half.

Du spielst auf den on-execution Scan an? Nun, die Antwort ist recht simpel: Wir können es mittlerweile, was bei 4.5 noch nicht der Fall war. Da eine Reihe von Malware mit DLL Komponenten daher kommt, ist es auch nicht so abwegig DLLs beim Laden zu scannen. Es ist zwar so, daß eine Malware DLL für sich harmlos ist, da man immer noch eine ausführbare Anwendung benötigt um sie im System zu installieren bzw. zu laden, aber für den Fall, daß der Dropper von uns noch nicht erkannt wird, bietet die Lösung einen Ticken zusätzlichen Schutz.

Zu den Performance Problemen: Diese sollten sich nach den ersten 1 - 2 Starts von Anwendungen erledigt haben. Wir merken uns intern welche der Dateien bereits einmal gescannt wurde und scannen diese Dateien kein weiteres Mal ausser es gab ein Signaturupdate oder die Datei hat sich geändert. Das bedeutet nachdem Du 1 - 2 Anwendungen gestartet hast, hast Du nahezu alle System DLLs bereits einmal gescannt und es sollte zu keinen größeren Verzögerungen mehr kommen.

Wir arbeiten aber bereits an einer Verfeinerung des Scans, so daß wir System DLLs gar nicht mehr scannen. Dadurch scannt der on-execution Scan ausschließlich DLLs, die nicht zum System gehören. Diese Optimierung wird es wahrscheinlich aber nicht mehr in 5.0 schaffen sondern wird erst später via Update hinzugefügt.

Share this post


Link to post
Share on other sites

kein weiteres Mal ausser es gab ein Signaturupdate

danke für die kompetente antwort!

aber updates gibt es mehrere am tag von den sigs... somit wird doch wieder alles immer wieder gescannt?

und zur performance... ich dachte auch dass es besser wird, ist aber nicht so.

outlook2007 z.b. braucht satte 10sek beim erststart.

bislang bzw. mit ausgegrenzten dll-scan dauert es 1-2sek., da ich eine ssd habe.

Share this post


Link to post
Share on other sites

aber updates gibt es mehrere am tag von den sigs... somit wird doch wieder alles immer wieder gescannt?

Signaturupdates gibt es seitens IKARUS 4 - 5 pro Tag. Von uns meist nur einmal täglich. Das bedeutet alle 5 - 6 Stunden ein Update. Bedeutet alle 5 - 6 Stunden werden DLLs doppelt gescannt, ja. Wirklich aufgefallen ist mir das bislang aber noch nie.

und zur performance... ich dachte auch dass es besser wird, ist aber nicht so.

outlook2007 z.b. braucht satte 10sek beim erststart.

bislang bzw. mit ausgegrenzten dll-scan dauert es 1-2sek., da ich eine ssd habe.

Wie lang braucht denn der zweite Start von Outlook?

Share this post


Link to post
Share on other sites

Wie lang braucht denn der zweite Start von Outlook?

so wie es mit deaktivierter bzw. ausgegrenzten dll-scan ist.... 1sek.

ebenso schlecht ist der start von firefox aus einem link im outlook eines emails heraus.

7-8sek... dauert sonst 2sek!

für mich ist das leider untragbar.

vor allem weil ja nach signaturupdate sowieso das "spiel" von vorne losgeht, mal davon abgesehen dass es irgendwie nicht bringt mit dem "merken" der schon gescannten dll wie es scheint.

gruss

Share this post


Link to post
Share on other sites

Nein, derzeit gibt es kein öffentliches 5.0 Setup.

Du spielst auf den on-execution Scan an? Nun, die Antwort ist recht simpel: Wir können es mittlerweile, was bei 4.5 noch nicht der Fall war. Da eine Reihe von Malware mit DLL Komponenten daher kommt, ist es auch nicht so abwegig DLLs beim Laden zu scannen. Es ist zwar so, daß eine Malware DLL für sich harmlos ist, da man immer noch eine ausführbare Anwendung benötigt um sie im System zu installieren bzw. zu laden, aber für den Fall, daß der Dropper von uns noch nicht erkannt wird, bietet die Lösung einen Ticken zusätzlichen Schutz.

Zu den Performance Problemen: Diese sollten sich nach den ersten 1 - 2 Starts von Anwendungen erledigt haben. Wir merken uns intern welche der Dateien bereits einmal gescannt wurde und scannen diese Dateien kein weiteres Mal ausser es gab ein Signaturupdate oder die Datei hat sich geändert. Das bedeutet nachdem Du 1 - 2 Anwendungen gestartet hast, hast Du nahezu alle System DLLs bereits einmal gescannt und es sollte zu keinen größeren Verzögerungen mehr kommen.

Wir arbeiten aber bereits an einer Verfeinerung des Scans, so daß wir System DLLs gar nicht mehr scannen. Dadurch scannt der on-execution Scan ausschließlich DLLs, die nicht zum System gehören. Diese Optimierung wird es wahrscheinlich aber nicht mehr in 5.0 schaffen sondern wird erst später via Update hinzugefügt.

Hi Fabian! :)

Das hört sich interesssant an.

Gibt es so eine Funktion auch für andere Dateien wenn ich "on-access" fahre? Das wäre prima!

viele Grüße

Share this post


Link to post
Share on other sites

Gibt es so eine Funktion auch für andere Dateien wenn ich "on-access" fahre? Das wäre prima!

Generell wird jede Datei nur einmal gescannt durch den on-access Scan pro Session/Signaturupdate. Ob DLL oder jede beliebige andere Datei ist völlig egal.

Share this post


Link to post
Share on other sites

Generell wird jede Datei nur einmal gescannt durch den on-access Scan pro Session/Signaturupdate. Ob DLL oder jede beliebige andere Datei ist völlig egal.

Ja super!

Das verbessert meinen Willen zu wechseln doch nochmal erheblich! :)

Läuft a^2 als native 64-bit Anwendung?

Share this post


Link to post
Share on other sites

Schade. Warum?

Das würde eine komplette Neuentwicklung bedeuten, da ein Großteil in Delphi geschrieben ist und für Delphi kein 64bit Compiler existiert. Darüber hinaus existiert keine 64bit Version der IKARUS Engine, was notwendig wäre für eine vollständige Protierung.

Davon abgesehen bietet eine Portierung nahezu keinerlei nennenswerte Vorteile.

Share this post


Link to post
Share on other sites

Das würde eine komplette Neuentwicklung bedeuten, da ein Großteil in Delphi geschrieben ist und für Delphi kein 64bit Compiler existiert. Darüber hinaus existiert keine 64bit Version der IKARUS Engine, was notwendig wäre für eine vollständige Protierung.

Davon abgesehen bietet eine Portierung nahezu keinerlei nennenswerte Vorteile.

Wird es denn Mamutu als 64-bit Version geben? :D

Wann geht die Beta dafür eigentlich los?

Share this post


Link to post
Share on other sites

Das Problem konnte in unseren Tests bislang noch nicht reproduziert werden. Es scheint sporadisch auf einigen wenigen Systemen aufzutreten.

Nur zur Ergänzung, war mir vorher gar nicht bewusst: Der Haken bei "Programm Neustart Aufforderung" ist nicht aktiviert, trotzdem bekomme ich die Meldung bei jedem Signaturen Update.

Share this post


Link to post
Share on other sites

Hoffentlich lässt man sich mit der Final Veröffentlichung noch Zeit. Immerhin sollen noch zahlreiche Fehler in der Beta enthalten sein. So hieß es am 18. März, dass der Fehler für die Systemfreezes gefunden sei, jedoch kam erst gestern wieder ein weiteres Update, das Freezes beheben soll. Schon vor zwei Jahren traten bei mir erste Freezes auf, welche dann wieder behoben wurden und dann später wieder sporadisch auftraten. Meiner Meinung nach sind diese Freezes das Hauptproblem, des ansonst ausgezeichneten Anti Malware Programms a-squared.

  • Upvote 1
  • Downvote 1

Share this post


Link to post
Share on other sites

Immerhin sollen noch zahlreiche Fehler in der Beta enthalten sein.

Aha? Da weißt Du mehr als ich ;). Es gibt durchaus noch Fehler. Davon ist aber nur einer ein wirklicher Blocker. Und der Fehler betrifft derzeit unseres Wissens nach nur eine einzige Person.

So hieß es am 18. März, dass der Fehler für die Systemfreezes gefunden sei, jedoch kam erst gestern wieder ein weiteres Update, das Freezes beheben soll.

Zuerst einmal hat das Update am 18. März nur die Freezes behoben, die wir intern reproduzieren konnten. Das wurde von mir hier im Thread auch explizit erwähnt. Das Update gestern enthält einen Workaround für eben die eine Person, die noch immer Freezes hat bzw. hatte (denn der Workaround hat funktioniert).

Schon vor zwei Jahren traten bei mir erste Freezes auf, welche dann wieder behoben wurden und dann später wieder sporadisch auftraten.

Die allerdings gar nichts mit den Freezes von 5.0 zu tun haben.

Share this post


Link to post
Share on other sites

Aha? Da weißt Du mehr als ich ;). Es gibt durchaus noch Fehler. Davon ist aber nur einer ein wirklicher Blocker. Und der Fehler betrifft derzeit unseres Wissens nach nur eine einzige Person.

Meiner Meinung nach sind Freezes schon wirkliche Blocker.

Zuerst einmal hat das Update am 18. März nur die Freezes behoben, die wir intern reproduzieren konnten. Das wurde von mir hier im Thread auch explizit erwähnt. Das Update gestern enthält einen Workaround für eben die eine Person, die noch immer Freezes hat bzw. hatte (denn der Workaround hat funktioniert).

Nun hat eine weitere Person laut dem Rokop-Security Forum noch Probleme mit Freezes. Pikantes Detail am Rande: die Freezes treten seit dem gestrigen Update wieder auf.

Siehe: http://www.rokop-security.de/index.php?showtopic=19804&view=findpost&p=305165

Die allerdings gar nichts mit den Freezes von 5.0 zu tun haben.

Stimmt, aber dem Durchschnittsuser ist es egal, ob ein Freeze durch eine injizierte Dll oder durch einen Treiber erzeugt wurde, für den Durchschnittsuser ist es einfach ein Freeze.

  • Downvote 2

Share this post


Link to post
Share on other sites

Hallo Fabian!

Ich bekomme eine Warnmeldung "Popup", die Community wird abgefragt ob das Verhalten OK ist. Meist ist die Anwendung unbekannt und die Einstellung bleibt auf blockieren "Default". Es gibt keine Bewertung des Vorgangs. Wenn ich allerdings dann auf erlauben gehe um ne Regel zu erstellen, switcht der wieder zurück auf blockieren. Bei der zweiten Auswahl erlauben, bleibt "er" dann da. Ich hoffe du weißt was ich meine, den es nervt. Gerade eben wollte ich´n Backup meines frischen W7 Systems mittels Rescue'n'Recovery von Lenovo machen. Die Verhaltensanalyse kannte die Vorgänge/Software noch nicht, weil keine Regeln da waren, ist klar und auch gut so. NUR, jetzt hatte ich wieder den Fall, dass ich das Verhalten erlauben wollte, also klicke ich erlauben und bestätige. In dem Moment springt die Auswahl wieder zurück auf blockieren :wacko:

Die weiteren Schritte kannst du dir denken. Ab ins a² Center, die Regel von Hand umstellen und RnR neu starten. Leider passiert mir das des öfteren mit der Verhaltensanalyse.

Kannst du mir bitte erklären warum das so krampfig ist, ist es gewollt?

DANKE!

Audrey

Share this post


Link to post
Share on other sites

Meiner Meinung nach sind Freezes schon wirkliche Blocker.

Hab ich gesagt, daß es sich bei dem Fehler nicht um einen Freeze handelt? ;)

Nun hat eine weitere Person laut dem Rokop-Security Forum noch Probleme mit Freezes. Pikantes Detail am Rande: die Freezes treten seit dem gestrigen Update wieder auf.

Ob der "Freeze" (wenns denn einer ist) durch das Update ausgelöst ist oder nicht ist unklar. Der User hat sich bei mir jedenfalls noch nicht gemeldet und in firmenexternen Foren darf ich nicht posten. Entsprechend kann ich den "Freeze" zur Kenntnis nehmen, aber wirklich etwas dagegen unternehmen kann ich ohne weitere Informationen nicht.

Stimmt, aber dem Durchschnittsuser ist es egal, ob ein Freeze durch eine injizierte Dll oder durch einen Treiber erzeugt wurde, für den Durchschnittsuser ist es einfach ein Freeze.

Ich würde Dich bitten keine Vermutungen mehr über die Arbeitsweise von Anti-Malware anzustellen, da Du letztlich nicht Wissen kannst wodurch die Freezes ausgelöst wurden. Denn der neu hinzugekommene Treiber für den on-access Scan funktioniert absolut fehlerfrei und alle Personen die Freezes gemeldet haben als auch alle internen Tests bestätigen, daß die Freezes nicht auftreten wenn nur der File Guard aktiv ist.

Share this post


Link to post
Share on other sites

Kannst du mir bitte erklären warum das so krampfig ist, ist es gewollt?

Interessant. Kann es hier bei mir auch nachstellen. Da ich mit der GUI nichts am Hut hab, kann ich Dir nicht direkt sagen wo das Problem ist. Ich werds aber weiterleiten an die GUI Entwickler.

Share this post


Link to post
Share on other sites

Interessant. Kann es hier bei mir auch nachstellen. Da ich mit der GUI nichts am Hut hab, kann ich Dir nicht direkt sagen wo das Problem ist. Ich werds aber weiterleiten an die GUI Entwickler.

Beim kontaktieren des Anti-Malware Netzwerks kann man eine Eintscheidung auswählen, sobald aber die Response ankommt wird die Auswahl wieder auf Standard gesetzt.

Kann man sehr gut sehen wenn man eine langsame VM hat ;)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.