Werderforever

Zu späte Reaktion bei der Installation von Cdex

Recommended Posts

Hallo, während der Installation von Cdex erhielt ich eine Mitteilung, dass die Installationsdatei gefährlich sei und deswegen in Quarantäne verschoben wurde. Die Installation selbst lief aber durch. Nun ist Cdex (runtergeladen bei chip.de) sicherlich keine echte Malware im Sinne eines Trojaners. Ich stelle mir vor, was wäre, wenn ich tatsächlich eine verseuchte Datei des Programmes "XYZ" ausgeführt hätte? Warum greift Emsisoft da so spät ein, nämlich erst dann, wenn es zu spät ist, weil die Software bereits installiert wurde? Warum stoppt Emsisoft nicht die Ausführung der Datei, bis diese analysiert wurde und gibt die Installation erst frei, wenn diese als sauber erkannt wurde? Ich habe dieses Verhalten auf 2 Rechnern gehabt, einmal mit der aktuellen V11 und einmal mit der Beta V 12. Also gibt es in der V12 offensichtlich keine Änderung dieses Verhaltens.

  • Upvote 1

Share this post


Link to post
Share on other sites

Ich glaube Du bist Dir nicht im klaren darueber, was Behaviour Blocking ist. Natuerlich kann Behaviour Blocking bzw. Verhaltensanalyse nur Verhalten feststellen, das letztlich auch stattfindet. Bedeutet: Dazu muss die Anwendung gestartet und ausgefuehrt werden. Wir schreiten dann ein, sobald etwas verdaechtiges passiert. In diesem Fall handelt es sich dabei um einen informativen Alarm (gelb). Ein Autorun Eintrag an sich ist letztlich nichts schlimmes oder sonderlich bedenkliches. Jede Menge Anwendungen registrieren sich im System, so dass sie beim Boot automatisch gestartet werden. Der Grund wieso sie in Quarantaene landet, ist letztlich Deine selbst vorgenommenen Aenderungen an der Konfiguration. Statt einen Alarm anzuzeigen (Standard) hast Du EAM/EIS gesagt, nicht nachzufragen und einfach alles direkt in Quarantaene zu verschieben. Ich wuerde Dir empfehlen die Standard Einstellung zu benutzen. In dem Fall kannst Du dann bei der Installation direkt sagen, dass das so okay ist.

Share this post


Link to post
Share on other sites

Hallo Fabian, doch, ich weiß das ein BB grundsätzlich wie von Dir beschrieben arbeitet. Es gibt aber auch andere Denkansätze. Beim DeepGuard von F-Secure wird eine unbekannte Datei an der Ausführung gehindert und erst in der Cloud geprüft, siehe Whitepaper auf Seite 7 (How Deepguard works): https://www.f-secure.com/documents/996508/1030745/deepguard_whitepaper.pdf Bei solch einer Verfahrensweise würde m.E. es nicht passieren, dass die Installationsdatei (in meinem Beispielfall Cdex) erst gelöscht wird nachdem das Programm bereits installiert wurde. Bei einer echten Malware wäre es dann zu spät. Ich bevorzuge übrigens die von Dir genannte Standardeinstellung, wo ich eine Meldung erhalte. Passiert ist die Sache aber auf dem Rechner eines Familienmitgliedes, der möglichst gar keine Meldungen vom AntiMalwareprogramms sehen möchte. Aber um auf den Kern des Problems zurückzukommen: Warum hindert Emsisoft die ausführbare Datei nicht solange an der Ausführung, bis eine Antwort vom Emsisoft Antimalwware Network vorliegt, so wie es bei F-Secure gemacht wird? Damit würde verhindert werden, dass ein Programm schon installiert ist, bevor eine Antwort vom EAN vorliegt. Etwas Ähnliches schwebt dem User hier auch vor: http://support.emsisoft.com/topic/25249-behaviour-blocker-anti-malware-network/ Bitte nicht falsch verstehen: Ich will Emsisoft hier nicht ans Bein pinkeln, im Gegenteil, ich mag das Programm sehr. Aber mich treibt doch die Sorge, dass so wie der BB designt ist, hier ein höheres Sicherheitsrisiko besteht, als wenn die Datei vorübergehend an der Ausführung gehindert wird. Ich würde mich freuen, wenn Du die Gründe, warum die Verhaltenserkennung bei Emsisoft so und nicht anders arbeitet, erläutern könntest. Viele Dank! :)

Share this post


Link to post
Share on other sites

Wenn Du es okay findest, dass Dein AV Hersteller jederzeit weiss, welche Anwendungen bei Dir grade laufen und gegebenenfalls Dateien automatisiert irgendwo auf Third Party Server laedt, evtl. ohne dass Du das kontrollieren oder unterbinden koenntest, dann ist das okay. However, wir werden das niemals machen. Selbiges waere aber notwendig um die von Dir gewuenschte Funktion zu bieten. Siehe auch hier:

http://support.emsisoft.com/topic/25425-expert-option-for-unknown-files/

Generell, wir versuchen insbesondere bei Installationen nur die schaedlichen Sachen herauszufiltern. Wir haben das Setup nicht moniert. Wir haben eine Komponente innerhalb des Setups moniert. Genau genommen die Shell Extension. Das haben wir unterbunden. Der Grund wieso wir so vorgehen sind Freeware Setups, die mit PUPs daher kommen, wo wir die Installation der oft legitimen Freeware Anwendungen erlauben wollen, aber halt ausschliesslich die PUPs entfernen moechten.

Share this post


Link to post
Share on other sites

Das kann ich so nicht nachvollziehen. Ob eine Datei an der Ausführung gehindert und gleich zur Überprüfung ans Emsisoft Antimlware Network gesendet wird, oder ob die Datei ausgeführt wird und dann erst an das Emsisoft Antimalware Network gesendet wird, bleibt doch gleich. Wo ist da ein Unterschied beim Datenschutz? Vielleicht kannst Du mir das erklären.

Share this post


Link to post
Share on other sites

Ersteres schickt zwangslaeufig immer alle Dateien. Letzteres nur dann, wenn wir irgendwas merkwuerdiges bemerken, was bei 99% der Programme, die Du so ausfuehrst jeden Tag, nie der Fall sein wird.

  • Upvote 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.