Sign in to follow this  
Hänschen

Rootkits und A-squared

Recommended Posts

Hai,

ist da was an dem Gerücht wahr, dass A-squared sehr schwach ist wenn es darum geht versteckte Rootkits zu entdecken?

Sollte man einen on demand Rootkit scanner verwenden?

gruss

H.

Share this post


Link to post
Share on other sites

Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten.

Entsprechend ist hier Prävention deutlich wichtiger als Erkennung.

Share this post


Link to post
Share on other sites

[...]ist da was an dem Gerücht wahr, dass A-squared sehr schwach ist wenn es darum geht versteckte Rootkits zu entdecken?

Hi,

wenn überhaupt, dann liegt die Betonung aber auf aktive Rootkits, die bei deaktiviertem a-squared installiert wurden.

Auf einem System mit aktiviertem Malware-IDS schafft es kein Rootkit sich zu installieren, dafür ist das Verhalten von Rootkits zu eindeutig und wir sofort gemeldet.

Share this post


Link to post
Share on other sites

Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten.

Entsprechend ist hier Prävention deutlich wichtiger als Erkennung.

Hallo,

ich weiss sehr gut was Rootkits sind, deswegen die Besorgnis. Rootkits sind wohl die Art von Malware, die am gefährlichsten ist, gerade weil sie für Monate unentdeckt aktiv sein können. Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar. Ich habe im Netz gelesen, das A-squared gerade bei der Rootkits Erkennung klare Schwächen hat, deswegen meine Anfrage.

Malwarebytes erkennt, soweit ich weiss, TDSS Rootkits. Ich hatte mal, für längere Zeit (?) zwei Rootkits Drivers laufen, ohne das A-squared die erkannt hatte.

Prävention ist sehr wichtig, ja. Meine Frage und ich bitte um eine ehrliche und klare Antwort:

Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?!

Also, eine ja oder nein Antowort ;-)

gruss

H.

Share this post


Link to post
Share on other sites

Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar.

Dann sind alle derzeit öffentlich erhältlichen Produkte unbrauchbar.

Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?!

In den offiziellen Tests in denen mit Rootkits getestet wurde, war unsere Erkennungsrate stets über 80%. Bei inaktivien Rootkits stets nahezu perfekt.

Share this post


Link to post
Share on other sites

....ehrliche und klare Antwort:

Also, eine ja oder nein Antowort ;-)

So eine Antwort ist nicht nur im Bereich Rootkit Unsinn. Es gibt bei der Malware-Erkennung nicht Schwarz oder Weiß. Es wird immer wieder Malware, welche von Produkt a erkannt und von Produkt b nicht erkannt wird, geben. Und sollte sie von beiden erkannt, bzw. nicht erkannt werden, so gibt es noch Produkt c und d und... Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status, sondern er wird, auch wenn unbekannt, geblockt. Und das ist bei a-squared gegeben.

Share this post


Link to post
Share on other sites

So eine Antwort ist nicht nur im Bereich Rootkit Unsinn.

Ehrlichkeit ist kein Unsinn. :angry:

Unsinn ist es, dass du andere Anfragen von Usern hier, als Unsinn bezeichnest!

Dieser Kommentar bezeichne ich als Unsinn:

"Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..."

Das unbekannte Malware erkannt wird und in die Signaturdatabasen von Antimalwareprogrammen aufgenommen wird ist ausschlaggebend für die Beseitigung dieser Bedrohung.

H.

Share this post


Link to post
Share on other sites

Dieser Kommentar bezeichne ich als Unsinn:

"Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..."

Ich glaube, du verstehst die ganze Thematik nicht. Lese dir noch mal Posting 2 genau durch! Und btw, dann lese auch noch mal meine Antwort, was ich als Unsinn bezeichne. Mit Sicherheit nicht die Frage himself.

Share this post


Link to post
Share on other sites

Also ich habe vor kurzem ein verseuchtes System mit A-squared und Malwarebytes untersucht, Malwarebytes hat das Rootkit gefunden: http://www.prevx.com/filenames/X1689243953313392352-X1/GAOPDXSERV2ESYS.html

Wie aussagekräftig 1 File ist kann sich jeder selber zusammenreimen ;)

Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen.

H.

Share this post


Link to post
Share on other sites

Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen.

MBAM findet alte TDSS Varianten - genau wie a-squared. Neuere TDSS Varianten sind auch für MBAM ein Problem. Letztlich gilt es bei Rootkits wie gesagt eh zu vermeiden, daß das System gar nicht erst infiziert wird. Sobald es einmal infiziert wurde, kann man sich nie sicher sein es rückstandslos entfernt zu haben.

Share this post


Link to post
Share on other sites
Guest ance

Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat...

Ich sehe das auch so, aber mit dem IDS sollte es hoffentlich zu keiner Rootkit Installation kommen :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.