Hänschen 0 Report post Posted November 23, 2009 Hai, ist da was an dem Gerücht wahr, dass A-squared sehr schwach ist wenn es darum geht versteckte Rootkits zu entdecken? Sollte man einen on demand Rootkit scanner verwenden? gruss H. Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted November 23, 2009 Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten. Entsprechend ist hier Prävention deutlich wichtiger als Erkennung. Quote Share this post Link to post Share on other sites
Hachi' 5 Report post Posted November 23, 2009 [...]ist da was an dem Gerücht wahr, dass A-squared sehr schwach ist wenn es darum geht versteckte Rootkits zu entdecken? Hi, wenn überhaupt, dann liegt die Betonung aber auf aktive Rootkits, die bei deaktiviertem a-squared installiert wurden. Auf einem System mit aktiviertem Malware-IDS schafft es kein Rootkit sich zu installieren, dafür ist das Verhalten von Rootkits zu eindeutig und wir sofort gemeldet. Quote Share this post Link to post Share on other sites
Hänschen 0 Report post Posted November 24, 2009 Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten. Entsprechend ist hier Prävention deutlich wichtiger als Erkennung. Hallo, ich weiss sehr gut was Rootkits sind, deswegen die Besorgnis. Rootkits sind wohl die Art von Malware, die am gefährlichsten ist, gerade weil sie für Monate unentdeckt aktiv sein können. Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar. Ich habe im Netz gelesen, das A-squared gerade bei der Rootkits Erkennung klare Schwächen hat, deswegen meine Anfrage. Malwarebytes erkennt, soweit ich weiss, TDSS Rootkits. Ich hatte mal, für längere Zeit (?) zwei Rootkits Drivers laufen, ohne das A-squared die erkannt hatte. Prävention ist sehr wichtig, ja. Meine Frage und ich bitte um eine ehrliche und klare Antwort: Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?! Also, eine ja oder nein Antowort ;-) gruss H. Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted November 24, 2009 Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar. Dann sind alle derzeit öffentlich erhältlichen Produkte unbrauchbar. Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?! In den offiziellen Tests in denen mit Rootkits getestet wurde, war unsere Erkennungsrate stets über 80%. Bei inaktivien Rootkits stets nahezu perfekt. Quote Share this post Link to post Share on other sites
Solution-Design 2 Report post Posted November 25, 2009 ....ehrliche und klare Antwort: Also, eine ja oder nein Antowort ;-) So eine Antwort ist nicht nur im Bereich Rootkit Unsinn. Es gibt bei der Malware-Erkennung nicht Schwarz oder Weiß. Es wird immer wieder Malware, welche von Produkt a erkannt und von Produkt b nicht erkannt wird, geben. Und sollte sie von beiden erkannt, bzw. nicht erkannt werden, so gibt es noch Produkt c und d und... Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status, sondern er wird, auch wenn unbekannt, geblockt. Und das ist bei a-squared gegeben. Quote Share this post Link to post Share on other sites
Hänschen 0 Report post Posted November 26, 2009 So eine Antwort ist nicht nur im Bereich Rootkit Unsinn. Ehrlichkeit ist kein Unsinn. Unsinn ist es, dass du andere Anfragen von Usern hier, als Unsinn bezeichnest! Dieser Kommentar bezeichne ich als Unsinn: "Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..." Das unbekannte Malware erkannt wird und in die Signaturdatabasen von Antimalwareprogrammen aufgenommen wird ist ausschlaggebend für die Beseitigung dieser Bedrohung. H. Quote Share this post Link to post Share on other sites
Guest control Report post Posted November 27, 2009 Also ich habe vor kurzem ein verseuchtes System mit A-squared und Malwarebytes untersucht, Malwarebytes hat das Rootkit gefunden: http://www.prevx.com/filenames/X1689243953313392352-X1/GAOPDXSERV2ESYS.html Wie aussagekräftig 1 File ist kann sich jeder selber zusammenreimen 1 Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted November 27, 2009 Hast Du das Sample noch? Wenn ja schick es bitte mal an [email protected] Mags mir mal ansehen. 1 Quote Share this post Link to post Share on other sites
Solution-Design 2 Report post Posted November 27, 2009 Dieser Kommentar bezeichne ich als Unsinn: "Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..." Ich glaube, du verstehst die ganze Thematik nicht. Lese dir noch mal Posting 2 genau durch! Und btw, dann lese auch noch mal meine Antwort, was ich als Unsinn bezeichne. Mit Sicherheit nicht die Frage himself. Quote Share this post Link to post Share on other sites
Guest control Report post Posted November 28, 2009 Hast Du das Sample noch? Wenn ja schick es bitte mal an [email protected] Mags mir mal ansehen. Leider nein Quote Share this post Link to post Share on other sites
Hänschen 0 Report post Posted November 29, 2009 Also ich habe vor kurzem ein verseuchtes System mit A-squared und Malwarebytes untersucht, Malwarebytes hat das Rootkit gefunden: http://www.prevx.com/filenames/X1689243953313392352-X1/GAOPDXSERV2ESYS.html Wie aussagekräftig 1 File ist kann sich jeder selber zusammenreimen Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen. H. Quote Share this post Link to post Share on other sites
Fabian Wosar 390 Report post Posted November 29, 2009 Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen. MBAM findet alte TDSS Varianten - genau wie a-squared. Neuere TDSS Varianten sind auch für MBAM ein Problem. Letztlich gilt es bei Rootkits wie gesagt eh zu vermeiden, daß das System gar nicht erst infiziert wird. Sobald es einmal infiziert wurde, kann man sich nie sicher sein es rückstandslos entfernt zu haben. Quote Share this post Link to post Share on other sites
Guest ance Report post Posted December 19, 2009 Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich sehe das auch so, aber mit dem IDS sollte es hoffentlich zu keiner Rootkit Installation kommen Quote Share this post Link to post Share on other sites
Solution-Design 2 Report post Posted December 26, 2009 Ich sehe das nicht so. Ich wäre dieser Meinung, wenn alle anderen Schutzprogramme keine Probleme hätten Rootkits zu erkennen. Hier ein kleiner Test von Subset: http://drop.io/tdss_test Quote Share this post Link to post Share on other sites
Guest ance Report post Posted December 26, 2009 Da hat man wirklich ganze Arbeit geleistet Quote Share this post Link to post Share on other sites