Jump to content

Rootkits und A-squared

Hänschen
 Share

Recommended Posts

Fabian Wosar

Fabian Wosar

Posted
Posted

Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten.

Entsprechend ist hier Prävention deutlich wichtiger als Erkennung.

Link to comment
Share on other sites
Hachi'

Hachi'

Posted
Posted

[...]ist da was an dem Gerücht wahr, dass A-squared sehr schwach ist wenn es darum geht versteckte Rootkits zu entdecken?

Hi,

wenn überhaupt, dann liegt die Betonung aber auf aktive Rootkits, die bei deaktiviertem a-squared installiert wurden.

Auf einem System mit aktiviertem Malware-IDS schafft es kein Rootkit sich zu installieren, dafür ist das Verhalten von Rootkits zu eindeutig und wir sofort gemeldet.

Link to comment
Share on other sites
Hänschen

Hänschen

Posted
  • Author
Posted

Das Problem bei Rootkits ist, daß sie dazu designed sind nicht erkannt zu werden. Wir erkennen viele Rootkits auch wenn sie aktiv sind, aber längst nicht alle. Auch dedizierte Anti-Rootkit Tools erkennen bei weitem nicht alle. Ein prominentes Beispiel für Rootkits, die nahezu für alle öffentlichen Produkte unerkannt sind, wären die neueren TDSS Varianten.

Entsprechend ist hier Prävention deutlich wichtiger als Erkennung.

Hallo,

ich weiss sehr gut was Rootkits sind, deswegen die Besorgnis. Rootkits sind wohl die Art von Malware, die am gefährlichsten ist, gerade weil sie für Monate unentdeckt aktiv sein können. Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar. Ich habe im Netz gelesen, das A-squared gerade bei der Rootkits Erkennung klare Schwächen hat, deswegen meine Anfrage.

Malwarebytes erkennt, soweit ich weiss, TDSS Rootkits. Ich hatte mal, für längere Zeit (?) zwei Rootkits Drivers laufen, ohne das A-squared die erkannt hatte.

Prävention ist sehr wichtig, ja. Meine Frage und ich bitte um eine ehrliche und klare Antwort:

Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?!

Also, eine ja oder nein Antowort ;-)

gruss

H.

Link to comment
Share on other sites
Fabian Wosar

Fabian Wosar

Posted
Posted

Ein Antivirenprogramm, das solche Malware nicht erkennt, ist unbrauchbar.

Dann sind alle derzeit öffentlich erhältlichen Produkte unbrauchbar.

Ist A-squared "schlecht" wenn es darum geht aktive-oder inaktive Rootkits zu erkennen?!

In den offiziellen Tests in denen mit Rootkits getestet wurde, war unsere Erkennungsrate stets über 80%. Bei inaktivien Rootkits stets nahezu perfekt.

Link to comment
Share on other sites
Solution-Design

Solution-Design

Posted
Posted

....ehrliche und klare Antwort:

Also, eine ja oder nein Antowort ;-)

So eine Antwort ist nicht nur im Bereich Rootkit Unsinn. Es gibt bei der Malware-Erkennung nicht Schwarz oder Weiß. Es wird immer wieder Malware, welche von Produkt a erkannt und von Produkt b nicht erkannt wird, geben. Und sollte sie von beiden erkannt, bzw. nicht erkannt werden, so gibt es noch Produkt c und d und... Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status, sondern er wird, auch wenn unbekannt, geblockt. Und das ist bei a-squared gegeben.

Link to comment
Share on other sites
Hänschen

Hänschen

Posted
  • Author
Posted

So eine Antwort ist nicht nur im Bereich Rootkit Unsinn.

Ehrlichkeit ist kein Unsinn. :angry:

Unsinn ist es, dass du andere Anfragen von Usern hier, als Unsinn bezeichnest!

Dieser Kommentar bezeichne ich als Unsinn:

"Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..."

Das unbekannte Malware erkannt wird und in die Signaturdatabasen von Antimalwareprogrammen aufgenommen wird ist ausschlaggebend für die Beseitigung dieser Bedrohung.

H.

Link to comment
Share on other sites
Solution-Design

Solution-Design

Posted
Posted

Dieser Kommentar bezeichne ich als Unsinn:

"Eine gute signaturbasierende Erkennung ist ganz nett, da wird der Schädling wenigstens beim Namen genannt. Aber mir ist es lieber, der Schädling erreicht gar nicht erst diesen Status..."

Ich glaube, du verstehst die ganze Thematik nicht. Lese dir noch mal Posting 2 genau durch! Und btw, dann lese auch noch mal meine Antwort, was ich als Unsinn bezeichne. Mit Sicherheit nicht die Frage himself.

Link to comment
Share on other sites
Hänschen

Hänschen

Posted
  • Author
Posted

Also ich habe vor kurzem ein verseuchtes System mit A-squared und Malwarebytes untersucht, Malwarebytes hat das Rootkit gefunden: http://www.prevx.com/filenames/X1689243953313392352-X1/GAOPDXSERV2ESYS.html

Wie aussagekräftig 1 File ist kann sich jeder selber zusammenreimen ;)

Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen.

H.

Link to comment
Share on other sites
Fabian Wosar

Fabian Wosar

Posted
Posted

Ja, genau,Malwarebytes findet sogar TDSS Rootkits. Ich habe das öfters bei der Analyse von schwer verseuchten PCs erlebt. Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat... Ich benutze deswegen Malwarebytes und die Vollversion von A-squared zusammen.

MBAM findet alte TDSS Varianten - genau wie a-squared. Neuere TDSS Varianten sind auch für MBAM ein Problem. Letztlich gilt es bei Rootkits wie gesagt eh zu vermeiden, daß das System gar nicht erst infiziert wird. Sobald es einmal infiziert wurde, kann man sich nie sicher sein es rückstandslos entfernt zu haben.

Link to comment
Share on other sites
  • 3 weeks later...
Guest ance

Guest ance

Posted
Posted

Ich glaube, wir sollten einfach sagen dürfen, dass A-squared auf dem Gebiet "Rootkits" Probleme hat...

Ich sehe das auch so, aber mit dem IDS sollte es hoffentlich zu keiner Rootkit Installation kommen :)

Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.

Products & Services

Ransomware/Malware Removal

Partners

Resources

Company

© 2003-2021 Emsisoft - 11/27/2021 - Legal Notice - Terms - Bug Bounty - System Status - Privacy Policy

×
×
  • Create New...