Zitat:

Zitat von Avenger77

Purzelbär: Das nennst Du ein sauberes Image?
Ich poste diesmal nix in Codezeilen (!):
- Browser Policy verändert
- Zemana Antimalware im Autostart
- Baidu Task
- Wise Care Optimizer Krempel
- diverse tote Treiber in der Registry / Sperrmüll

Wise ist gewollt von mir
Zemana AntiMalware erkenne ich nicht im Autosart
Von Baidu fand ich Tasks im Autostart, hab die gelöscht und dachte eigentlich das nichts mehr von Baidu auf dem System sei als schrauber damals FRST mit mir machte und ich danach Baidu nicht mehr installiert hatte.

R1 steht für running/laufend System... also ist es aktiv (ZAM).
C:\ProgramData\Baidu Security\Duplicaterecord.js --> Dupliziere Eingabe/Aufzeichnung
Was könnte der Chines wohl duplizieren, hm...

Schau Dir den Task halt mitm Editor an und bitte jemanden, da mal aufzuräumen.
Schrauber wird es wohl nicht sein

Zitat:

Wenn Kaspersky nicht gefühlt 15 Kerneltreiber hätte

jap, das is schon ne harte nummer

Hat der Kreml eigentlich seine Finger im Spiel bei Kaspersky?

Zitat:

Zitat von cosinus

Hat der Kreml eigentlich seine Finger im Spiel bei Kaspersky?

Putin hat seine Finger überall im Spiel
Im Ernst: keine Ahnung, die vermehrten Meldungen über unlauteres Gebahren wie zuletzt von 2 Exmitarbeitern lassen für mich die Firma jedoch eher ausscheiden...

Ist Eugene Kaspersky denn ein Putin-Versteher?

Was mich immer schon etwas störte, war, dass G Data eine enge Kooperation zu denen führte.
In den letzten Tests schnitten die Russen auch eher mittelmässig ab (Virus Bulletin) und mit Kasp. darf man wirklich nichts nebenher laufen lassen an Security Gedöns...

Ich dachte auf den ganzen Tests kann man nix geben...

Zitat:

Zitat von cosinus

Ich dachte auf den ganzen Tests kann man nix geben...

Ne Ne es kommt immer drauf an.......

Zitat:

Zitat von cosinus

Ich dachte auf den ganzen Tests kann man nix geben...

Virus Bulletin kennt die 3 köpfige Medusa doch gar nicht

Zitat:

Zitat von Avenger77

Virus Bulletin kennt die 3 köpfige Medusa doch gar nicht

Dann sollten wir dringend die Betreiber anschreiben

Zitat:

Zitat von Avenger77

Microwave: Bei welchen Prozessen genau hat EAM process hollowing nicht erkannt und Kaspersky schon? Wundert mich, Poweliks wird erkannt von EAM und der setzt auch auf dieses Prinzip.

Habe nochmal nachgeforscht: Gegen EAM hatte ich kein Process Hollowing angewendet, da bereits normales Öffnen für Vollzugriff (so normal das Öffnen mittels sogenannten syscall-Instruktionen halt ist) des lsass.exe-Prozesses auf Windows 7 SP1 64 bit mit Erfolg belohnt wurde.
Gegen KAV2015 musste ich hingegen "unmerklich" tiefer in die Trickkiste greifen, da KAV2015 nicht (nur?) Usermode-Hooks einsetzte.

Für technisch Unbedarftere:
Es ist nicht die Rede davon, irgendwelche Exes zu scannen, ob sie "Viren" enthalten, sondern davon, frühzeitig zu alarmieren, wenn die als ungefährlich betrachtete Datei ausgeführt wird und unerwartet "eigenartige" Dinge zu tun versucht.
Mit "eigenartig" ist folgendes gemeint:
Kein Microsoft Office oder Internet Explorer würde jemals versuchen, kritische Systemprozesse zu öffnen, wenn so etwas dennoch passiert, ist etwas sehr faul.

Vielleicht noch notabene: Wurde vom Angreifer ein einziger der kritischen Systemprozesse (lsass.exe gehört dazu) auch nur ein einziges Mal
mit genügend Rechten für "Schreiben in dessen Speicherbereich" und "Ändern des Speicherschutzes" geöffnet, ist das Spielchen
zu Ende und der Rechner kompromittiert. Selbst Kaspersky kann dann nicht mehr feststellen,
ob der momentan ausgeführte Code auf die Registry zugreifen darf oder nicht.
Dafür benötigt der Angreifer i.d.R. Adminrechte.
Es lässt sich aber zeigen, dass Malware so entwickelt werden kann, dass sie selbst ohne Adminrechte jegliche spätere Verhaltenserkennung austricksen kann,
indem etwa der Windows-Explorer befallen wird.

Das mal so nebenbei, oder anders, weshalb es sinnlos ist, Process Hollowing via NtUnmapViewOfSection-Hooks erkennen zu wollen.
Process Hollowing kann einzig und alleine daran erkannt werden, dass ein fremder Prozess versucht, eine bekannte, ("trusted") Systemapplikation auszuführen, oder daran, dass diese vom fremden Prozess gestartete Datei versucht, einen Systemprozess mit Schreibrechten zu öffnen. KAV erkennt Letzteres und schlägt Alarm.

Alle Ausführungen beziehen sich auf die 64-Bit-Editionen von Windows, wo nur noch eine sehr begrenzte Anzahl an "Kernelhooks" (Filter-Interfaces) zur Verfügung stehen.
Usermode-Hooks sind aus nicht näher erläuterten Gründen erfahrungsgemäss 100 % wirkungslos.


Grüsse

Microwave

TL;DR Das ist wohl langsam mein letzter Post, da ohnehin alle zwei Tage wieder ein neues Thema erstellt wird, wo es wieder auf die ein- oder andere Art ums Gleiche geht.

Einmal mehr: Bei verhaltensbasierten AV-Systemen hilft es nur, das Öffnen eines Prozesses auf's Genauste zu überwachen und zu bewerten, da alles andere prinzipbedingt zu spät ist.
Wer nicht glaubt, was ich "gemessen" habe, kann die Versuche gerne bei sich wiederholen, die Laborbedingungen wurden jeweils sehr genau dokumentiert.
Für Signaturen muss die Malware offensichtlich bereits bekannt sein und da helfen auch 2-stündige Updates nichts, da auch
die AV-Hersteller erst auf den Trichter kommen müssen, dass eine neue Malware im Umlauf ist.

Zitat:

Zitat von purzelbär

Kein Scherz jetzt Nyte: kauf deiner Freundin EAM

Das hat sie schon seit Ewigkeiten drauf.

Es ging mir auch nicht allein um meine Freundin. Ich wollte einfach nur mal klar machen, dass nicht jeder User gleich ein Trottel ist, nur weil er sich weniger mit der Materie Computer (im Detail) beschäftigt, als manch anderer (hier).

Trotzdem bleibt Sensibilisierung wichtig - keine Frage.

Zitat:

Es ging mir auch nicht allein um meine Freundin. Ich wollte einfach nur mal klar machen, dass nicht jeder User gleich ein Trottel ist, nur weil er sich weniger mit der Materie Computer (im Detail) beschäftigt, als manch anderer (hier).

Wäre ja auch noch schöner wenn dem so wäre, nicht jeder hat das Wissen über Computer wie zum Beispiel schrauber, SLE usw. Und sehr erfahrene User die sich herablassend über sog. Otto Normal User äussern, die mag ich nicht.

Zitat:

Zitat von purzelbär

Und sehr erfahrene User die sich herablassend über sog. Otto Normal User äussern, die mag ich nicht.

Wobei ich nicht unbedingt die erfahrenen User meine.