Das Thema in diesem Strang ist ne Security Suite mit der besten Erkennung. Da ist Linux offtopic :zunge:

Hey iceweasel, schon gelesen => http://www.heise.de/security/meldung...n-2573233.html

Haha, und das beste ist, meine halbe Familie war davon betroffen :D

Durfte das wieder in Ordnung bringen. Meine Mutter und Mein Bruder hatten beide den Panda Cloud druff.

Tja! Mit Linux wär das wohl nicht passiert! :blabla: :rofl:

Es gibt da auch noch die Comodo Secruity Suit. :glaskugel:

Hatte Sie mir damals mal angeschaut und fand sie garnicht mal so schlecht. :Boogie:

Ich supporte knapp ein Dutzend Debian-Desktops vor allen bei der Familie und Bekannte. Dienen vor allem für sicheres Internet und etwas Textverarbeitung (LibreOffice). Updates werden automatisch per "unattended-upgrades" über die Paketverwaltung installiert. Meistens höre ich von den Systemen über den gesamten Release-Zeitraum von 2 Jahren nichts. Aktuell muss ich nur auf Debian Jessie aktualisieren wofür mir aber 1 Jahr bleibt. Wie zu erwarten gibt es keinerlei Probleme. Virenscanner verwende ich natürlich nicht würde sowieso nur Windows-Viren finden.

Welchen AV-Scanner (dynamisch/ nackte Verhaltenserkennung?), der nicht gleich mit einer kompletten Suite installiert werden muß, würdet ihr empfehlen?
Für den gelegentlichen Scan nach statischem Schadcode hat mir Schrauber schon Malewarebytes angeraten.

Ich würde dir Avast Free empfehlen:
https://www.avast.com/de-de/index

Ich empfehle immer Emsisoft

Danke!

Gern Geschehen :)

Und für was hast du dich jetzt entschieden?

Bis jetzt noch gar nicht. Ich klick halt nicht blindlings auf alles dran, hab die Win7Firewall einegschaltet, AdBlock und NoScript im Fox -und für den unwahrscheinlichen Fall eines Infekts ein Backup vom System, das mit Schraubers großartigem Beistand frisch gesäubert wurde. Wenn ichs richtig verstanden habe, nicht so sehr von ernstlich bösem Code, als eher von Setupprogrammen, in die potentiell lästige Spierenzchen eingebaut waren, und von meinen vorherigen Virenscannern (u.a.Avast) beim Download übersehen worden sind.

Habe nun endlich die Zeit gefunden, um testweise einen allgemeinen (d.h. ohne 0F 05 syscalls) DLL-Injektor zu entwerfen, der Verhaltenserkennungen austricksen sollte.
Von der injizierten DLL aus würden dann im Kontext von legitimen Systemprozessen die verdächtigen Aktionen ausgeführt, was dann wiederum unverdächtig erscheinen würde.

Das Konzept des Injektors ist meiner Meinung nach ganz gut, immerhin umgehe ich die Erkennung von NtAdjustPrivilegesToken, NtAllocateVirtualMemory und NtWriteVirtualMemory.
Voller Überzeugung habe ich dann Kaspersky Internet Security 2015 installiert (auf Windows 7 SP1 x64) und den Injektor ausprobiert.
Leider ist mir Kaspersky um Längen voraus und bemängelt einen einzigen Aufruf der undokumentierten Funktion "NtGetNextProcess" (um den Opferprozess zu öffnen) gleich vier mal mit verschiedenen Meldungen. Damit hat hier die Verhaltenserkennung klar die Nase vorne.
Werde nun versuchen, sogenanntes "Process Hollowing" zu implementieren. Nimmt mich Wunder, ob das auch erkannt wird...


Grüsse - Microwave