|
Wir wollen ja objektiv sein :o). Wieso sollte man Anti-Malware Software einsetzen (damit meine ich sowohl Anti-Virus, -Trojaner und -Spyware) bzw. wieso ist der Einsatz sinnlos? |
Anti-Malware Programme sind grundsätzlich sinnlos - ja/nein Wenn das Programm was taugt, ist es in meinen Augen auf jeden Fall sinnvoll, ja praktisch unverzichtbar. Deswegen wundert mich dieser Thread von dir ein bisschen :D Sogar NAV ist (meiner Meinung) besser als nichts. Wenn man sehr erfahren ist, kann man Trojaner vielleicht selbst aufspüren, doch da der "normale" User nicht dazu in der Lage sein dürfte, sollte man einen Scanner einsetzen, damit im schlimmsten Falle keine Daten verloren gehen. Gruß C - soll das ne Verarsche sein - C |
Wenn du schon so direkt fragst... ;) Antivirenprogramme haben immer den Nachteil, daß ihre Signaturen älter als die aktuelle Malware sind. Somit ist ein Schutz vor den neuesten Viren und Würmern nicht gegeben. Erst wenn ein Virus oder Wurm eine gewisse Verbreitung gefunden hat und man dann von ITW ausgehen kann, werden von den Herstellern die Signaturen erstellt. Im aktuellen Fall von Bugbear (oder ILOVEYOU, Melissa) leider zu spät. Die Wirksamkeit eines Antivirusprogramms ist mit der Wirksamkeit eines Spamfilters gleichzusetzen. ciao, docp. |
Sehe ich nicht so. NOD32 ist in der Lage 95% neuer Malware nur durch die Heuristik zu erkennen. So z.B. auch Bugbear. Ähnlich sieht es mit Kaspersky aus :o). Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht. |
</font><blockquote>Zitat:</font><hr /> NOD32 ist in der Lage 95% neuer Malware nur durch die Heuristik zu erkennen. So z.B. auch Bugbear. Ähnlich sieht es mit Kaspersky aus [img]redface.gif[/img] ). </font>[/QUOTE]Solch starke Heuristiken WÄREN zwar toll und sind sicherlich der Weg der Zukunft, nur leider scheint mir die Realität derzeit etwas anders auszusehen... Jedenfalls konnte KAV kürzlich in einem kleinen "Spaß-Test" mit ca. 35 neuen Schädlingen (hauptsächlich Würmer und Trojaner) nur 2 oder 3 als "suspicious" einstufen (ja, der Code-Analyzer war aktiviert). Bei Tests von namhaften AV-Testern ist auch nur von höchstens 60% die Rede. Und die von dir genannten 95% verwenden die Hersteller doch nichtmal in ihrer Werbung... ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht.</font>[/QUOTE]Innerhalb von wenigen Minuten ab genau welchem Zeitpunkt? |
</font><blockquote>Zitat:</font><hr />Original erstellt von Dr Prantl: </font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: Kaspersky hat außerdem innerhalb von wenigen Minuten ein Update veröffentlicht.</font>[/QUOTE]Innerhalb von wenigen Minuten ab genau welchem Zeitpunkt?</font>[/QUOTE]Ab dem Zeitpunkt als der erste Virus im Labor landete. Das ist allerdings schon immer recht schnell der Fall :o). |
>Solch starke Heuristiken WÄREN zwar toll und >sind sicherlich der Weg der Zukunft, nur leider >scheint mir die Realität derzeit etwas anders >auszusehen... NOD32 mal getestet? >Jedenfalls konnte KAV kürzlich in einem >kleinen "Spaß-Test" mit ca. 35 neuen Schädlingen >(hauptsächlich Würmer und Trojaner) nur 2 oder 3 >als "suspicious" einstufen (ja, der Code- >Analyzer war aktiviert). Für Trojaner hat kein Programm eine effektive Heuristik. Für Würmer kommt es an ob Script oder PE. >Bei Tests von namhaften AV-Testern ist auch nur >von höchstens 60% die Rede. NOD32 wurde noch von keinem Namenhaften Hersteller erkannt. Ich kann aber mal einen Test machen :o). |
Die Frage war doch, ob solche Software GRUNDSÄTZLICH sinnlos ist. Würde man eine gegen Windows-Viren konzipierte Software auf reinen Linux-Kisten laufen lassen (sofern das technisch möglich ist), dann wäre das GRUNDSÄTZLICH sinnlos. Es sei denn, jemand würde auf einer Linuxkiste Windows emulieren und die entsprechenden Schädlinge wären unter diesen Bedingungen lauffähig. Ob nun ein Virenscanner unter normalen Bedingungen einen Schädling nun Stunden oder Tage nach dessen Entdeckung erkennt, ist doch schnuppe, solange er ihn ÜBERHAUPT erkennt. Das mag für denjenigen, der sehr früh trotz regelmäßiger Updates infiziert wird, wenig tröstlich sein, aber die Masse der User betrifft das sowieso erst Tage, Wochen oder gar Monate später und bis dahin ist der Schutz gewährleistet. Ein Airbag bläst sich auch erst NACH dem Aufprall auf. Meistens hilfts, manchmal nicht und sehr selten versagt er komplett. Dennoch ist er nicht GRUNDSÄTZLICH sinnlos. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak: [Zeitpunkt der Veröffentlichung von Updates] Ab dem Zeitpunkt als der erste Virus im Labor landete. Das ist allerdings schon immer recht schnell der Fall [img]redface.gif[/img] ).</font>[/QUOTE]"Recht schnell" ist relativ. Hast du dazu eine zuverlässige Statistik oder eine Quellenangabe? Und sofern Kaspersky den Virus nicht selbst geschrieben hat, muß der Virus zuerst von irgendeinem Anwender eingeschickt worden sein, oder wie läuft das ab? |
Du glaubst gar nicht was für ein Netzwerk die AVs aufgebaut haben und welche Frühwarnsysteme man nutzt ;o). Falls Interesse besteht, kann ich gerne mal ein paar Infos posten :o). |
Ja, daran habe ich großes Interesse. [img]smile.gif[/img] |
Wie Du sicherlich weißt durchläuft eine Mail mehrere Server bis sie bei ihrem Ursprungspunkt ankommt. Genau dies nutzen die AV Hersteller aus. Es gibt in jedem Land gewisse Knoten, die von 90% aller Mails garantiert durchlaufen werden. Das sind meist die lokalen Freemailer und die größten Provider (in D z.B. T-Online, GMX, WEB.DE, ePost, Freenet, AOL ...). Nun ist euch sicherlich schon mal aufgefallen, daß viele dieser Mailprovider Virenschutzlösungen anbieten und teilweise einsetzen. Meist bestehen Kooperationsverträge mit den Herstellern. Sie bekommen die Erlaubnis Mails zu scannen und unbekannte aber verdächtige Mails samt attachment zu erhalten und dafür bekommen die Provider die Lösung für ihre kunden quasi gratis *fg*. So läuft das ab. Die genauen Verfahren sind unterschiedlich [img]redface.gif[/img] ). Z.B. wird bewusst nach Exploits erkannt. Oder nach mehreren Mails von verschiedenen Absendern, die das selbe Attachment haben usw. usw. usw. . Also die Leute sind da recht kreativ. Es gibt da noch einige andere Verfahren - aber ich glaube das würde den Rahmen sprengen *fg*. |
Bei Viren und Würmern, die sich per Mail verbreiten, mag das zutreffen, aber wie sieht es bei Viren aus, die man in Filesharingbörsen oder anderen Stellen findet? :confused: |
Kommt aufs Netzwerk an. Kazaa hat mit seinen zentralen Servern z.B. ähnliche Kooperationen. Außerdem durchforsten BOTs regelmäßig solche Netzwerke. Ein Wurm (Mail) wird von einigen Herstellern je nach Land ca. 10 - 15 Minuten nach der ersten Infektion bereits als verdächtig erkannt und landet sofort im AV Labor. Die Analyse in den Labors dauert meist wenige Minuten. Sobald fest steht das es Malware ist, geht das ganze über einen globalen Verteiler an alle anderen AVs. Innerhalb von 30 Minuten nach der ersten Infektion sind viele Mailserver bereits mit den neuen Erkennungsmerkmalen ausgerüstet - einige Minuten später folgen dann auch die Privatanwender. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board