|
DETEKT hat noch "Kinderkrankheiten" ;-))) hi! habe gestern auch DETEKT über mein system laufen - und siehe da! XTREME RAT gefunden! ich natürlich voll in panik und alles mögliche an proggis (antimalwarebytes etc.) über den PC laufen lassen... das einzige was gefunden wurde war ein plugin von VUZE (azureus) welches ich dann auch rausgeschmissen habe - hat mich gestern den halben nachmmittag gekostet... heute noch mal auf der seite von: https://resistsurveillance.org/ gewesen - und siehe da - neue version 1.2 (gestern 1.1) der ganze stress umsonst - jetzt ist angeblich bei mir alles in ordnung! vielleicht hätten sich die entwickler der software noch etwas besser mit der qualitätssicherung beschäftigen sollen bevor sie ein produkt auf den markt werfen was sowohl bei spiegel online und tagesschau.de gemeldet (beworben) wurde! bin echt genervt - und das VUZE plugin ist es auch nicht gewesen (getestet!) greetz atrax EDIT: das schlimmste an DETEKT ist aber, das es nicht mal anzeigt, welche datei betroffen ist oder wo sie liegt! das ist dann fast schon panikmache... EDIT2: sorry - ich wollte eigentlich auf den THREAD vor meinem antworten - hatte mich neu im forum angemeldet und da war es leider noch nicht möglich! an den admin! - eventuell meinen beitrag verschieben!? inzwischen version 1.4 https://github.com/botherder/detekt/releases/tag/v1.4 greetz atrax |
Ich glaube vor Staatstrojaner sollte man nicht so viel Angst haben. Ich habe auf Wikileaks ein paar Artikel zu FinFisher gelesen. Es ist zwar erschreckend wie viel Länder als Kunden dort auftreten. Aber für den normalen Anwender ist normale Malware wohl interessanter, die auch nicht viel anders funktioniert. Und wenn man Angst vor Schadcode hat sollte man sich mal ernsthaft fragen ob man seinem Virenscanner und seinem aktuell laufendem System überhaupt noch trauen darf. Bei echtem Interesse z.B. mal bei https://www.raymond.cc/blog/13-antivirus-rescue-cds-software-compared-in-search-for-the-best-rescue-disk/ weiterlesen. Wobei es auch Schadcode gibt den man nur bei einem laufenden Windows finden kann. |
@iceweasel es ist einfach ärgerlich, wenn die leute ein so unausgereiftes proggi online stellen! :headbang: bei der meldung von XTREME RAT denkt man, das man einen remote trojaner im system hat und als umsichtiger user macht man sich natürlich auf die suche das problem zu finden was natürlich elendig zeit kostet (die ganze scannerei) inzwischen ist die version bei 1.6 - jetzt braucht sie nur noch weniger als 5 minuten und meldet das alles "clean" ist - bei den vorgängerversionen hat das bei mir mindestens 1.5-2 stunden gedauert... ich glaub, ich gucke nochmal in 2 monaten auf die seite - vielleicht läuft das proggi dann einigermaßen stabil! ;-))) leider einen halben tag zeit deswegen verschwendet - aber sie haben es ja nicht böse gemeint! :pfeiff: EDIT: ob man in weniger als 5 minuten feststellen kann ob ein system "verseucht" ist wage ich zu bezweifeln (version 1.6) |
Hi, das hier angesprochene "Detekt" ist weder besser noch schlechter als ein herkömmlicher unterdurchschnittlicher Virenscanner mit schlechter Grundeinstellung: Will man damit brauchbare Ergebnisse erzielen, so muss es erst eingestellt bzw. angepasst werden - da es aber auch solche mit besserer Voreinstellung gibt, ist es meiner Meinung nach im derzeitigen Zustand ganz einfach überflüssig..... :daumenrunter: Liebe Grüße, Alois |
@Alois S hi! leider läßt sich bei DETEKT bis auf die sprache NIX! weiteres einstellen... greetz atrax |
Zitat:
Hat man aber Python installiert und kann damit leidlich umgehen, dann kann man sich selbst helfen. Fakt ist, dieses Tool ist ein Spielzeug für Nerds und ansonsten ein Witz! Liebe Grüße, Alois |
Ich hatte auch an etwas Revolutionaeres gedacht, als ich die vielen Meldungen zu Detekt las. Und dann stolpert es ueber Sachen wie Musterdatenbanken von anderen Antivirusprogrammen. Also die Suchstringfunktion oder die Suchstrings sind wohl noch deutlich verbesserbar. Damit duerfte sich die Frage nach der FinFisher-Erkennung auch selbst beantwortet haben. Es hat vermutlich ein Erkennungsmuster der geleakten Version integriert. Im Prinzip ist es ein interessantes Projekt, aber warum ausgerechnet Python? Okay, die Stringbehandlung in Python ist genial, aber sowas kann man zur Not auch selber basteln. Dann auch mit Beruecksichtigung von Binaercode, dann kommt es nicht zu solchen Pannen. |
Nun, dieses Tool liest ganz einfach den Arbeitsspeicher aus und vergleicht den Inhalt mit bestimmten Mustern - daher auch die Fehlfunktionen..... ich persönlich würde dem Ding nicht über den Weg trauen - und diesem selbsternannten Sicherheitsexperten (der angeblich ein halbes Jahr dran programmiert hat[!!]) sowieso nicht. Und was die Pressemeldungen betrifft: :stirn: Liebe Grüße, Alois |
Naja, es wird ja auch auf der Webpage von Amnesty International verlinkt. Wobei ich mir da nicht ganz sicher bin ob das korrekt ist. Aus Interesse habe ich mal nachgeschaut und festgestellt, dass die Page auf Amazon.com gehostet wird und nicht einmal einen eigenen Webmaster hat. Das ist irgendwie bedenklich. |
Hm, ist tatsächlich merkwürdig; außerdem fällt auf, dass der Quellcode gewissermaßen mit dem "Feind" geteilt wird, da veröffentlicht..... :wtf: Liebe Grüße, Alois |
Na ja, das spricht alles m.E. aber nicht unbedingt gegen das Programm zumal es sehr frisch ist. Außerdem erhebt es auch nicht den Anspruch, alle Schnüffelsoftware zu entdecken sondern nur bestimmte. Hier ein aktuelles Sempervideo dazu: |
Stimmt prinzipiell - aber wenn jeder Interessierte die Whitelist lesen kann, dann reicht mir das persönlich eigentlich schon, um ein Urteil zu fällen..... Liebe Grüße, Alois Post © Alois 2014 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden! :aufsmaul: |
Da muss ich Alois beipflichten, wenn dem Einbrecher bekannt ist, wann und wo ueberwacht wird, kann er sich ganz einfach ausserhalb des Rahmens bewegen und bleibt fast garantiert unentdeckt. Aber um ehrlich zu sein, ein Abgleich mit fuehrenden AVs wird den Firmen ja ohnehin leicht gemacht, die brauchen nur einen Testballon auf einer der zahlreichen AV-Testseiten abzusetzen. Und wenn ich (Zehn)Tausende+ Euro pro Lizenz verlange, dann kann ich mir auch alle aktuellen Suiten leisten und mit den verschiedensten Einstellungen testen. Nichts waere peinlicher als wenn so ein Teil von einer scharfen Heuristik hochgenommen wird, bei dem Preis. Im Moment mache ich mir aber weniger Sorgen um Einbruchsversuche als um lustige Details wie Zufallsgeneratoren und manipulierte Taktzaehler. Warum einbrechen, wenn das Gewuenschte auch frei Haus geliefert wird? |
Stimmt auch - allerdings haben die kommerziellen AV´s auch Updates der Signaturen - meist mehrmals täglich - da dürfte der "Abgleich" dann aber ungleich schwieriger sein..... Liebe Grüße, Alois |
Signaturen sehe ich als kleinstes Problem bei selbstmodifizierendem Code. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:35 Uhr. |
Copyright ©2000-2025, Trojaner-Board