![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_rock_* |
![]() ![]()
Beitrag
#1
|
Gäste ![]() |
Ist zwar irgendwie alt, aber aufgrund der massiven immer neu erscheinenden fake softwaren ein aktueller bericht. Vorallem mit Popups kenn ich es noch nicht so...bisjetzt musste man ja meistens das programm selber runterladen und selber installieren.
Wie eine solche Bedrohung konkret aussehen kann, beschreibt Kalkuhl: "Beim Besuch einer Website erscheint auf einmal ein Pop-Up, das den Nutzer davor warnt, sein Computer wäre infiziert", so der Virenexperte. Mit einem bestätigenden Klick handelt sich der User in solchen Fällen ein vermeintliches Antiviren-Tool ein, das aber nichts bringt. "Das Programm 'scannt' den Rechner und 'findet' etliche Schädlinge, die aber gar nicht auf der Festplatte vorhanden sind", erklärt Kalkuhl. Zum Desinfizieren werde dem Nutzer dann eine eigentlich nutzlose Software angeboten, wobei Käufer um 20 bis 30 Euro erleichtert werden. Quelle: http://www.krone.at/krone/S22/object_id__1...xcms/index.html weiters kann man bei jedem ad aware update immer wieder viele namen von diesen dubiosen programmen ablesen! ![]() edit: wäre ein passendes thema um hier die ständigen ROGUE! Programme zu posten! ![]() edit2: EingangsÜberschrift geändert. Der Beitrag wurde von rock bearbeitet: 25.09.2008, 14:43 |
|
|
![]() |
![]()
Beitrag
#2
|
|
![]() Fühlt sich hier wohl ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 ![]() |
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar"
![]() -------------------- |
|
|
![]()
Beitrag
#3
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.794 Mitglied seit: 28.06.2007 Mitglieds-Nr.: 6.287 Betriebssystem: Windows 7 x64 Virenscanner: Sandboxie Firewall: NAT|Comodo (HIPS) ![]() |
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" ![]() Wieder mal klasse Erläuterungen ![]() Dann hookt also ein On Execution-Scanner CreateProcess? Somit wäre dann ein Austricksen des AVs, was nur nach Namenserweiterung prüft, dadurch nicht mehr möglich? ![]() -------------------- ![]() |
|
|
![]()
Beitrag
#4
|
|
![]() Fühlt sich hier wohl ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 400 Mitglied seit: 03.09.2008 Mitglieds-Nr.: 7.063 ![]() |
Dann hookt also ein On Execution-Scanner CreateProcess? Somit wäre dann ein Austricksen des AVs, was nur nach Namenserweiterung prüft, dadurch nicht mehr möglich? On Execution Scans sind meist über Hooks von Funktionen gelöst, die beim Prozess Start involviert sind, ja. Meist sind das die File Mapping APIs die verwendet werden um Prozesse im Speicher auf den Start vorzubereiten. Ansonsten kann man Prozesserstellung im Kernel nicht direkt hooken, weil ein nicht unerheblicher Teil der Prozesserstellung im Usermode abläuft. Mit Vista SP1 hat Microsoft übrigens einen Mechanismus hinzugefügt mit dem man trivial Prozesserstellung überwachen und verhindern kann: PsSetCreateProcessNotifyRoutineEx. Aber um Deine Frage zu beantworten: Wenn ein On Execution Scan benutzt wird, ist es egal wie Datei heißt. Ebenso ist es OnAccess Scannern egal, die auf Grund des Dateiinhalts entscheiden ob eine Datei gescannt werden soll statt auf Grund der Dateiendung. Der Beitrag wurde von Anar bearbeitet: 28.05.2009, 16:40 -------------------- |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 30.06.2024, 22:42 |