Rootkits die neue Art der Bedrohung, was schlummert da neben Eurem Virenscanner ? Einstellungen

[Sasser]

Möglichst viele Rückmeldungen wären fein: Überprüft mal >>anhand dieser 3 Tools << Eure Trefferrate.


>>RootkitRevealer: Mein Favorit, der allerdings nur scannt.

http://www.wintotal.de/Software/index.php?id=2670


>>PandaRootkittool: Kenshiros Favorit.

http://research.pandasoftware.com/blogs/re...rsion-1.07.aspx




>>F-Secure Rootkit Finder "Blacklight": Der bei mir völlig wirkungslos ist.


http://www.f-secure.de/blacklight/





Der Beitrag wurde von Sasser bearbeitet: 15.05.2007, 11:22

[Kenshiro]

>>PandaRootkittool: Kenshiros Favorit

Na ja Favorit, ist zuviel des Guten, damit meine nur, daß BL nichts fand, aber dafür Panda´s AR. Er muss sich noch bewähren

[Sasser]

Gut, aber wer traut sich ?? Gerne Logfiles mit den Abgründen......

[citro]

Den integrierten Rootkit-Scanner von Antivir möchte ich noch erwähnen.

[Rios]

Na Sasser,

mit dem Rootkit Revealer, hast du aber nichts besonderes zur Verfügung. Schau.

[Gast_Scrapie_*]

Den integrierten Rootkit-Scanner von Antivir möchte ich noch erwähnen.

Also ich weiß ja nicht was AntiVir da verkauft, aber unter einem "Rootkit-Erkennenden"-System (von der Entfernung reden wir jetzt mal gar nicht) versteh ich etwas Anderes.
Der kleine Test von mir dient sicher nicht der Verallgemeinerung, aber ich war dennoch geschockt, wie sich AntiVir gegen einen Userlevel-Rootkit (heute ist das schon die Billigvariante) aus dem Jahre 2003 schlägt , äh schlagen lässt

Die rel. einfache Patcherei mit dem Hex gegen den Guard & Heuristik lassen wir jetzt auch mal Außen vor...

Link zum Video


Bye,
Scrapie

[Voyager]

Entweder das ist ein extrem seltener Codec den man dazu benötigt oder das AVI File ist kaputt, es spielt in kein Player ab.

[DC01]

Entweder das ist ein extrem seltener Codec den man dazu benötigt oder das AVI File ist kaputt, es spielt in kein Player ab.

Unter VLC Player läuft das Video

[Voyager]

Ein Player hats mir gerade gesagt das der "tscc TechSmith Screen Capture Codec" fehlt , ich hab auf der XP Partition zum Glück jeden Exotencodec da. Ein Hinweis darauf wäre ja nicht schlecht gewesen.

Der Beitrag wurde von bond7 bearbeitet: 15.05.2007, 19:13

[Gast_Scrapie_*]

Hi

Ja, hätte ich erwähnen können, stimmt.
Aber ich dachte das versierte Publikum hier löst das selber - etwa durch Rechtsklick => Eigenschaften => Dateiinfo => Videokomprimierung = TSCC und dann TSCC bei Google oberstes Ergebnis *Bing*


Naja, jetzt weiß man es ja

Scrapie

[Solution-Design]

Rootkits die neue Art der Bedrohung, was schlummert da neben Eurem Virenscanner ?

Vista UAC

[Gast_rock_*]

@sasser:

ich verwende zu "seltenen" zeiten den von TREND MICRO. klein schnell und hoffe das er auch gut sucht.
(aber ich glaub ein rootkit werd ich wohl nie sehen)

@citro:

auch andere scanner haben die rootkiterkennung/suche intus, wie mc afee virusscan z.B.

[Gast_Jens1962_*]

Also ich weiß ja nicht was AntiVir da verkauft,

Klick und runterscrollen.

Salopp ausgedrückt, das Rootkit-Kindchen ist eben von der Grundschule aufs Gymnasium versetzt worden, mehr nicht.

Gruß Jens

[Sasser]

@Rios, ja klar in den Systemlösungen der Antivirenhersteller befinden sich schon Gute, klar
und das es im Test ausgerechnet Norton sein musste, nun warum nicht. Ich meinte bloß die kleinen
Ergänzer, die man ja durchaus als Lückensucher wöchentlich nutzen kann. Kleine Tools mit teilweise
großen Überraschungen. Es geht also nicht um die Facheinschätzung im Vergleich, sondern explizit
wirklich um den einzelnen User und dem seine Erfahrungen.

@All

probiert doch mal diese kleinen Helfer und berichtet ob es neue Überaschungen gibt, die, die Testsieger
nicht fanden. Ich jedenfalls bin auf 2 bestätigte Trojaner durch RootkitRevealer gestoßen.
Kenshiro,auch und zwar einen Rootkit durch das Panda-Tool.
Also wir nutzen beide den renomierten AVK, bei mir sogar in Total_Care. Und wie ihr wisst, F-Secure
lief bei mir auch noch vor wenigen Wochen. Rootkits gabs bisher keine, bisher..man soll die Hoffnung
nicht aufgeben.
Wer nicht sucht der findet auch nicht..

Der Beitrag wurde von Sasser bearbeitet: 16.05.2007, 13:17

[Gast_Scrapie_*]

Klick und runterscrollen.

Salopp ausgedrückt, das Rootkit-Kindchen ist eben von der Grundschule aufs Gymnasium versetzt worden, mehr nicht.

Gruß Jens

Bedeutet jetzt im Klartext?

Scrapie

[Sasser]

Bedeutet jetzt im Klartext?

Scrapie

Das heißt lediglich das noch einer die Zeichen der Zeit gesichtet hat und ein Werbeprädikat aufgegriffen hat,
auf dem andere Security-Suites schon länger fahren. Ähnlich wie damals mit dem Pro-aktivem Schutz.
Ich denke da an Bitdefender 8 oder war es 9Pro ?
Naja wie dem auch sei, Fakt ist wohl, das eine wirkliche Rootkiterkennung nur dann stattfinden kann, wenn im Bootvorgang noch im Kernelursprung eine Überprüfung stattfindet. Ob dies wirklich bei den angepriesenen Programmen stattfindet, sei dahingestellt. Und eine solche Überprüfung hat wohl am ehesten eine Chance,
wenn das Programm eine eigene Firewall mitbringt, somit ist der Erstzugriff Rootkiterkennungs-Programm
noch vor der Firewall, die dann aber Programmintern ergänzt wird.
Durch das kleine Freeware Programm "Startupstar" , kann man hier überprüfen und einstellen
wann ein Programm starten soll und ob die Startposition noch vor den Netzverbindungen stattfindet.
Das heißt dort: " Run Once ", zum frühest möglichen Zeitpunkt.
Erfahrungsgemäß ist es das Antivirenprogramm, dass hier das Rennen macht. Bei meiner Konstellation
AVK_Total_Care ohne Firewall mit Outpost zusätzlich, besteht somit vermutlich ein Systemstartproblem
bei dem Outpost später startet. Ob das nun lediglich die Icons betrifft oder auch die Schutzwirkung vermag ich nicht zu klären.
Aber vieleicht weiß das Jemand.

[Gast_rock_*]

hier scheint alles bestens über rootkits incl. downloads beschrieben zu sein:
http://www.network-secure.de/index.php?opt...amp;Itemid=1394

[Gast_Eazi_*]

Hallo;)

Naja wie dem auch sei, Fakt ist wohl, das eine wirkliche Rootkiterkennung nur dann stattfinden kann, wenn im Bootvorgang noch im Kernelursprung eine Überprüfung stattfindet. Ob dies wirklich bei den angepriesenen Programmen stattfindet, sei dahingestellt.

Genau das ist der entscheidende Punkt, warum ich integrierten Rootkit-Analyzern in AV-Programmen mehr traue als den anderen angebotenen On-Demand-Lösungen.
Denn AV-Programme können diesen Prozess bewerkstelligen, wenn sie ordentlich programmiert worden sind. Natürlich ist das nicht das einzige Kriterium, aber imho ein sehr wichtiges, das nicht fehlen darf.


Liebe Grüße,
B.

Der Beitrag wurde von Eazi bearbeitet: 17.05.2007, 14:34