Hallo zusammen,
ich möchte hier mal einen Punkt zur Debatte stellen.
-Wie sinnvoll sind portable, z.B. vom schreibgeschützten USB-Stick laufende, Virenscanner konkret am Beispiel CureIT http://www.freedrweb.com/cureit/?lng=de und ClamAV http://www.winload.de/download/75051/Si ... .0.93.html ?
Deren Erkennungsraten sollen ja nun nicht umwerfend sein (Ich weiß, kein Scanner erkennt alles) und die Scangeschwindigkeit ist auch nicht umwerfend.
Bringt das etwas im Sinne von "der Scan wird nicht von AV-Software auf dem manipuliertem System ausgeführt und ist daher als zuverlässiger anzuerkennen"?
Gibt es andere zuverlässige Methoden zum Scan von "außen"? (ungeachtet des False Positive Weltmeisters Avira AntiVir)
MfG
petemo
Portable Malwarescanner
Re: Portable Malwarescanner
Sinnvoll sind diese beiden Beispiele in dem Zusammenhang nicht, da sie sehr wohl auf einem Betriebssystem ausgeführt werden, das kompromittiert werden kann bzw. worden ist. Die beiden haben als Vorraussetzung Windows! Und sind nicht auf extra Bootmedien...
Du kannst dir nur sicher sein, dass das geschützte Medium (hier USB-Stick) und somit die Dateien des Virenscanners nicht kompromittiert sind, wenn es von einem unkompromittierten Computer erstellt wurde...
Die Scangeschwindigkeit hängt vom Rechner und der Antivirensoftware ab, sollte aber mindestens genausoschnell sein wie ein installiertes Programm. Das sollte bei akutem Virenbefall aber wirklich kein Kriterium sein.
Die Erkennungsraten nunja...
Es gibt bessere Beispiele, die auf extra Boot-CDs geliefert werden.
Sogar von allen namhaften Antivirentoolherstellern. Bei den meisten nennt sich dies Rescue-Disc.
Hier zum Beispiel kostenfrei von Avira: http://www.free-av.com/de/products/12/a ... ystem.html
Das ist eine bootfähige CD, die mit Rechnerstart ein grundlegendes Betriebssystem lädt und dann direkt einen Virenscanner ausführt.
Etwas ähnliches kann man sich mit einer Live-CD selbst erstellen.
EIn Problem bei solchen Bootmedien sind verschlüsselte Festplatten. Daher braucht es entweder einen eigenen (oder vom Betriebssystem-Hersteller erworbenen) Entschlüsselungsalgorithmus (der vermutlich bessere Weg) oder das Programm nutzt die vom Betriebssystem zum Dateizugriff vorgesehenen Routinen, die dann wiederum kompromittiert sein könnten....
Eigentlich ist es egal mit welchem Werkzeug man einem Virus auf die Schliche kommt. Ein befallenes System ist ein Sicherheitsrisiko, selbst wenn man meint den Virus entfernt zu haben.
Das Risiko fängt schon bei der Frage an: Wie konnte das auf den Rechner gelangen? Wenn man die Frage ehrlich beantwortet ist ein zu lässiger Umgang mit E-Mail-Anhängen, Downloads, diversen Internetangeboten, Software von "Freunden" zu bemängeln. Wenn dort bereits das Risiko minimiert ist, ist ein befundloser Virenscan lediglich die Bestätigung, daß man ein gutes Sicherheitskonzept hat.
Du kannst dir nur sicher sein, dass das geschützte Medium (hier USB-Stick) und somit die Dateien des Virenscanners nicht kompromittiert sind, wenn es von einem unkompromittierten Computer erstellt wurde...
Die Scangeschwindigkeit hängt vom Rechner und der Antivirensoftware ab, sollte aber mindestens genausoschnell sein wie ein installiertes Programm. Das sollte bei akutem Virenbefall aber wirklich kein Kriterium sein.
Die Erkennungsraten nunja...
Es gibt bessere Beispiele, die auf extra Boot-CDs geliefert werden.
Sogar von allen namhaften Antivirentoolherstellern. Bei den meisten nennt sich dies Rescue-Disc.
Hier zum Beispiel kostenfrei von Avira: http://www.free-av.com/de/products/12/a ... ystem.html
Das ist eine bootfähige CD, die mit Rechnerstart ein grundlegendes Betriebssystem lädt und dann direkt einen Virenscanner ausführt.
Etwas ähnliches kann man sich mit einer Live-CD selbst erstellen.
EIn Problem bei solchen Bootmedien sind verschlüsselte Festplatten. Daher braucht es entweder einen eigenen (oder vom Betriebssystem-Hersteller erworbenen) Entschlüsselungsalgorithmus (der vermutlich bessere Weg) oder das Programm nutzt die vom Betriebssystem zum Dateizugriff vorgesehenen Routinen, die dann wiederum kompromittiert sein könnten....
Eigentlich ist es egal mit welchem Werkzeug man einem Virus auf die Schliche kommt. Ein befallenes System ist ein Sicherheitsrisiko, selbst wenn man meint den Virus entfernt zu haben.
Das Risiko fängt schon bei der Frage an: Wie konnte das auf den Rechner gelangen? Wenn man die Frage ehrlich beantwortet ist ein zu lässiger Umgang mit E-Mail-Anhängen, Downloads, diversen Internetangeboten, Software von "Freunden" zu bemängeln. Wenn dort bereits das Risiko minimiert ist, ist ein befundloser Virenscan lediglich die Bestätigung, daß man ein gutes Sicherheitskonzept hat.
Re: Portable Malwarescanner
Hallo zusammen,
habe nun mal die benannte Avira Rescue CD auf 3 verschiedenen Rechnern XP SP3 aktuellster Stand ausprobiert. (Datenmenge 1x ca 6GB; 1x ca 17GB; und 1x 41GB auf 2HDD)
Die Handhabung und der Avira-Scann verliefen in annehmbarer Zeit, aber ich würde das Ergebnis als mittlere Katastrophe bezeichnen.
2 x Fehlalarme FP.
Auf einem Rechner wurde eine MS Works Datei als Worm erkannt,(W32 Marbezat B91)
auf einem anderen PC eine Sys32 Datei als Trojaner identifiziert. (Trojan/ iBill B)
Die 3te PC Prüfung verlief unauffällig.
Nachprüfung bei VT, Jotti und VirScan verliefen Ergebnislos, erstaunlicherweise dabei auch von Avira.
Auf 2 Rechnern wurden längere Zeit und frisch gelöschte E-Mails bzw. deren ungeöffnete Anhänge aus Thunderbird immer noch als vorhandene Schädlinge ausgegeben.
Nun gut, diese mögen zwar noch auf der Partition liegen und wiederherstellbar sein, sind aber für den User im Normalbetrieb vollkommen ungefährlich.
Von zahlreichen Warnungen wegen nicht vollständig zu untersuchenden Archiven mal ganz abgesehen. (Pagefile etc, etc)
USB-Stickprüfungen mit CureIt und ClamAV dauerten zwar wesentlich länger, verliefen aber auf allen 3 Rechnern fehlerfrei.
Gefunden wurde 1x Spyware von PartyPoker die Avira glatt unterschlagen, oder einfach nicht erkannt hat.
Mein Fazit:
Der einzige Vorteil der Avira-CD, die Systemunabhängigkeit, wird durch die FP beim Scan erheblich gemindert und daher ist diese Form der Schädlingssuche für den NormalUser völlig ungeeignet und keineswegs empfehlenswert.
BTW Dr.Web bietet neben CureIt ebenfalls eine gleichartige Rescue CD an.
Deren Scangeschwindigkeit ist zwar ein äußerstes Geduldsspiel aber dafür ist das Ergebnis nicht mit FP bzw. dem melden von niemals ausgeführter und gelöschter Malware befangen, und sie erkannte o.a. Spyware ebenfalls problemlos.
Allerdings ist die Meldung nicht vollständig zu untersuchender Archive (s.o.) auch hier vorhanden.
MfG
petemo
habe nun mal die benannte Avira Rescue CD auf 3 verschiedenen Rechnern XP SP3 aktuellster Stand ausprobiert. (Datenmenge 1x ca 6GB; 1x ca 17GB; und 1x 41GB auf 2HDD)
Die Handhabung und der Avira-Scann verliefen in annehmbarer Zeit, aber ich würde das Ergebnis als mittlere Katastrophe bezeichnen.
2 x Fehlalarme FP.
Auf einem Rechner wurde eine MS Works Datei als Worm erkannt,(W32 Marbezat B91)
auf einem anderen PC eine Sys32 Datei als Trojaner identifiziert. (Trojan/ iBill B)
Die 3te PC Prüfung verlief unauffällig.
Nachprüfung bei VT, Jotti und VirScan verliefen Ergebnislos, erstaunlicherweise dabei auch von Avira.
Auf 2 Rechnern wurden längere Zeit und frisch gelöschte E-Mails bzw. deren ungeöffnete Anhänge aus Thunderbird immer noch als vorhandene Schädlinge ausgegeben.
Nun gut, diese mögen zwar noch auf der Partition liegen und wiederherstellbar sein, sind aber für den User im Normalbetrieb vollkommen ungefährlich.
Von zahlreichen Warnungen wegen nicht vollständig zu untersuchenden Archiven mal ganz abgesehen. (Pagefile etc, etc)
USB-Stickprüfungen mit CureIt und ClamAV dauerten zwar wesentlich länger, verliefen aber auf allen 3 Rechnern fehlerfrei.
Gefunden wurde 1x Spyware von PartyPoker die Avira glatt unterschlagen, oder einfach nicht erkannt hat.
Mein Fazit:
Der einzige Vorteil der Avira-CD, die Systemunabhängigkeit, wird durch die FP beim Scan erheblich gemindert und daher ist diese Form der Schädlingssuche für den NormalUser völlig ungeeignet und keineswegs empfehlenswert.
BTW Dr.Web bietet neben CureIt ebenfalls eine gleichartige Rescue CD an.
Deren Scangeschwindigkeit ist zwar ein äußerstes Geduldsspiel aber dafür ist das Ergebnis nicht mit FP bzw. dem melden von niemals ausgeführter und gelöschter Malware befangen, und sie erkannte o.a. Spyware ebenfalls problemlos.
Allerdings ist die Meldung nicht vollständig zu untersuchender Archive (s.o.) auch hier vorhanden.
MfG
petemo