ich habe jetzt mal ein bisschen durchs archiv gelesen.

dort wird u.a. gesagt, dass anti-trojan und the cleaner nix taugen.

vor kurzem hatte ich ein paar trojaner auf meinem zweit(quarantäne)PC zu testzwecken.

Norton + Kaspersky Antivirus haben alle gefunden und ordnungsgemäß isoliert.
the cleaner hat alle bis auf einen gefunden und beseitigt.
anti-trojan hat alle gefunden.

trojanhunter - welches hier immer sehr angepriesen wird, hat dagegen keinen einzigen trojaner gefunden!!
(ich habe es gerade erst installiert, also auch wohl die neueste version)

statt trojan-alarm kam u.a. diese meldung bei trojaner-verseuchten zip.dateien:
zip dateien können nicht richtig gelesen werden (sinngemäß)

das waren alles wohl eher keine ganz neuen trojaner.

ich bin jetzt schon etwas verunsichert bezüglich trojan hunter. wenn er keinen einzigen der definitv vorhandenen trojaner gefnden hat und noch nicht mal in der lage ist, zip dateien überhaupt korrekt zu prüfen - ist dieses scanner dann wirklich so toll, wie hier immer behauptet wird?

Aufgrund von fehlendem Unpacking, sind Trojanerscanner gegenüber Produkten wie KAV und McAfee eindeutig im Nachteil. Daher sind Trojanerscanner nur zusätzlich zu verwenden. Ich weiss ja nicht welche Trojaner Du überprüft hast, aber Trojan Hunter hat eindeutig eine kleinere Signatur-Datenbank als die meisten anderen AT Programme. Die Stärken des Programmes liegen eindeutig wo anders. Ein sehr guter Speicherscan oder auch die Möglichkeit selbst gewissermaßen Signaturen zu erstellen als Beispiel. Viele AV und AT Programme haben außerdem das Problem, daß nur geringfügig veränderte Malware nicht mehr oder nicht richtig erkannt wird. Daher ist ein Test mit Standarttrojanern nicht das Gelbe vom Ei.

Und da waren wirklich Trojaner-Server dabei? Oder war das nur Clients und EditServers? Falls Du da Servers hast die TrojanHunter nicht erkennt, bitte an submit@trojanhunter.com schicken.

>statt trojan-alarm kam u.a. diese meldung bei
>trojaner-verseuchten zip.dateien:
>zip dateien können nicht richtig gelesen werden
>(sinngemäß)

Und hattest Du den NAV Wächter an nebenbei? Der kann den Zugriff darauf verbieten *g*.

Abgesehen davon sind ZIP Dateien absolut harmlos.

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
Und hattest Du den NAV Wächter an nebenbei? Der kann den Zugriff darauf verbieten *g*.

Abgesehen davon sind ZIP Dateien absolut harmlos. </font>[/QUOTE]Richtig. Und es ist natuerlich mehr als logisch wenn man einen gezielten zusaetzlichen On-Demand Scan mit aktiviertem RTM einer anderer AV Software (oder hast du etwa sogar KAV und NAV gleichzeitig laufen ? *fg*) Viren/Trojanerscan macht das zuerst das Program mit dem Realtimescan (in dem Fall bsw. NAV) anschlaegt und den Zugriff verbietet - sprich es sperrt hier den Zugriff auf die ganze ZIP-DATEI deswegen meldet Trojan Hunter auch "beschaedigtes oder fehlerhaftes ZIP Format". Eigentlich logisch dass man diese Meldung hochfeuern muss wenn man keinen Zugriff auf die ZipDatei hat weil eine ZipDatei eigentlich nie (ausser eben durch andere AV Programme) "gelockt" sein kann. Oder sollte Trojan Hunter hier schreiben: "Bitte seien Sie so nett und beenden Sie den RTM ihres AV Program's ?" *fg*

Also das Trojan Hunter nicht einen einzigen findet zeigt wohl sehr gut dass Du den Realtime Monitor deaktivieren solltest.

Und Trojaner testet man nicht in ZIP oder RAR Archiven - nur so zur Anmerkung.

Michael

</font><blockquote>Zitat:</font><hr />Original erstellt von Andreas Haak:
&gt;statt trojan-alarm kam u.a. diese meldung bei
&gt;trojaner-verseuchten zip.dateien:
&gt;zip dateien können nicht richtig gelesen werden
&gt;(sinngemäß)

Und hattest Du den NAV Wächter an nebenbei? Der kann den Zugriff darauf verbieten *g*.

Abgesehen davon sind ZIP Dateien absolut harmlos. </font>[/QUOTE]lol??

willst du mich veralbern?

wenn sich trojaner in zips verstecken und der scanner die nicht erkennt, sind die sogar besonders gefährlich.
die zips habe ich ja nicht um sich an ihrer schönheit zu erfreuen, sondern um sie mal irgendwann zu entpacken und auszuführen.
wenn trojaner in zips 'total harmlos' sind, warum werden sie dann überhaupt erst da reingepackt?
und warum ist trojanhunter nicht (wie andere virenscanner) in der lage, auch zips zu überprüfen?


²Bitmaster

ja, ist mir schon klar, dass es wohl *den* perfekten trojan/viren-scanner nicht gibt und jeder seine stärken und schwächen hat.

da man aber nicht sicherheitshalber 10 verschiedene am laufen haben kann, muss man sich also für einen entscheiden (also 1 virenscanner + zusätzlich 1 trojanscanner).

wonach sollte man also gehen? wohl danach, welcher für mich sinnvoll ist - nur ist das ein wenig schwierig ohne hellseherische fähigkeiten.

ich weiß weder, welcher scanner welche trojaner besonders gut erkennen, noch welche trojaner am gefährlichsten sind, noch welche trojaner *mich* in zukunft heimsuchen werden.

bedenkt bitte mal, dass die meisten inet-user nicht die zeit oder lust haben, sich intensiv mit der materie zu beschäftigen, sondern sich dann eben hauptsächlich auf ihre virenscanner verlassen...

dein argument "test mit standardtrojanern sei nicht das gelbe vom ei" verstehe ich schon - allerdings denke ich mal, dass ich eher selter ziel eines hackangriffs mit eigens für mich konzipierten trojaner(n) werde...sondern es eben doch sehr oft standard trojaner sind, die bei filesharing etc rumgammeln.

wenn ich es mit einem richtig guten hacker zu tun habe, der es wirklich gezielt auf mich abgesehen hat, der wirds sicher schaffen, meinen scanner zu überlisten, egal wie gut der ist.
vorher müsste er allerdings mich überlisten und das dürfte schwerer sein


²all

ich denke schon, dass es "richtige" trojaner waren -&gt; server + client.
natürlich hatte ich nicht parallel alle virenscanner installiert, ich habe mir die mühe gemacht und sie nacheinander installiert + getestet.

als ich den trojanhunter check machte, wächterte kein anderer virenscanner herum, norton und kav habe ich erst später (nach den trojanscannern) hinzugezogen. ich hatte sie nur zuerst genannt, weil sie eben die dinger gefunden hatten.

</font><blockquote>Zitat:</font><hr />Original erstellt von mysterieux:
lol??

willst du mich veralbern?

wenn sich trojaner in zips verstecken und der scanner die nicht erkennt, sind die sogar besonders gefährlich.
die zips habe ich ja nicht um sich an ihrer schönheit zu erfreuen, sondern um sie mal irgendwann zu entpacken und auszuführen.
wenn trojaner in zips 'total harmlos' sind, warum werden sie dann überhaupt erst da reingepackt?
und warum ist trojanhunter nicht (wie andere virenscanner) in der lage, auch zips zu überprüfen?
</font>[/QUOTE]Solange ein Trojaner gepackt ist, ist er "harmlos". Man sollte ihn aber nicht entpacken und ausführen, dann ists gefährlich.
Und wenn du die Dateien in den ZIP Files doppelklickst, dann ists auch gefährlich. Aus diesem Grunde scannen AT Programme in ZIP Files....

Björn [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von mysterieux:
willst du mich veralbern? </font>[/QUOTE]

Mit Sicherheit nicht, wir versuchen nur zu helfen!

</font><blockquote>Zitat:</font><hr />wenn sich trojaner in zips verstecken und der scanner die nicht erkennt, sind die sogar besonders gefährlich.</font>[/QUOTE]Aber nicht direkt ausführbar!

</font><blockquote>Zitat:</font><hr />wenn trojaner in zips 'total harmlos' sind, warum werden sie dann überhaupt erst da reingepackt?</font>[/QUOTE]Das macht man um den Download kleinzuhalten und nicht um Jemand einen Server, Client, Editserver und Textdateien unterzujubeln.

</font><blockquote>Zitat:</font><hr />und warum ist trojanhunter nicht (wie andere virenscanner) in der lage, auch zips zu überprüfen? </font>[/QUOTE]Es ist sehr wohl in der Lage dazu. Schau mal in die Optionen -&gt; Scan Options -&gt; Scan Zip-Files

</font><blockquote>Zitat:</font><hr />ja, ist mir schon klar, dass es wohl *den* perfekten trojan/viren-scanner nicht gibt und jeder seine stärken und schwächen hat.</font>[/QUOTE]Stimmt, eine 100%ige Sicherheits gibt es auch einfach nicht.

</font><blockquote>Zitat:</font><hr />da man aber nicht sicherheitshalber 10 verschiedene am laufen haben kann, muss man sich also für einen entscheiden (also 1 virenscanner + zusätzlich 1 trojanscanner).</font>[/QUOTE]Nein, in der Praxis reicht ein AV Programm.

</font><blockquote>Zitat:</font><hr />ich weiß weder, welcher scanner welche trojaner besonders gut erkennen, noch welche trojaner am gefährlichsten sind, noch welche trojaner *mich* in zukunft heimsuchen werden.</font>[/QUOTE]Dann nimm doch einfach KAV, daß hat bekanntermaßen die beste Erkennungsrate. Das werden die meisten hier auch bestätigen.

</font><blockquote>Zitat:</font><hr />bedenkt bitte mal, dass die meisten inet-user nicht die zeit oder lust haben, sich intensiv mit der materie zu beschäftigen, sondern sich dann eben hauptsächlich auf ihre virenscanner verlassen...</font>[/QUOTE]Das ist ja das Fatale ! Viele sollten sich lieber auf einen gesunden Menschenverstand verlassen und nicht auf jeden Button klicken, der nicht bei 3 schnell genug auf den Bäumen ist.

</font><blockquote>Zitat:</font><hr />dein argument "test mit standardtrojanern sei nicht das gelbe vom ei" verstehe ich schon - allerdings denke ich mal, dass ich eher selter ziel eines hackangriffs mit eigens für mich konzipierten trojaner(n) werde...sondern es eben doch sehr oft standard trojaner sind, die bei filesharing etc rumgammeln.</font>[/QUOTE]Falsch ! Keiner verbreitet Standardtrojaner, sondern versucht sie so gut wie nur möglich zu tarnen, z.B. durch verschlüsseln und laufzeitkomprimieren.

</font><blockquote>Zitat:</font><hr />wenn ich es mit einem richtig guten hacker zu tun habe, der es wirklich gezielt auf mich abgesehen hat, der wirds sicher schaffen, meinen scanner zu überlisten, egal wie gut der ist.
vorher müsste er allerdings mich überlisten und das dürfte schwerer sein </font>[/QUOTE]Jetzt verwechselt Du aber die Begrifflichkeiten. Du meinst ein Scriptkiddie könnte versuchen Dich zu überlisten. Ein Hacker vergreift sich nicht an Privatpersonen. Er würde nur dort versuchen einzudringen, wo es sich auch wirklich lohnt.

</font><blockquote>Zitat:</font><hr />ich denke schon, dass es "richtige" trojaner waren -&gt; server + client.</font>[/QUOTE]Dann schick sie doch mal an Magnus. Wenn es stimmt was Du sagtst, kannst Du helfen sein Programm zu verbessern.

</font><blockquote>Zitat:</font><hr />natürlich hatte ich nicht parallel alle virenscanner installiert, ich habe mir die mühe gemacht und sie nacheinander installiert + getestet.</font>[/QUOTE]Gut

</font><blockquote>Zitat:</font><hr />als ich den trojanhunter check machte, wächterte kein anderer virenscanner herum, norton und kav habe ich erst später (nach den trojanscannern) hinzugezogen. ich hatte sie nur zuerst genannt, weil sie eben die dinger gefunden hatten. </font>[/QUOTE]Auch OK

&gt;willst du mich veralbern?

*lach* ... naja, nochmal ganz kurz zum nachvollziehen.

ZIP ist ein Directory Datenformat und beschreibt wie bestimmte Daten in einer Datei abgelegt werden müssen (ähnlich TAR). Das ZIP Format legt dabei noch nicht einmal eine Kompression fest die eingehalten werden muss - das macht jeder Hersteller dann letztlich für sich.

Ein Datenformat ist dabei NIEMALS ausführbar. Das bedeutet, daß Du eine ZIP Datei niemals direkt starten kannst. Du kannst sie öffnen und Dateien daraus extrahieren oder hinzufügen, aber keine der Dateien wird gestartet oder in irgendeiner Form aktiv sobald Du das ZIP öffnest.

Damit so ein Trojaner bzw. Backdoor innerhalb eines ZIPs aktiv werden kann, musst Du als Nutzer die Datei WISSENTLICH extrahieren und danach WISSENTLICH ausführen.

Genau deshalb sind Trojaner/Backdoors innerhalb eines ZIP Archives harmlos. Das ist übrigens auch der Grund, wieso viele AV Hersteller ihre gesammelten Viren usw. in ZIP bzw. ähnlichen Formaten aufbewahren damit kein Sample bei der Analyse unbeabsichtigt gestartet werden kann.

&gt;die zips habe ich ja nicht um sich an ihrer
&gt;schönheit zu erfreuen, sondern um sie mal
&gt;irgendwann zu entpacken und auszuführen.

Exakt. Du musst sie ENTPACKEN und dann AUSFÜHREN. Solange sie aber in der ZIP Datei sind, sind sie absolut harmlos, da nicht AUSFÜHRBAR.

&gt;wenn trojaner in zips 'total harmlos' sind, warum
&gt;werden sie dann überhaupt erst da reingepackt?

Um Platz zu sparen?

&gt;und warum ist trojanhunter nicht (wie andere
&gt;virenscanner) in der lage, auch zips zu
&gt;überprüfen?

Ich nehme an auf Grund folgenden Sachverhaltes:

Du hast im Hintergrund den NAV Virenwächter laufen gehabt. Wenn TrojanHunter jetzt eine Datei scannen will, muss es sie öffnen. Bevor Windows aber die Datei öffnet, scannt der NAV Wächter die Datei. Dabei wird die Datei auch entpackt und NAV findet den Trojaner/Backdoor innerhalb der Archives und blockiert dann den Zugriff darauf. TrojanHunter bekommt dann vom System eine Fehlermeldung und interpretiert sie.

Eine andere Möglichkeit könnte sein, das das ZIP Archiv in einem neueren Format gespeichert ist, das TH noch nicht versteht bzw. das eine Kompression angewandt wurde, die TH nicht versteht - wie gesagt legt das ZIP Format nur fest, wie die Daten darin gespeichert werden müssen, nicht wie sie komprimiert werden müssen.

Letztlich ist ein Scannen innerhalb von Archiven aber nicht wirklich notwendig und eher unnütz. Bei einigen Programmen ist es sogar als Sicherheitslücke anzusehen ... .

TrojanHunter sollte einwandfrei alle Zip-Dateien scannen. Wenn das nicht funktioniert hat ist die Datei entweder beschädigt, oder TrojanHunter konnte sie nicht für lesezugriff öffnen.

Ich möchte auch gerne wissen warum TrojanHunter die Trojaner nicht erkannt hat. Es wäre klasse wenn du die an submit@trojanhunter.com schicken könntest.

</font><blockquote>Zitat:</font><hr />Original erstellt von mysterieux:

und warum ist trojanhunter nicht (wie andere virenscanner) in der lage, auch zips zu überprüfen? </font>[/QUOTE]In diesem Zipfile befanden sich 2 Viren, 6 Würmer und 2 Backdoorserver. Siehe auch hier

</font><blockquote>Zitat:</font><hr /> Letztlich ist ein Scannen innerhalb von Archiven aber nicht wirklich notwendig und eher unnütz. </font>[/QUOTE]Sofern es nur um die _eigene_ Sicherheit eines Users geht, stimme ich dir zu (vorausgesetzt natürlich, der AV-Wächter läuft.) [img]smile.gif[/img]

Allerdings kann ein guter Archiv-Scan - insbesondere des Wächters - die Weiterverbreitung von Malware in manchen Fällen verhindern: gerade in Tauschbörsen wird ja ständig (archivierte) Malware runtergeladen, und damit i.d.R. auch gleich wieder zum Download "angeboten." Ein Wächter mit gutem Archiv-Scan kann dies weitgehend verhindern, da frisch runtergeladene Malware sofort erkannt werden würde (wobei dann natürlich wieder die hohe Systembelastung ein Rolle spielt... )

</font><blockquote>Zitat:</font><hr /> Bei einigen Programmen ist es sogar als Sicherheitslücke anzusehen ... </font>[/QUOTE]Was genau meinst du?
Klar, man muss die Grenzen eines Scanners kennen, damit man nicht leichtsinnig wird und z.B. den Wächter abstellt (selbst KAV lässt sich ja mit "speziellen" RAR-Archiven austricksen... nicht wahr, Hendrik? )

@forge77 : ja, leider wahr... ... hast Du das mit der neuen KAV_4.5_beta schon probiert?
Ansonsten: nicht zu detailliert werden, die "Obscurity" ist da ja noch nötig bis zum KAV_5.
Hendrik

&gt;Was genau meinst du?

Wie Du sicherlich weist, kann man in Archiven die Verzeichnisstruktur mit speichern. Viele Scanner ignorieren diesen Tatbestand allerdings.

Rate mal was passiert wenn ich in einem Archiv den Pfad ..\..\..\..\..\..\..\..\..\..\Windows\Startmenü\Autostart ablege. Viele (dumme) Scanner entpacken das brav und nach dem Scan hast Du ne lustige Datei im Autostart Ordner, die dann beim nächsten Booten auch schön ausgeführt wird. KAV und Co haben die Lücke nicht, allerdings war IMHO AntiVir und IKARUS davon betroffen. Kann mich aber auch Irren. Auch viele Trojanerscanner waren/sind es ... .