Jump to content

Verschlüsselungs Trojaner (xorthelp@xandex.ru) ähnllich locky


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

 

Und das hilft jetzt wie? Was wäre aus Deiner Sicht das richtige Vorgehen? Weiterhin allein den Virenscannern vertrauen?

 

Was erwartest du? Daß dir jemand das Nachdenken abnimmt? Willst du eine "einfache eindeutige" Antwort? Die gibt es nicht.

 

Es geht nicht darum, ob man Virenscannern "vertraut" (was meinst du damit eigentlich?). Es geht um die Bewertung der Ergebnisse solcher Scan-Tests. Und die sind eben nicht immer 100% korrekt. Positiv wie negativ.

 

Niemand ist "unfehlbar". Menschen nicht. Virenscanner nicht. Und die Ergebnisse solcher Tests können sich halt stündlich ändern. Liegt in der Natur der Sache.

 

 

Im Übrigen muss bei Deinem Versuchsaufbau oder bei Dem was Du heruntergeladen hast etwas nicht stimmen.

Microsoft erkennt das Sample jetzt (schon) richtig als "Ransom:Win32/Locky.A"

 

Was heißt "nicht stimmen"? Es ist ganz einfach ein Windows 10 mit Standard-Einstellungen des Defenders.

 

Ich sagte doch, daß die Ergebnisse dieser Online-Scanner wohl nicht immer 1:1 auf die jeweils aktuelle lokale Version übertragbar sein müssen. Vielleicht erkennt ihn der Defender heute auch als "Ransom:Win32/Locky.A"? Keine Ahnung.

Link zu diesem Kommentar

Was erwartest du? Daß dir jemand das Nachdenken abnimmt? Willst du eine "einfache eindeutige" Antwort? Die gibt es nicht.

 

Es geht nicht darum, ob man Virenscannern "vertraut" (was meinst du damit eigentlich?). Es geht um die Bewertung der Ergebnisse solcher Scan-Tests. Und die sind eben nicht immer 100% korrekt. Positiv wie negativ.

 

Das Problem: Deinen Versuchsaufbau können wir nicht nachvollziehen und auch nicht, was Dir der Server für eine Datei beim Download geschickt hat. Das muss nicht zwangsläufig die gleiche Datei sein wie bei Virustotal. Hast Du mal die Hash-Werte verglichen? 

Ansonsten kann man der Implementierung bei VT schon vertrauen. Allerdings prüfen die auch nur die Scan-Funktionen und nicht irgendwelchen anderen Funktionen der Scanner. Ich habe auch mal eine Weile die Microsoft-Engine lokal geprüft. Die war in der Erkennungsrate eher unterirdisch. Es dauerte teilweise ewig, bis gemeldete Samples in der Engine umgesetzt bzw. erkannt wurden.

Link zu diesem Kommentar

Hm, ich weiß ja nicht, was du eigentlich willst...

 

Dieser Vergleich von Online-Scannern und lokaler Prüfung ist rein akademisch. Du schreibst ja selbst, daß bei VT wohl nicht "irgendwelche anderen Funktionen der Scanner" geprüft werden. Was kann man also dann bezüglich des aktuellen Schutzes der lokalen Scanner sagen? Eben: Nichts genaues weiß man nicht. Virustotal (und andere) sind Hilfsmittel. Nicht mehr und nicht weniger.

 

Ich will hier auch keinen Vergleich von Virenscannern anstellen. Ja, das machen gerne irgendwelche Home-User, die sich ganz doll darüber freuen, daß ihr gerade genutzter Scanner A ungefähr 0,3% mehr Samples erkennt als Scanner B und C. Das ist für mich relativ uninteressant. Nächste Woche sieht das vielleicht anders aus.

 

Ich selbst nutze übrigens auch ein kommerzielles AV-Produkt und nicht die Windows-eigene Lösung.

Link zu diesem Kommentar

Ich denke der Thead läuft etwas aus dem Ruder, auch wenn ich die Nebendiskussion nicht verkehrt finde.

 

Den Vergleich finde ich nur etwas kontrovers, MS essentials und seine Nachfolger waren früher recht schlecht.

Kostenlos waren sie für Unternehmen eigentlich nie.

Ich möchte damals essentials, da es klein und schlank war.

 

In der Company nutzen wir Eset AV - läuft ähnlich schlank und sind sehr zufrieden.

( im Vergleich zu AVG und kostenpflichtig Avira ).

ESMX 6 ist übel, die Dokumentation unzureichend, der Support teilweise überfordert und das Produkt hat noch kleine Bugs und leider auch Einschränkungen.

 

Ansonsten läuft es wirklich gut und im Ergebnis bin ich zufrieden ( bis auf Kleinigkeiten).

Link zu diesem Kommentar

->urlquery.net  + virustotal nutzen. Also rein interesse halber mach ich das mal, rein um zu sehen wie gut die Dienste so etwas erkennen. Damit erspart man sich eine abgekapselte Testumgebung und "verunreinigt" auch nicht die eigene IP Reputation, was ja im Fall eines fixen IP Ranges hinter welchem man vielleicht Dienste betreibt keine schöne Sache ist

Link zu diesem Kommentar

Der Trojaner kommt über gekaperte Teamviewer Accounts, die auf Rechner noch Zugriffe haben -  also keine Schwachstelle in Teamviewer ansich.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...