21-0003-54-1.htm Enthält Signatur von VBS.LoveLetter.D Scan durch AntiVir 9x am 20.01.02
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Brezel MARKUSXW „VBS.LoveLetter.D auf Nickles.de ????“
Das ist der nickles.de-Artikel:
Auseinandergenommen: LoveLetter Virus
VIREN PROGRAMMIEREN
Mein AntiVir9x hat ebenfalls angeschlagen, es ist aber nur ein Artikel der beschreibt wie ein VBS-Virus funktioniert.
Ich habe ihn vor einiger Zeit selbst gelesen - ohne das der Scanner reagierte. Offentsichtlich ist das Programm sensibler geworden.
Wähle ignorieren, dann kannst Du den Artikel normal lesen.
CU, Brezel
Harry Hunger MARKUSXW „VBS.LoveLetter.D auf Nickles.de ????“
Lustig, immer sind es AntiVir und besonders Norton die diese Fehlalarme bringen. Auf der Seite ist nur der Quelltext des LoveLetter Virus zu lesen und manche Scanner halten diesen für den Virus selber.
Heinz_Malcher MARKUSXW „VBS.LoveLetter.D auf Nickles.de ????“
Besser Fehlermeldungen und übervorsichtige Warnungen, als stillschweigen und nichts sagen, bis es zu spät ist
Harry Hunger MARKUSXW „VBS.LoveLetter.D auf Nickles.de ????“
Diese Fehlalarme sind Vorsatz von Seiten der Scannerhersteller und haben nichts mit besseren Erkennungraten zu tun. Es ist kein Problem einen Scanner so zu programmieren, dass er mit 100%-iger Sicherheit zwischen dem Virus als Programm selber und dem Virus als Quelltext (welcher absolut harmlos ist) unterscheiden kann. Aber verkaufspsychologisch gibt sich ein entscheidender Vorteil daraus:
Der potentielle Käufer eines Virenscanners sieht zwei Produkte. Der einer hat 50.000 Signaturen, der andere 80.000. Was denkt sich der Käufer nun? "Nehm' ich den mit 80.000 Signaturen, der erkennt ja 60% mehr als der andere." - Falsch! Die 50.000 Signaturen beinhalten nur die schädlichen Programme als Programm selber, nicht aber den Quelltext in Textform. Die 80.000 Signaturen enthalten auch die Quelltexte. Auf gut deutsch: Der Scanner mit 80.000 Signaturen erkennt nur 40.000 Viren, da jeder Virus zwei mal in die Signaturen einfließt: Einmal der Virus als Programm selber und einmal der Quelltext in Textform. So wird dem Kunden beim Kauf des schlechteren Programmes eingeredet, er kaufe das bessere (weil mehr Signaturen).
Auch die daraus resultierenden häufigeren Fehlalarme des Produktes mit 80.000 Signaturen haben für dessen Hersteller einen entscheidenden Vorteil: Je mehr Alarme es gibt, für desto unsicherer hält der Nutzer das Internet und desto enger wird er an sein "schützendes" Programm gebunden. Und desto eher erzählt er seinen Bekannten und auch Fremden auf Foren im Internet wie wichtig und schützend sein Scanner mit den vielen Fehlalarmen - die er natürlich für echte Alarme hält - doch ist. Wenn der Nutzer dann einmal ein anderes Antivirenprogramm testet, welches nicht so viele Fehlalarme hat denkt er sich: "Das Teil taugt nichts, denn es meldet ja nie was. Scheinbar erkennt es nicht so viel Viren." und er kehrt zu seinem alten Programm zurück.
Ähnliche Tricks gibt es bei Trojaner- (vornemlich Backdoor-) Scannern. Jeder Backdoor besteht aus zwei Komponenten, dem Server und dem Klient. Letzterer ist erstens ungefährlich und zweitens befindet sich der Klient nur auf dem Rechner des Angreifers und nicht des Opfers. Es ist also unsinnig die Klienten mit in die Signaturen aufzunehmen. Trotzdem tun viele Scannerhersteller dieses, da jeder Backdoor so zweimal in die Signaturen mit einfließt und die Zahl der Signaturen somit erhöht. Für den Kunden hat das einfließen des Klienten in die Signaturen einen entscheidenen Nachteil: Der Scannerhersteller muss mehr Personal und Zeit investieren um die Signaturen zu erstellen ,was einen höheren Produktions- und somit Veraufspreis des Produktes zur Folge hat.
Leider passieren all diese Manipulationen Hand in Hand mit der Unterstützung nahezu aller Computerzeitschriften. Man muss sich ja mal vor Augen halten wie stark die Verkaufszahlen eines Produktes steigen, wenn dieses einen Test in einer bekannten Computerzeitschrift gewonnen haben. Und die Zeitschriften verhelfen den Herstellern ja nicht aus Gutmütigkeit zu höheren Verkaufszahlen - wir leben ja schließlich im Kapitalismus - sondern wollen auch dafür belohnt werden. Ich nehme mal an, dass Computerzeitschriften heutzutage so gut wie keinen Pfennig/Cent für die Ausstattung ihrer Redaktionsräume und Labors mit Hard- und Software bezahlen. Wozu gibt es den Werbegeschenke?
Ein Beispiel für die Korruptheit (und das meine ich auch wortwörtlich so) von Computerzeitschriften zeigt der ANTS 2.0 Test bei der PC-Welt. ANTS erkennt nur Server und keine Klienten, weshalb es in diesem Test miserabel abschneidet. Denn dieser Test verwendet mehr Klienten als Server. Lest euch auch mal die Kommentare zu diesem Test im PC-Welt Forum durch. Man muss sich eine Frage stellen: Sind die Leute bei der PC-Welt wirklich so dämlich? Oder steckt da Vorsatz dahinter? Immerhin ist ANTS kostenlos. Würde es gut abschneiden, würden die Hersteller von kostenpflichtigen Trojanerscannern enorme Umsatzeinbusen in kauf nehmen müssen, denn wer kauft sich schon ein kostenpflichtiges Programm, wenn es ein ebenbürtiges kostenloses gibt?
Das ganze gilt nicht nur für Virenscanner, auch bei Personal Firewalls sind Täuschungen an der Tagesordnung (siehe dieses Posting). Mit dem Schüren von Ängsten kann man scheinbar sehr vieles erreichen: Der Staat hebelt mit neuen Überwachungsgesetzen unter dem Deckmäntelchen der Terrorbekämpfung teilweise das Grundgesetz aus uns die Softwareindustrie bescheißt uns mit unzureichend schützenden Schutzprogrammen. In beiden Fällen halten die Medien ihren Mund oder profitieren selber davon.
Brezel Harry Hunger „Diese Fehlalarme sind Vorsatz von Seiten der Scannerhersteller und haben nichts...“
Alle Achtung, Harry Hunger,
das habe ich hier lange nicht gesehen: Eine SO ausführliche Schilderung der Sachlage zu einem sich ständig wiederholenden Thema. Dazu gehört wirklich Geduld und Ausdauer.
Ergänzen möchte ich noch folgendes: Da AVP kostenlos ist verzeihe ich diesem Programm den einen oder anderen Fehlalarm. Auch wenn dieser sicher dazu führen soll, sich die teure Vollversion zu kaufen.
Interessanterweise schneidet auch dieses Programm nirgendwo wirklich gut ab, es fliessen wohl auch da zu wenig Werbemoneten.
Auch ANTS-2.1 halte ich für ein gutes Produkt. Übrigens kann man damit durchaus nach Klients suchen (ab V2.1), man muss es nur in den Optionen aktivieren - aber wie Du schon sagst ist es eigentlich überflüssig. Für lau ist es sicher der beste Trojascanner.
Onlineupdate funktioniert übrigens auch seit der Version 2.1.
CU, Brezel
Harry Hunger Brezel „Alle Achtung, Harry Hunger, das habe ich hier lange nicht gesehen: Eine SO...“
Mir war halt grad langweilig.
Grüße, Harry
Brezel Harry Hunger „Mir war halt grad langweilig. Grüße, Harry“
Dir darf ruhig öfter langweilig sein, wenn dann so ewtas gehaltvolles dabei herauskommt ;-)
CU, Brezel
;o) Harry Hunger „Mir war halt grad langweilig. Grüße, Harry“
hallo harry, in sachen erkennen oder nicht erkennen von viren in quelltexten muß ich dir leider widersprechen. es macht bestimmt keinen sinn einen virus, der im c oder c++ quelltext vorliegt zu erkennen, da er nur in kompilierter form gefährlich ist. bei visual basic sieht die sache aber ganz anderst aus. der vb-quelltext muß nicht kompiliert sein, um gefährlich zu werden, da vb hauptsächlich eine script-interpreterspache ist, d.h. der reine quelltext ist schon ausführbar und somit ist es in meinen augen gerechtfertigt oder sogar nötig auch den quelltext zu erkennen, da die dateiendung relativ unerheblich ist.
Harry Hunger ;o) „hallo harry, in sachen erkennen oder nicht erkennen von viren in quelltexten...“
Tag
Stimmt schon, aber im obigen Fall liegt der Quelltext halt als .htm Datei vor. Und in diesem Format ist auch VBS ungefährlich. Man kann zwar VBS Scripte in Webseiten einfügen so das der IE sie ausführt, aber nicht in dieser Art und Weise. Gerade die besseren unter den Virenscannern wie McAfee oder die verschiedenen mit KAV/AVP Engine schlagen hier nicht unnötig Alarm.
;o) Harry Hunger „Tag Stimmt schon, aber im obigen Fall liegt der Quelltext halt als .htm Datei...“
so weit klar, aber mal ein anderes beispiel:
ich packe den quellcode in eine htmlseite (eventuell in ein verstecktes frame) und lasse ihn somit in den cache laden. der scanner meckert nicht. anschließend bringe ich den user dazu ein kleines proggi von meiner site zu laden, eventuell ein kleines spielchen oder tool, das neben der harmlosen funktion noch eine weitere funktion hat, nämlich den browsercache zu durchsuchen nach meiner gecachten seite, den quelltext zu extrahieren und diesen auszuführen. der scanner würde auch bei dem programm nicht anschlagen, da ja keine patterns für eien wurm enthalten wären bis zu dem zeitpunkt in dem ich ihn dynamisch nachlade, und dann wär es zu spät.
ich geb zu, sehr spekulativ und konstruiert, aber durchaus möglich.
Harry Hunger ;o) „so weit klar, aber mal ein anderes beispiel: ich packe den quellcode in eine...“
Wenn der Quelltext extrahiert und ausgeführt wird hat man ja wieder ein VB Script und nicht einfach nur einen Quelltext, oder täusche ich mich? Ich kann selber nur C++. Und das sollte der Echtzeitschutz des Virenscanner erkennen. Auch das extrahierende Programm wird von den Virenscannerherstellern sicher mit in die Signaturen aufgenommen, so wie es zum Beispiel mit exe-Joinern passiert.
Es ist ja nicht's grundsätzlich dagegen Einzuwenden, wenn ein Scanner bei einem "schwarz auf weis gedrucktem" Quelltext alarm schlägt. Unsicherer wird der Scanner dadurch nicht, aber sicherer meiner Überzeugung nach auch nicht. Mir ging's in erster Linie darum zu sagen, dass ursächlich für so was in erster Linie Marketinggründe sind, die mit Sicherheit selber nichts zu tun haben.
;o) Harry Hunger „Wenn der Quelltext extrahiert und ausgeführt wird hat man ja wieder ein VB...“
naja, das extrahierende programm kann erst in die suchpatterns aufgenommen werden, wenn es schon mal in umlauf war.
bei vb ist es so, daß es nciht kompiliert werden muß, du kannst also vb einfach so in notepad schreiben, als vbs benennen und ausführen, vb-quelltext ist also in jeder form ausführbar. man kann vb zwar kompilieren, ist aber wie gesagt nicht notwendig. der code im arbeitsspeicher während des extrahierens wird wahrscheinlich auch keinen alarm des scanners auslösen, da er ja immer nur zeilenweise vorliegt, also wohl kein komplettes pattern vorliegen wird.
Harry Hunger ;o) „naja, das extrahierende programm kann erst in die suchpatterns aufgenommen...“
Meinst du mit ...als vbs benennen... das die Datei im Dateiformat .vbs abgespeichert werden muss, oder ist das (nicht compilierte) Script auch als .htm oder .txt Datei lauffähig (was ich weniger glaube)?
;o) Harry Hunger „Meinst du mit ...als vbs benennen... das die Datei im Dateiformat .vbs...“
kommt darauf an wie du lauffähig definierst. der quelltext ist lauffähig, egal wie die endung heisst, er kann eben nur wegen der falschen endung nicht gestartet werden, da windows eben hinter htm einen html-quelltext erwartet und entsprechend interpretieren will.
das ist analog zu javascript, als *.js ist er lauffähig, benennst du ihn in *.txt um wird er nur angezeigt.
Heinz_Malcher MARKUSXW „VBS.LoveLetter.D auf Nickles.de ????“
Ich jedenfalls werde mir keinen scanner für 100 DM ähhhh 50€ holen, um dann auch noch für die updates zu zahlen und immernoch kein 100% sicheres system zu haben, da reicht mir auch mein AV freewarescanner
