Also ich muss immer wieder sagen, ich mache mich mit meinem Testsystem gezielt auf die Suche nach Würmern und Viren.
Alle 4 Wochen versuche ich, so ziemlich alles zu fangen und zu isolieren, was da so im Netz rumfliegt.
Allerdings versuche ich, das Zeug zu isolieren, also mein Testsystem nicht selbst zu verseuchen, sondern im Quarantäne Ordner zu bleiben.
Das gelingt bisher ganz gut.
Beim ersten Mal dachte ich, dass ich binnen 10min alle sämtlichen Viren zusammen habe, wenn ich bei google nur die richtigen Stichworte eingebe und genau immer das anklicke, was ich normal nie tun würde, desweiteren alle meine Spam Mails auf meinem Test-Email-Account öffne, die normal sofort gelöscht würden.
Ich hätte nie gedacht, dass man sich so schwer infizieren kann oder Viren einfangen kann.
Ich habe Opera 8.52 auf meinem Testsystem, wie gesagt, will mich ja nicht infizieren und das System jeden Tag neu aufsetzen, sondern ich wollte für mich selbst testen, wie anfällig ist mein System, wie schwer/leicht ist es wirklich, sich mit einem halbwegs aktuellen System und Opera zu infizieren....
Laut Antivir, das Teil habe ich laufen auf dem Testsystem, um die Würmer in den Quarantäne Ordner zu schieben, liegen ALLE Schädlinge im Cache, was ich normal nie merken würde, da ich auf meinem Arbeitssystem nur ClamWin einsetze, der hat garkeinen Wächter, und den Cache scanne ich natürlich nicht, der wird bei mir nach beenden geleert.
Die einschlägigen Seiten boten mir immer nur HTML/JS Exploits an, die laut den Vireninfos lediglich den IE befallen und seit 2002 schon in so ziemlich jedem Service Pack gepatched wurden. Selbst mit dem IE wohl nicht gefährlich, für Opera aber Pustekuchen, wahrscheinlich selbst mit einem älteren Opera, da oft ActiveX im Spiel ist.
Naja, bis ich mal auf ein paar richtige Trojaner gestossen bin, hats schon eine Weile gedauert und ich musste schon bewusst etwas downloaden, was dann crackdownloader.exe hiess. Klar, dass hier alle 10 Alarmglocken läuten.
Aber ich wollte es ja so und ab in den Quarantäneordner.
Ein paar exotische Seiten boten mir die in the wild WMF Exploit Variante, mein System war gepatched, laut PCWelt soll sich das Teil ja durch bloses "einmal" Anklicken, also ohne Doppelklick im System breit machen, bei mir war wie gesagt, gepatched, von daher ist wohl nichts passiert. Wollte mir ja nicht mein Testsystem gleich am ersten Tag versauen.
Bis ich über eine gewisse Suchmaschine, nicht google.de endlich mal auf ein Virensammelsorium gestossen bin, wo man Netsky und Sober und wie sie alle heissen, bekommt, hats schon eine ganze Weile gedauert. Es handelte sich dabei um die Seite eines Linux Benutzers, der den Code wohl veröffentlicht hatte, unter dem Pseudonym, Virenscannermitarbeitern helfen zu wollen, in Wirklichkeit ist klar, dass er (die Seite sah nicht sehr danach aus, als ob sie der heilige Samariter betreiben würde) wohl anderes im Sinn hatte.
Die Seite war irgendwo in Brasilien gehostet. Man konnte dort wirklich alles erdenkliche an berühmten Würmern herunterladen.
Bis ich das Zeug gefunden hatte, vergingen circa 3 volle Surfstunden mit ununterbrochenem Klicken nach Schädlingen. Die Links in meinem Spam Ordner im EMail Account führten leider oft ins Leere und direkt angehängte Viren hatte ich keine.
Es ist also garnicht so leicht, mit einem halbwegs aktuellen System und Opera unbewusst an Viren zu kommen. Zwar legen sich jede Menge Script Würmchen im Cache ab, wenn man ihn nicht scannen lässt oder garkeinen Scanner hat, merkt man das erstens garnicht und wenn man die Dinger nicht explizit anklickt, passiert auch nichts.
Beim Leeren sind die Schädlinge weg.
Was mich erschrocken hatte:
Antivir war mit mittlerer Heuristik auf meinem Testsystem ständig am Scannen von irgendwelchen Dateien, Systemdateien, Browserdateien.
Die von mir bewusst heruntergeladenen Viren wie Netsky waren gepackt nur ein paar Kb groß, einige sogar nur Bytes. Die Dinger hatte ich so schnell heruntergeladen in meinen TEMP Ordner, der nicht vom Scannen ausgeschlossen war, dass die Schädlinge Antivir durch den Echtzeitscan rutschten. Ich hätte das Teil seelenruhig auslösen können, wenn ich gewollt hätte, Antivir scannte während dessen irgendwelche FritzWeb Daten, meine Betriebssystemdaten.....usw.
Auf den TEMP Ordner auf D:\ kam Antivir nicht von alleine.
Und auch der Browsercache war nicht vom Scannen ausgenommen. Zwar erkannte Antivir die dort liegenden Script Schädlinge und Exploits, die zwar für den IE gedacht waren, aber Antivir erkannte sie viel zu spät. Ich ging auf eine Seite, bei der ich wusste, dass derartige Schädlinge hinter jedem Link lauerten, es war immer der gleiche. Er wurde von Antivir zwar erkannt, aber erst nachdem ich schon längst auf 2 Seiten weiter war.
Hätte ich also einen Browser verwendet, der dafür anfällig wäre, tja....so hätte Antivir mich vielleicht 3 Minuten später gewarnt, genug Zeit für ein Byte großes Script, eine Lücke im IE zu nutzen.
ich habe die Viren/Würmer später alle isoliert, mit Antivir on demand gescannt sowie alle bei Jotti durchgescannt, um mir einen Überblick zu verschaffen.
Ich gehe mal davon aus, dass ich so ziemlich die Palette eingefangen habe, die man sich so als "normalo" einfangen kann. Sicher gibts ständig neue Varianten, aber das ist immer so und wird so bleiben.
Antivir erkannte alle Viren, Kaspersky, Bitdefender, Avast, NOD hatten keine Probleme, einzig und allein AVG von Grisoft hatte starke Probleme. ClamAV erkannte bis auf einen JS Exploit Wurm eingebettet in einer HTML Seite ebenfalls alle Schädlinge.
Mein Fazit:
Der Wächter von Antivir hatte auf meinem System zwar herumgerödelt, war aber immer zur falschen Zeit am falschen Ort und überging oftmals sogar hochgefährliche Würmer wie den Netsky, den ich seelenruhig abspeichern konnte. Antivir scannte dann auch mal gemütlich irgendwann am Browsercache vorbei, fand dann zwar alle ScriptViren, entfernte sie auf Wunsch zwar auch, aber viel zu spät, und überhaupt nicht zeitnahe. Wenn ich bedenke, dass ich mit dem IE hätte unterwegs sein können, so hätte ich keine Chance gehabt, trotz Virenscanner.
Man sieht, es zählen soviele Komponenten dazu, was den Scanner angeht. Verlassen sollte man sich auf keinen Fall.
Und Antivir gehört sicherlich nicht zu der resourcenraubenden Fraktion, die so ewig braucht, um im Echtzeitscan meiner Aktivität zu folgen, dass sowas auf einem Pentium 4 2,6 GHz und 512MB Ram mit S-ATA Platte von Hitachi nicht möglich gewesen wäre.
:-)
In meinem kleinen nichtssagengen Test habe ich für mich persönlich festgestellt, dass mich Opera zu 99,9% vor Wurmbefall geschützt hatte. Den Kram, den ich selbst heruntergeladen habe, dafür war ich selbst verantwortlich. Alles andere war im Opera Cache ungefährlich.
