Schadprogramm für Anbindung an Botnetze etc. aufspürbar?

  • Hallo Liebe Community,


    sind eigentlich Sachen wie Beispielsweise ein Schadprogramm für Anbindung an ein Botnetz mit den üblichen Antivirusprogrammen (wie z.B. Avira, Norton Internet Security, Kasperksy, Spybot S&D, AVG Anti-Virus, McAfee VirusScan, Panda Security etc...) aufspürbar? Schlagen die im solchen Fall Alarm, wenn sowas installiert wird?


    ...Ich habe Norton Internet Security 2010 und Spybot S&D


    Grüße und Vielen Dank im Voraus!

  • Hallo,


    tatsächlich sollten dein Programm Alarm schlagen, wenn schädliche Software installiert wird.


    Das hat glücklicherweise mit Thunderbird kaum etwas zu tun, da in Thunderbird standardmäßig kein Code ausgeführt wird. Du müsstest schon absichtlich einen "bösen" Anhang öffnen. Und da passt man ja auf, das macht man ja nicht. Wenn du dagegen einen unbekannten Anhang speicherst (statt öffnen), sollte sich im Fall des Falles deine Antivirensoftware melden.

  • Hallo kleiner Pawel,


    ich werfe als Antwort ein klares JAIN in die Runde.
    Wie bei jedem anderen Schadcode: Wenn du "das Glück" hast gleich in der ersten Verteilungsrunde mit dem Schadcode beschenkt zu werden, sind die Chancen sehr groß, dass dein AV-Scanner die Signatur nicht erkennt und dich nicht warnt. Mit zunehmendem Bekanntheitsgrad werden auch neue Signaturen in die Signaturdatenbanken aufgenommen, so dass die Erkennungsrate beim Versuch einer Neuinfektion steigt.
    Gerade Schadcode für Botnetze werden so entwickelt, dass sie dem Nutzer keinesfalls auffallen dürfen. Nur dann können sie ihre Funktion möglichst lang erhalten. Dazu gehört auch, dass sie sich, wenn einmal erfolgreich installiert möglichst gut vor AV-Scannern verbergen können (bzw. müssen). Dies wird auch erreicht, indem sie immer wieder veränderten Code nachladen und somit gegenüber dem Scanner immer wieder einen Vorsprung haben. Die Wahrscheinlichkeit ist also recht hoch, dass der Nutzer erst durch seinen Provider darüber informiert wird, dass sein PC eine Spamschleuder wird. (Gerade unserer magentafarbener Riesenprovider fällt da sehr positiv auf. Ich hatte in den letzten Tagen drei Leute, deren PC vom Internet genommen wurde. Alles tonline-Nutzer. Bei allen dreien hat der installierte aktuelle Scanner bei bei seiner Suche vor der Neuinstallation nichts angezeigt!)
    Gerade die Software für Botnetze kann sich sehr gut vor einem auf dem eigene Windows des Rechners gestarteten AV-Scanner verbergen. Der (überhaupt einzige) sinnvolle Test ist, den Rechner von einem bootfähigen Medium mit eigenem Betriebssystem und mehreren sich selbst updatenden Scannern zu booten und die Scanner suchen zu lassen. Die IMHO beste Lösung: desinfec't von der c't.


    NB: Nich umsonst erwähne ich immer wieder, dass Anhänge niemals direkt aus einem Mailprogramm heraus gestartet werden dürfen, sondern immer erst ablösen, vor Ort scannen und erst dann aus dem Downloadordner starten. Aber mir glaubt ja keiner ... .
    (Zumindest nicht, bis er das erst mal auf die Schn**** gefallen ist.)


    MfG Peter (der sich wie immer etwas Zeit gelassen hat :-) )

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Guten Morgen Pawel;


    ich würde mal behaupten - NEIN.
    Der Sinn des Botnetzes besteht imho darin, das sich Rechner "benutzen" lassen und das über längere Zeit. Ein Botnetz wird durch die Anzahl der "beteiligten Rechner" effektiver. Wird die "Mitgliedschaft" jetzt schon von einem "einfachen Scanner" erkannt, würde er aus dem Botnetz herausgelöst und der Sinn des Botnetzes untergraben.
    Der Betreiber des Botnetzes hat also ein gesteigertes Interesse daran, sein "Netzwerk" geheim zu halten. Und imo gibt es mittlerweile wohl genug kleine Programme und Code, die ein "verstecken" ermöglichen.


    Und bevor Du fragst.....ich traue mir virentechnisch einiges zu, aber zu erkennen, ob mein Rechner Mitglied eines Botnetzes ist....Nein, dafür reicht mein Wissen nicht aus. Sollte ich den Verdacht haben, mein Rechner ist Mitglied eines derartigen Netzes - neu aufsetzen, und zwar komplett mit Festplatte formatieren (die langsame Variante!).


    Greetz


    Edit: Sicherheit ist mal wieder ein interessantes Thema. ;)

  • Hi, kleine Ergänzung:

    Zitat von "Peter_Lehmann"

    Wie bei jedem anderen Schadcode: Wenn du "das Glück" hast gleich in der ersten Verteilungsrunde mit dem Schadcode beschenkt zu werden, sind die Chancen sehr groß, dass dein AV-Scanner die Signatur nicht erkennt und dich nicht warnt.


    Ein anständiges ;) AV-Programm sollte das in den meisten Fällen trotzdem erkennen. Natürlich gibt es da keine Garantie, aber ich halte die von dir erwähnten Chancen nicht für "Sehr groß", sonedern eher klein.


    Die Gefahr, dass Code fälschlicherweise als schadhaft erkannt wird, ist da viel höher ;)


    Aber das ist natürlich eine sehr allgemeine Diskussion, bei dem ich mein Wissen auch nur aus Angelesenem beziehe ...

  • Vielen Dank für die Antworten!


    Wenn ich es jetzt mit meiner Logik betrachte, scheint mir, dass die meisten gängigen Antivirenprogramme imstande sein müssten, das Problem erfolgreich zu erkennen. Immerhin sind die ja unter Anderem auch für solche Dinge (Schadprogramme etc.) gemacht. Sonst würden sie ja ihre Bestimmung verfehlen.
    So wie ich es verstanden habe, muss man also schon irgendwelche "schlimmen" Dateianhang öffnen, um sich mit sowas zu infizieren, oder? ...oder gibt's auch andere Möglichkeiten, es sich einzufangen?


    Ich bitte um Verständnis für meine noch sehr laienhaften Fragen... habe noch bis vor Kurzem immer nur Weboberflächen von E-Maildiensten genutzt und bin erst vor ein Paar Wochen auf Thunderbird umgestiegen. Habe mich nach längerem Nachgrübeln getraut (naja man hört ja viele Sachen usw....) Ich vermute jetzt auch nicht, dass mein TB mit sowas infiziert ist, doch ich würde mir gerne etwas Wissen um diese Themen ansammeln :les:

  • Zitat von "allblue"


    Ein anständiges ;) AV-Programm sollte das in den meisten Fällen trotzdem erkennen. Natürlich gibt es da keine Garantie, aber ich halte die von dir erwähnten Chancen nicht für "Sehr groß", sonedern eher klein.


    Hallo :)


    ich kann auch hier nur wieder auf Computersicherheit - Virenscanner verweisen.


    Gruß Ingo

  • Hallo Ingo,


    Ich deute die Page so: Antivirenprogramme & Co. sind sinnlos und man könnte praktisch auch auf sie verzichten und so etwas wie Sicherheit gibt es überhaupt nicht.... Ich persönlich finde diese Seite etwas zu "freaky", etwas zu übertrieben. (meine persönl. Meinung) Natürlich gibt es auch Sachen, die von einer Antivirensoftware nicht sofort aufgespürt werden, doch ich bin nicht der Meinung, dass allgemein Antivirenprogramme auf solch ein niedriges Niveau degradiert werden sollten. Ich glaube kaum, dass das ganze Kram wirklich sooo nutzlos ist und praktisch so gut wie nichts taugt. Dann können mit einer großen prozentuellen Wahrscheinlichkeit alle von uns verseucht sein! ...und Benutzung von Thunderbird etc. ist reiner Schwachsinn, wer sowas benutzt, ist dumm! ;) ...also ich bin nicht der Meinung.


    Grüße


    Pawel

  • Hi, das sehe ich ähnlich.


    Ich benutze ein (meiner Meinung nach gutes) Antivirenprogramm, habe jedoch alles so eingestellt, dass bei gefundenem Problem nichts vom Programm entschieden wird, sondern ich gefragt werde. Zusammen mit der oft genannten "brain.exe" klappt das vorzüglich, auch mit Thunderbird.


    Man darf auch nicht vergessen, dass man sich durch bloßes (auch versehentliches) Ansurfen einer Seite Schadcode einfangen kann - und da hilft die eigene brain.exe nicht unbedingt, weil sie nichts davon mitbekommt.


    Und wie oben schon angedeutet: Ein anständiges Antivirenprogramm verlässt sich nicht nur auf Signaturdatenbanken, sondern erkennt auf heuristischem Weg auch mal neues. Aber eine Garantie gibt's nicht :)

  • Moin;


    ich glaube der Artikel soll darauf hinweisen, das es keine absolute Sicherheit gibt und jeder bei sich damit anfangen muss.
    Wenn ich "zu blöde bin" und auf jeden Hinweis, jeden Anhang oder jedes Banner klicke, darf ich mich halt nicht wundern, wenn mein Rechner plötzlich die Grätsche macht oder unerwünschte Inhalte verbreitet.


    Man kann es mit einer Haustür vergleichen - wenn ich sie offen stehen lassen, kann es eben vorkommen, das mein schöner neuer TFT plötzlich einen neuen Besitzer hat. Selbst eine ordentliche solide Haustür steht einem ernstgemeinten Einbruchsversuch nur bedingt entgegen.
    Aber deshalb auf eine Haustür verzichten? Nö, nein, niemals.


    Die `liebgemeinten´ Hinweise, das es keine 100%Sicherheit gibt, führen m.E. dazu, das viele glauben sie sei nicht wichtig und vernachlässigen sie.
    Auf der anderen Seite meckern wir auch dann, wenn sie weggelassen werden. "Ich dachte ihr System sei sicher. Da hab ich mich wohl getäuscht."


    Eine Zwickmühle für die es wohl keine allumfassende Lösung gibt.


    Virenscanner, Updates, neue(ste) Versionen sind wichtig müssen genutzt werden. Wer es nicht tut - selber Schuld wenn ihm plötzlich wie Herrn Mustermann die Kripo alles wegreißt.


    Greetz

  • HI,


    nun, ich sehe das auch so, dass man auf eine vernünftige Schutzsoftware nicht verzichten sollte, sich aber nicht darauf verlassen darf.
    Ein guter Virenscanner und eine Firewall, wobei die Win eigene schon ok ist und imho ein Router mit Hardware FW absolut ausreicht.



    Auch Abs-System, Sicherheitsgurte und Airbag verhindern keinen Unfall, dass kann nur der Fahrer. Aber als ergänzenden Schutz möchte ich die Helferlein nicht missen...

  • Das ist auch mir klar, dass man sich nur auf eine Antivirensoftware nicht verlassen sollte und dass es 100%ige Sicherheit nie gibt. Sogar Geheimdienste, Regierungen etc. werden mal gehackt... auch mit der besten Antivirensoftware kann sowas passieren... nur wenn man eine hat, ist die Wahrscheinlichkeit um Einiges geringer. Klappen kann es aber auch nur mit einen vernünftigen User-Verhalten. Dieser Meinung bin ich auch :)


    Grüße