Verständnisfrage zu Problemen mit Viren-Scannern

  • Hallo,

    ich bin jetzt mehmals auf Hinweise gestoßen, wonach man das Verzeichnis mit den Mail-Dateien vom Scan durch Viren-Software ausschließen müsse. Begründung - wenn die Viren-Software den tatsächlichen oder vermeintlichen Schädling löschen will, dann löscht sie auch die komplette Inbox. Wäre natürlich fatal, und ist mir auch noch nicht untergekommen.


    Eigentlich würde ich erwarten, daß Überprüfung und weitere Maßnahmen incl. Löschen beim Empfang der Mail erfolgt und nicht erst beim Speichern. Sehe ich das falsch?

  • Hallöchen!


    Eigentlich würde ich erwarten, daß Überprüfung und weitere Maßnahmen incl. Löschen beim Empfang der Mail erfolgt und nicht erst beim Speichern. Sehe ich das falsch?


    Ja, Du siehst da etwas falsch! Geprüft wird meines Wissens nach dem Empfang, ganz sicher bin ich mir aber auch nicht. Löschen kann ein Virenscanner natürlich ebenfalls erst, wenn etwas bereits empfangen wurde, also auf deinem Rechner vorhanden ist! Das geht ja auch gar nicht anders, denn was soll der Virenscanner denn sonst prüfen und löschen?


    Ich gehe jetzt mal bei anderen Virenscannern von einer ähnlichen Funktionsweise wie bei dem von mir übernommenem Add-on clamdrib (bitte keine Diskussion bezüglich Linux und Virenscanner!) in Verbindung mit dem Virenscanner ClamAV aus, dort wird auch nach Empfang geprüft, wie ich anhand des Taskmanagers feststellen kann. Einziger Unterschied zu anderen Lösungen ist, daß clamdrib keine Mails löschen kann. Diese Möglichkeit wurde vom ursprünglichen Entwickler des Add-ons nicht vorgesehen und ich habe auch nicht vor, solch eine Funktion einzubauen.


    Es genügt ja auch, wenn die Mail entsprechend als "infiziert" angezeigt wird. Dann hat man auch wenigstens die Chance, daß man im Fall einer Falschmeldung die Mail behalten kann. Das ist wie bei einem SPAM-Filter, der sollte auch nicht einfach eine entsprechende Mail löschen. Ich hatte es z. B. schon öfter, daß eine Registrierungsmail im Junk-Ordner gelandet ist!


    Die Empfangenen Mails landen also in der MBox-Datei und die wird dann vom Scanner geprüft. Wenn dort nun ein Schädling vorhanden ist dürfte jedem klar sein, daß der Scanner nicht einfach einzelne Teilstücke aus dieser Datei entfernen kann


    ...


    wobei


    ...


    wenn ein Virenscanner direkt die entsprechende Löschfunktion von Thunderbird oder in meinem Fall SeaMonkey dafür verwenden würde, dann sollte das eigentlich schon möglich sein. Trotzdem würde ich nicht einmal im Traum daran denken! Sollte das nämlich ein falscher Alarm sein ... wie war das doch gleich mit nicht mehr funktionierenden Windows-Systemen und ähnlichem? Sollte sich der Scanner nämlich irren, dann könnte das eventuell ein Problem geben. Deswegen gilt für jeden Virenscanner:


    Hände weg von E-Mails!


    Prüfen ist OK, löschen geht aber mal gar nicht!



    Grüße nun aus Augsburg


    Mike

  • Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

    Einmal editiert, zuletzt von mrb ()

  • Hallo TussiMusterfrau,


    Zitat

    Eigentlich würde ich erwarten, daß Überprüfung und weitere Maßnahmen incl. Löschen beim Empfang der Mail erfolgt und nicht erst beim Speichern. Sehe ich das falsch?


    Die Antwort ist ein klares "JAIN"!
    Sowohl als auch.
    Einige, nicht alle und vor allem nicht die Kostnix-Varianten der AV-Scanner beherrschen zwei Funktionen der Prüfung (von E-Mails!):

    • Die direkte Prüfung des ein- und ausgehenden Datenstromes. Also die direkte Prüfung der Verbindungen zu den beiden Mailservern.
      Vorteil: Das ist die Aktion "für Faule und Bequeme". Letztere müssen sich um nichts kümmern, der AV-Scanner macht das ja von ganz alleine ... .
      Du solltest aber wissen, wie das abläuft: Zum einen müssen die innerhalb des Mailbodys im ASCII-Format gespeicherten, also umcodierten binären Mailanhänge wieder in ihr ursprüngliches Binärformat umcodiert werden. Die Daten können nur im ASCII-Format übertragen werden - die AV-Scanner erwarten aber das Binärformat, weil sonst die Erkennung der Malware anhand der ihnen bekannten Signaturen fehlschlägt. Und dann ist es ja heutzutage auch aus gutem Grund üblich, den Bitstrom der Verbindungen zu den Servern richtig zu verschlüsseln. Also zuerst symmetrisch entschlüsseln, dann die entschlüsselten Daten zu Binärdaten zurückcodieren und dann das ganze noch durch die aus den Signaturen gebildeten "Siebe" für zig-Tausende von Schadbestandteilen pressen. Sorry, aber der "arme" AV-Scanner tut mir richtig leid ... . Ich kann mir auch noch nicht mal vorstellen, dass dieser in der Lage ist, mit diesem Verfahren nicht nur die signaturbasierte Prüfung , sondern auch noch die sehr wichtige verhaltensbasierte Prüfung (was passiert an ungewöhnlichen Effekten, wenn der Anhang gestartet wird?) durchzuführen.
      Fazit: Wie oben gesagt, "Aktion für Faule". Diese Funktion kann niemals die gleiche Erkennungsrate haben, wie ein ordentlicher bewusst gestarteter "on-demand-Scan"!


    • Die Überwachung der Speicherung des immer noch nach ASCII-codierten, aber immernhin nicht mehr verschlüsselten Mailinhalts auf dem lokalen Speichermedium. Also die Überwachung deines TB-Userprofils. Wichtig zu wissen: Auch hier handelt es sich meistens (!) um einen reinen "on access-Scan" mit dem oben beschriebenen Nachteil. Auch wenn die Werbung das niemals zugeben wird, ein "on access-Scan" ist niemals so treffsicher, wie der bewusst gestartete "on-demand-Scan"! Es gibt aber auch Scanner, welche die Mail speichern, und erst danach den gespeicherten Inhalt prüfen. Aber, wer weiß das schon?
      Und, wie du ja schon selbst festgestellt hast, besteht bei einem falsch konfigurierten AV-Scanner immer die Gefahr, dass dieser bei einem erkannten (oder auch nur vermuteten!) Befall mit Malware die befallene Datei löscht. Löschen bedeutet bei einem AV-Scanner, dass er sie shreddert, also kryptologisch überschreibt! Und dummerweise ist die befallene Datei dann deine komplette mbox-Datei, und der User, der seinen AV-Scanner falsch konfiguriert betreibt, hat natürlich auch noch nei etwas von einer Datensicherung gehört ... .
      (JA, es gibt zum Glück AV-Scanner, welche von sich aus so konfiguriert sind, dass sie niemals schreibend auf das Dateisystem zugreifen! Danke, Mike!)


    Deshalb bleibt es bei meiner dringlichen Empfehlung für alle Nutzer einer WinDOSe:

    • Überwachung des eingehenden Traffics: JA, als erste Verteidigungslinie (die oft überrant wird!) und auch mit dem Wissen, dass du dir damit bei TLS-geschützter Verbindung die sichere Identifizierung des verbundenen Mailservers nimmst. Du darfst also niemals sicher sein, dass du wirklich den Mailserver deines Providers kontaktierst. Es könnte auch ein anderer sein ... .
    • Überwachung des ausgehenden Traffics zum SMTP-Server: NEIN!
      Wenn du nicht durch einen bewusst vor dem Einfügen des Anhanges an die Mail und mit einem frisch aktualisierten AV-Scanner durchgeführten Scan sicherstellst, dass dein Anhang clean ist, handelst du gegenüber deinen Mailpartnern verantwortungslos! Und wenn du vorher mit dem höherwertigen Scann deinen Mailanhang überprüft hast, kannst du dir den weniger aussagefähigen Scan des Traffics sparen. Zumal gerade bei der Überwachung des ausgehenden Traffics (und der leider üblichen Monsteranhänge) sehr häufig Sendefehler auftreten.
    • NIEMALS den AV-Scanner das TB-Userprofil überwachen lassen!!! (Ein bewusst durchgeführter "on-demand-Scan" ist zulässig, wenn du zum einen sicherstellst, dass der Scanner garantiert nur lesend zugreift, und wenn <user> weiß, was er im Falle des Falles zu tun hat.)
    • Jeden Mailanhang zuerst von der Mail in einen Downloadordner ablösen, dort bewusst scannen und erst danach vor Ort öffnen. Niemals direkt aus dem Mailclient heraus starten!
      Aber das glaubt mir der bequeme User ja eh erst dann, wenn er wegen Missachtung dieses Grundsatzes das erste mal so richtig auf die S*****e gefallen ist.

    Und obwohl Mike keine Diskussion über Linux und AV-Scanner gewünscht hat, trotzdem:
    JA, für uns Linuxnutzer ist Malware ggw. noch kein nenneswertes Thema. Trotzdem betreibe ich auf meinen Linux-Rechnern einen (on-demand betriebenen) AV-Scanner, den kostenlos erhältlichen "bitdefender for unices". Nicht etwa um mich selbst zu schützen, sondern vielmehr, um meine befreundeten Nutzer der WinDOSe vor dem Erhalt von "virenverseuchten" Mailanhängen zu bewahren. Allein schon der Gedanke, dass ausgerechnet ich ihnen einen befallen Mailanhang weiterleite, treibt mir den Schweiß auf die Stirn. Soviel Zeit muss sein ... .



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke für die Infos.
     
    @Peter_Lehmann
    Die geschilderten Verfahren (Decodierung, Muster- und verhaltensbasierte Profüngen) kann man doch ganz ohne auf Dateien zurückzugreifen auch direkt im Arbeitsspeicher ablaufen lassen.



    Die Beschreibung am Ende von https://www.thunderbird-mail.d…ware_-_Datenverlust_droht! ist doch eigentlich das, was ich anfangs angenommen habe - erst Prüfung, dann speichern. Damit können dann auch keine Mail-Dateien beschädigt werden.

    Einmal editiert, zuletzt von TussiMusterfrau ()

  • Sorry für den falschen Link.
    Ich bekommen den einfach hier mit Firefox nicht geregelt - wegen des Ausrufezeichens am Ende.
    Vielleicht so:
    https://www.thunderbird-mail.d…e_-_Datenverlust_droht%21
    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

    Einmal editiert, zuletzt von mrb ()

  • Hallo @Peter_Lehmann,


    wie immer ein ziemlich ausführlicher und informativer Beitrag von dir, danke!


    Zu Linux und AV-Scanner:


    Mein entsprechendes Tutorial habe ich unter Anderem auch wegen den von dir genannten Gründen erstellt, immerhin gibt es in meinem eigenen Umfeld kaum einen Linux-Rechner. Für meine Zwecke ist das auch ausreichend mit ClamAV (eigentlich on-demand, mit clamdrib aber doch irgendwie on-access), da ich vor der Weitergabe einer Datei diese sowieso erst bei VirusTotal überprüfe.


    Interessant hierzu auch folgendes:


    Dr. Web entdeckt multifunktionalen Linux-Trojaner


    und dieser Artikel von mir:


    Sicherheit am PC III: Von Nicht-Trojanern, Viren, Paßwörtern und Linux!


    Ich frage mich hier die ganze Zeit, woher "Dr. Web" immer wider solche Dinger findet. Sie lassen damit andere AV-Hersteller irgendwie wie Deppen dastehen. Allerdings habe ich irgendwie die Befürchtung, daß die Trojaner aus deren eigener Produktion stammen!



    Viele Grüße aus Augsburg


    Mike

  • Hallo Mike,


    Ich frage mich hier die ganze Zeit, woher "Dr. Web" immer wider solche Dinger findet.


    Nun, vermutlich, weil sie sich für Schädlinge unter Linux interessieren. Dass auch Linux prinzipiell von Maleware betroffen sein kann, ist auch überhaupt keine Neuigkeit. Das war schon immer so.
    Allerdings ist das Risiko um ein Vielfaches geringer als bei Windows. So auch in diesem Fall:


    Zitat


    Außerdem kann das Einspielen des Trojaners ausschließlich mittels Root-Rechten erfolgen.


    Also, so ein dolles Ding ist diese Nachricht nicht.


    Allerdings habe ich irgendwie die Befürchtung, daß die Trojaner aus deren eigener Produktion stammen!


    Das klingt jetzt aber schon sehr nach "die Mondlandung war nur vorgetäuscht".


    Gruß


    Susanne

  • Hallöchen Susanne!


    Nun, vermutlich, weil sie sich für Schädlinge unter Linux interessieren.


    Das gilt aber auch für viele andere auch kommerzielle AV-Scanner, trotzdem wird dort offensichtlich nie was neues gefunden!


    Dass auch Linux prinzipiell von Maleware betroffen sein kann, ist auch überhaupt keine Neuigkeit. Das war schon immer so.


    Laß das ja keinen "Jünger" hören, Steinigung droht! :/


    Das klingt jetzt aber schon sehr nach "die Mondlandung war nur vorgetäuscht".


    Ähm... soweit will ich jetzt doch nicht gehen! :D


    Viele Grüße aus Augsburg


    Mike

  • Hallo Mike,


    Das gilt aber auch für viele andere auch kommerzielle AV-Scanner, ...


    Das weiß ich nicht. Dazu habe ich mich bisher viel zu wenig mit AV-Scannern beschäftigt. Ich habe aber den Eindruck, dass sich kaum ein Hersteller mit Maleware für Linux beschäftigt. Warum sollten sie auch? Es gibt ja kaum welche. Wenn man den Zahlen von Kaspersky Glauben schenkt, dann werden täglich mehr neue Schädlinge für Windows entdeckt als es sie für Linux oder MacOs insgesamt überhaupt gibt. Und aufgrund des geringen Verbreitungsgrades auf dem Desktop ist Linux nun wirklich kein attraktives Ziel.


    Selbst die wenigen Scanner für Linux dienen ja eher dem Schutz Windowsanwender, also davor, dass ein Linuxer unbemerkt einem Windowsbenutzer einen Schädling schickt.


    Laß das ja keinen "Jünger" hören, Steinigung droht!


    Wie Du weißt, gibt es hier zu meiner Freude schon ein paar Linuxer. Nicht sehr viele, aber sicher überproportional. Doch Fanatiker dieser Art gibt es hier ja zum Glück nicht. :-)


    Gruß


    Susanne

  • Hallo Mike,


    falls Du in Deinem Bekanntenkreis solche "Jünger" hast, mir hat ein Kollege heute dazu einen passenden Link geschickt. Überschrift: "Windows ist wesentlich sicherer als OS X, iOS und Linux Kernel", siehe http://winfuture.de/news,85968.html


    Bei der Bewertung solcher Zahlen sollten man allerdings einige Punkte berücksichtigen, die der Artikel nicht erwähnt (ein Schelm, wer Böses vermutet). Er gibt nämlich nur die Anzahl der Lücken je Kategorie wieder. Folgenden Fragen bleiben völlig offen:

    • Wie schnell wurden die Lücken nach Bekanntwerden geschlossen?
    • Gab/Gibt es überhaupt Exploits zu den Lücken? Mit anderen Worten: Wurde die jewelige Lücke überhaupt ausgenutzt?
    • Bei den MS-Produkten wurde sauber nach Desktop und Server unterschieden. Beim Linux-Kernel nicht. Einige Lücken betrafen aber z.B. nur Server.
    • Viren, Trojaner und andere Malware, die sich ganz ohne Sicherheitslücken breit machen, wurden gar nicht berücksichtigt.
    • etc.

    Der Bericht ist in dieser Form also alles andere als für die reale Sicherheit relevant. Die Anzahl der Exploits geht im Vergleich zu Windows für MacOs und Linux geradezu gegen null. Siehe oben, mehr als 200 000 Windowsschädlinge pro Tag!
    Klar ist aber dennoch, dass es Lücken im Linux gibt.


    Nebenbei, für den einen oder anderen vielleicht überraschend: Java und Flash wiesen demnach weniger Lücken auf als z.B. der Firefox.


    Gruß


    Susanne