Verständnisfrage zu Problemen mit Viren-Scannern

Hallöchen!

Zitat von TussiMusterfrau

Eigentlich würde ich erwarten, daß Überprüfung und weitere Maßnahmen incl. Löschen beim Empfang der Mail erfolgt und nicht erst beim Speichern. Sehe ich das falsch?

Ja, Du siehst da etwas falsch! Geprüft wird meines Wissens nach dem Empfang, ganz sicher bin ich mir aber auch nicht. Löschen kann ein Virenscanner natürlich ebenfalls erst, wenn etwas bereits empfangen wurde, also auf deinem Rechner vorhanden ist! Das geht ja auch gar nicht anders, denn was soll der Virenscanner denn sonst prüfen und löschen?

Ich gehe jetzt mal bei anderen Virenscannern von einer ähnlichen Funktionsweise wie bei dem von mir übernommenem Add-on clamdrib (bitte keine Diskussion bezüglich Linux und Virenscanner!) in Verbindung mit dem Virenscanner ClamAV aus, dort wird auch nach Empfang geprüft, wie ich anhand des Taskmanagers feststellen kann. Einziger Unterschied zu anderen Lösungen ist, daß clamdrib keine Mails löschen kann. Diese Möglichkeit wurde vom ursprünglichen Entwickler des Add-ons nicht vorgesehen und ich habe auch nicht vor, solch eine Funktion einzubauen.

Es genügt ja auch, wenn die Mail entsprechend als "infiziert" angezeigt wird. Dann hat man auch wenigstens die Chance, daß man im Fall einer Falschmeldung die Mail behalten kann. Das ist wie bei einem SPAM-Filter, der sollte auch nicht einfach eine entsprechende Mail löschen. Ich hatte es z. B. schon öfter, daß eine Registrierungsmail im Junk-Ordner gelandet ist!

Die Empfangenen Mails landen also in der MBox-Datei und die wird dann vom Scanner geprüft. Wenn dort nun ein Schädling vorhanden ist dürfte jedem klar sein, daß der Scanner nicht einfach einzelne Teilstücke aus dieser Datei entfernen kann

...

wobei

...

wenn ein Virenscanner direkt die entsprechende Löschfunktion von Thunderbird oder in meinem Fall SeaMonkey dafür verwenden würde, dann sollte das eigentlich schon möglich sein. Trotzdem würde ich nicht einmal im Traum daran denken! Sollte das nämlich ein falscher Alarm sein ... wie war das doch gleich mit nicht mehr funktionierenden Windows-Systemen und ähnlichem? Sollte sich der Scanner nämlich irren, dann könnte das eventuell ein Problem geben. Deswegen gilt für jeden Virenscanner:

Prüfen ist OK, löschen geht aber mal gar nicht!

Grüße nun aus Augsburg

Mike

Hallo,
Lies bitte diese LInks, dann weißt du mehr über das Problem mit Virenscanner, Mailboxen und Indexdateien:

https://www.thunderbird-mail.de/wiki/Das_Mbox-…C3%BCr_Probleme
https://www.thunderbird-mail.de/wiki/Antivirus…erlust_droht%21
https://www.thunderbird-mail.de/wiki/Datenverlust_vorbeugen
http://sicher-ins-netz.info/wuermer/mailbox.html
https://www.thunderbird-mail.de/lexicon/:Korrupte_Indexdateien

Gruß

Hallo TussiMusterfrau,

Zitat

Eigentlich würde ich erwarten, daß Überprüfung und weitere Maßnahmen incl. Löschen beim Empfang der Mail erfolgt und nicht erst beim Speichern. Sehe ich das falsch?

Die Antwort ist ein klares "JAIN"!
Sowohl als auch.
Einige, nicht alle und vor allem nicht die Kostnix-Varianten der AV-Scanner beherrschen zwei Funktionen der Prüfung (von E-Mails!):

• Die direkte Prüfung des ein- und ausgehenden Datenstromes. Also die direkte Prüfung der Verbindungen zu den beiden Mailservern.
  Vorteil: Das ist die Aktion "für Faule und Bequeme". Letztere müssen sich um nichts kümmern, der AV-Scanner macht das ja von ganz alleine ... .
  Du solltest aber wissen, wie das abläuft: Zum einen müssen die innerhalb des Mailbodys im ASCII-Format gespeicherten, also umcodierten binären Mailanhänge wieder in ihr ursprüngliches Binärformat umcodiert werden. Die Daten können nur im ASCII-Format übertragen werden - die AV-Scanner erwarten aber das Binärformat, weil sonst die Erkennung der Malware anhand der ihnen bekannten Signaturen fehlschlägt. Und dann ist es ja heutzutage auch aus gutem Grund üblich, den Bitstrom der Verbindungen zu den Servern richtig zu verschlüsseln. Also zuerst symmetrisch entschlüsseln, dann die entschlüsselten Daten zu Binärdaten zurückcodieren und dann das ganze noch durch die aus den Signaturen gebildeten "Siebe" für zig-Tausende von Schadbestandteilen pressen. Sorry, aber der "arme" AV-Scanner tut mir richtig leid ... . Ich kann mir auch noch nicht mal vorstellen, dass dieser in der Lage ist, mit diesem Verfahren nicht nur die signaturbasierte Prüfung , sondern auch noch die sehr wichtige verhaltensbasierte Prüfung (was passiert an ungewöhnlichen Effekten, wenn der Anhang gestartet wird?) durchzuführen.
  Fazit: Wie oben gesagt, "Aktion für Faule". Diese Funktion kann niemals die gleiche Erkennungsrate haben, wie ein ordentlicher bewusst gestarteter "on-demand-Scan"!
  
• Die Überwachung der Speicherung des immer noch nach ASCII-codierten, aber immernhin nicht mehr verschlüsselten Mailinhalts auf dem lokalen Speichermedium. Also die Überwachung deines TB-Userprofils. Wichtig zu wissen: Auch hier handelt es sich meistens (!) um einen reinen "on access-Scan" mit dem oben beschriebenen Nachteil. Auch wenn die Werbung das niemals zugeben wird, ein "on access-Scan" ist niemals so treffsicher, wie der bewusst gestartete "on-demand-Scan"! Es gibt aber auch Scanner, welche die Mail speichern, und erst danach den gespeicherten Inhalt prüfen. Aber, wer weiß das schon?
  Und, wie du ja schon selbst festgestellt hast, besteht bei einem falsch konfigurierten AV-Scanner immer die Gefahr, dass dieser bei einem erkannten (oder auch nur vermuteten!) Befall mit Malware die befallene Datei löscht. Löschen bedeutet bei einem AV-Scanner, dass er sie shreddert, also kryptologisch überschreibt! Und dummerweise ist die befallene Datei dann deine komplette mbox-Datei, und der User, der seinen AV-Scanner falsch konfiguriert betreibt, hat natürlich auch noch nei etwas von einer Datensicherung gehört ... .
  (JA, es gibt zum Glück AV-Scanner, welche von sich aus so konfiguriert sind, dass sie niemals schreibend auf das Dateisystem zugreifen! Danke, Mike!)

Deshalb bleibt es bei meiner dringlichen Empfehlung für alle Nutzer einer WinDOSe:

• Überwachung des eingehenden Traffics: JA, als erste Verteidigungslinie (die oft überrant wird!) und auch mit dem Wissen, dass du dir damit bei TLS-geschützter Verbindung die sichere Identifizierung des verbundenen Mailservers nimmst. Du darfst also niemals sicher sein, dass du wirklich den Mailserver deines Providers kontaktierst. Es könnte auch ein anderer sein ... .
• Überwachung des ausgehenden Traffics zum SMTP-Server: NEIN!
  Wenn du nicht durch einen bewusst vor dem Einfügen des Anhanges an die Mail und mit einem frisch aktualisierten AV-Scanner durchgeführten Scan sicherstellst, dass dein Anhang clean ist, handelst du gegenüber deinen Mailpartnern verantwortungslos! Und wenn du vorher mit dem höherwertigen Scann deinen Mailanhang überprüft hast, kannst du dir den weniger aussagefähigen Scan des Traffics sparen. Zumal gerade bei der Überwachung des ausgehenden Traffics (und der leider üblichen Monsteranhänge) sehr häufig Sendefehler auftreten.
• NIEMALS den AV-Scanner das TB-Userprofil überwachen lassen!!! (Ein bewusst durchgeführter "on-demand-Scan" ist zulässig, wenn du zum einen sicherstellst, dass der Scanner garantiert nur lesend zugreift, und wenn <user> weiß, was er im Falle des Falles zu tun hat.)
• Jeden Mailanhang zuerst von der Mail in einen Downloadordner ablösen, dort bewusst scannen und erst danach vor Ort öffnen. Niemals direkt aus dem Mailclient heraus starten!
  Aber das glaubt mir der bequeme User ja eh erst dann, wenn er wegen Missachtung dieses Grundsatzes das erste mal so richtig auf die S*****e gefallen ist.
  

Und obwohl Mike keine Diskussion über Linux und AV-Scanner gewünscht hat, trotzdem:
JA, für uns Linuxnutzer ist Malware ggw. noch kein nenneswertes Thema. Trotzdem betreibe ich auf meinen Linux-Rechnern einen (on-demand betriebenen) AV-Scanner, den kostenlos erhältlichen "bitdefender for unices". Nicht etwa um mich selbst zu schützen, sondern vielmehr, um meine befreundeten Nutzer der WinDOSe vor dem Erhalt von "virenverseuchten" Mailanhängen zu bewahren. Allein schon der Gedanke, dass ausgerechnet ich ihnen einen befallen Mailanhang weiterleite, treibt mir den Schweiß auf die Stirn. Soviel Zeit muss sein ... .

MfG Peter

Sorry für den falschen Link.
Ich bekommen den einfach hier mit Firefox nicht geregelt - wegen des Ausrufezeichens am Ende.
Vielleicht so:
https://www.thunderbird-mail.de/wiki/Antivirus…erlust_droht%21
Gruß

Hallo @Peter_Lehmann,

wie immer ein ziemlich ausführlicher und informativer Beitrag von dir, danke!

Zu Linux und AV-Scanner:

Mein entsprechendes Tutorial habe ich unter Anderem auch wegen den von dir genannten Gründen erstellt, immerhin gibt es in meinem eigenen Umfeld kaum einen Linux-Rechner. Für meine Zwecke ist das auch ausreichend mit ClamAV (eigentlich on-demand, mit clamdrib aber doch irgendwie on-access), da ich vor der Weitergabe einer Datei diese sowieso erst bei VirusTotal überprüfe.

Interessant hierzu auch folgendes:

Dr. Web entdeckt multifunktionalen Linux-Trojaner

und dieser Artikel von mir:

Sicherheit am PC III: Von Nicht-Trojanern, Viren, Paßwörtern und Linux!

Ich frage mich hier die ganze Zeit, woher "Dr. Web" immer wider solche Dinger findet. Sie lassen damit andere AV-Hersteller irgendwie wie Deppen dastehen. Allerdings habe ich irgendwie die Befürchtung, daß die Trojaner aus deren eigener Produktion stammen!

Viele Grüße aus Augsburg

Mike

Hallöchen Susanne!

Zitat von SusiTux

Nun, vermutlich, weil sie sich für Schädlinge unter Linux interessieren.

Das gilt aber auch für viele andere auch kommerzielle AV-Scanner, trotzdem wird dort offensichtlich nie was neues gefunden!

Zitat von SusiTux

Dass auch Linux prinzipiell von Maleware betroffen sein kann, ist auch überhaupt keine Neuigkeit. Das war schon immer so.

Laß das ja keinen "Jünger" hören, Steinigung droht!

Zitat von SusiTux

Das klingt jetzt aber schon sehr nach "die Mondlandung war nur vorgetäuscht".

Ähm... soweit will ich jetzt doch nicht gehen!

Viele Grüße aus Augsburg

Mike