Hi,
bei mir traf, wie wohl schon bei vielen anderen, ein Spammail mit o. a. Anhang ein. Da befindet sich, wenn ich den ergockelten Informationen folge, ein Trojanisches Pferd drin.
Meine Frage: Warum hat weder der Virenscanner des Mailproviders (1&1) noch mein eigener (ClamXav, Mac) Alarm geschlagen? Oder kann Malware in Zip-Dateien grundsätzlich nicht erkannt werden?
Gruß S
Hallo,
die Möglichkeiten zur Maskierung von Viren sind einfach Legion.
Virenscanner haben gute Erfolgsraten, wenn Viren in „Normalform“ daherkommen. Das ist immer dann der Fall, wenn sich der Schädling ohne Mithilfe des Benutzers einnisten möchte. Also beispielsweise über eine manipulierte Bild- oder Tondatei im HTML-Code.
Bekommt der Schädling aber die Unterstützung eines überforderten Benutzers, sind die Chancen einer Erkennung geringer bis Null. Natürlich gibt es Scanner, die Signaturen einer gezippten Version prüfen oder jede Datei oder jeden Anhang entzippen, aber gerade letztes kostet halt Zeit. Und Benutzer möchten gerne „schnelle“ Virenscanner.
Also nimmt mit jedem Schmankerl (mehrfach Zippen, andere Packformate oder -optionen) die Wahrscheinlichkeit ab, dass der Schädling über die Signatur erkannt wird.
Das Ganze geht bis zur absoluten Nichterkennung, wenn das Zip-Archiv verschlüsselt wird und der Benutzer den Code zu seinem eigenen Verderben mitgeliefert bekommt.
Ggf. erkennen Virenscanner solche Schädlinge auch im Verhalten und reagieren auf einem echten PC rechtzeitig vor der endgültigen Infektion.
Ciao, Allesquatsch
Meine Frage: Warum hat weder der Virenscanner des
Mailproviders (1&1) noch mein eigener (ClamXav, Mac) Alarm
geschlagen? Oder kann Malware in Zip-Dateien grundsätzlich
nicht erkannt werden?
Du musst damit rechnen, dass es mindestens einen Tag dauert, bis neue Trojaner wenigstens von ein paar Virenscannern erkannt werden. Was dann auch nichts mehr nutzt, weil dann schon längst der nächste Trojaner verschickt wird.
Mittlerweile sind Virenscanner bei per Mail versandten Trojanern nahezu vollkommen nutzlos. Bei den Trojanern, die auf den von mir verwalteten Servern in den letzten Wochen eingegangen sind, lag die Erkennungsrate bei Eingang der Trojaner oft bei 0 (Null!) von 52 Virenscannern auf http://virustotal.com und steigerte sich dann in den Folgetagen so langsam auf im Schnitt etwa 20 von 52.
Dazu kommt, dass dein ClamXav ist inzwischen völlig heruntergekommen ist, er taugt für den Schutz vor Trojanern in Mails praktisch überhaupt nichts. Ich setze ihn ebenfalls ein (die Linux-Variante), und ausser zwei Fehlalarmen hat er in diesem Jahr gerade mal 2 Viren/Trojaner erkannt. Alleine im Mai aber hatte ich bislang 37 Trojanereingänge!
Was die Server bei 1&1 hätten erkennen können ist, dass die Zip-Dateien ausführbare Dateien enthalten und sie hätten erkennen können, dass diese Mails massenhaft versendet wurden. Sie hätten der Mail daher eine entspr. Warnung beifügen können.
Dass die Trojaner gezippt werden, ist hingegen (solange nicht gleichzeitig verschlüsselt wird) völlig irrelevant. Ich habe immer wieder mal testweise originale, gezippte Trojaner bei Virustotal eingeworfen und die Ergebnisse mit einem Scan der entpackten Trojaner verglichen. Kein Unterschied!
Gruß
Ok, verstehe. Werde in ein paar Tagen das Ding nochmal beprüfen.
Danke & *
Gruß S