Trojaner hebelt cloud-basierte Virenscanner aus(Quelle: heise.de)
Der vorwiegend in China verbreitete Trojaner Bohu hebelt Antivirenlösungen aus, die zur Einschätzung des Risikos einer Datei einen Server in der Cloud befragen. Das berichtet Microsofts Malware Protection Center. Bohu geht dabei auf verschiedenen Wegen vor, um einer Erkennung zu entgehen.
[quote user="RatzFatz" post="38868"]Trojaner hebelt cloud-basierte Virenscanner aus[/quote]
Einer der größten Nachteile der cloud-basierenden Scanner und einer der Gründe, warum ich mich damit nicht wirklich anfreunden kann.
Bei Panda Cloud AV bekommt man die Meldung dass keine Internetverbindung aktiv ist - spätestens dann sollten die Alarmglocken läuten und man kann ein Backup einspielen :king12
Die zufälligen Daten führen aber zu einem neuen Hash-Wert, sodass die Datei vom Server in der Regel als bislang unbekannt eingestuft wird.
Ahm - erkennen "herkömmliche" AV die Infektion nicht mittels Hash-Wert? :shock:
[quote user="Progresso" post="38873"]Ahm - erkennen "herkömmliche" AV die Infektion nicht mittels Hash-Wert? :shock:[/quote]
Wenn ich mich nicht irre => nein, denn ein Schaedling kann ja mehrere Hashes haben (sobald du eine Datei umbenennst, sollte die im Prinzip schon einen neuen Hash haben). Es wird mehr eine Zeichenfolge (der sogenannten PE Header) ueberprueft. Das ist allerdings gaaaaaaaaaaanz grob genommen auch ein Hash.
Sind "moderne" Cloud AVs nach wie vor anfällig für solche Angriffe? :???:
Only Cloud basierte Lösungen haben Vorteile und Nachteile. Der Vorteil ist, dass das Installationspaket sehr schlank ist, kaum Ressourcen verbraucht und bei der Ausführung nicht wahrnehmbar ist - natürlich sollte man die schnelle Reaktionszeit nicht vernachlissigen. Aber dieser Punkt ist bei anderen Lösungen bisher auch sehr gut gelungen so das dieser Vorteil nur Marginal ausfällt
Der Nachteil ist der ständige Abgleich mit den Online-Servern. Ein Netzwerkfähiger Trojaner der nicht erkannt wird ist immer in der Lage die Sicherheitslösung abzuschalten. Deshalb gibt es keine 100%ige Garantie, dass alles erkannt wird.
Die Anfälligkeit hängt also nicht davon ab, wie Leistungsfähig so eine Lösung ist, sondern wie diese auch bei "verkappter" Verbindung reagiert. Da die Sicherheitslösungen eigentlich immer im Nachteil sind (es wird ja erst was erkannt wenn es großflächig im Netz ist) muss also eine Lösung her die quasi beim Surfen den Rechner vom privatem System trennt. Da sind Lösungen wie Sandboxie oder Sandboxen allgemein in Verbindung mit anlegen von Snapshots eines System um ein Rollback zu ermöglichen viel besser. Leider gibt es in dieser Hinsicht noch keine Sicherheitslösung die beides zuverlässig anbietet ohne Mehrkosten zu verursachen (z.B. Kosten für Online-Backups).
[quote user="Lector" post="54351"]
Die Anfälligkeit hängt also nicht davon ab, wie Leistungsfähig so eine Lösung ist, sondern wie diese auch bei "verkappter" Verbindung reagiert.[/quote]
Dafür gibt es laut Werbung eben Verhaltensblocker und Heuristik, wobei natürlich interessant wäre wieviel damit noch erkannt wird ... :???:
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
