Windows Defender schlägt Alarm: "Trojan:Win32/Fuery.b!cl" gefunden, wie verfahren?

[Deep4]

Ja, im Positiven, wie auch im Negativen.
...snip

Machen wir es mal kurz: Wie sieht Deine Lösung ohne Virenscanner aus? Nur weil ein Virenscanner meinetwegen noch einen gewissen Prozentsatz an Schadsoftware durchlässt ändert das nichts daran, das ein ein z.B. 80%er Schutz (ich behaupte die Raten liegen aktuell deutlich höher bei gängiger Malware) besser ist als gar kein Schutz, oder?

 

[maba_de]

warum sollte es dann eine Client-AV-Loesung ploetzlich koennen

weil die Virensignaturen im Stundentakt kommen. Der Virus, der jetzt durch alle Systeme läuft, wird vermutlich in einer Stunde erkannt, es sei denn, er wird vorher aktiv, dann wird der Client direkt isoliert.

 

[electricdawn]

Und die Gatewayloesungen bekommen die Updates nicht?

Wie gesagt, ich gehe von blockierten USB-Ports am Client aus.

 

[Deep4]

@Deep4:

Ok, wenn Du aber selbst sagst (und ich glaube Dir wirklich, dass Du da weitaus mehr Erfahrung hast, als ich), dass die nicht alles abfangen koennen, warum sollte es dann eine Client-AV-Loesung ploetzlich koennen? Das interessiert mich jetzt wirklich. Oder setzt Du auf das Prinzip moeglichst verschiedener Hersteller, einer wird's schon richten? Das meine ich jetzt nicht negativ.

Masse hilft, klar. Zumal man zwischen Scan auf dem Mailgateway und dem Öffnen der Mail auf dem Client ja auch mehrere Stunden Verzögerung haben kann. Bei uns trudeln alle 4h neue AV-Signaturen auf den Clients ein, manchmal reicht das schon damit neue Signaturen frische Malware enthalten. Wenn ich eine dem Defender unbekannte Malware an Microsoft melde dauert das 4-8h bis diese bei uns auf den Systemen erkannt wird. Microsoft ist da sehr flott was sowas angeht.

Edit : maba war schneller...

 

[maba_de]

Und die Gatewayloesungen bekommen die Updates nicht?

doch, aber dann ist der Virus schon vorbei und auf dem Client angekommen.

 

[electricdawn]

Ich gehe mal davon aus, dass ihr auch den Scanner auf dem Exchange-Gateway updated, wenn eine Aktualisierung reinkommt, nicht nur die Clients, korrekt?

Ok, was passiert, wenn ein Client infiziert ist, und die AV-Software erkennt das Problem NICHT? Dann kannst Du ja auch nichts melden, oder?

 

[maba_de]

Ok, was passiert, wenn ein Client infiziert ist, und die AV-Software erkennt das Problem NICHT? Dann kannst Du ja auch nichts melden, oder?

richtig. Und ausschließen kann man solche Fälle auch nicht. Aber die Erkennungsrate der Scanner dürfte bei über 99% sein. Das, was der Scanner heute nicht erkennt, erkennt er mit hoher Wahrscheinlichkeit morgen.

 

[Deep4]

Ok, was passiert, wenn ein Client infiziert ist, und die AV-Software erkennt das Problem NICHT? Dann kannst Du ja auch nichts melden, oder?

Und ohne Virenscanner auf dem Client melde ich auch nichts, weil ich es so oder so nicht mitbekomme....Worauf willst Du hinaus?

Wie soll man eine unbekannte Bedrohung feststellen? Das kannst Du erst sobald die Auswirkungen erkennbar sind, dann trennen wir das betroffene System vom Netz und legen mit der forenischen Analyse los.

In solchen Fällen hilft Dir ein Virenscanner natürlich nicht, aber gar kein Virenscanner hilft Dir erst Recht nicht.

PS: Nochmal - der Virenscanner ist nur ein kleines Rädchen im Getriebe, und nicht das Wichtigste. Wenn wir die Vermutung haben das irgendwas im Busch ist suche ich auch mit anderen Mitteln im Netz nach Anzeichen. Beispiele sind hier Schwachstellenscanner (ich nutze Nexpose Rapid 7 und OpenVAS), ein simpler Portscan auf alle Subnetze oder auch ein Remote-Scan per PowerShell auf bestimmte Files oder Regkeys.

 

[electricdawn]

der Virenscanner ist nur ein kleines Rädchen im Getriebe, und nicht das Wichtigste.

Das macht Sinn, aber gerade durch die Virenscanner erhoeht sich ja das Risiko, dass der Rechner gehackt werden kann (Prinzip groessere Angriffsflaeche). In unserem, speziellen Fall kommt noch die abgrundtief schlechte Performance dazu, und das Updates gerne mal nicht installieren, weil die AV-Software dazwischen schiesst.

Eurer Meinung nach ist es das also wert, nehme ich an?

 

[Deep4]

Den Beweis, das Eure eingesetzte AV-Lösung die Angriffsfläche für Hacks in Eurem Umfeld erhöht musst Du erstmal erbringen. Potentiell mag das so sein, gilt aber für jedes andere Stück Software welches Ihr einsetzt aber genauso.

Dein Problem ist, dass die AV-Lösung die ihr einsetzt entweder

- shice ist
- schlecht konfiguriert ist
- nicht zu euren Bedürfnissen passt

Suche Dir was davon aus. Probleme mit Performance und Updates etc. kenne ich bei den Microsoft-Lösungen nicht., in einem anderen Umfeld kann das aber anders aussehen.

Es gibt keine allgemeingültigen Patentrezepte für IT-Sicherheit. Es gibt aber viele Dinge die sich grundsätzlich bewährt haben, und Virenscanner sind eines davon. Trotz aller vorhandenen Mängel und Einschränkungen.

 

[agrajag]

Machen wir es mal kurz: Wie sieht Deine Lösung ohne Virenscanner aus? Nur weil ein Virenscanner meinetwegen noch einen gewissen Prozentsatz an Schadsoftware durchlässt ändert das nichts daran, das ein ein z.B. 80%er Schutz (ich behaupte die Raten liegen aktuell deutlich höher bei gängiger Malware) besser ist als gar kein Schutz, oder?

Na, gar kein AV – was denn sonst? Aud den von mir genannten Gründen. Ich hab noch nie in meinem Computer-Leben (seit 1985) einen AV-Scanner benutzt, der auf dem Client läuft. Sicher, ich kann nicht ausschliessen, daß ich mir nicht mal was gefangen habe, aber diese Garantie hast du mit AV-SW auch nicht. Ich hab in meinen Windows-Zeiten höchstens mal einen Scanner von einer Linux-Read-Only-Distri laufen lassen. Nie wurde irgendwas gefunden.

Du hast mir immer noch keine Erklärung gegeben, warum Generationen von Nerds 1-2x Jährlich die Rechner der kompletten Bekanntschaft entwanzen mussten, wo AV doch so gut hilft.

Ich schütze mich, indem ich

• nie ohne (Ad)Blocker surfe, meine Programme beim hersteller herunterlade,
• bei Downloads, die einem mehr als Download-Button anbieten eher den leisesten oder keinen benutze,
• keine Firewall benutze und statt dessen einfach keine Ports öffne, die ich nicht benötige
• keine gefundenen USB-Sticks einfach so in meinen ;-) Rechner stecken würde
  
• generell recht mistrauisch (IMHO in einem gesunden Ausmaß) bin und meine Neugierde einfach im Griff habe

Das Problem lässt sich offenbar sehr gut mit Nachdenken lösen. Es hat auch sonst keiner von meinen Bekannten, die auf AV verzichten irgendwelche Probleme mit Malware. Die machen es genauso wie ich: im Zweifel einfach nicht klicken.

Mir ist bewusst, daß es einfacher ist, einem DAU eine AV-Lösung in die Hand zu drücken, da dieser sich nicht mehr kognitiv damit auseinandersetzen muß. Aber das ist schlussendlich ein Trugschluß. Hier hilf IMHO nur Kompetenzerwerb – ganz genau so wie im richtigen Leben. Ja es ist Anstrengend, aber das funktioniert besser als sich auf eine AV zu verlassen.

 

[electricdawn]

Wie gesagt, bin hier unterster Level, habe darauf genau null Einfluss.

Und es ist mittlerweile bekannt, dass AV-Software die Sicherheit von Browsern gezielt aushebelt, da sie sich in den HTTPS-Traffic reinhaengen. Und genau da liegt ja ein Hauptangriffsvektor fuer Malware.

Und ja, McAfee ist richtiger Shice. Das Defender da wohl um einiges besser ist, brauchen wir uns nicht drum zu streiten, da gebe ich Dir recht. Ob McAfee dann noch schlecht konfiguriert ist, liegt ausserhalb meiner Befugnis und meiner Kenntnis. Ich weiss nur, was bei mir hier auf den Clients ankommt, und das ist wirklich echter Shice.

PS: @agrajag: Ich denke, dass wir aber auch zwischen Enterprise- und privaten Nutzern unterscheiden muessen.

 

[agrajag]

Was unterscheidet denn den Enterprise- vom Privat-Client? Mal abgesehen davon, daß der Enterprise-Client in einer geschützten Infrastuktur läuft? Ich kann da bzgl. des Clients nicht wirklich weitere Unterschiede feststellen.

 

[electricdawn]

Es ist einfach viel schwieriger, zigtausend Nutzer auf ein besseres Nutzerverhalten einzuschwoeren, als wenn Du das nur bei Dir selbst machst. Glaube mir, das kannst Du so gut wie vergessen. Ich sehe das jeden Tag bei mir. Und ich habe nur mit ca. 80 zu tun.

Ansonsten waere Antivirus-Software ja so gut wie nicht vorhanden.

 

[maba_de]

Ich schütze mich

und genau das ist der Unterschied zwischen Dir und deinem Verhalten und dem, was Deep und ich ansprechen.

 

[electricdawn]

Da muss ich maba wohl Recht geben, aus den von mir schon genannten Gruenden.

 

[maba_de]

zu Hause reicht mir auch der Defender, ich würde da auch keinen zusätzlichen Scanner installieren.
Dort bedeutet mein Sicherheitskonzept: aktuelles System, keine Admin Rechte, kein Flash, Defender - fertig.

Im Enterprise Markt beginnt IT Sicherheit ja schon, bevor man überhaupt in die Nähe eines Computers kommt.

 

[Deep4]

@agrajag

Ich habe keine Idee warum "Generationen von Nerds" 1-2x im Jahr Ihre Rechner entwanzen müssen - wir müssen das hier bei uns in der Firma nicht. Mittlerweile leben unsere Rechner fast ewig und werden nur wegen Altersschwäche der Hardware/Abschreibung getauscht. Wir sind mittlerweile flächendeckend auf Windows 10 und hier auch "as a service", heißt wir setzen in Zukunft noch seltener Rechner neu auf da wir Inplace-Branchupdates machen.

Um noch mal ein wenig Statistik zu bemühen : In den letzten 3 Monaten haben unsere Client-Defender insgesamt rund 200 Funde gemeldet, bei 6000 Clients. Da ist MyWebSearch bei, aber ebenso Zeug wie Conficker oder Forbix.A.

Das sind 200 potentielle Probleme die wir NICHT haben WEIL wir Virenscanner einsetzen. Die Möglichkeit einer höheren Dunkelziffer halte ich für sehr gering.

Ohne Virenscanner hätte sich das Zeug einfach installiert. Peng.

@electricdawn

Nur weil Virenscanner HTTPS-Inspection betreiben heißt das noch lange nicht, das man es auch ausnutzen kann. Ja, die Fälle gab es - zumindest im Labor - öfter, mir sind aber keine Wellen bekannt wo sowas auch mal erfolgreich in freier Wildbahn ausgenutzt wurde. Das ist in erster Linie erstmal Theorie, dann muss jemand einen Weg finden Exploits auf den Rechner zu bringen und dann muss das auch noch funktionieren. Was alles gar nicht so einfach ist.

Die Realität ist die: 99,9% aller Angriffe die irgendeine Relevanz in den letzten Jahren hatten waren breit angelegte Aktionen per Mail und dann ganz billige Makros. Da ist kein Hexenwerk hinter. Und warum ist das so? Weil es in der Realität SEHR schwierig geworden ist, auf sauber gepflegten Rechnern auch nur den Ansatz eines Exploits unterzubringen um damit eine Lücke auszunutzen. Dafür sind die Updatezyklen der Softwarehersteller mittlerweile viel zu schnell um Zielsysteme in ausreichender Menge zu erreichen.

Wenn man natürlich den Patchday schlabbert oder noch XP einsetzt bekommt man die Quittung, siehe NotPetya. Da haben ALLE betroffenen Firmen schlichtweg gepennt, obwohl kurz vorher WannaCry mit demselben Ansatz ordentlich Wirbel verursacht hat.

 

[electricdawn]

Klar, die eigentliche Ursache fuer Infektionen befindet sich halt meist doch zwischen Stuhl und Bildschirm. Im Enterprisebereich mag das auch anders aussehen, gerade wegen der Unberechenbarkeit der Nutzer, aber privat wuerde ich niemals auf einen AV-Scanner setzen (bis auf Defender bei Windows, und Apple hat ja Gatekeeper).

PS: Wegen der HTTPS-Inspection. Das Problem ist ja, dass diese die Schutzmechanismen des Browsers aushebelt, was ja nicht Sinn und Zweck der Geschichte sein kann. AV-Software agiert hier als "Malware". Das ist doch irgendwie nicht richtig.

 

[Deep4]

PS: Wegen der HTTPS-Inspection. Das Problem ist ja, dass diese die Schutzmechanismen des Browsers aushebelt, was ja nicht Sinn und Zweck der Geschichte sein kann. AV-Software agiert hier als "Malware". Das ist doch irgendwie nicht richtig.

Ich habe damit erstmal kein Problem solange es ordentlich umgesetzt ist, irgendwie muss der Virenscanner ja "mitlesen" können. Wenn die Anbieter hier schlampen ist es halt doof, das ist klar. Die Lösung ist Kooperation zwischen Browser-Hersteller und AV-Anbieter, und sich nicht hinstellen und sagen "Der andere ist blöd". Wenn die Hersteller von AV-Lösungen natürlich hingehen und OS-eigene Mitigationen wie ASLR bewusst abschalten damit sie ihre Lösungen einfacher implementieren können hörts natürlich auf. Da wäre Microsoft am Zug und müsste den Herstellern das schlichtweg als Pflicht auferlegen - sonst darf das Produkt nicht installiert werden. Wird so natürlich nicht passieren weil MS sich dann wieder Monopolmissbrauch etc. anhören darf...