Jump to content
JanRei

Standardeinstellungen bezüglich der Erkennung von Riskware und Packern

Standardeinstellungen bezüglich der Erkennung von Riskware und Packern  

25 members have voted

  1. 1. Soll die Erkennung von Riskware standardmäßig aktiviert sein?

    • Ja
      17
    • Nein
      8
    • Andere Voreinstellung (bitte erläutern)
      0
  2. 2. Soll die Erkennung von Packern standardmäßig aktiviert sein?

    • Ja
      14
    • Nein
      9
    • Andere Voreinstellung (bitte erläutern)
      2


Recommended Posts

Ein Beta-Tester hat im englischen Beta-Forum eine Abstimmung zu den Standardeinstellungen bezüglich der Erkennung von potentiell gefährlicher Software (Riskware) und Packern gestartet. Auf Vorschlag von TwinBit stelle ich es auch im deutschen Forum zur Diskussion.

 

Zur kurzen Erklärung:

Die Erkennung von potentiell gefährlicher Software ist bereits länger in KAV/KIS enthalten, in Version 7.0 ist sie - wie auch jetzt seit kurzem in der Versionen 8.0 - standardmäßig deaktiviert. Neu in Version 8.0 ist eine Erkennung von Packern, die darauf basiert, dass bestimmte Techniken zum Packen von Programmen eher bei schädlicher Software Verwendung findet. Diese Option ist in Version 8.0 momentan standardmäßig aktiviert.

 

Wie sollen eurer Meinung nach die Standardeinstellungen hierfür aussehen? Hierbei sind natürlich auch komplexere Vorschläge willkommen. Ich werde mich bemühen, dass auch Meinungen von Testern, die nicht im englischen Beta-Forum teilnehmen können, im offiziellen Beta-Forum berücksichtigt werden.

 

-------------------------------------------

 

Hoffentlich ist es in Ordnung, wenn bei dieser Gelegenheit noch einmal hier meine Meinung, die ich auch schon im englischen Forum geschildert habe, vorstelle. Einer Stimme in der Abstimmung werde ich mich enthalten.

Ich würde gerne etwas weitreichendere Änderungen in diesem Bereich sehen. Die Erkennung von Software, die Anwender wahrscheinlich nicht auf ihrem Rechner haben möchten, sollte standardmäßig aktiviert sein. Dazu zähle ich auch Teile der Riskware wie beispielsweise Dialer oder Adware. Im Gegensatz dazu, sollte die Erkennung von Techniken, die an sich nicht gefährlich sind aber zum Schreiben von schädlicher Software missbraucht werden können, deaktiviert sein. Darüber hinaus, wünsche ich mir, dass Warnfenster dann deutlicher darauf hinweisen und verständlich erklären, dass es sich dabei eben nicht um Schadsoftware handelt. Die Meldungen sollten nicht wie eine Virenerkennung aussehen, wie es zurzeit eher der Fall ist.

Share this post


Link to post

Hi,

aus Sicht eines Supporter kann ich nur definitiv NEIN sagen.

Der Mehraufwand an Support durch Fehlinterpretationden durch Normale Nutzer bzw. False Positive wäre nicht unbedingt tragbar.

 

Als Profil Lösung a la "Standard", "Game", "Secure" je nach Profil dann aktive bzw deaktive wäre es ok.

Aber das mit den Profilen haben wir ja nun noch nicht drin oder doch? ;) (Hab die letzten 8er Builds noch gar nicht mehr genau angesehen seit paar Wochen)

 

Ziel sollte immer sein zu erst die Masse der User mit den Standard Optionen mit bester Performance und höchstmöglicher Sicherheitsstufe ohne das User mit Meldungsfenster zu erschlagen zu versorgen.

 

Bei Riskware und Packer Option wäre dies für die meisten normalen User eine Überforderung die Meldungen dazu zu unterscheiden.

 

Aber als Option für versierte User, klar muss mit dabei sein!

 

Gruß

Carsten

Share this post


Link to post
Ziel sollte immer sein zu erst die Masse der User mit den Standard Optionen mit bester Performance und höchstmöglicher Sicherheitsstufe ohne das User mit Meldungsfenster zu erschlagen zu versorgen.

 

Bei Riskware und Packer Option wäre dies für die meisten normalen User eine Überforderung die Meldungen dazu zu unterscheiden.

 

Aber als Option für versierte User, klar muss mit dabei sein!

 

Gruß

Carsten

 

Ich muss mich da voll und ganz anschließen.

Die meisten Nutzer wären wohl mit den Meldungen überfordert und würden sich am Ende, völlig harmlose Software löschen, weil sie nicht unterscheiden können.

Sind wir doch mal ehrlich, die wenigsten lesen das Handbuch oder verwenden die "Hilfe" bzw. beschäftigen sich näher mit ihrer Sicherheitssoftware, wenn dann eine Meldung kommt überlegen sie nicht, sondern löschen gleich und dann ist das Geschrei groß.

Ähnlich ist es doch mit der Firewall, da wird auf "Maximaler Schutz" gestellt, ohne zu wissen was der eigentlich bewirkt, denn "Maximal" klingt ja immer sicherer als "Training"

 

Abgesehen davon, wird die Version 8 für die allermeisten, die von Version 6 oder 7 kommen, ohnehin eine drastische Umstellung werden.

 

 

Gruß Versus

Share this post


Link to post
Bei Riskware und Packer Option wäre dies für die meisten normalen User eine Überforderung die Meldungen dazu zu unterscheiden.

 

Ob jemand damit überfordert ist oder nicht. Diese Optionen sind ein muss. Es soll ja auch Menschen geben, die darauf verzichten, ihre Haustür abzuschließen und die Fenster geöffnet lassen, wenn sie das Haus verlassen.

 

Wollte aber keinem zu nahe treten. :D

 

Grüsse

Edited by racf

Share this post


Link to post
Ob jemand damit überfordert ist oder nicht. Diese Optionen sind ein muss. Es soll ja auch Menschen geben, die darauf verzichten, ihre Haustür abzuschließen und die Fenster geöffnet lassen, wenn sie das Haus verlassen.

 

Wollte aber keinem zu nahe treten. :D

 

Grüsse

 

Klar, sehe ich auch so, und sagte ich so.

Siehe letzter Satz aus meinen Posting, bitte nicht aus dem Zusammenhang reißen.

Denn der Satz gehört dazu, sonst machts kein Sinn:

Aber als Option für versierte User, klar muss mit dabei sein!

 

;)

Share this post


Link to post
Guest Claudia

ich teile die Meinung von JanRei, kann aber Carsten´s Bedenken gut nachvollziehen.

 

@Carsten Erhöhte Nachfrage macht aber Deinen Arbeitsplatz sicherer :P

Edited by Claudia

Share this post


Link to post
@Carsten Erhöhte Nachfrage macht aber Deinen Arbeitsplatz sicherer :P

 

:ai: :dash1:

 

Öhm ich könnt jetzt schon Vollzeit allein im Forum Beiträge beantworten.

 

Also Arbeit gibts bei KL Germany genug ;)

 

 

Siehe ab und zu nach auf Monsters.de wer einen Job sucht, oder hier

:cb_punk:

 

EDIT: UND nicht wegen den BUGs in der Software wollte ich nur Nachtragen, die machen nicht soviel Arbeit wie man evtl. denkt, für die haben wir unsere Entwicklerteams, Tester Teams in Russland und zum Glück euch Beta Tester aus dem Forum :wub::)

Share this post


Link to post
Guest Claudia

Du machst hier eine super Figur :bravo:

 

P.S. Returkutsche für Dein doppel D :P

Share this post


Link to post

Super JanRei, :bravo:

 

dann hoffen wir mal auf eine rege Teilnahme. Ich persönlich hatte mich spontan für die Option "Beides aktiv" via "Standard Einstellung" entschieden, dabei aber völlig ausser acht gelassen, dass es im nachhinein genauso leicht aktivierbar ist. (Wie bei Integritätskontrolle für Anwendungen) Allerdings könnte ein Hinweis während des Setup den unbedarften Anwender darauf aufmerksam machen, dass die Erkennung von Riskware und Packern standardmäßig aktiv ist, welche jedoch aufgrund der unkomplizierteren Handhabung vorerst auf Wunsch deaktiviert werden kann. Somit sollte sich dann das Risiko verringern, dass die Erkennung von Riskware und Packern aus Neugier/Spieltrieb aktiviert und vergessen wird.

Share this post


Link to post

Hi

 

Meiner Meinung nach sollte die Suche nach Packern schon aktiviert sein, sind diese bei Schadprogrammherstellern doch sehr beliebt um die tatsächliche EXE oder dergleichen darin zu komprimieren und zu verschlüsseln.

Wenn ich eine Installationsdatei oder EXE mit KIS scanne und ich lese da etwas von z. B. UPX, dann werde ich automatisch misstraurisch.

Im Chip Blog "So gefährlich sind PE-Packer" wird das vermeintlich zu wenig beachtete Thema auch beleuchtet.

http://blog.chip.de/0-security-blog/so-gef...acker-20080106/

 

Riskware ist mir als Begriff zu diffus, damit könnte ja Windows auch gemeint sein ;)

 

MfG

Share this post


Link to post

zu Frage 1

Ich habe für ein klares Nein gestimmt, da jetzt schon in der 7.0 Version die Otto-Normalanwender mit den einstellen der Firewall sichtliche Probleme haben.

Ich selbst nutze der Zeit die Grundeinstellung die mir Kaspersky bietet (minimaler Schutz). Unter dieser Einstellung bietet uns Kaspersky einen ausreichenden Schutz. Wer mehr will soll einen Experten modus bekommen sowie die Spieler, endlich ihren Spielemodus, einstellbar im Kontexmenü von Kasper.

 

zu Frage 2

Diese hätte präziese erläutert werden müssen zwischen Erkennen und Untersuchen ist ein wirklich grosser Unterschied. So weis ich aus eigener Erfahrung das Kaspersky mit meinem provozierenden 17 WinRar Achiven MS Office mit intergrierten SP3 erhebliche Probleme mit der Untersuchung von hatte und allein für die Untersuchung dieser Anwendung fast 7 Stunden brauchte. Mir blieb nur eines übrig diese Anwendung obwohl diese einwandfrei funktionierte, vom Pc zu nehmen so das das Kasper seinen Dienst wieder normal aufnehmen konnte.

Share this post


Link to post
..//.. Riskware ist mir als Begriff zu diffus, damit könnte ja Windows auch gemeint sein ;)

 

MfG

 

Ich habe gerade überlegt, wie ich den Begriff "Packer" hier nocheinmal genauer definieren könnte, weil ich dachte, der Ein oder Andere weiß damit nicht unbedingt (im Zusammenhang mit "Viren" "Würmern" oder Malware) generell, etwas anzufangen. "Riskware" definiert sich lt. "Wikipedia" so: Als Riskware bezeichnet man Computerprogramme, die von ihrem Urheber (z. B. seriösen Softwarefirmen) zwar nicht programmiert wurden, um Schaden anzurichten, jedoch sicherheitskritische Funktionen aufweisen. Diese Funktionen können zum Beispiel zum Beenden oder Neustarten laufender Prozesse benutzt werden. Riskware kann von schädlichen Programmen gestartet und missbraucht werden, deshalb melden auch Virenscanner Riskware in bestimmten Fällen.

 

Bei dem Begriff "Paker" könnte der Ein oder Andere schon eher an "7-Zip", "WinZip" oder "WinRar" denken. Diese "Packer" sind damit aber nicht gemeint! Bei den (hier relevanten) PE, UPX etc Packern handelt es sich um Packer, welche (ausführbare) Dateien derart (z.B mehrfach) "packen", (komprimieren,verändern) um ihre wahre Identität zu verschleiern! (Um somit den Signaturen und der Heuristik entgehen zu können)

 

Share this post


Link to post

Ich denke die Rikwareerkennung sollte standartmäßig aktiviert sein!

 

Ich habe bisher erst eine einzige FP Meldung bekommen was diese Einstellung angeht. Und das ist leider seit Jahren "smitfraudfix". Ich weiss nicht ob dies aus technischen Gründen nicht geändert werden kann oder einfach bisher nicht aufgefallen ist..

Ansonsten hätte mir die Riskware Erkennung auch als DAU nie Probleme bereitet..

 

Die Untersuchung von Packern sollte imho ebenfalls aktiviert sein. Was spricht dagegen?

 

Gruß

 

Undoreal

Edited by undoreal

Share this post


Link to post
Guest Claudia
Super JanRei, :bravo:

 

dann hoffen wir mal auf eine rege Teilnahme. Ich persönlich hatte mich spontan für die Option "Beides aktiv" via "Standard Einstellung" entschieden, dabei aber völlig ausser acht gelassen, dass es im nachhinein genauso leicht aktivierbar ist. (Wie bei Integritätskontrolle für Anwendungen) Allerdings könnte ein Hinweis während des Setup den unbedarften Anwender darauf aufmerksam machen, dass die Erkennung von Riskware und Packern standardmäßig aktiv ist, welche jedoch aufgrund der unkomplizierteren Handhabung vorerst auf Wunsch deaktiviert werden kann. Somit sollte sich dann das Risiko verringern, dass die Erkennung von Riskware und Packern aus Neugier/Spieltrieb aktiviert und vergessen wird.

 

ein Aspekt möchte ich noch anfügen. Da viele Comuterzeitungen die Antivirenprogramme in den Stanardeinstellungen

testen, sollte man überlegen, ob hilfreich oder das Ergebnis "versaut" wird durch falsche F/P Meldungen.

Share this post


Link to post

Das Problem mit den PE Packern ist doch, dass sie eigentlich nicht "böse" sind.

NirSoft verwendet UPX z. B. für ServiWin und ShellExView, beide sind nach VirusTotal anscheinend sauber.

ServiWin: http://www.virustotal.com/de/analisis/bc85...f5eded74c4684cc

ShellExView: http://www.virustotal.com/de/analisis/653f...5e823cd5f17f21d

Dennoch hat NirSoft eine eigene Seite für: Antivirus "False Positive" Problems

http://www.nirsoft.net/false_positive_report.html

 

Die Frage ist natürlich, wie viele "seriöse" Hersteller von Programmen wären von der Packer Einstellung betroffen, von den "unseriösen" Crack und Keygen Herstellern mal abgesehen.

 

MfG

 

Share this post


Link to post
es ist nicht die untersuchung von gepackten objekten es ist die auflistung von gepackten dateien als bedrohung. z.b wenn du eine datei mit 10 packer gepackt hast (upx, as pack etc.) bekommst du eine meldung, detected "multipacked" mit loschen usw (wie bei einer normallen datei)
ah so... :rolleyes:

 

danke für die Erläuterung.

 

lg

 

Undoreal

Edited by undoreal

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.