Thema: Virenprogramm

Cao Cao

Wenn es nur um die Seite geht

https://windowsunited.de/2017/12/17/...t-ausreichend/

Als Basisschutz ausreichend, aber kann nicht mit 99% der Virenscanner mithalten, wenn die allgemeine Erkennungsrate nur 76% beträgt.

Dann schauen wir uns doch mal direkt die Seite der AV-Tests an, auf die sich quasi alle beziehen:
https://www.av-test.org/de/antivirus...r-4.12-174847/

Da liegt der Windows Defender (Ende Dezember 2017) überall über dem Industrie-Durchschnitt der Antivirensoftware.

Pánthéos

Dann schauen wir uns doch mal direkt die Seite der AV-Tests an, auf die sich quasi alle beziehen:
https://www.av-test.org/de/antivirus...r-4.12-174847/

Da liegt der Windows Defender (Ende Dezember 2017) überall über dem Industrie-Durchschnitt der Antivirensoftware.

Dann frage ich mich, warum es kaum eine IT-Branche gibt die sich ausschließlich auf den Windows Defender verlässt.
Außerdem, wie sicher kann bitte der Windows Defender sein, der eine mit Kali-Linux und Metaploit (& Co.) zusammen gebastelte/komplilierte Schadsoftware nicht als Gefahr erkennt bzw. einstuft?

Cao Cao

a) Dann frage ich mich, warum es kaum eine IT-Branche gibt die sich ausschließlich auf den Windows Defender verlässt.
b) Außerdem, wie sicher kann bitte der Windows Defender sein, der eine mit Kali-Linux und Metaploit (& Co.) zusammen gebastelte/komplilierte Schadsoftware nicht als Gefahr erkennt bzw. einstuft?

a) Dir ist aber bewusst das wir hier vom privaten Bereich sprechen und um keiner Firmenumgebung? Abgesehen davon sind gerade größere Firmen selten auf aktuellstem technischen Stand da ein Wechsel sich über lange Zeiträume zieht und detailliert geplant werden muss.

b) Jedes Programm wird irgendwas irgendwo nicht erkennen, aber das ist ja kein Wunder? Ich kenne mich mit einer derartigen Schadsoftware nicht aus, aber wie soll die verbreitet werden?

Als dummes Beispiel: Es wird sich aktuell über eine Sicherheitslücke bei Skype beklagt, bei der aber manuell ein User am Computer selber mit ADMINRECHTEN eine Datei im System von Skype austauschen und dann umbenennen muss.

Pánthéos

a) Dir ist aber bewusst das wir hier vom privaten Bereich sprechen und um keiner Firmenumgebung? Abgesehen davon sind gerade größere Firmen selten auf aktuellstem technischen Stand da ein Wechsel sich über lange Zeiträume zieht und detailliert geplant werden muss.

Es geht um Sicherheit. Sicherheit wird in Firmenumgebungen grundsätzlich höher bewertet als im privaten Bereich; und >trotzdem< bzw. viel mehr gerade deshalb setzen diese auch nicht auf den Microsoft Defender.
Er taugt einfach nicht viel.

Pánthéos

b) Jedes Programm wird irgendwas irgendwo nicht erkennen, aber das ist ja kein Wunder? Ich kenne mich mit einer derartigen Schadsoftware nicht aus, aber wie soll die verbreitet werden?

Als dummes Beispiel: Es wird sich aktuell über eine Sicherheitslücke bei Skype beklagt, bei der aber manuell ein User am Computer selber mit ADMINRECHTEN eine Datei im System von Skype austauschen und dann umbenennen muss.

Aber speziell den Defender auszutricksen ist an Einfachheit kaum mehr zu überbieten. Ein paar Minuten braucht man, und in jede .exe-Datei (und sei es eine seriöse wie von 7zip) lässt sich ein Trojaner setzen/verstecken den der Defender nicht erkennt. Um das auch bei anderen (guten!) AntiViren-Lösungen zu schaffen ist erheblicher Mehraufwand möglich; nichts für Scriptkiddies mehr.

Cao Cao

Es geht um Sicherheit. Sicherheit wird in Firmenumgebungen grundsätzlich höher bewertet als im privaten Bereich; und >trotzdem< bzw. viel mehr gerade deshalb setzen diese auch nicht auf den Microsoft Defender.
Er taugt einfach nicht viel.

Das hat doch ganz andere Ursachen CaoCao. Das hängt doch vor allem damit zusammen das nahezu jede Firma noch bei Windows XP/7/8 hängt und der Defender da ein anderer ist, und weit schlechterer, als bei Windows 10. Ich rede hier von meinem Windows Defender auf W10. Das der keine Anwendung in Firmenumgebungen findet wundert mich nicht, immerhin findet ja schon das Betriebssystem das dafür nötig wird noch keine Verwendung. Wie gesagt, Firmen sind in der Umsetzung einer solchen Umstellung einfach extremst langsam.

Außerdem sind für Firmenumgebungen ganz andere Dinge wichtig als für Privatanwender, allein in Bezug auf Serverumgebungen und Zugriff von XXX PC auf den Server etc. pp.. Der Vergleich hinkt einfach an nahezu allen Ecken.

Cao Cao

Aber speziell den Defender auszutricksen ist an Einfachheit kaum mehr zu überbieten. Ein paar Minuten braucht man, und in jede .exe-Datei (und sei es eine seriöse wie von 7zip) lässt sich ein Trojaner setzen/verstecken den der Defender nicht erkennt. Um das auch bei anderen (guten!) AntiViren-Lösungen zu schaffen ist erheblicher Mehraufwand möglich; nichts für Scriptkiddies mehr.

Hast du dafür auch irgendeinen Beleg, so als Vergleich? Hab mal Google angeworfen und finde zu deinem Vorwurf hier nichts.

Pánthéos

Das hat doch ganz andere Ursachen CaoCao. Das hängt doch vor allem damit zusammen das nahezu jede Firma noch bei Windows XP/7/8 hängt und der Defender da ein anderer ist, und weit schlechterer, als bei Windows 10. Ich rede hier von meinem Windows Defender auf W10. Das der keine Anwendung in Firmenumgebungen findet wundert mich nicht, immerhin findet ja schon das Betriebssystem das dafür nötig wird noch keine Verwendung. Wie gesagt, Firmen sind in der Umsetzung einer solchen Umstellung einfach extremst langsam.

Der Windows Defender ist heute besser als früher, ja. Mit Windows 10 wurde er erneut deutlich besser, war er früher oft auf den letzten Plätzen. Dein Argument löst sich aber in Luft auf dann wenn man anerkennt, dass der Defender unabhängig der verwendeten Windows-Version mit den gleichen Virensignaturen gefüttert wird.

Kurz: Der (aktuell gehaltene) Defender, unter Windows 7 erkennt nicht mehr oder weniger Schädlinge als der Defender unter Windows 10.

Pánthéos

Außerdem sind für Firmenumgebungen ganz andere Dinge wichtig als für Privatanwender, allein in Bezug auf Serverumgebungen und Zugriff von XXX PC auf den Server etc. pp.. Der Vergleich hinkt einfach an nahezu allen Ecken.

Was du hier ansprichst. wird gehandelt über Gruppenrichtlinien (Domänen-Controller), und auf Hardware basierenden Firewalls, das alles hat nichts mit AntiViren-Lösungen zu tun.

Pánthéos

Hast du dafür auch irgendeinen Beleg, so als Vergleich? Hab mal Google angeworfen und finde zu deinem Vorwurf hier nichts.

https://pentestit.de/eskalierung-der...uf-windows-pc/

Hier wird noch mal beschrieben, wie mit den Methoden der Virenscan umgangen wird.
Sollte diese Seite quasi mehr ne "Anleitung" sein, so weiß ich nicht inwieweit das hier im Forum im rechtlichen Rahmen ist. Verstößt dieser gegen irgendwelche Richtlinien, kann die Moderation @Sn@keEater diesen gerne löschen.

Cao Cao

Dann frage ich mich, warum es kaum eine IT-Branche gibt die sich ausschließlich auf den Windows Defender verlässt. Außerdem, wie sicher kann bitte der Windows Defender sein, der eine mit Kali-Linux und Metaploit (& Co.) zusammen gebastelte/komplilierte Schadsoftware nicht als Gefahr erkennt bzw. einstuft?

Die meiste Schadsoftware wird nicht erkannt, wenn du das Pattern änderst. Wie soll das auch gehen?

Es gibt natürlich auch auf Clientseite Antiviren Programme, die optional noch auf heuristische Verfahren basieren - die Rate für ein false positive ist hier aber um ein vielfaches höher, so dass das meistens in Office Domänen gar nicht genutzt wird. Wer soll sich die ganzen false positives anschauen und vor allem bewerten? Antiviren Software auf der Clientseite wird oft nur dazu genutzt, um sporadischen Müll zu entfernen, den sich ein Mitarbeiter mal über Javascript o.ä eingefangen hat. Schützenswert sind aber weniger die Client-Systeme, das ist ein Kampf gegen Windmühlen, sondern die Systeme, welche vom Client-System "gesehen" werden können. Hier arbeitet man (wie du u.a. auch ausführtest) mit Hardware-Firewalls, aber nicht nur, sondern auch mit Intrusion Detection Systemen, die über heuristik z. B. man in the middle Attacken / spoofing feststellen können. Des Weiteren gibt es dann noch Dinge wie Hash-basierte Konfigurationsdateien die permament mit einer Datenbank mit den Original Dateien abgeglichen werden, Logging Server und vieles mehr ... Das Thema Sicherheit in einem Netzwerk ist komplex und kann auf unterschiedlichsten Ebenen betrachtet werden.

Und ja der Windows Defender wird, wie ich bereits vorher ausführte, tatsächlich auch von vielen Unternehmen eingesetzt. Liegt vielleicht auch daran, dass das Risiko (oder der potentielle Schaden) nicht die Lizenzkosten vermeidlich besserer Lösungen für den Entscheider rechtfertigt. Qualität heißt eben nicht die "best mögliche Qualität" sondern Qualität ist der Grad, in dem ein Produkt Anforderungen erfüllt. Das gilt insbesondere im Bereich IT-Sicherheit in Unternehmen, da dieser immer dem wirtschaftlichen Nutzen gegenübergestellt wird.

Ob ein bereits bekannter Virus mit 2 oder 5 Handkniffen wieder unsichtbar gebogen werden kann, spielt für die Bewertung solcher Lösungen kaum eine Rolle.

Ten

Die meiste Schadsoftware wird nicht erkannt, wenn du das Pattern änderst. Wie soll das auch gehen?

Korrekt, mit der hier vorgestellten Methode hat das nur überhaupt nichts zu tun. Der Defender erkennt die mit dieser (und einigen anderen) Methoden versuchten Anwendungen einfach nicht, während das die der namentlich bekannten eben doch tun.

Ten

Es gibt natürlich auch auf Clientseite Antiviren Programme, die optional noch auf heuristische Verfahren basieren - die Rate für ein false positive ist hier aber um ein vielfaches höher....]

Hmm...

1. Der Defender, der gerade im Mittelpunkt dieser Diskussion stand setzt ebenfalls mitunter auf Heuristik. Tatsächlich würde mir auch sonst nicht ein einziges AntiViren-Programm einfallen, die dieses Verfahren nicht integriert hätte, weshalb sich mir deine Formulierung nicht erschließt dass es "natürlich AUCH" solche geben würde.

2. Der Defender, um den es wie gesagt soeben ging fällt auch hier schlechter aus als die seiner Konkurenten. Er schlägt häufiger mit einem Fehlalarm durch.

3. So viel höher ist die überhaupt nicht. Bei einer million potenziell verdächtigen Files schlägt eine gute AntiViren-Software nur etwa 5 mal ein "False Positive" aus (damit übrigens 3-4 mal weniger häufig als der Defender). Das ist nicht oft, in Relation selbst beim Defender nicht. Außerdem kommt hinzu dass diese False Positives nicht grundsätzlich auf ein Ergebnis der Heuristik zurück zu führen ist.

Ten

Wer soll sich die ganzen false positives anschauen und vor allem bewerten?

AntiViren-Software einschließlich deren Heuristik wird selbstverständlich auch in Office-Umgebungen eingesetzt und, siehe oben, gibt es so viele false positives überhaupt nicht.
IT-Unternehmen die etwas von Sicherheit halten und die Infrastruktur in "Office-Betrieben" aufbauen, setzen und empfehlen sogar auf reines Whitelistening zu setzen. Das bedeuted, dass pauschal alles gemeldet und vor Ausführung beendet wird was nicht eindeutig und explizit von der Administration freigegeben wurde. Das lässt sich sogar ohne zu großen Aufwand bewerkstelligen (z.B. mit Seculution).

Für die Büroarbeiten (Dispositionen, Abrechnungen, Buchhaltungen) usw. filtert außerdem auch ein anständiger Spamfilter potenzielle Gefahren wie Malware/Viren heraus. Hier wäre als Beispiel HornetSecurity zu nennen.

Und zudem das der Defender von vielen Unternehmen genutzt wird: Ja, aber in der Regel immer parallel zu einem weiteren Programm eines Drittherstellers.

Ten

Ob ein bereits bekannter Virus mit 2 oder 5 Handkniffen wieder unsichtbar gebogen werden kann, spielt für die Bewertung solcher Lösungen kaum eine Rolle.

Ich will auch nicht sagen dass der Defender absolut unbrauchbar ist, und jeder unbedingt eine andere Software verwenden soll. Für viele Privatanwender die sich nicht auf kuriosen Seiten herumtreiben und ihr Hirn beim Klicken (und Doppelklicken ) benutzen, kann(!) der Defender durchaus völlig reichen. Mir ging es nur um die Aussage, der Defender wäre generell gleich gut bis besser als die einschlägigen Top-Produkte in diesem Segment. Das ist er so einfach (noch?) nicht.
Was außerdem durchaus eine Rolle spielt ist, wie lange eine bestimmte AntiViren-Software braucht um eine Gefahr dann doch mal als Gefahr zu erkennen. Deine "Handkniffe" wie du sie nanntest, sie funktionieren nie dauerhaft; ja auch nicht beim Defender. Und der hier gezeigte hat sicherlich auch mal bei Kaspersky funktioniert. Das Problem, oder eher die Schwäche ist es hierbei einfach: Einige andere wurden und werden deutlich schneller mit Signaturen dazu gefüttert.

Ich hab bisher Erfahrungen mit Avira, Kaspersky und Avast und ich kann davon eigentlich nur Avast zusammen mit Malwarebytes empfehlen.

Avira hat bei mir gar nichts gebracht, hatte damals immer wieder irgendein Schund auf dem Rechner und musste ihn mehrmals neu aufsetzen.
Kaspersky war ganz okay, aber ich hatte immer wieder mal Werbung bekommen und ich war auf die Lizenzschlüssel aus der Computerbild angewiesen.
Avast hat aber bisher am meisten geblockt, gerade bei Webseiten und Scripten im Hintergrund hat es mich positiv überrascht. Und ich finde die Benutzeroberfläche übersichtlich und einfach zu bedienen. Man hat eine genaue Auflistung aller installierten Features und kann sie mit einem Klick an oder ausstellen.

Bei Malwarebytes nutze ich nur die Scans der kostenlosen Version, da es mehr Adware erkennt als Avast.

Hallo zusammen
es ist wie immer eine endlose Disskussion. Virenprogramme, wenn ja welche. Nachdem immer wieder auch in den Medien z.b.BSI auf die Installation hingewiesen wird, habe ich seit jahren schon
ein s.g.Kaufprogramm installiert, weil diese z.b.sinnvolle Erweiterungen beinhalten. Aber wie gesagt glaube ich das diese Disskusion immer wieder in Foren auftaucht.
gruss
martin-josef

BSI habe ich noch nicht gehört.
Ich habe bisher auch unter anderem Kapersky gehabt. Bin damit zufrieden.