Desktop Phishing (Folge 2)

Desktop Phishing wird zum Problem, wenn der Virenscanner/Malwarescanner das Prinzip der versteckten Datei nicht erkennt. Hierfür verantwortlich ist der sog. Binder der die Dateien verbindet. In diesem Bezug bekommen die Angreifer unerwartete Hilfe, dessen Aktivitäten von nur 5% aller Scanner erkannt wurden.

4 comments

  • kwoxer 9 Jahren ago

    Ist auch logisch, dass nichts gefunden wird.

    Denn ein eigentlicher Virus liegt nicht vor. Ich finde diesen Test mehr schlecht als Recht. Ganz ehrlich dieser Test sagt fast garnichts über den wirklichen Praxis-Test aus.

    Nach eigenen Erfahrung bemerkt mindestens Kaspersky und GDATA Veränderungen der Hosts Datei und schiebt dann einen Riegel vor. Somit ist der Test hier schlicht und ergreifend meiner Meinung nach überflüssig.

    mfg

  • admin 9 Jahren ago

    @kwoxer:
    Das ein „Virus“ nicht vorliegt wird auch schon im Video erwähnt, trotzdem finden anderen Virenscanner diesen Angriff.

    Ferner gibt G DATA unter http://www.gdata.de/support/downloads/testversionen.html an, dass „G Data AntiVirus 2010“ neben AntiVirus auch noch eine Software für AntiSpyware, AntiRootkit, AntiDialer und AntiPhishing ist.

    Das mit dem „Riegel“ vor der Hosts-Datei Veränderung stimmt insoweit, als dass der Nutzer nur eine Popup-Anzeige bekommt, in der es nur die kurze Info gibt „Verhaltensüberwachung. Es wird versucht die Hostdatei zu verändern.“

    Dann bekommt man eine DropDownBox angezeigt, in der „Erlauben“ voreingestellt ist, und abschließend den OK Button.

    Es gibt keinerlei Informationen, was die Hostsdatei ist, wofür sie da ist und dass das hier ein Angriff ist. Hier gehts ja hauptsächlich um die unerfahrenen Nutzer. Da wären mehr Informationen sinnvoller.

    Die gleiche Popup-Box kommt auch, wenn ich die Hostsdatei mit dem Editor verändere.

    Das G DATA das Szenario nicht erkennt ist unserer Meinung nach an der Voreinstellung des „Erlaubens“-Button zu sehen. Bei den anderen Angriffen z.b. durch einen Virus, wird ja auch nicht, „Es wurde ein Virus gefunden, was wollen Sie tun?“ das „Erlauben“ als Standardoption angeboten.

    Wie Kaspersky sich verhält haben wir noch nicht geprüft.

    Das der Test allerdings nicht so überlüssig ist, wird sich zeigen, wenn G DATA und Co in der nächsten Version solche Angriffe findet.

    Denn es gibt kein „freundliches“ Szenario für das komplette Überschreiben einer Hostsdatei. Editieren ja, aber beim Überschreiben gehen logischerweise die eigenen Einträge verloren. Insoweit gibt es da niemanden, der sowas tun würde.

    Ist aber für uns auf jeden Fall ein guter Anstoss gewesen, den Test regelmäßig zu wiederholen. So kann man dann nach und nach festhalten wie die einzelnen AV-Hersteller auf den Zug aufspringen.

  • Liverbird 9 Jahren ago

    Ich hab mir mal einen modifizierten FF gebaut.

    Sofort popt ein Fenster von Kaspersky auf. Die Datei C:\… enthält ein Trojanisches Pferd. Danach erscheint ein weiteres Fenster: „Malware wurde entfernt.“

    Und dann wars das mit meinem neuen FF auch wieder.

Add your comment