Fried-rich
Anmeldungsdatum: 2. Mai 2013
Beiträge: 1093
|
Hallo, ich hab mich gefragt ob es für Linux Virenscanner gibt, mit denen mal nach Schadsoftware unter Windows suchen kann. Also ein Windows durchsuchen während es gar nicht läuft. Hab sowas schonmal als LiveCD bei einem Bekannten gemacht, weiß aber nicht ob die auf Linux-Basis lief. Das ganze wäre evtl. auch brauchbar, wenn man Windows-Programme unter Wine installiert. Da passiert zwar mit dem Linux nichts, aber könnte denn ein Schadprogramm Dateien infizieren die mit dem Windows-Programm unter Wine erstellt werden, z. B. bei PDFs (k.a. ob Viren in PDF überhaupt möglich sind). Friedrich
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53482
Wohnort: Berlin
|
Siehe Virenscanner - die suchen alle nur nach Windows-Viren.
|
Fried-rich
(Themenstarter)
Anmeldungsdatum: 2. Mai 2013
Beiträge: 1093
|
Oh, ich dachte das Virenscanner für Linux. Also solche die Viren unter Linux suchen.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53482
Wohnort: Berlin
|
Fried-rich schrieb: Oh, ich dachte das Virenscanner für Linux.
Für Linux im Sinne von sie laufen unter Linux, ja. Die Virensignaturen kennen aber die Windows-Viren. Steht ja auch im Artikel bzw. den weiterführenden Unterartikeln.
|
l-wels
Anmeldungsdatum: 28. Dezember 2016
Beiträge: Zähle...
|
Fried-rich schrieb:
Also ein Windows durchsuchen während es gar nicht läuft. Hab sowas schonmal als LiveCD bei einem Bekannten gemacht, weiß aber nicht ob die auf Linux-Basis lief.
Hört sich nach Kaspersky-rescuedisc an. KDE und zumindest früher ist's angeblich unter Gentoo gelaufen. (k.a. ob Viren in PDF überhaupt möglich sind).
Das ist leider problemlos möglich - der Windows-Rechner eines Bekannten war genau so ein Fall. Natürlich sind auch viele weitere etwas "mächtigere" Dateiformate wie Office-Dateien, Audio- oder Videoformate etc. sehr beliebt.
|
The_Wizard
Anmeldungsdatum: 8. Dezember 2008
Beiträge: 421
Wohnort: Augsburg
|
tomtomtom schrieb: Siehe Virenscanner - die suchen alle nur nach Windows-Viren.
Das ist natürlich falsch, denn alle Virenscanner suchen auch nach Ungeziefer für Android, Apple, Linux und wohl auch für alle anderen Betriebssystemen! Bei einigen dieser Scanner ist es sogar möglich, die entsprechende Datenbank zu durchsuchen. Mich würde echt mal interessieren, wer diesen Unfug in die Welt gesetzt hat! 🙄
|
l-wels
Anmeldungsdatum: 28. Dezember 2016
Beiträge: 32
|
The_Wizard schrieb: ...alle Virenscanner suchen auch nach Ungeziefer für Android, Apple, Linux und wohl auch für alle anderen Betriebssystemen!
Ja aber finden sie denn auch was für Linux? Ich hatte neulich einen der gstreamer 0-days zum Testen runtergeladen. In Ubuntu war's längst gepatcht, der Virenscanner hat das file "durchgewunken". Das fand ich jetzt nicht so vertrauenserweckend. ☹
|
The_Wizard
Anmeldungsdatum: 8. Dezember 2008
Beiträge: 421
Wohnort: Augsburg
|
l-wels schrieb: In Ubuntu war's längst gepatcht, der Virenscanner hat das file "durchgewunken". Das fand ich jetzt nicht so vertrauenserweckend. ☹
Schau dir doch mal VirusTotal an, dann weißt Du warum! Ich habe per Mail schon einiges an Schadware bekommen, welches zum Teil heute noch nicht von allen Scannern erkannt wird. Dabei ist es auch egal, welchen Virenscanner man bevorzugt. Ich habe sogar erlebt, daß ausgerechnet ClamAV zu den ersten Scannern gehörte, welcher das Zeug gefunden hat. Dabei kam Schadware für Windows, Linux, Android und was weiß ich alles vor. Meiner Ansicht nach müßten die Hersteller mal dazu gezwungen werden, daß sie in puncto Erkennung mal zusammenarbeiten sollten, aber die wollen natürlich alle nur "unser Bestes"! 😕 Mike
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
l-wels schrieb: Ich hatte neulich einen der gstreamer 0-days zum Testen runtergeladen.
Das ist ja auch kein "Virus" o.ae, sondern ein Fehler in gstreamer. Und der Fehler in gstreamer wurde korrigiert. Was kann da jetzt eine Datei dafuer, dass gstreamer sie fehlerhaft behandelt? Du kannst etliche solche Dateien generieren, die den Fehler ausloesen koennen (ob mit oder ohne Folgen wie Programmabsturz). Sollen diese zig Dateien dann alle in der Datenbank laden? Also unendlich viele?
|
l-wels
Anmeldungsdatum: 28. Dezember 2016
Beiträge: 32
|
sebix schrieb: l-wels schrieb: Ich hatte neulich einen der gstreamer 0-days zum Testen runtergeladen.
Das ist ja auch kein "Virus" o.ae, sondern ein Fehler in gstreamer. Und der Fehler in gstreamer wurde korrigiert.
Hatte ich eigentlich mit "gepatcht" genau so gemeint. sebix schrieb: Was kann da jetzt eine Datei dafuer, dass gstreamer sie fehlerhaft behandelt? Du kannst etliche solche Dateien generieren, die den Fehler ausloesen koennen (ob mit oder ohne Folgen wie Programmabsturz). Sollen diese zig Dateien dann alle in der Datenbank laden? Also unendlich viele?
Nur der Exploit, der das fehlerhafte Verhalten auslöst, sollte als Signatur in die Datenbank - natürlich nicht jede Datei, die ihn enthält und irgendwo gefunden wurde. Aber im Prinzip hast Du schon Recht: es ist ja eigentlich kein Exploit mehr, da gstreamer nun damit umgehen kann.
|
l-wels
Anmeldungsdatum: 28. Dezember 2016
Beiträge: 32
|
The_Wizard schrieb:
Meiner Ansicht nach müßten die Hersteller mal dazu gezwungen werden, daß sie in puncto Erkennung mal zusammenarbeiten sollten, aber die wollen natürlich alle nur "unser Bestes"! 😕
In der Tat, da kann man nur den Kopf schütteln...
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5323
|
l-wels schrieb: sebix schrieb: Was kann da jetzt eine Datei dafuer, dass gstreamer sie fehlerhaft behandelt? Du kannst etliche solche Dateien generieren, die den Fehler ausloesen koennen (ob mit oder ohne Folgen wie Programmabsturz). Sollen diese zig Dateien dann alle in der Datenbank laden? Also unendlich viele?
Nur der Exploit, der das fehlerhafte Verhalten auslöst,
Auch das ist schwierig, denn dazu muesstest du alle verschiedenen Varianten kennen, die den Exploit ausloesen koennen. Und dann die Dateien auf diese Muster hin ueberpruefen. Was ich sagen will: Es ist nicht zielfuehrend, die fehlerhaften (ob nun mit Absicht oder ohne spielt keine Rolle) Dateien zu finden, (weil diese nie vollstaendig sind!) sondern das Problem zu loesen. Und das Problem ist ein Fehler in gstreamer.
Wenn du nun eben ein Muster kennst, das aber auf eine schadhafte Datei nicht zutrifft, heisst das bei fehlerhaftem gstreamer nicht, dass keine Gefahr droht!
|
l-wels
Anmeldungsdatum: 28. Dezember 2016
Beiträge: 32
|
sebix schrieb:
Was ich sagen will: Es ist nicht zielfuehrend, die fehlerhaften (ob nun mit Absicht oder ohne spielt keine Rolle) Dateien zu finden, (weil diese nie vollstaendig sind!) sondern das Problem zu loesen. Und das Problem ist ein Fehler in gstreamer.
Wenn du nun eben ein Muster kennst, das aber auf eine schadhafte Datei nicht zutrifft, heisst das bei fehlerhaftem gstreamer nicht, dass keine Gefahr droht!
Das sehe ich ganz genauso - es ist ja immer ein nerviges hinterherhinken, und zum Austausch der Signaturen untereinander hat sich ja The_Wizard wie ich finde recht zutreffend geäußert! Ich glaube, wir haben da ein wenig aneinander vorbeigeredet. Es war halt nur so, dass ich von einem Linux-Virenscanner (im konkreten Fall war's Sophos) erwartet hätte, dass er so gut es geht auch bekannten Linux-Schadcode in seine Datenbanken mit aufnimmt. Aber vielleicht war da die gstreamer-Sache zu unbedeutend bzw. die patches kamen auch in enormen Tempo und damit war's ja eigentlich auch obsolet.
|