Sophos Antivirus

system · 8. November 2012 um 23:19

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

John_Late · 8. November 2012 um 23:19

Sophos Antivirus

(via http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/windows/sicherheit/fausav.shtml)

[quote=Tavis Ormandy]
This effectively disables ASLR on all Microsoft Windows platforms that have Sophos installed, allowing attackers to develop reliable exploits for what might otherwise have been safe systems.[/quote]

(via https://lock.cmpxchg8b.com/sophail.pdf & https://lock.cmpxchg8b.com/sophailv2.pdf (via Full Disclosure: multiple critical vulnerabilities in sophos products))

Discuss.

Airhardt · 9. November 2012 um 00:46

Hmmm, wollen wir den SP2-Weihnachtshackingwettbewerb ändern?

John_Late · 9. November 2012 um 14:39

Apropos Antivirus… grad auf einem Kundenrechner: “Haben Sie das gemerkt? Windows ist 143% schneller hochgefahren als vor der Installation von AVG.”

Echt toll. Wenn der Virenscanner jetzt auch noch was gegen den parallel laufenden “BKA-Trojaner” (die Ukash-Erpessung, nicht der Staatstrojaner) tun würde…

Oh noch besser… gerade wollte ich den Beitrag abschicken, da poppt ein Fenster auf: “McAfee - Ihr PC ist gefährdet” - no shit.

Ich weiß garnicht worüber ich mich mehr freuen soll, dass der Kunde es für eine gute Idee hält sein System mit zwei konkurierenden Virenscannern auszubremsen oder dass keiner von beiden den Virus zuverlässig entfernt.

[update] “Ihr Computer ist sicher (keine Aktion erforderlich)”… faszinierend, wie McAfee zu dieser Meinungsänderung kommt, dabei hat das Ding kein Internet um seine Signaturen zu aktualisieren, noch habe ich irgendetwas gemacht…

Virenscanner. Technik die begeistert.

arw · 9. November 2012 um 17:25

Virenscanner auf einem System mit einem hinreichend intelligent gebauten Virus haben prinzipiell keine Chance den bereits vorhandenen Virus zu erkennen oder zu entfernen. Und so Viechzeug verbreitet sich dank ordentlichem Internet inzwischen schneller als die Updates fuer die Virenscanner. D.h. eigentlich ist es nur eine Frage der Zeit bis man sich was einfaengt, was man anschliessend nicht mehr loskriegt.

Helfen wuerde da nur ein vernueftiger Anwender, der nicht dumm alles moegliche saugt und oeffnet (“oh, toll, Powerpoint-Witze vom Kollegen”) und nichtbescheuerte Software (“oh, in dem PDF ist wirrer Flash-Kram, fuehren wirs mal aus”). Aber das ist natuerlich beides zuviel verlangt, sonst haetten wir auch schon HIV durch Condome ausgerottet bekommen.

John_Late · 9. November 2012 um 18:14

Ich stimm dir zu, es hilft nur ein vernünftiger Anwender.

Im konkreten Fall lief McAfee vor der Infektion mit aktuellen Signaturen (AVG kam später hinzu).

Ohne Internetverbindung, mit MBAM* und über 40 Tage alten Signaturen, konnte ich den Haupteil säubern, so dass eine Internetverbindung ohne Erpessungsmeldung möglich war, schließlich noch einen Rest entfernen.

(*: Das soll keine Empfehlung für MBAM sein, beim nächsten Fall sieht’s wieder ganz anders aus…)

(Das System verhält sich jetzt sauber. Klar, eigentlich muss eine Neuinstallation her. Aber der Eigentümer scheut den Aufwand und nimmt für die Zocker-Kiste das Restrisiko in Kauf.)

Fazit: Die meisten Virenscanner versagen schon bei billigen Bedrohungen. Wenn dann ein schon müffelndes SnakeOil das andere SnakeOil aussticht, zählt leider auch die Schnelllebigkeit der Viren nicht mehr als Argument. Klar schützt eine Kugelsichere Weste nicht vor Panzergranaten, aber doch bitte vor Steinschleuder aus dem YPS-Heft. Die Hersteller erwecken einen Eindruck, der keiner intensiveren Betrachtung stand hält. Im Übrigen ist Sophos IMHO bestimmt nicht der einzige Kandidat, der mehrere neue Lücken in ein System reißt. Das Drama ist, dass viele User sich bereitwillig überzeugen lassen, für so einen Sondermüll Geld auszugeben…

F30 · 10. November 2012 um 10:23

Achso, der Schwarze schnackselt also gerne ist also zu blöd, Kondome zu verwenden.

Wenn er nur wollte, hätte natürlich jeder Bürger eines Entwicklungslandes die gleichen Informationsmöglichkeiten zu HIV wie der Europäer zu Viren-„Schutzprogrammen“! Außerdem ist die bloße Verfügbarkeit von Kondomen in Regionen, wo es einen tagtäglichen Kopf um Wasser und Grundnahrungsmittel gibt, doch überhaupt kein Problem!
Wie zynisch.

Mich · 10. November 2012 um 14:03

Die Antwort von Sophos: Naked Security – Sophos News

Naked Security – Sophos News … related?

arw · 10. November 2012 um 18:08

F30: ja, du hast recht, das ist natuerlich deutlich zu pauschal. fuege “in entwickelten laendern” hinzu. oder alternativ reg dich ueber horden von missionaren auf, die in entwicklungslaendern rumerzaehlen, dass kondome suende sind.

und abseits der speziellen situation in entwicklungslaendern breitet sich HIV auch hierzulande noch aus.