Wie soll sich ein Virensanner beim schreiben verhalten?

[hallo.dirk]

Hallo,

einige Kollegen und ich diskutieren seit geraumer Zeit über folgendes Verhalten unseres aktuellen Virenscanners:
Ein Zipfile, welches definitiv einen Virus enthält, wird beim kopieren/speichern/verschieben nicht gescannt.
Laut Hersteller kostet das zu viel Performance in zip's zu Scannen

Prüfe ich das zip manuell oder enpacke ich den eigentlichen Virus wird er natürlich erkannt.

Ich sehe hierbei die Gefahr, dass sich das eigentliche Zipfile immer noch auf der Festplatte befindet....und zwar für "immer". Der Scanner wird niemals dieses Zip entfernen.

Ich halte das für falsch?
Was meint ihr?

[hallo.dirk]

vom Hersteller:

On-Access - also durch den Hintergrundmonitor - ja. Dieser scannt keine Archive.

Die Diskussion darüber wird schon seit Jahren geführt, ob man on-access Archive
scannen sollte oder nicht. Es gibt hierbei verschiedene Ansichten und auch genug
Gründe dafür oder dagegen. Dafür spricht sicherlich eine vermeintlich höhere Sicherheit, da
sich ja Trojaner etc. in dem Archiv verstecken könnten. Dagegen spricht eine hohe Systembelastung
beim On Access Scan von Archiven, welches sich verstärkt, je größer das Archiv ist.
ESET hat hier versucht, einen Mittelweg zu gehen. Normale Archive (wie .zip oder .rar) werden
vom Dateimonitor nicht überwacht aus performancegründen, laufzeitkomprimierte Archive und
selbstextrahierende Archive schon. Viele Trojaner verwenden gerade die letzteren genannten Arten
von Archiven.

Weiterhin müssen Sie auch beachten, daß Virenscanner nicht nur durch den Hintergrundmonitor das System überwacht.
Alles, was per e-Mail oder über Web Protokolle hereinkommt, wird durch ein weiteres Modul überwacht, welches
wiederum alle Archive scannt. In der Summe ergibt sich ein relativ guter Schutz bei gleichzeitig wenig
Systembelastung.

> Ich frage mich, ob es im Interesse des Herstellers ist, dass
> solche Dateien überhaupt auf einen Datenträger gelangen
> dürfen und ungeprüft dupliziert werden können.
> Sicherlich kann aktuell kein Schaden entstehen, allerdings
> fühle ich mich unbehaglich bei dem Wissen, dass sich
> verseuchte Dateien auf Datenträgen befinden könnten.
> Und das theoretisch für "immer"....

Dieses Argument wird oft angebracht. Fakt ist, daß ein Trojaner oder Virus in einem Archiv nichts anrichten
kann, es muss dazu entpackt werden. Genau in dem Moment würde der Monitor das verhindern. Wenn Sie dennoch
sichergehen wollen und nicht darauf warten wollen, daß dies doch einmal passieren kann, so kann man seinen
Rechner in regelmäßigen Abständen manuell scannen lassen (on-demand). Dabei werden die Archive mit durchgescannt.

In Kombination aller Module (Monitor, Webschutz, E-Mailschutz und On-Demand Scanner) kann man bei entsprechender
Überlegung und mit einem guten Konzept in einem Netzwerk einen hohen Schutz gewährleisten, ohne die Rechner
der Mitarbeiter dabei die Maßen zu belasten.

Was ist mit USB Sticks CD's oder DVD's?

Hmm ich habe immer noch ein flaues Gefühl...

[m3]

http://thecodist.com/fiche/thecodist/article/wtf-stories-2-here-little-virus-virus

[michael-r]

Also generell würde ich alles Scannen lassen.

Bei Scannern wie Nod32 oder Bitdefender ist der Performance verlust eher gering, da diese wenig Ressourcen verwendet werden.

Ich würde keine Netzlaufwerke vom Client aus scannen lassen.

MFG Michael

[Ralf_M_Petter]

Eines sollte man nicht vergessen, bei dieser ZIP Problematik, dass das Online Scannen von Archiven der absolute performancekiller des Notes 8 Standardclients ist. Man hat dann wirklich horrende Ladezeiten die oft auf den Client geschoben werden, aber eigentlich den Virenscanner betreffen. Deshalb wenn schon Onlinescannen, dann unbedingt den Notesclient auslassen.

Grüße

Ralf

[hallo.dirk]

....dann unbedingt den Notesclient auslassen.....

Wenn es ja konfigurierbar währe, dann hätte ich nix gesagt.

Das man bei diesem Produkt gar nicht die Wahl hat, ob und wie man komprimierte Daten scannen kann, finde ich schon komisch.
Aber ich bin ja "nur" Notes Mann und hab mit Viren überhaupt nix zu tun.
(Verhindere "nur" dass sie nicht per Mail verteilt werden)

Könnt Ihr mir sagen, wie of und wann ihr einen Scan der Platte ausführt?
Ist ein nächtlicher Sacn per "wake on lan" denkbar?

[michael-r]

Ralf mag sein, nur setz mal EndPoint Protection auf einen schwachen Rechner ein. Da macht es keinen Unterschied mehr, weil das Prog sowas von auslastend ist.

Also das du ein Programm vom Scan ausschließt ist ja nicht das wofür die Art des scannens gedacht ist (On Access).
Bei Nod32 und Bitdefender kann man einstellen ob Archive gescannt werden, genauso wie bei EndPoint Protection.

Warum oft scannen? Ich scanne einmal in der Woche(obwohl das nicht nötig sein sollte), die Rechner werden bei Neuinstallation komplett geprüft und den Rest macht das Programm, mit ewigen Scannen im Hintergrund, mit den Dateien die genutzt werden und die in der nähe der Zugriffe liegen. Der HTTP Datenverkehr sollte auch überprüft werden.

MFG Michael

[flaite]

Jar-Files sind im zip Format. Wenn die gescanned werden, ist das sehr schlecht für die Performance von Java-Anwendungen.

[blizzard]

habt ihr den onaccess scanner für das notes verzeichnis deaktiviert?
Wenn ja konnte man Unterschiede zu vorher und nachher feststellen?

[hallo.dirk]

@ Michael -r

Bei Nod32 und Bitdefender kann man einstellen ob Archive gescannt werden, genauso wie bei EndPoint Protection.

Bist Du Dir bei NOD32 da so sicher?

[michael-r]

Eigentlich schon... ich müsste es nachher mal installieren, mache ich.

@blizzard
habt ihr den onaccess scanner für das notes verzeichnis deaktiviert?
Wenn ja konnte man Unterschiede zu vorher und nachher feststellen?
^^ ich glaub das geht garnicht, andererseits wiederspricht es der Funktion. Und andererseits sind die Programme wie Nod32 oder Bitdefender, weniger auslastend als andere Produkte und verbrauchen deutlich weniger Ressourcen.

Edit: Bild 1 zeigt das Standard Prüf Profil. Dort kann man einstellen wie geprüft wird. (Scanner lokal, ändert man das Profil, wird das dann auch so angewandt)
Bild 2 zeigt die Einstellung/Setup unter AMON
Bild 3 zeigt die Möglich Verzeichnisse auszuschließen auch unter AMON

Also, das ist natürlich nicht konfiguriert. Ich kenne nun nicht die Servervariante, aber das sollte da ähnlich konfigurierbar sein.

MFG Michael

[blizzard]

ja danke.
es war aber eher als frage in die runde gemeint, wer das an bzw aus gemacht hat und unterschiede festgestellt hat.

[michael-r]

Also ich habe es mal für Notes und Sametime testweise deaktiviert, mal sehen ob das dann besser wird, denn die Auslastung an meinem Client ist schon sehr hoch.

MFG Michael

[blizzard]

Client = Notes Client oder Rechner selber?
Wenn ja welcher Notes Client benutzt du denn, dass dir das langsam erscheint ?

[michael-r]

Der Rechner selbst ist lahm mit dem was drauf installiert ist. Ist auch nur ein Celeron 2,8 Ghz (Single), mit 1,5 GB RAM und Onboard Graphikkarte.
Zuhause mit AMD X2 5600+ und 6 GB RAM rennt LN 8.0.1 (Eclipse) .

MFG Michael

[hallo.dirk]

Ich kenne nun nicht die Servervariante, aber das sollte da ähnlich konfigurierbar sein.

Ähnlich ja, leider unterscheiden sie sich im Bezug auf Archive 

[Ralf_M_Petter]

Ich muß nochmal einhaken. Für was verwendet Ihr eigentlich Onlinevirenscanner. Bei mir werden alle e-mails Virengescanned und ich scanne auch alle USB Sticks oder ähnliches bevor ich Sie mir ins System kopiere. Also für was soll bei jedem Programmzugriff nach Virengescanned werden. Ich verwende auf meinen PC überhaupt keinen Virenscanner und scanne dann ab und zu mit Knoppicilin und hatte noch nie einen Virus auf meinem Rechner. Dagegen Rechner die mit Symantec Internet Security ausgerüstet waren von irgendwelchen Bekannten die waren voller Spyware Trojaner und was weiß ich noch. Die sind dann zu mir gekommen, da sie wenn sie Google aufrufen wollten auf irgendwelche Sexseiten gekommen sind.

Grüße

Ralf

[blizzard]

ist google denn keine sexseite?

naja den online scanner auszuschalten finde ich nicht so prickelnd. Gerade der schützt dich doch vor neuhinzugekommenen files die evtl. infected sein könnten.
Da kommt dein späterer richtiger scan eigentlich schon zu spät.

[Ralf_M_Petter]

Ja aber wo sollen diese Dateien den herkommen. Die müsste ich doch aktiv downloaden. Und damit sich der Virus bei mir einnisten kann, müsste er auch noch eine Sicherheitslücke im OS finden, dass er Admin Rechte bekommt. Wie gesagt, ich arbeite jetzt seit 1996 im Internet und hatte noch nie einen Onlinevirenscanner aktiv. Übrigens genausowenig wie eine Personalfirewall (natürlich verwende ich eine Hardwarefirewall) und hatte noch nie einen Virus oder einen anderen Schändling auf meinem Rechner.

Glück oder einfach nur vernünftiger Umgang mit dem Medium.

Grüße

Ralf

[blizzard]

Glück oder einfach nur vernünftiger Umgang mit dem Medium

oder du hast es einfach nicht bemerkt

klar natürlich müsstest du das runtergeladen haben oder sonst woher bekommen haben. Aber wieviele öffentliche unfixed issues gibts denn allein beim internet explorer? Da reicht nen driveby und du hast das Ding drauf. Klar für nen 1 Mann Unternehmen, der selbst den Laden schmeißt und noch IT Fachmann ist, kein Ding. Aber für nen mehrere hundert Mann Firma ist das finde ich einfach nur verantwortungslos oder blindes Vertrauen in die Ausgereiftheit des OS oder beispielsweise des Browsers.