Win32/Sasser.A: So schnell reagierten die AV-Hersteller

BTW: Habe ich das bisher richtig verstanden? Der Sasser-Virus kompromitiert das Computersystem sowohl aus dem Internet heraus, alsauch durch seine Kopie auf der Festplatte? Wer kann mir dazu weiterführende Informationen geben?

Dank und Gruß

Dominik

 

Hallo Wolfgang,

Du hast natürlich vollkommen recht. Ein Anti-Virus-Programm ist keine Firewall und überwacht den "Traffic" nur insofern, als das die auf den Computer geladenen Dateien gescannt werden.

Gruß

Dominik

 

sagen wir es einfach so...alle temporären daten die auf die HDD oder in dem ram-cache geschrieben werden , erkennt die realtime-scanengine.
und wenn die manuelle scanprozedur sasser auf der HDD findet, ist ehh alles schon zu spät und man kann das system als kompromitiert ansehen.

 

Dein AV-Programm ist doch keine Firewall und überwacht keinesfalls den Netzwerk-Traffic. Wenn dein AV-Prog. Alarm gibt ist der SASSER bereits in dein System eingedrungen.

Grüße
Wolfgang

 

die realtime-AV scan-engine überwacht auch die festplatte .
man brauch nurmal versuchen den dateiheader einer datei auslesen zu lassen wenn man mit der maus über das datei icon drüberfährt , wenn es sich dabei um ein virus/wurm handelt erkennt auch die AV scan-engine den viruscode und gibt alarm (funktioniert nicht bei allen virusvarianten).
es ist damit erwiesen das schon das reine anfassen einer datei auf der festplatte ausreicht um den AV-scanner anschlagen zu lassen.

 

Das habe ich doch geschrieben: "geladen" & "ausgeführt"!

 

Das stimm meines Wissens nach so nicht. AntiVir Guard überwacht alle Dateien die ausgeführt werden auch. Sieht man wenn man den Guard mal nicht minimiert im Tray hat.

 

Das ist so nicht richtig bzw. unglücklich formuliert. Der Guard überwacht lediglich den "Traffic", also alles was über das Netz kommt bzw. was geladen wird. Befindet sich eine infizierte Datei auf der Festplatte kann diese ausschließlich durch den Scannvorgang des Hauptprogramms gefunden werden. Wird diese Datei allerdings ausgeführt, wird sie vom Guard erkannt.

 

Wenn AV-Guard aktiviert ist, findet der Virenwächter die die Würmer, die in der Signaturdatei enthalten sind und sich natürlich auch auf der Festplatte befinden, also sowie diese sich auf der Festplatte "installieren".

Sasser selbst habe ich zwar nicht, aber in der Regel sollte es da kein Ungterschied zu "alten" Würmern geben, schließlich paßt AntiVir auch entsprechend regelmäßig die ScanEngine an.

Also Virenwächter an, (der findet sogar Viren/Würmer) die gerade ge-downloaded werden).

Im POP-UP Fenster von AV-Guard am besten überschreiben und löschen auswählen - fertig.
Für ganz Ängstliche empfiehlt sich eben auch ein zweites Antivirenprogramm, das nicht gerade auf dem gleichen oder ähnlichen Konzept (z.B. ScanEngine) wie AntiVir arbeitet.


Updates von BS und FW und AV blah blah blah ist klar-

 

Was ist ein "enaiVzvvEwdfDAU"?

Ja, wenn der AntiVirus-Guard geöffnet und aktiviert ist. Erkennbar an dem Symbol im Systemtray. Ist der Regenschirm auf, ist der Guard aktiviert.

Ja, nachdem der PC bereits infiziert wurde kann der Schädling nur entfernt werden indem "man selbst aktiv eine Suche startet".

Gruß

Dominik

 

Ja, AntiVir hat einen residenten Scanner, den man anschalten (ist standartmäßig nach der Installation auch an) kann. Schädlinge werden dann nach dem Update erkannt und mit Namen ausgegeben.

 

@ttennis
die frage ist eher , ob AntiVir einen realtime-AVscanner besitzt....wenn JA, dann kannst du dir dir frage selbst beantworten.