PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Geschlossen Eicar-Testviren werden bei SSL nicht erkannt



hoschie3000
06.05.10, 00:30
Hallo Leute,

habe durch Zufall mal aus Gag die Eicar-Testviren runtergleaden und musste feststellen, dass die über den SSL-Download nicht von AVST erkannt werden und ohne weiteres abgespeichert werden.

Wäre dies eine Hintertür für Viren über SSL unbemerkt ins System zu gelangen?

Testet es selbst

http://www.eicar.org/anti_virus_test_file.htm

VG Chris

Auggie
06.05.10, 08:54
Bei mir hat sich Avast sofort gemeldet, als ich versucht habe, den Testvirus "eicar.com" herunter zu laden.
Bei der 2. Möglichkeit, dem "eicar.com.txt" wird mir der Code angezeigt.
Möglichkeiten 3 und 4 werden beim Zugriff, d.h. beim Entpacken, auch erkannt.
Wenn Du schon solche Fragen stellst, solltest Du Dein Prozedere möglichst genau beschreiben, damit wir nachvollziehen können, was genau Du getan hast.
Wie sind denn Deine Einstellungen?

uweli1967
06.05.10, 10:05
@hoschie3000 & Auggie
Ich habe das mit eicar gerade auch getestet und bei der oberen Reihe von eicar meldet sich Avast sofort, gut so. Aber bei den 4 verschiedenen Eicar Testfiles die bei SSL stehen, macht Avast keine Anstalten das runterladen zu stoppen. Bei mir ist Avast 5 Free mit Standardeinstellungen installiert.
http://www.abload.de/thumb/unbenannty8ee.jpg (http://www.abload.de/image.php?img=unbenannty8ee.jpg)http://www.abload.de/thumb/unbenannt1xk8x.jpg (http://www.abload.de/image.php?img=unbenannt1xk8x.jpg)http://www.abload.de/thumb/unbenannt2fwn0.jpg (http://www.abload.de/image.php?img=unbenannt2fwn0.jpg)http://www.abload.de/thumb/unbenannt3smc2.jpg (http://www.abload.de/image.php?img=unbenannt3smc2.jpg)

Auggie
06.05.10, 10:52
Ich hab jetzt extra noch mal gerschaut und versucht, den ersten Testvirus "eicar.com" per https herunter zu laden.
Zwar hindert mich Avast nicht am Speichern der Datei, aber: Sofort beim Anklicken erscheint unübersehbar eine Warnmeldung.
Wer bei dieser Warnmeldung eine Datei trotzdem herunterlädt, ist imho selbst schuld.
http://img59.imageshack.us/img59/7968/eicar1.th.png (http://img59.imageshack.us/i/eicar1.png/)
Ich habe mal bewußt versucht, den Testvirus "eicar_com.zip" (das erste Archiv) per https direkt zu öffnen, hier schlug zwar nicht Avast an, dafür aber meldete sich der nicht deaktivierte MS-Defender von Windows 7.
http://img217.imageshack.us/img217/3323/eicar2.th.png (http://img217.imageshack.us/i/eicar2.png/)
Beim Versuch, das selbe Archiv zu speichern, um es nachher zu öffnen, konnte ich zwar speichern, die Dtei wurde aber seltsamerweise nicht gepeichert. Eine Meldung darüber kam jedoch nicht.
Das kann aber daran liegen, das ich beim Echtzeit-Schutz beim Dateisystem-Schutz die Packer, die geprüft werden sollen, genauer spezifiziert habe.
Wenn ich das noch im Kopf habe, sind hier per default nur selbstextrahierende Dateien (Dos und Win) sowie Dropper aktiviert....habe die Defaulteinstellungen aber nicht mehr im Kopf.

uweli1967
06.05.10, 12:41
Nur um Missverständnisse vorzubeugen: Wenn ich eicar-Files von hier: Download area using the standard protocol http runterladen will, schlägt Avast sofort bei mir mit den Standardeinstellungen an(siehe Bild)
http://www.abload.de/thumb/227ksc.jpg (http://www.abload.de/image.php?img=227ksc.jpg)
Wenn ich aber eicar-Files von hier: Download area using the secure, SSL enabled protocol https runterladen möchte, dann reagiert Avast bei mir mit den Standardeinstellungen auf den Downloadversuch nicht(siehe Bild)
http://www.abload.de/thumb/unbenannt2owmd.jpg (http://www.abload.de/image.php?img=unbenannt2owmd.jpg)
Die Einstellungen im Dateischutz-System für Packer sind bei mir so eingestellt:
http://www.abload.de/thumb/33a8oa.jpg (http://www.abload.de/image.php?img=33a8oa.jpg)

gerd88
06.05.10, 13:58
Sollte man das Alwill melden oder ist das Verhalten von Avast "ok"?

Merlin
06.05.10, 16:19
Hallo,

avast! kann den EICAR Virus beim Download auch nicht blocken, wenn die Datei über eine SSL-verschlüsselte Verbindung runtergeladen wird, da eine sichere Verbindung vom lokalen Browser zum Server hergestellt wird. Bei nicht-verschlüsselten Seiten leitet avast! den Datenstrom auf sich selbst um und liefert ihn danach zum Browser, so dass es die Inhalte analysieren kann. Bei SSL würde das Umleiten auch funktionieren, die Analyse jedoch nicht, da der Inhalt verschlüsselt ist. Daher wird die Datei erst beim Zugriff erkannt.

Auggie
06.05.10, 17:40
Macht ja auch Sinn, das die Analyse nicht funktioniert....sonst wäre eine verschlüselte Verbindung, und damit einhergehend die Datenübertragung, auch sinnfrei. Wenn ein AV-Programm so ohne weiteres eine an sich verschlüsselte Datenübertragung analysieren könnte, kann das jeder Angreifer natürlich auch.
Bitte das Ganze nicht mit dem Mailabruf über eine verschlüsselte Verbindung verwechseln, da liegt der eigentliche Inhalt (die Mail) nämlich im Klartext vor.