PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst Sandbox und lokales Netzwerk - unerwartete Warnung



fischli
24.03.11, 23:11
Beim Öffnen (Ausführen) einer verdächtigen Datei von einem freigegeben Laufwerks eines anderen PCs erscheint eine Sandbox-Warnung auf dem anderen PC. Die Verbindung ist blockiert bis die Warnung auf dem anderen PC beantwortet wird. Danach erscheint auf dem eigenen PC die gleiche Warnung. Diese letzte Warnung ist richtig, weil die verdächtige Datei auf dem eigenen PC ausgeführt werden soll.

Die Warnung erscheint auch beim Anzeigen der Eigenschaften der "entfernten" Datei. Die Verbindung ist wie beim Öffnen blockiert.

Im Gegensatz dazu kommt beim Anzeigen der Eigenschaften der selben Datei von einem lokalen Laufwerk keine Warnung, sondern erst beim Ausführen. Kopieren und Löschen sind ohne Warnung möglich. Das finde ich in Ordnung.

Ich befürchte, dass das Blockieren der Netzwerkverbindung andere Prozesse stören könnte.

Im Sandbox-Log des anderen PC steht folgender Eintrag, wobei PID 4 nicht der Name eines PCs oder des Nutzers ist:

24.03.2011 21:16:44 Autosandbox candidate: D:\w7_T_kop\Setup_.exe
[Source: ]
[Opened by: PID 4]
--> Result: Denying execution (based on user's decision). :confused: Ist die Warnung auf dem anderen PC nötig bzw. gewollt?

Der Effekt ist unabhängig von der Windows-Version (XP oder Windows 7) und tritt bei den von mir getesteten Avast!-Versionen 6.0.1000, 6.0.1035-beta und 6.0.1044-beta auf.

Der Vollständigkeit halber als Anhang der HiJackThis Log.

Merlin
25.03.11, 10:28
Hallo,

ein HiJackThis Log wird in diesem Fall nicht nötig sein, trotzdem Danke, dass du daran gedacht hast!

Welche Meldung erscheint denn genau auf dem PC, der die Dateien auf der Netzwerkfreigabe bereitstellt?

fischli
25.03.11, 16:16
Auf dem PC, der die Datei auf der Netzwerkfreigabe bereitstellt, erscheint die Warnung, die auch im LOG steht:

Merlin
26.03.11, 12:42
Hallo,

ich denke, dass das noch ein Problem der aktuellen Version ist. Natürlich scannt avast! jeden Vorgang auf dem PC, auch wenn der Dienst, der u.a. die Datei- und Druckerfreigaben bereitstellt, eine lokale Ressource öffnet. Eigentlich sollte das vom Prinzip her nicht auftreten, aber ich denke wir können hier nur spekulieren und sollten einfach auf eine neue Version warten. Hast du mal versucht, ob genau das mit dem neuen Pre-release auch noch auftaucht?

Aktuelles Pre-release: http://forum.avadas.de/threads/2828-avast!-6.0.1044-BETA

Merlin
03.04.11, 19:28
Hallo,

da keine weitere Rückmeldung mehr kam, schliesse ich das Thema. Wenn noch Bedarf besteht, bitte eine PN an die Moderatoren.

Merlin
06.04.11, 09:28
Hallo,

noch eine Ergänzung von "fischli" zu dem Thema (per PN erhalten):




Hallo

Das Problem tritt bei allen 6-er Versionen auf, auch bei der
6.0.1044. Eine Datei zum Testen ist z. Bsp. die HijackThis.exe.
Die Warnung beim Anzeigen der Eigenschaften der Datei auf einem freigegebenen
Laufwerk erscheint auf dem PC mit der Freigabe, nicht auf dem "Eigenen". Auf dem
eigenen PC erscheint sie erst beim Ausführen, was so auch richtig ist. Da die AutoSandbox auch eine neue Funktion ist, werden da sicher noch Optimierungen folgen.
Vielleicht habt ihr die Möglichkeit, das mal zu testen.



Ein Kommentar von mir: Wir können leider im Moment nichts an dem Verhalten ändern. Da aber ein größeres erstes Service Release von avast! noch aussteht, würde ich hier einfach darauf warten. Ich denke, dass so ein Umstand früher oder später vom Hersteller behoben wird.

fischli
19.04.11, 12:44
Hallo
Auch in der finalen Version habe ich im lokalen Netzwerk noch den von mir beschriebenen Effekt (Sandbox-Warnung):
http://forum.avadas.de/threads/2901-Sandbox-und-lokales-Netzwerk-unerwartete-Warnung

Merlin
19.04.11, 14:35
Hallo fischli,


Auch in der finalen Version habe ich im lokalen Netzwerk noch den von mir beschriebenen Effekt (Sandbox-Warnung)

ich werde da mal bei nächster Gelegenheit bei den Entwicklern nachhaken. Danke für die Rückmeldung!

Merlin
22.04.11, 13:32
Hallo,

es gibt Rückmeldung von der Qualitätskontrolle:

Der avast! Dienst überprüft alle Aktionen auf dem Rechner, d.h. unter anderem auch den Dienst, der für die Datei und Druckerfreigaben zuständig ist. Da das Öffnen einer Datei von einem entfernten Rechner auch eine Aktion darstellt, wird hier auch bei einer verdächtigen Datei ein Abfrage an den Benutzer durch die AutoSandbox Funktion erzeugt. Das ist auch so gewollt. Hier gibt es auch nur zwei Möglichkeiten Abhilfe zu schaffen:

a) AutoSandbox Funktion komplett deaktivieren
b) Pfad zu den Dateifreigaben in den Ausnahmen definieren.

Ansonsten werden von dieser Aktion keine weiteren Netzwerkaktivitäten während der Abfrage blockiert.

Auggie
27.04.11, 02:03
Da keine weitere Rückmeldung kam, wird der Thread vorerst geschlossen.
Bei Bedarf eine PM an die Moderatoren.

Merlin
27.04.11, 09:10
Hallo,

ich setze es auf "Gelöst", da das Verhalten vom Design des Moduls so beabsichtigt ist und es keinen anderen Workaround gibt. Die einzige Möglichkeit wäre auf dem "Dateiserver" die AutoSandbox Funktion zu deaktivieren oder einzelne Dateien als "vertrauenswürdigen Prozess" zu deklarieren.