Virenfunde auf der Syno - wie einschätzen? Ursache?

JoachimB · 21. Feb 2014

Zugegeben: Ein sehr umfassendes Problem möglicherweise im falschen Forum. Diesbezüglicher Hinweis sehr willkommen.
Vorgeschichte:
Jahrelanger Windows – User kauft Syno 213+. Sehr zufrieden, keine besonderen Vorkommnisse.
Steigt dann im Dezember auf nen iMAC um. Die im Laufe der Zeit für die beiden User (meine Frau und ich) angelegten gemeinsamen Dateien sind die einzigen Daten, die mit auf den Mac umziehen. Es handelt sich dabei um Bilder und Office – Dokumente (Excel, Word, Power Point) und einige Videos und PDFs.
Dann wird der neue iMac mit der Syno gemounted, und Time Machine Backup auf dem Mac so konfiguriert, dass die Backups auf der Syno landen. So weit so gut.
Nun habe ich mal Antivirus Essential über die Syno laufen lassen, und es kommt zu vielen Funden ausschließlich aus dem Bereich der Mac backups.
Hinzuzufügen ist, dass der Windows Rechner regelmäßig mit Eset gescannt wurde (keine Befunden), und der Mac nun mit ClamXav. Keine Befunde auf dem Mac.
Ich bin absolut ratlos, denn ich kann die Viren auch nicht einschätzen, sie scheinen nach Google teilweise recht ausgefallen – aber es macht mich doch nervös...
Kann jemand einen Rat geben oder die Viren eindeutig Windows zuordnen?
Es sind:
Monkey -2
W32.Perelett.15399
CVE_2011_3397-8
HTML.Phising.Bank-539
W32.Virut.Gen.D-159
Links im Antivirus stehen Dateinamen, aber es ist mir nicht gegeben, von diesen auf irgendwelche Inhalte oder Dateien zu schließen.
Schon mal vielen Dank, dass ihr Euch mit meiner Soge beschäftigt!

Anzeige · 21. Feb 2014

Hallo JoachimB,

Bücher und Hardware zum Thema gibt es bei Amazon: Virenfunde auf der Syno - wie einschätzen? Ursache?

ottosykora · 22. Feb 2014

ach, das ClamAV der DS ist mehr eine Alibiübung, damit die ganze DS zu scannen can man aber muss nicht. Das es sich immer um die gleichen Muster handelt, hat es wohl mit dem Komprimierverfahren zu tun welches die TM verwendet. Die DS mit dem scannen des ganzen Inhaltes zu plagen, das habe ich längstens aufgegeben. Bei meiner 212j würde das wohl Wochen dauern. Habe mal versucht, war nach 3 Tagen nicht fertig, habe das wieder abgestellt.

Ich scanne nur die von aussen zugänglichen Ordner, aber sicher nicht komprimierte Backups von meinem PC. Das kann auch nicht entpackt werden um es zu scannen und an diesen Files kann man ja kaum was sinnvolles finden.

JoachimB · 22. Feb 2014

Danke Otosykora. Das hört sich beruhigend an. Schon richtig, der scan währt jetzt bei 86% den vierten Tag. Da es nicht auf der Performance geht stört mich das nicht. Und richtig, da es sich ausschließlich um Backupfunde des Mac handelt, werden diese auch niemals beseitigt werden können, da der Mac ja - ich schrieb es bereits - ja laut ClamXav virenfrei ist.
Sehen das alle User so sportlich oder gibt's auch andere Meinungen?
Beste Grüße ins We,
Jo

ottosykora · 22. Feb 2014

eigentlich ist es schlecht gemacht , weil vernünftiger Virenscanner wird nie versuchen solche Archive zu scannen weil es einfach nicht scannen kann, weil es einfach nichts drin erkennen kann. Sollte also eigentlich von selber überspringen statt unmögliches zu versuchen.
Darum einen Systemscan machen oder allenfalls einen Custom Scann erstellen mit dem man dann jedoch nur wirkliche Dateien scannt und nicht proprietär verpackte Archive nach etwas durchsucht was man nicht finden kann. Auch der Scanner auf dem PC oder Mac wird diese Archive nicht scannen (können) weil er sie dazu zuerst auspacken müsste.
Also Backup Archive vom Scann ausschliessen, dann geht es wieder brauchbar zu.

JoachimB · 24. Feb 2014

Ok, verstehe. Habe mal die Backups auf die Whitelist gesetzt. Nur eines, lieber ottosykora (und andere, die etwas sagen können / wollen) wundert mich dann doch: Wie kommt ClamAV um alles in der Welt zu den ganz konkret genannten Ergebnissen? Mein jetziger Wissenstand erinnert mich irendwie an einen Bettnässer, der psychologische Hilfe suchte. Gefragt, wie denn die Therapie verlaufen sei war seine Antwort "Oh, super. Ins Bett mache ich immer noch, aber nun stört es mich nicht mehr"

Na, was solls. Vielleicht muss ich das alles relaxter sehen, aber seit wir mal im Büro viel Ärger mit Viren hatten bin ich wohl ein wenig unentspannt. Danke für Info, viele Grüße - Jo

ottosykora · 24. Feb 2014

das ist ganz einfach: alle Antivirusscanner suchen nicht nach kompletten Virus File, das schaffen die ja sowieso nicht. Die können nur nach einem kleinen Ausschnitt aus einem Bitmuster suchen welches typischerweise auch in einem Virus vorkommt. Diese Muster sind in der Signaturen Datenbank gespeichert und wenn es in irgendeiner Datei so eine Bitfolge findet, dann vermutet es die Datei (Virus) welches sonst solchen Bitmuster in sich trägt.
Dies Bitmuster sind dann in der Datenbank mit den konkreten Namen verknüpft und werden so angezeigt, nur ist das alles die sogenannte heuristische Suche. Darum gibt es keinen Virusscanner der 100% funktionieren kann.

also vereinfacht 0011101011110001100010100110011111100110100 = Monkey-2

Wenn man dann mal irgendwo ein File hat und der Virenscanner sagt da ist was verdächtiges, dann geht man damit auf die Website : virustotal.com
dort kann man den File hochladen und scannen lassen. Da sind etwa 40 Scanner an der Arbeit. Wenn mehr als die Hälfte sagen da ist was drin, dann muss man es genauer untersuchen, am besten dann einem der Hersteller des Scanner senden (password zipped) und die können dann die Dateien genau untersuchen.

Da es sich bei den Backup Archiven um Dateien handelt die alle nach dem gleichen Muster komprimiert wurden und damit halt ähnliche Muster aufweisen, sind sie natürlich für den Scanner verdächtig.
Da sich jedoch gepackt Archive nicht scannen lassen, respektive das keinen Sinn macht, werden heute die meisten Scanner die man so auf dem PC hat sich einfach weigern so was zu scannen. Es sei denn es sind zum Bsp konventionelle zip Files, die muss der Scanner eben zuerst öffnen, auspacken scannen und dann das ausgepackte wieder löschen. Es gibt wohl Scanner die sind in der Lage zwei Ebenen tief Archive auszupacken und scannen, aber einfache können es nicht.
Und wenn man die Files in einen passwortgeschützten zip gibt, dann kann es kein Scanner bearbeiten, wird sich korrekterweise weigern oder gibt eine Fehlermeldung aus, oder wenn es nicht sehr gut programmiert ist wird es trotzdem scannen und dabei nur Fehlermeldungen produzieren.

JoachimB · 25. Feb 2014

Das ist für mich wirklich interessant. Ich habe mir das schon so ähnlich gedacht, aber so weit hinein bin ich doch nicht eingetaucht. Aber man wird ja völlig kirre gemacht: Klar habe ich auch ne Fritzbox, und da gab es ja nun auch genug Aufregung. Gestern lese ich, dass Apple ein schweres Sicherheitsproblem mit dem Betriebssystem hat. Dann bekam eine Kollegin letzte Woche ständig Mails zurück, die sie nie geschrieben hatte - übel! Unsere Company - wir arbeiten im Intranet - filtert jetzt alle ZIPs raus, bevor sie zugestellt werden.
Und tatsächlich habe ich mir den Mac wegen dieser ganzen Virendiskussion privat zugelegt, nicht weil er so schön aussieht.
Also sage ich mal lieben Dank für Deine Ausführungen und vertraue auf mein Misstrauen (hört sich irgendwie bescheuert an, passt aber wohl ganz gut) und darauf, dass die angesprochene Sicherheitslücke von Apple umgehend geschlossen wird.
Beste Grüße - Jo