Antivirus Essential liefert falsche Daten

[debianfan]

Hallo,

Antivirus Essential hat meine NAS gescannt & Viren gemeldet.

Ich habe die "verdächtigen Dateien" mit

Jottis Malwarescanner

und

Virustotal

scannen lassen - nix.

Ich habe mein Antivir-Premium auf meinem Desktop-Rechner drüberlaufen lassen - nix.

Ich habe die Dateien an mein Firmenpostfach geschickt - dort durchlaufen diese nochmal 2 Virenscanner - einer auf dem zentralen Firmenmailserver und einmal auf meinem lokalen Rechner - nix.

Woher bezieht Antivirus-Essentials seine Erkennungsmuster - das ist ja gruselig.

Kann ich den durch einen vernünftigen Scanner ersetzen?

Ich hab hier mal die 4 Dateien als zip-Datei angehängt - das sind einmal eine dll-Datei aus einem Direct-X Paket, eine dll-Datei aus der SAP Gui für Windows und einmal ein Displaytreiber für einen NEC-Computer.

Lasst die zum Spaß mal bei Euch durchlaufen

Anhang anzeigen beispieldaten.zip

gruß

Sebastian

 

[Frogman]

Nun ja, es ist ja nun nicht ungewöhnlich, dass unterschiedliche Virenscanner unterschiedliche Ergebnisse liefern - unter anderem aus diesem Grund scannt ja bspw. Dein Arbeitgeber auch mit 2 Scannern.
Einen alternativen Scanner für die DS kenne ich bisher nicht - und halte ich auch nicht für wesentlich.

 

[debianfan]

Nicht für wesentlich - na gut - wenn Du meinst.

Ich bin mir da halt immer nicht so sicher :-(

 

[Frogman]

Also gerade in Bezug auf die Daten der DS, die Du über Netzwerklaufwerke nutzt - da würde ich dann ohnehin eher den (Zugriffs-)Scannern vertrauen, die Du auf dem Rechner laufen hast.

 

[ottosykora]

Ich habe mein Antivir-Premium auf meinem Desktop-Rechner drüberlaufen lassen - nix.

Ich habe die Dateien an mein Firmenpostfach geschickt - dort durchlaufen diese nochmal 2 Virenscanner - einer auf dem zentralen Firmenmailserver und einmal auf meinem lokalen Rechner - nix.

Woher bezieht Antivirus-Essentials seine Erkennungsmuster - das ist ja gruselig.

Kann ich den durch einen vernünftigen Scanner ersetzen?

Der Scanner basiert auf ClamAV, die Sigs natürlich auch.
Clam ist ein open source Scanner welches unter Linux üblich ist und kostenlos ist. Es wird mit vielen Linux Distros ausgeliefert.
Ist aber bekannt für viele falsche Alarme.

Also einfach alles damit scannen ist ja nicht nötig. Ich verwende es auch, aber eigentlich nur auf so eine Art Tausch Ordner , aber sonst nicht. Bei diesen kleinen Prozessörchen in so einer NAS würde brauchbares scannen ewig dauern.
Ein File wird beim kopieren oder sonstigem Zugriff auch auf dem PC gescannt, also ist ein Scann auf dem Server von dieser Grösse nicht besonders sinnvoll.
Auch ein Vollscann von einem PC aus ist ziemlich sinnlos, alles muss über das Netz zuerst transportiert werden. Manche Leute versuchen ja so was, aber mich wundert in diesem Zusammenhang dass niemand auf die Idee kommt die Googele Server remote zu scannen...

 

[Herrle]

Mein Antivirus Essential zeigt mir seit mehren Wochen an, dass mein Virenscanner "Already up to date" ist. Kann das noch richtig sein?

Nachtrag: Genauer gesagt ist das letzte Update am 25.6 ausgeführt worden

 

[ottosykora]

Und wenn du Update machst , was passiert?
Wenn man ein Scann Task angelegt hat, kann man ankreuzen dass es den Update vor einem Scann machen soll.

 

[Herrle]

Habe ich angekreuzt das Update wird auch ausgeführt. Im Protokoll steht dann "Already up to date".
Bei einem manuellen Update sagt er auch "Already up to date"

 

[Herrle]

Ich habe jetzt Antivirus Essential deinstalliert und dann neu installiert (ohne Neustart).
Jetzt steht im Protokoll "Update Completed"
Kann ich irgendwo nachschauen welche Version die Datenbank mit den Virensignaturen jetzt hat?

 

[ottosykora]

da steht vielleicht Datum wann es updated wurde, mehr nicht. Die ClamAV Datenbanken bestehen aus diversen, so was wie 'Main' und dann diversen 'Daily' mit irgendwelchen nummern. Also nicht so wie es die kommerziellen Scanner auf dem PC machen, dauernd gross die genauen Versionen der Datenbanken in grossen Popups mitzuteilen und dabei genau so weiter mit heuristischen Mustern scannen.

Ich würde das nicht allzu ernst nehmen. Scanner auf einem Linux Server ist nicht so die beste Idee und alles wird von dem genug starken Scanner auf deinem PC gescannt wenn es abgerufen wird.
Das ist nur so ein nice to have Spielzeug, damit kann man vielleicht ein öffentlich zugängliches Verzeichnis scannen, also einen Upload Ordner wohin andere Leute was reinkopieren zum Bsp. Aber einen wirklich grossen Nutzen hat so was nicht.
Irgendwie die ganze DS damit zu scannen ist nicht hilfreich, die Rechenleistung ist da einfach zu klein dafür.

 

[Herrle]

Ich habe eine DS214+. Ein Full Scan ist da in 10 Minuten durch. Die CPU langweilt sich dabei (ca. 50% Auslastung)
Kürzlich wurden bei mir mal Viren oder ähnliches gefunden und in den Quarantäne Ordner verschoben. Dort konnte ich die Dateien dann löschen.
Läuft man ohne gelegentliche Virenscans nicht Gefahr zur Spamschleuder oder ähnliches zu werden?

 

[Frogman]

...Läuft man ohne gelegentliche Virenscans nicht Gefahr zur Spamschleuder oder ähnliches zu werden?

Verflixt, jetzt hast mich erwischt... sehr Jahr und Tag läuft auf meinen DS kein Virenscanner, sie schleudern ungefiltert Tag und Nacht... Nee, im Ernst - brauchst kein schlechtes Gewissen haben, wenn Du nur auf dem normalen Rechner etwas laufen hast.

 

[ottosykora]

Ich habe eine DS214+. Ein Full Scan ist da in 10 Minuten durch. Die CPU langweilt sich dabei (ca. 50% Auslastung)
Kürzlich wurden bei mir mal Viren oder ähnliches gefunden und in den Quarantäne Ordner verschoben. Dort konnte ich die Dateien dann löschen.
Läuft man ohne gelegentliche Virenscans nicht Gefahr zur Spamschleuder oder ähnliches zu werden?

ohne einen ClamAV Scanner oder mit einem ClamAV Scanner ist es gleich. Viele Leute haben es irgendwie eingeschaltet, und siehe da haben genauso Synolocker und solches Zeug bekommen. Dagegen hilft einfach kein AV Scanner. Egal wie teuer oder wie viel Reklame der macht. Das ist ein direkter Angriff auf bekannte Probleme eines Systems, dazu braucht es keinen Virus welches man eventuell mit einem Scanner später finden könnte.
ClamAV ist halt eine einfache open Lösung, nur on demand Scanner, nichts real time etc. Findet natürlich auch keine Linux Viren, weil es die wohl so nicht gibt.
Unter Linux gibt es zwar einige kommerzielle Scanner, aber auch da ist es etwas schwer zu sagen was die genau tun sollen. Virus für Linux suchen? Wo denn und wie sieht so was wirklich aus? Kaspersky, auch Avira und andere bieten so was an, aber auch die haben wohl noch nie einen Virus damit gefunden, wo sollen sie es auch finden in Linux.

Wie lange ein Scann dauert, na ja, wenn so eine DS voll mit Daten ist, dann kann es schon Wochen gehen. Ich habe ca 1T auf der 212j und so ein Fullscann dauert so um die 10-12 Tage. Nach einmaligem Versuch solche Übungen definitiv aufgegeben.
Ein Systemscann, na ja so um die 10-15 Minuten auf der 212j, bei ca 50% Auslastung.
Wenn man noch keine Daten auf der DS hat, dann ist der Fullscann kaum länger als der Systemscann natürlich.