93630
Feb 26, 2016
4894
14
0
Ganzes Verzeichnis von Virenscanner ausnehmen: Sicherheitsrisiko?
Hallo,
wir setzen RAMicro ein. Leider kommt das Programm immer wieder in Konflikt mit dem Avast Virenscanner. Die "Lösung" des RAMicro Supports ist es nun, dass gesamte Programmverzeichnis von RAMicro auf die Whitelist zu setzen (als wildcard).
Ich habe irgendwie ziemliche Bauchschmerzen dabei, kann aber nicht wirklich begründen warum. Ein Sicherheitsrisko wäre natürlich, wenn der RAMicro Update-Dienst gehackt wird und tatsächlich verseuchte Dateien ausgeliefert werden. Die würde der Virenscanner nicht mehr stoppen können. Allerdings ist das Risiko dafür wahrscheinlich eher gering. Andere allgemeine Schädlinge werden sich wahrscheinlich auch nicht absichtlich in dem Ordner einnisten.
Also sind die Bauchschmerzen unbegründet oder habt ihr Argumente, warum das so nicht gut ist? Außer "schlechtem Style"
wir setzen RAMicro ein. Leider kommt das Programm immer wieder in Konflikt mit dem Avast Virenscanner. Die "Lösung" des RAMicro Supports ist es nun, dass gesamte Programmverzeichnis von RAMicro auf die Whitelist zu setzen (als wildcard).
Ich habe irgendwie ziemliche Bauchschmerzen dabei, kann aber nicht wirklich begründen warum. Ein Sicherheitsrisko wäre natürlich, wenn der RAMicro Update-Dienst gehackt wird und tatsächlich verseuchte Dateien ausgeliefert werden. Die würde der Virenscanner nicht mehr stoppen können. Allerdings ist das Risiko dafür wahrscheinlich eher gering. Andere allgemeine Schädlinge werden sich wahrscheinlich auch nicht absichtlich in dem Ordner einnisten.
Also sind die Bauchschmerzen unbegründet oder habt ihr Argumente, warum das so nicht gut ist? Außer "schlechtem Style"
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297495
Url: https://administrator.de/contentid/297495
Printed on: April 20, 2024 at 02:04 o'clock
14 Comments
Latest comment
Die Verhaltenserkennung wirkt ja nach wie vor. Ebenso der Virenscanner, wenn die Dateien aus dem Verzeichnis in den Speicher geladen werden.
M.W. gelten derartige Ausnahmen nur für dateibasierte Fullscans, die aber i.d.R. manuell bzw. relativ selten angeschubst werden.
Ich persönlich hätte zwar nicht direkt Bauchschmerzen - ich finde das nur nicht sonderlich hilfreich...
M.W. gelten derartige Ausnahmen nur für dateibasierte Fullscans, die aber i.d.R. manuell bzw. relativ selten angeschubst werden.
Ich persönlich hätte zwar nicht direkt Bauchschmerzen - ich finde das nur nicht sonderlich hilfreich...
Gängige Praxis bei solchen Problemen. Würde mir da keine Sorgen machen.
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Zitat von @117471:
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Stimmt. Die Lösung bleibt aber die gleiche
Optimalerweise könnte man es natürlich so weit rubterbrechen wie möglich, anstatt pauschal das komplette Verzeichnis auszuschließen.
Hab da auch nie ein wirklich gutes Gefühl. Wenn denn mal ein "Pöhser Pube" auf die Idee käme, sich in dem Verzeichnis zu installieren...
Aber: Gängige Praxis. Zugegeben.
Nichtstestotrotz wird er ausgeführt und dann gescannt, wenn er nicht nochmal als Anwendung ausgenommen ist. Ich lebe damit. Bisher gut.
Buc
Aber: Gängige Praxis. Zugegeben.
Nichtstestotrotz wird er ausgeführt und dann gescannt, wenn er nicht nochmal als Anwendung ausgenommen ist. Ich lebe damit. Bisher gut.
Buc
Die Ausnahme muss ich leider auch für die Prozesse im Speicher eintragen, da die ramicro Programme dort ebenfalls erkannt und geblockt werden.
Also das Verzeichnis das ich ausnehme wird also niemals nicht gescannt.
(es geht um false positives)
Würdet ihr also einfach den ganzen Ordner komplett vom scannen ausnehmen? (Datei + runtime scan)
Also das Verzeichnis das ich ausnehme wird also niemals nicht gescannt.
(es geht um false positives)
Würdet ihr also einfach den ganzen Ordner komplett vom scannen ausnehmen? (Datei + runtime scan)
Nein.
Ich würde den Hersteller meiner Antivirensoftware auf den Topf setzen.
Ich hatte neulich änliche Fälle. Den vermeintlichen Virus habe ich bei GData im Lab eingereicht, 24 Stunden später war das Problem gelöst.
Ansonsten würde ich immer so vorgehen und warten, bis etwas in der Quarantäne landet - um es dann über genau diese Funktion wieder explizit freizugeben.
Ich würde den Hersteller meiner Antivirensoftware auf den Topf setzen.
Ich hatte neulich änliche Fälle. Den vermeintlichen Virus habe ich bei GData im Lab eingereicht, 24 Stunden später war das Problem gelöst.
Ansonsten würde ich immer so vorgehen und warten, bis etwas in der Quarantäne landet - um es dann über genau diese Funktion wieder explizit freizugeben.
Die versteifen sich alle auf "läuft doch". Habt ihr noch rationale Argumente warum das so nicht gut ist?. "Schlechter Stil" passt reicht nicht als Argument
Ja.
Mein Auto läuft auch ohne Katalysator und Airbag.
Mein Auto läuft auch ohne Katalysator und Airbag.
Hast du noch ein paar Argumente was passieren kann?
-der ramicro update server wir gehackt und liefert Viren
-ein Angreifer weiß, dass das Verzeichnis ausgenommen ist und plaziert genau dort die Viren (setzt einen gezielten Angriff vom. Jemandem der dad weiß voraus)
Was noch?
-der ramicro update server wir gehackt und liefert Viren
-ein Angreifer weiß, dass das Verzeichnis ausgenommen ist und plaziert genau dort die Viren (setzt einen gezielten Angriff vom. Jemandem der dad weiß voraus)
Was noch?
Jemand könnte ein virenbehaftetes Dokument (Vorlage o.Ä.) in das ramicro einbinden.
Hast Du denn Avast kontaktiert? We ist deren Reaktion?
Avira z.B. ist immer sehr interessiert an legitimen "False positives"
da gab es Lösungen und die kann Avast auch liefern...
Avira z.B. ist immer sehr interessiert an legitimen "False positives"
da gab es Lösungen und die kann Avast auch liefern...
Avast hält es für eine gute Idee jede einzelne Datei per Hash zu Whitelisten. Kriegen jetzt erstmal 70 Dateien und beim nächsten Update halt nochmal das gleiche Paket.
Hm. Warum sagt AVAST nicht einfach: "O.k. die Software kennen wir nun?"
Das Whitelisting ist jedenfalls ein überaus spannendes Thema. Niemand weiss, wer und was da alles draufsteht. Gab es grad nen schönen Artikel, ich glaube auf heise.de? Transparenz? Null.
Trotzdem: Die gefährlichsten Atacken sind immer noch relativ unspezifisch. Und gegen eine gezielte 0-Day Attacke hilft auch kein Virenscanner.
Daher: ausnehmen und gut.
Buc
Das Whitelisting ist jedenfalls ein überaus spannendes Thema. Niemand weiss, wer und was da alles draufsteht. Gab es grad nen schönen Artikel, ich glaube auf heise.de? Transparenz? Null.
Trotzdem: Die gefährlichsten Atacken sind immer noch relativ unspezifisch. Und gegen eine gezielte 0-Day Attacke hilft auch kein Virenscanner.
Daher: ausnehmen und gut.
Buc
