Crack fälschlicherweise als Virus erkannt - Wie wirklich sicher gehen?

Mittlerweile ist es schon normal, dass die z.b. Spiele-Cracks von PC-Spielen immer als Virus/Trojaner erkannt werden. Es wird dann immer gesagt, dass dies nur ein Fehlalarm sei.

Wie kann man aber sicher sein, dass es kein echter Virus/Trojaner ist? Eigentlich garnicht oder?

Beispiel:
Wenn ich jetzt meinen Trojaner verbreiten wollen würde, dann würde ich einfach irgendeinen Spielecrack nehmen, der schon als Trojaner erkannt wird, diesen dann mit meinen Trojaner binden und anschließend hier hochladen. Es käme nach wie vor die Meldung eines Trojaners, was aber als Fehlalarm angesehen wird. Außerdem läuft der Crack problemlos, nur dass eben auch mein Trojaner (unbemerkt) ausgeführt wird.

Den Crack in einer VM zu testen wäre sinnfrei. Trojaner verbergen sich in der Prozessliste. Außerdem kann es ja sein, dass der Trojaner sich nur z.b. alle 10 Stunden ins Internet verbindet um PW etc. zu verschicken. Da würde man bei 2Min beobachten nix feststellen...

Kann man sonst irgendwie herausfinden, ob der Crack wirklich clean ist?

Ganz großer Irrtum. Genau solche Umgebungen sind ideal dafür, um ein "Fehlverhalten" zu protokollieren.
Zeitbomben, Zombies. 100% kann dir niemand etwas sagen, nur der Cracker und Vertrieb.
Einfachster Weg - sein lassen. Leider hat es sich seit langem eingestellt, dass Cracker
ihre Arbeiten schützen und somit Änderungen nur ganz schwer nachvollziehbar sind.
Da muss man dann wirklich Gehirnschmalz reinbuttern, um das herauszufinden, können
aber nur die wenigsten. Am einfachsten ist es, den Crack zu laden, etwas warten - und
wenn dann nichts anderweitiges berichtet wird, nutzen.

Wenn Cracks als Malware erkannt werden, ist das fast immer der Versuch seitens der
Hersteller, dem Vertrieb Einhalt zu gebieten und damit auch den Vertreiber zu diskreditieren.

Womit würde man das machen? Mit welchen Programmen kann man einen Crack am besten analysieren (z.b. ob er sich ins Internet verbindet o.ä.)?

Aber falls der Crack mit einem Trojaner gebunden ist und der Trojaner sich z.b. erst 10 Stunden oder 15 Tage nach dem ersten ausführen aktiviert bzw. startet, würde man in der VM nichts davon bemerken (Außer man beobachtet 10 Stunden bzw. 15 Tage am Stück), oder?

Womit protokolliert man Aktionen im System? Diesen Ansatz weiterverfolgen!

Ist das hier ein Ratespiel?
Sag doch einfach den Namen eines Programms, womit ich prüfen kann, ob und welche Programme/Datein sich mit dem Internet verbinden.
Oder eines, welches prüft, was alles meinen PC durchsucht (Falls es sowas gibt)

Hier ist wieder euer Peter Lustig und heute erkläre ich euch so eine Firewall. So eine Firewall, ist was gaaanz besonderes. Mit so einer Firewall kann man heruntergeladene Cracks, den Zugang zum Internet verbieten. Tolle Sache, so eine Firewall.

Wenn du so eine Angst hast, kauf dir die Software beim Hersteller.

Zum Glück ist es Trojanern unmöglich, Firewalls zu durchbrechen

Ich frag hier nur nach Methoden und Programmen zum analysieren von Cracks.

BoerseBZ - Ankündigungen im Forum : Software Angebote - #7 genau lesen

Was nutzt du eigentlich für einen Virenscanner ?

Darum gehts hier nicht.

Es geht hier nur um die Frage, ob es Programme gibt mit denen ich prüfen kann, welche Datein aufs Internet zugreifen. Fall ja, wie heißen diese Programme?

wie oben schn genannt firewall. wenn du zb sims crack TSM als "nicht mir internetverbinden" markierst... verbindet er (o was für ein wunder) nicht mit dem Internet.

Und ich bin der Kaiser von China... omg Herr schmeiss Hirn vom Himmel.

Das war jetzt aber aus dem Kontext gerissen, Jack hat das schon als Sarkasmus gekennzeichnet ... (<< is deshalb gleich doppelt lustig).

Um nochmal aufs eigentliche Thema zurück zu kommen: Virtuelle Maschinen bringen insofern Sicherheit, dass der Rest des Systems in der Regel abgeschottet bleibt (natürlich nur wenn man kein wildes Ordner Sharing betreibt ). Für Anwendungen denen du nicht traust, aber ohne Probleme in ner Virtuellen Maschine laufen also ideal.

Was die Analyse der Cracks angeht, kannst du eigentlich nur darauf hoffen das alles in Ordnung ist, wie letztlich bei allen geschlossenen Softwareprojekten (und bei Open Source bringt's dir halt auch nur was, wenn du die Zeit und das Wissen hast das komplette Projekt zu analysieren ...)

Nein im ernst, es gibt Tools die verschiedene Aktivitäten überwachen (z.B. die Sysinternals Suite von Microsoft[1]), aber die liefern dir in der Regel soviel Information das du es nicht vernünftig verarbeiten kannst. Dann kannst du natürlich den Crack noch disassemblieren und gucken was der Maschinencode macht, aber seien wir ehrlich, sofern du nicht grade dein "Hello World"-Programm überwachen willst, ist das ebenfalls zu komplex.

Fazit: Vertraue darauf das nix passiert und wenn irgendwas wirklich sensibel ist, dann benutze auch was vertrauenswürdiges.

[1] Sysinternals Suite

wie soll man den smiley denn sonst verstehen?!

Vmware ist sinnlos in diesem zusammenhang da, 95% der Trojaner/viren die aufs Verteilen ausgelegt sind in keiner virutellen umgebung starten.. Auch Seiten wie Anubis und co bringen meist nicht viel weil diese einfach geblockt werden(bzw der Scanner die Datein nicht analysieren kann).. Sollte dies der fall sein würd ich mir schonmal gedanken machen..

Wenn du angst hast infiziert zu werden lass das downloaden von cracks einfach.. wenn jemand leute infizieren will via cracks und derjenige ahnung von der materie hat, nützt auch kein Av/analyse tool was..

100% sicher ist nichts, aber es gibt ein paar kleine regeln, um etwas sicherer zu sein:

- immer nur als eingeschränkter benutzer arbeiten
- entpackten crack/patch/keygen einfach mal bei virustotal checken lassen
- falls dateien gepatcht werden, diese auch noch checken lassen

Zu glauben das eine VM vor Viren schützt,
ist fast so wie die Behauptung das eine Frau an manchen Tagen
nicht schwanger werden kann.

Es gibt mehr als genug Kits die das schon von Haus aus mitbringen.
Wireshark und der Großteil der AVs sind ebenso unwirksam wie die meisten Sandboxen.

So far

Nenn' uns doch Mal den Namen eines Schadprogrammes, das dies kann.
Am besten mit Quelle.

Dem stimme ich 100% zu. denn das man da nichts findet, oder das ein oder mehrer AVs nichts finden, heisst nicht, dass da nichts ist. Also 99%. Ich erweitere mal "Der Großteil der AVs" zu "ALLE AVs"

Aber um auf die Frage zurück zu kommen, ob man irgendwo gucken kann, welche Programm eine Verbindung ins Internet herstellen:

Mit netstat -b siehst du in der Win Console alle offenen Verbindungen mit dazugehöriger Datei. Somit kannst du all zu plumpe Übeltäter in einer VM schon mal erkennen. Aber wie gesagt, sicher ist anders, nämlich nur Programme ausführen, die aus vertrauenswürdigen Quellen kommen, und das sind Cracks nun mal nicht.

du kannst dir auch proxifier runter laden. das startest du einfach. danach startest du deinen crack, und sollte er aufs internet zugreifen wird er dir bei proxifier gelisted, inklusive der ip adressen auf die die exe zugreift.

Will hier keine Werbung machen, aber kann in dem Zusammenhang Kaspersky Internet Security (12/13 empfehlen.
Um jetzt genau alles aufzuzählen was du damit alles kannst, würde hier komplett den Rahmen sprengen.
Das teil ist auch nicht wirklich schwer zu bedienen, du kannst wirklich alles indivuell daran konfigurrieren.
Geht schnell und erklärt sich von allein, das sind nur paar Klicks und du hast soviel Features.

Die meißten simplen AV-Systeme sind eigentlich nur schwache "rund-um-die-uhr-such-den-virus"-Programme.
Bei Kaspersky wird grundsätzlich erstmal verhindert das nen Schädling überhaupt auf dein Rechner kommen kann.

Diese schwachen AV-Systeme (meißt sinds Free wie MSE) schreien bei jedem verdächtigen Verhalten: "Virus!"
Bei Kaspersky wird von anfang an ein anderer Ansatz befolgt, dort heißt es nicht "Virus erkannt";
Sondern "Datei zeigt für Trojaner typisches Verhalten". - "Datei XYZ in ABC versucht 123 zu machen."
Du bekommst Informationen was genau geschieht, und kannst das dann auch gut zuordnen.
Außerdem bekommst du z.B auch Informationen aus dem KSN (User-Cloud- Zuordnungen.)

Darüber hinaus haste halt noch sämtliche andere Schutzmöglichkeiten, wie Sanbox, White/Black-List und alles mögliche.
Einer der wichtigens Tools ist der Netzwerk-Monitor, da kannst du wie in netstart (nur übersichtlicher) genau alles angucken.
Dann auch sofort handeln und indivudell jede Datei bestimmte Rechte geben oder verbieten, sowie Ports konfigurieren.

Also da kannst du dein Rechner echt in eine totale Überwachungs und Kontroll, -Zentrale umbauen lassen... ^^
Z.B: Befor eine Datei ausgeführt bzw in den Speicher geladen wird, kannst du diese -automatisch- erstmal überprüfen lassen.

Natürlich kann sich selbst das Teil irren, und dich nich 100% schützen.
Aber bringt dich aufjedenfall schon weiter vorran, als garnichts zu laden oder auf free-avs zu setzen.

Aber darüber hinaus kannst du das auch so mit Menschenverstand gut handhaben z.B.:
- Erstmal dein Windows durch ein vernünftiges UNIX-System ersetzten, das wäre mal der erste Schritt.
(Oder sich mal dran arbeiten das Image bearbeiten und sone Scheiße wie CMD-Tools entfernen.)
- Prinzipiell von sicheren Quellen wie foren wieder dieser laden, und recherchieren was du da läds.
- Mal öfter den Task/Netzwerk Manager aufmachen und nach seltsamen Dingen ausschau halten.
- Prinzipiel jede potenziell gefährliche .exe erstmal entpacken und schauen was raus kommt.
- Halte deine Hand im Zaun, die Gefahr geht zu 80% von unüberlegten Handeln aus.
- Merke: Anwendungen ohne Icons, sind zu 90% Schadprogramme.

Aber ich finde eine vernünftige Rundum-Programm-Firewall sollte Pflicht sein.
Die alten Staubfänger von AVs die suchen und entfernen helfen wenn überhaupt nur, wenns schon zu spät ist.

Achja, ich will hier keine Offtopic-Diskusionen starten aber: Wirkliche "Closed Sources" gibts nicht.
Alles was du lesen kannst, kannst du auch kopieren und abändern, nur ne Frage der Interpretierungs-Mittel.
Zurnot kann man sich nen Hexeditor nehmen und nachgucken. Dauert nur ewigkeiten.

Gibt natürlich auch noch andere gute Suites, aber Kaspersky ist das mir bekannt beste.
Genauso wie nicht alle free-avs schlecht sind, aber man sollte schon was professionelles als Hauptanwendung haben.

Cheers

Ich benutze gar keine dieser überfrachteten Suiten, sondern kleinere
Einzelprogramme, die ebenso gut zusammenarbeiten. Und nun?

Sämtliche Suiten sind faule Kompromisse - entweder ist nur das eine richtig gut
und das andere meistens schlecht - oder beides schlecht.
Eines ist aber sicher, dass alle Suiten wesentlich mehr Performance in Anspruch
nehmen als Einzelprogramme. Seit Vista halte ich den Firewallanteil eh für überflüssig,
auch wenn ich selbst was noch einfacheres nutze.

Aber in einem hast du recht - AV nütz nichts mehr, wenn der Schädling schon im
System gewütet hat. Und bis dahin helfen die auch nur bedingt, weil die Einfallstüre
zu schlecht "betreut" wurde. Klingt immer noch abgedroschen, aber brain.exe
ist immer noch die beste Vorsorge - VORHER überlegen und nachdenken, statt
hinterher aufräumen müssen

Nunja, wieso sollt man für z.B Web-AV, Email-AV und IM-AV einzelne Programme nehmen ?
Der vorteil liegt ja wie gesagt in den Funktionsumfang, der mit einem Program gegeben wird.
Und dieser umfasst lediglich nahe maximum an Sicherungsfunktionen, mehr nicht.

Wenn du irgendwas davon nicht brauchst, z.B Kindersicherung, deaktivierst du sie einfach, nur was benutzt wird, verbraucht Resourcen.
(Wobei die "Kindersicherung" eher einer User-Kontrolle gleicht, kannst alles bestimmen, sowie auch z.B den Netzwerk-Traffic überblicken.)
Wie gesagt, das sind alles vielerlei nützlichen Dingen die du so in den meißten andern Programmen vermissn wirst.

Natürlich sind viele suites wirklich mit Programmen überladen die sich lieber auslagern lassen, wie z.B in PURE.
Aber in Internet Security sind eigentlich nur die wichtigsten Funktionen enthalten, was willst du da entfernen ?
Und ich finde auch das da jede Funktion ihren Dienst selbst so auch optimal verichtet.

Hier mal eine Vergleichstabelle vom Internet Security und Anti-Virus:
Kaspersky Internet Security 2012
Da werden auch einige Funktionen von Kaspersky selbst aufgelistet, die du so auch nicht in anderen Suiten hast.

Natürlich kannst du wie gesagt, z.B einen externen Spamfilter verwenden oder VM statt Sanboxing nutzen.
Aber was soll das großartig bringen ? Du kannst auch einiges externer Programme einfach selbst in KIS integrieren, und hast exakt dasselbe.

Also die Firewall heißt nicht umsonst 2 Wege-Firewall, die ist umfassender als es scheint.
Da kann das popelige Windows-Teil nicht mithalten, und auf das würde ich mich auch nicht verlassen.
Wie Microsoft in Punkto Sicherheit und vorallem Nutzer-Daten umgeht sieht man zu genüge an Programmen wie dem Internet Explorer.

Gut, wer das natürlich nicht braucht, nur öffentliche Emails-Checkt und keine großartigen Netzwerk Aktionen macht, der brauch aber auch kein AV.

Richtig, die Nutzung der Brain.exe ist vorrausetzung, aber die schützt dich auch nicht vor allem, wie gesagt.
Du kannst dir auch ohne irgendein zutun Trojaner und alles mögliche Einfangen, denn den Anfang macht Windows selbst schon.

Lässt du Windows im Urzustand, kriegst du sämtliche Viren die auf einen Datenträger sind, wenn du ihn anschließt.
Benutzt du kein Web-AV (und die meißten Programme haben das nicht) kriegst du Schädlinge schon allein durch ansurfen einer Seite.
Du vertraust deinen IM-Kontakten ? Und du denkst der Link sieht doch garnicht gefährlich aus ? Zack haste Trojaner drauf, und dein Kontakt sowieo.
-> Nutzt du aber jetzt eine umfassende Suite die dich auf solche Lücken hinweist, bzw sie direkt schließt und überwacht sieht das anders aus.
Autostart deaktiveren, Web-Verkehr in Echtzeit überwachen, IM-AV und Links direkt vor Aufruf untersuchen, das sind z.B die Vorkehrungen.

Natürlich kannst du das auch selbst alles manuell machen, aber hier greift wieder das "Leichter-Handhaben"-Prinzip.
Alles geschieht mit einem Klick, und vielleicht sieht Kaspersky noch Lücken wo du keine Vermutet hast.

Du kannst nicht über ALLES im vorraus nachdenken, manchmal müssen Mechanismen dienen.
Genauso wie du nicht 100 Programme laufen lassen kannst ohne den Überblick zu verlieren, da ist die CPU einfach schneller.
Es gibt eben Gefahren im Netz und ja auch vorm Bildschirm (keiner ist perfekt) die kannst du nicht oder nicht schnell genug einkalkulieren.

Wie gesagt, eine Suite ersetzt keinen Verstand, aber bringt dir alles an Board mit was dich beim denken unterstützt.
Ich kann das nachvollziehen das man sagt "Ach brauch ich alles nicht, ich weiß was ich tue" - aber das ist irgendwo auch einfach naiv, sorry.

Also ich kann jetzt nicht für andere AV-Suiten sprechen, aber für Kaspersky lohnt sich echt ein Blick, ich war früher selbst überascht.

Also wenn ich jetzt ein Beispiel nehme:
Ich hab eine Datei wovon ich denke das ein Trojaner sein könnte:
Wenn ich jetzt nach deiner Philosophie gehe:
-> Untersuche ich die Datei von 3 verschieden VirenScanner, Rootkit Scanner, mache eine Netzwerk übersicht, starte vm, verbiete seperate Zugrif.
-> Starte sie vielleicht auch garnicht, weil ich denke - das wird ein Virus sein, - nur weil ich ihn von einer kuriosen Seite herbekam, und lösch sie.
Gehe ich nach Kaspersky:
-> Ich starte die Datei sofort in der Sandbox, wenn was schädliches gefunden wäre, wäre die Datei schon längst bereinigt/gelöscht.
(Dateien die ich ausführe werden, sofern sie nicht schon erfasst sind, direkt nach maximalen Kriterein untersucht, ebenso nach Rootkits.)
(Mein Sonstiger desktop bleibt von dieser Einstellung nicht betroffen, Echtzeit-Schutz im Hintergrund ist anders Konfiguriert.)
-> Kaspersky teilt die Datei direkt entsprechende Rubrik was bestimmte zugriffe blockiert, zurnot pass ich das meiner Idee an.
-> Bekomme außerdem auf Wunsch vor dem Ausführen zusammengefasste Informationen von anderen 1000e Nutzern aus der Cloud.

Verstehst du was ich mein ?
Es sind nicht nur Zeit, Nerven, Resourcen die du so sparst.

Nahja.. ich glaub ich wiederhol mich nurnoch.. irgendwie werd ich ~langsam~ auch müde..
Bitte nimms mir nicht übel, ich will dich hier nicht zum Kaspersky Kauf nötigen oder schon garnicht ein auf besserwisser machen, nein.

Mir gehts nur darum die Funktionsweise vernünftig zu erklären.
Denn ich denke das viele garnicht genau was da eigentlich geschieht.
Oder es einfach zu unrecht abstempeln weil sie sich nie damit befasst haben.

Cheers und gute nacht.

Oder du lässt sie garnicht erst auf deinen PC! Wie wäre das? Und wenn dann nur wenn du weits, es ist kein Virus. leider helfen dir dabei weder 20 Virenscanner, noch ein Suite, sondern nur ein vertrauenswürdige Quelle. Und das ist weder dieses Forum, nioch sonst eines dieser Art.
Das ist IT Sicherheit!! Und nichts Andres.

Wie hoch sind denn die Erkennungsraten der Heuristik und Verhaltensanalyse? Wie hoch bei unbekannten Schädlingen? 30-50%. Noch geringer? Nicht umsonst werden für die Werbeversprechen immer nur bekannte Viren genutzt und diese Daten verschwiegen. Experten sprechen von "wesentlich geringer als 50% mit fallender Tendenz, da die Virenprogger sich darauf einstellen.

Oder eben auch nicht.

Das einzige was ICH daran nachvollziehen kann, ist der Wunsch, seine Rübe nicht anstrengen zu wollen und ein Programm entscheiden zu lassen. Und die Tatsache, dass sich Sicherheit immer Bedienkomfor beisst und man sich daher lieber auf ein Programm verlassen möchte um sich jeden Mist laden zu können.

Das laden von Cracks ist immer riskant, da hilft dir weder ne Sandbox noch ein AV noch eine ganze Suite.

Die Gefahr bei Usern, die so felsenfest von ihrer Suite oder ihrer Software überzeugt sind, ist, dass sie sich so darauf verlassen und deswegen alleine schon sehr leichte Beute sind.

Denk doch nur mal an dein eigenes Beispiel mit dem IM Link! Wer ist den gefährdeter diesen anzuklicken?
Jemand , der genau weis, dass er mit seiner AV Software unzureichend geschützt ist und sich sagt "hmmm, da hat man ja schon viel übles gehört". Oder du, der sich denkt "Hmmm ich hab die super duper uber mega Security Suite, wenn das ein Virus wäre, ist der doch ruck zuck gebannt"


Eben dieses Gefühl ist es, womit Kaspersky und Co ihr Geld verdienen. Manche verlieren aber ganz schnell aus den Augen, dass dies ein sehr trügerisches Gefühl ist, welches auch schnell gefährlich wird. Gehörst du auch dazu?

Immernoch: Die Suite ersetzt den verstand nicht, sondern hilft dir besser zu entscheiden.
Ich persönlich hab mein Kaspersky nicht auf "Automatisch entscheiden lassen" stehen.
Also ich wiederhol hier mich nurnoch...
Ich gebs auf.

Manche Menschen wollen eben einfach nicht verstehen.
Bye.

BrokenZero - leider wird man den Verdacht nicht los, dass du hier lediglich eine
Werbekampagne für das Kasperle durchziehst. Sämtliche Fallbeispiele werden
genauso gut von anderen Produkten gemeistert. Die meisten deiner Szenarien
scheinen mir auch an den Haaren herbeigezogen.
Das ist etwas aus dem Zusammenhang gerissen, aber faktisch falsch.
So viele Einstellungen muss man bei Windows gar nicht ändern, eigentlich nur zwei.
Aber dennoch, ich bin grad als Admin ohne UAC und Firewall und mit MBAM als
aktives Medium unterwegs. Der einzige Filter ist Admuncher vor Firefox. Ansonsten
ist Windows relativ Urzustand. Mein einziger Schutz vor unbekannter Software ist
Sandboxie. IM (QIP) habe ich auch, nutze ich nur nicht so oft. Emails prüfe ich mit
Mailwasher. Und ich hantiere unter diesen Umständen mit Cracks und anderem Krempel.
Mir geht es gut dabei. Dabei bin ich weder Geek noch Nerd noch paranoid noch fahrlässig.
Die Wahrheit für jeden einzelnen liegt irgendwo zwischen uns beiden.