[obilaner]

Tach!

Sicherlich kennt ihr alle diese ganzen Fake Virenmeldungen, die brave kleine cracks fälschlicherweise ein Doppelleben als Virus unterstellen. Die Standartlösung ist dann ja immer den Virenschutz zu deaktivieren.

Aber was ich mich ständig frage dabei ist:
Die betroffene, fälschlicherweise als Virus bezeichnete Datei heisst meistens "Steam_api.dll" .. und klingt für mich nach einer Steam Api. Wieso kommen denn 16 Spiele problemlos durch den Virenscanner und 3 nicht, mit genau dem gleichen Dateinamen?

Und wie kommt die "scene" eigentlich heut zu Tage an die PCs für ihre Botnetze? Ich meine damit wird ja ein Haufen Kohle verdient usw..

[Thorasan]

Denkst Du ein Virenscanner scannt nach dem Dateinamen?

Und von welcher "Scene" sprichst Du? Einer Botnetz-Scene? Da wäre mir keine bekannt. Und die Betreiber von Botnetzen verdienen ihr Geld meist durch die Dummheit der Mitmenschen - indem man ihnen falsche Rechnungen unterjubelt, spam schickt, worrauf eingegangen wird usw.

[obilaner]

Zitat:

Zitat von Thorasan

Denkst Du ein Virenscanner scannt nach dem Dateinamen?

Die Frage ist jetzt nicht unbedingt das was man normalerweise aus meiner Aussage schliessen würde, da ich ja frage wie es sein kann das eine Steam Api bei 16 gecrackten Spielen kein Virus enthält und bei dreien eben schon.

Zitat:

Zitat von Thorasan

Und von welcher "Scene" sprichst Du? Einer Botnetz-Scene? Da wäre mir keine bekannt. Und die Betreiber von Botnetzen verdienen ihr Geld meist durch die Dummheit der Mitmenschen - indem man ihnen falsche Rechnungen unterjubelt, spam schickt, worrauf eingegangen wird usw.

Dem Untergrund. Also Austauschpunkte von Gruppierungen für Sachen die nicht oder nur am Rande legal sind.

[vialukai]

Zur ersten Frage: eine Datei kann zwar genauso heißen, aber sie muss nicht die Anweisung enthalten oder gar so gepackt sein, wie die Original Datei. Sprich also ganz andere Zeichen enthalten, diese werden vom Antiviren-Tool als gefährlich eingestuft.

Zur zweiten Frage: meist entstehen Botnetze durch weiter gegebene Sicherheitslücken, zum Beispiel durch Skype. Da wird dann gerne mal auch eine korrupte "Bild-" oder andere Dateien(Pornobild, Cracks, Fakelinks ect.) weiter gegeben und schon läd sich der Bot im Hintergrund herunter, manipuliert die Antivirensoftware so, das der Bot nicht entdeckt wird.

[obilaner]

Zitat:

Zitat von vialukai

Zur ersten Frage: eine Datei kann zwar genauso heißen, aber sie muss nicht die Anweisung enthalten oder gar so gepackt sein, wie die Original Datei. Sprich also ganz andere Zeichen enthalten, diese werden vom Antiviren-Tool als gefährlich eingestuft.

Ja stimmt. Leider kann ich nicht in diese Dlls reingucken, was da letztendlich drin steht und muss also auf das vertrauensvolle Wort des Uploaders oder des Releasers vertrauen, von Seiten wo potentielle Viren generell "des Umstands wegen", wollen wir also nicht von Mutwilligkeit ausgehen toleriert werden.

Ich mein wär ich findig, könnt auch nen Crackpatch mit nem Virus kombinieren und zusammen mit irgendeinem Spiel oder selbstgebautem Installer / AIO Version zB. hier anbieten. Gehen wir davon aus es wäre nicht zu schnell zu bemerken und eher unauffällig.

Zitat:

Zitat von vialukai

Zur zweiten Frage: meist entstehen Botnetze durch weiter gegebene Sicherheitslücken, zum Beispiel durch Skype. Da wird dann gerne mal auch eine korrupte "Bild-" oder andere Dateien(Pornobild, Cracks, Fakelinks ect.) weiter gegeben und schon läd sich der Bot im Hintergrund herunter, manipuliert die Antivirensoftware so, das der Bot nicht entdeckt wird.

Naja ok dann ist es wohl nur mehr eine Vermutung, weil es ein toller Verbreitungsweg wäre, "Das neue Call fo Duty" oder das "Ewig gesuchte Spiel das es mittlerweile nur noch von einer RLS Group gibt" zufällig mit einer dieser nur bei jedem Xten Spiel auftretenden Virusmeldung zu verbreiten bei Spielen wo die einzigste Alternative wäre es zu kaufen und selbst die 50/50 zweifler sagen: Ach komm selbst wenn ich das OS ma wieder neu Aufsetzen muss eh... Scheiss die Wand an

Sicher werden diese Releases ziemlig häufig verbreitet, Weltweit in aller Herren Länder... Russland, Polen, USA, Deutschland, China

[vialukai]

Okay wenn man so nun denkt wie du, dann wäre es vielleicht am besten sich original Software/Spiele ect. zu kaufen.

Gerade die Teile wo der Virenscanner Alarm schlägt, auch wenn es ein Fehleralarm wäre, sollte man einfach löschen oder vom Virenscanner in die Quarantäne verschieben lassen, weil man selber keine Ahnung von der Materie hat. Das ist doch die einzige logische Schlussfolgerung!

Gebiete der Gier den Einhalt!


Allerdings könnte man an sich auch mal etwas mit der Materie auseinandersetzen oder man überlegt sich nach einer Lösung zu googlen, die einem zeigt wie man zum Beispiel ein virtuelles Betriebssystem erstellt. Es gibt aber auch noch andere Möglichkeiten, sein System abzusichern. Wichtig ist nur, dass man überhaupt versucht sein System sicher zu machen, denn es gilt nicht nur sich zu schützen, sondern auch die weitere Verbreitung über ein evtl. kompromittiertes System zu verhindern.

[Thorasan]

Zitat:

Zitat von obilaner

Die betroffene, fälschlicherweise als Virus bezeichnete Datei heisst meistens "Steam_api.dll" .. und klingt für mich nach einer Steam Api. Wieso kommen denn 16 Spiele problemlos durch den Virenscanner und 3 nicht, mit genau dem gleichen Dateinamen?

Und da würde man nun nicht auf die Idee kommen das du genau den Dateinamen als Ursache erkennst? Na dann bin ich aber sehr gespannt auf die Erklärung wie man da bei der Frage nicht drauf kommen sollte?

Und weder mygully noch die release groups sind "underground". Den Gruppen geht es (primär) nicht drum die Sachen zu verbreiten, sondern sie zu knacken. Und denen die sie verbreiten geht es wiederrum nicht um die Gruppen sondern um das Kapital.
Dinge die bei Fragen der legalität zweifelhaft sind findet man an jeder Ecke. Deswegen ist das meiste trotzdem sehr weit von einem "underground" oder einer "Scene" entfernt.

Und wie du selbst sagst, du bekommst eine Meldung das etwas gefunden wurde, was so nicht sein sollte. Du erkennst nicht, ob du dadurch Teil eines Bot-Netzwerks wirst oder nicht.
Wobei man sich bei den großen Release Groups normalerweise relativ sicher sein kann, das sie selbst nichts in der Art machen, da sie sich sonst selbst schaden würden. Es geht ums Ansehen, und wenn das im Eimer ist, wars das. Was nun natürlich irgendein Zwischenhändler damit macht, ob der was frisiert, was verändert, wirst Du nicht rausfinden. Selbst wenn Du mitbekommst das da was nicht so ganz richtig sein könnte, kannst du es nicht wissen.
Wenn Du z.b. die steam.dll nimmst.. Die Meldung kann kommen weil
a) dadurch ein Netzwerksignal umgeleitet wird z.b. auf dich selbst
b) auf jemand anderen
c) geblockt wird

Was davon nun passiert, bekommst du nicht mit. Selbst wenn Du programmieren könntest und es schaffst zu dekompilierenwirst du damit erstmal sehr wenig anfangen können.

vialukai sagt es im Prinzip richtig, der Schutz ist das einzige, was Du aktiv tun kannst. Alternativ wäre eben möglich, ein Spiel zu laden, dann inet aus und installieren. Bevor du das inet wieder anmachst einen (oder verschiedenartige - nicht verschiedene) Scanner drüber laufen lassen und mal gucken was so passiert. Dann einfach alle Dateien blockieren, die auf das Internet zugreifen wollen und und schauen was dann noch geht und was nicht.

Oder - bestimmt am einfachsten - einen extra PC zum laden/arbeiten und einen zum spielen nehmen. Die beiden dann nicht per Netzwerk verbinden sondern getrennt ins Netz schicken. Der Spielerechner könnte dann infiziert sein wie er wollte, da du ihn nur zum spielen nutzt, während der Arbeitsrechner eben für alles weitere genommen wird und zumindest in der Hinsicht geschützt wird.

[rippchen05]

Ergänzend zu vialukai und Thorasan:
Nach dem man sich mit der Thematik "Wie sichere ich meinen PC" beschäftigt hat, hat man unter Umständen auch Erfahrungen und Wissen gesammelt, wie man bestimmte Firewalls so effektiv einsetzt, um z.B. festzustellen, ob hier jmd. versucht nach Hause zu telefonieren.
Evtl. ist man dann sogar bereit etwas Geld auszugeben, um mehr Komfort als auch evtl. höhere Sicherheit zu erreichen.
Des Weiteren sollte man bei der Anti-Virensoftware darauf achten, ob es evtl. möglich ist Ausnahmen zu ermöglichen und Tools wie virustotal.com sollte man evtl. auch kennen.
Und wenn man die Möglichkeit hat Gaming und Arbeit PC zu trennen, sollte man dies evtl. auch tun, allerdings kommt man hier auch nicht drumrum sich wiederum mit Sicherheit im Netzwerk ernsthaft zu beschäftigen, sollte meines Erachtens jeder sowieso machen. (Zumindest sollte man jmd. vertrauenswürdigen haben, der einen hilft und berät und an dessen Anweisungen man sich aber auch hält (!).)

[Thorasan]

Wobei du bei Firealls halt das Problem hast, nur zu sehen, das eine Verbindung nach aussen geht - nicht, was die Verbindung macht. Um das zu verstehen/durchblicken zu können musst du dich schon wirklich tief da reingelesen haben.

[obilaner]

Zitat:

Zitat von vialukai

Okay wenn man so nun denkt wie du, dann wäre es vielleicht am besten sich original Software/Spiele ect. zu kaufen.

Gerade die Teile wo der Virenscanner Alarm schlägt, auch wenn es ein Fehleralarm wäre, sollte man einfach löschen oder vom Virenscanner in die Quarantäne verschieben lassen, weil man selber keine Ahnung von der Materie hat. Das ist doch die einzige logische Schlussfolgerung!

Gebiete der Gier den Einhalt!

zu dem letzten Satz, denn genau darum geht es. Entweder löschen oder nachher zu 50/50 Virus haben
Ist doch prinzipiell ganz einfach.

Zitat:

Zitat von haloha

oh mann... was glaubt ihr, wieviele hier oder bei der boerse ihren Scheiss spreaden ^^

Ja genau.. Man könnte auch zur Abwechslung ruhig mal darüber nachdenken, das der Virenscanner Recht hat als automatisch auf die "Fachmeinung" von 5 Leuten vertrauen, die sich ihren Virenscanner ebenfalls ausschalten müssen um eben ein bestimmtes Spiel zu spielen, oder es spreaden.

Zitat:

Zitat von Thorasan

Und da würde man nun nicht auf die Idee kommen das du genau den Dateinamen als Ursache erkennst? Na dann bin ich aber sehr gespannt auf die Erklärung wie man da bei der Frage nicht drauf kommen sollte?

Und weder mygully noch die release groups sind "underground". Den Gruppen geht es (primär) nicht drum die Sachen zu verbreiten, sondern sie zu knacken. Und denen die sie verbreiten geht es wiederrum nicht um die Gruppen sondern um das Kapital.

Ja genau, kein findiger Programmierer der in die Steam_Api reingucken kann macht zu dieser Frage mal ein Vertrauenswürdiges Special auf ner Seite wie Gamestar, Golem etc. zur entgültigen Allzweck-Entwarnung ^^ Mist aber auch.

Das Die Spreader auf Kapital aus sind schliesst dann weiter kein bisschen aus was ich vorher geschrieben habe.
Denke nicht das die Botnetze die in Cyber Wars benutzt werden oder von Hackern im Darknet verkauft werden, Für Bitcoin oder Daten Minung eingesetzt wurden oder in Russland irgendwo eingesetzt werden etc nur für Anerkennung und Milchbrötchen aufgesetzt werden.

Zitat:

Zitat von rippchen05

Ergänzend zu vialukai und Thorasan:
Nach dem man sich mit der Thematik "Wie sichere ich meinen PC" beschäftigt hat, hat man unter Umständen auch Erfahrungen und Wissen gesammelt, wie man bestimmte Firewalls so effektiv einsetzt, um z.B. festzustellen, ob hier jmd. versucht nach Hause zu telefonieren.

Jo das klingt plausibel! Sagen wir aber es infiziert das System an einer anderen Stelle und nicht mehr die Steam Api.dll ist dann fürs nach hause telefonieren verantwortlich sondern.. irgendwas anderes dann wird es prinzipiell schwieriger, ausser du recherchierst echt jede Verbindung deines OS, zB. in Firefox, Outlook, Flash? - Sagen wir das gelingt dir, dann ist der Verbreitungsweg prinzipiell jedoch rechnerisch immer noch lohnenswert.

[Thorasan]

Irgendwie ist mir nich ganz klar, auf was Du hinaus willst. Willst du hören das Warez zu laden gefährlich ist? Ja, das ist es. Man kann sich jederzeit was einfangen.
Die steam*.dll ist meist auch nicht wirklich infiziert, sondern lädt, wenn überhaupt, Dinge nach, die dann das System infizieren und angreifbar machen.

Und doch, Botnetze gibt es im Darknet zu kaufen. Das letzte wo ich den Verkauf mitbekommen habe hatte 25k infizierte aktive Systeme und ging für 45000 (!) weg.
Wofür es schlussendlich genutzt wird/wurde weiss ich nicht.

Die einfachste Möglichkeit, wie du Fremdverbindungen aufhälst, ist eine eigene Firewall aufzusetzen. Das ist zu Beginn richtig viel Arbeit und sehr Fehleranfällig. Wenn das Grundkonstrukt dann steht, wird die Arbeit allerdings weniger. Und mit den richtigen Regeln kannst du dann sehr einfach und effektiv sehen, ob du dir irgendwas eingefangen hast. Da Du jede Kommunikation loggst, kannst du direkt nach der Installation sehen, wohin neue Verbindungen gehen. Sofern das nichts direkt mit der anwendung zu tun hat, einfach blocken. Schon hast Du Ruhe. Auch Änderungen in den Verbindungsdaten sind so schnell ersichtlich.
Mit kommerziellen Anwendungen in dem Bereich siehst du z.b. nicht wenn eine svchost ein geändertes Ziel bekommt. Mit nem eigenen Firewallsystem kannst du das sofort unterbinden.

[Thorasan]

Möglichkeiten gibt es natürlich immer... Kein System ist sicher. Man kann es nur so sicher wie möglich machen.
Und mit ner eigenen Firewall die sämtliche Verbindungen erstmal blockt bis eine Regel definiert ist kannst Du auch einen Stealer "erstmal" ruhig stellen.
Alternativ: Downloaden, Inetverbindung kappen, ausführen, alles ausgibig testen/blocken, inet aktivieren. Aber auch das kann man umgehen...