Werden Mailanhänge (zip) Beim Mailempfang Nicht Gescannt?

100

Ich habe wieder mal eine vermeintliche Rechnung/Mahnung, mit einer als Vertrag bezeichneten Zip-Datei im Anhang, bekommen. Natürlich wusste ich, dass es sich höchstwahrscheinlich um Ransomware handelt.

Das von mir bisher genutzte Produkt eines Mitbewerbers hatte solche (doppelt gezippten) Anhänge sofort nach dem Mailempfang erkannt und auch gleich gesäubert. Der Inhalt wurde automatisch in die Quarantäne verschoben und es blieb ein leerer Zip-Anhang zurück.

BIS2013 hat die Mail zwar als Spam klassifizert (Betreff mit "[spam]" erweitert) aber sonst nichts getan, sodass ich nach 10 Minuten den Mailordner per Kontextmenü gescannt habe.

Ergebnis: Trojan.Generic.KD.869808

Um zu sehen, wann Bitdefender den schädlichen Anhang von selbst findet, habe ich beim Fund erst mal keine Aktion vorgenommen, außer, dass ich das Ereignis des Scans als gelesen markiert habe.

Scheinbar werden Mailanhänge beim/nach dem Empfang nicht gescannt. Ich habe alle Einstellungen mehrfach durchgesehen und es ist auch alles auf "aggressiv" eingestellt - inklusive Firewall IDS. Der Mailempfang erfolgt zwar mit TLS/SSL über POP3, aber das dürfte nicht die Ursache sein. Auf Spam wurde ja erfolgreich untersucht, wie ich am ergänzten Mail-Betreff und am -Header sehen kann.

Mir wäre schon wohler, wenn Bitdefender Mailanhänge sofort untersuchen würde.

100

Nachtrag

Der Zufriff-Scan/Schild ist eingestellt auf:

- alle Dateien scannen

- Inhalt von Archiven scannen

- keine Beschränkung der Archivgröße

- ein- & ausgehende Mails scannen

- HTTP-Verkehr scannen

- Bootsectoren scannen

- nur neue & geänderte Dateien scannen

- nach Keyloggern suchen

- Dateien in Quarantäne verschieben

Im Moment läuft ein System-Scan.

Mir ist dabei schon vor ein paar Tagen folgendes aufgefallen. Öffnet man während eines System-Scans die Eigenschaften/Einstellungen des Zufriff-Scan/Schild, sind diese für die Dauer dieses Scans verändert:

Es fehlt der Haken bei:

-"Archive untersuchen"

-"Bootsectoren scannen"

-"nur neue & geänderte Dateien scannen"

- bei Aktionen wechselt die Einstellung von "in Quarantäne verschieben" auf "Aktionen ausführen"

Man kann die Einstellungen zwar auch während eines System-Scans verändern und scheinbar speichern, allerdings sind sie beim nächsten System-Scan wieder wie gerade beschrieben. Ist das ein Bug oder soll das so sein?

Auf die Einstellungen ohne laufenden System-Scan hat das glücklichwerweise keinerlei Auswirkungen. Die bleiben unberührt und sind nach einem System-Scan wie sie vorher eingestellt waren.

100

So, der System-Scan ist fertig und der Inhalt des Mailanhangs wurde ohne Nachfrage gelöscht. Die Quarantäne ist leer.

Wäre das jetzt ein Fehlalarm gewesen, wäre die Datei nicht wiederherstellbar. Das ist schlecht und ich kann mir nicht vorstellen, dass das so vorgesehen sein soll. Beim Zugriff-Scan habe ich ja, wie oben schon beschrieben, "in Quarantäne verschieben" eingestellt.

Für den System-Scan gelten die Einstellungen des Zugriff-Scan offenbar nicht. Vermutlich ist dafür nur der Schieberegler des "Active Virus Control" zuständig, bei dem man darüber lediglich die "Aggressivität" einstellen kann. Wahrscheinlich hat man mit diesem aber auch keine Kontrolle darüber, was mit Funden geschehen soll. Selbst wenn die Einstellung "normal" oder "tolerant" Funde in die Quarantäne verschieben würde, wäre das nur ein schlechter Kompromiss. Das sollte unbedingt (unabhängig von der "Aggressivität") konfigurierbar sein.

100

Weiterer Nachtrag

Ich habe mir aus dem Backup beim Mailprovider eine Kopie der betroffenen Mail geschickt und das Ganze noch einmal im Human-Modus getestet. Das Verhalten von Bitdefender ist in beiden Modi absolut identisch. Der System-Scan löscht ohne Nachfrage und verschiebt auch nicht in die Quarantäne.

100

Nachdem ich nun verschiedene Produkte der Mitbewerber und auch die aktuelle Bitdefender-Beta 2014 getestet habe, indem ich mir die Mail mit dem infizierten Anhang immer wieder aus dem Backupordner des Mailproviders habe zusenden lassen, komme ich zu folgendem Fazit:

Bitdefender-Beta 2014

Es wird auch da nicht in die Quarantäne verschoben. Die Ursache ist wohl, dass Bitdefender die Einstellung falsch speichert und "move files to quarantine" als "deny access" gesetzt wird. Jedenfalls wird bei beiden Einstellungen der Zugriff auf die schädliche Datei verweigert und nichts in die Quarantäne verschoben. Dennoch zeigt das Eventprotokoll ein unterschiedliches Verhalten der beiden Einstellungen an. In der Übersicht sieht das dann so aus:

Human-Modus

"take proper Actions"[bUG]:

-Der Inhalt der Zip-Datei wird ohne irgendeine Nachfrage oder Meldung gelöscht

-Das Ereignislog ist leer

-Es gibt keinerlei Hinweis auf Aktionen von Bitdefender

"move files to quarantine"[bUG]:

-Es öffnet sich ein Hinweisfenster (leider nicht bis man reagiert, sondern nur kurz!); Klickt man auf Details, kommt man zum Ereignislog

-Der Zugriff auf die Zip-Datei wird blockiert

-Das Ereignislog zeigt: Datei ist als infiziert erkannt; Bitdefender konnte nicht bereinigen; Computer ist nicht virusfrei; Name des Schädlings

-Das Log bietet keine Aktionen an (nur "get help")

-Quarantäne ist leer

"deny access":

-Es öffnet sich ein Hinweisfenster (leider nicht bis man reagiert, sondern nur kurz!); Klickt man auf Details, kommt man zum Ereignislog

-Der Zugriff auf die Zip-Datei wird blockiert

-Das Ereignislog zeigt: Datei ist als infiziert erkannt; Bitdefender verweigert der Zugriff; Computer ist nicht virusfrei; Name des Schädlings

-Das Log bietet folgende Aktionen an: "move files to quarantine"; Tut man dies, landet die Datei tatsächlich in der Quarantäne

-Es öffnet sich ein Hinweisfenster (leider nicht bis man reagiert, sondern nur kurz!); Klickt man auf Details, kommt man zum Ereignislog

-Der Logeintrag ändert sich auf: Datei ist als infiziert erkannt; Bitdefender hat die Datei in die Quarantäne verschoben, Der Computer ist virusfrei (gilt nur für den gerade angezeigten Logeintrag und ist nicht wörtlich zu nehmen!)

-Das Log bietet jetzt folgende Aktionen an: "restore" und "delete", Gleiches kann man jetzt natürlich auch unter Registerkarte "Quarantäne" tun, wo die Datei jetzt zu sehen ist.

"Autopilot-Modus"

Bei allen drei Einstellungen exakt das gleiche Verhalten wie unter dem "Human-Modus". Der einige Unterschied besteht darin, dass das kurz erscheinende Hinweisfenster mit dem Detais-Button, durch den man direkt zu Ereignislog kommt, nicht angezeigt wird.

Da ist wohl einiges bei der Programmierung von Bitdefender verrutscht und es dürfte kein großer Aufwand sein, das mit einem Update in den nächsten Tagen gerade zu biegen.

Der, meiner Meinung nach, stärkste Mitbewerber kann sogar verschlüsselte IMAP4 Verbindungen untersuchen und bearbeiten, was mich sehr überrascht hat, da ich bisher davon ausgegangen bin, dass das keine Suite kann. Die entsprechende Mail wurde gereinigt, auf Spam untersucht und beides im Betreff eingetragen. Das sieht dann so aus "[!! SPAM] Suspicious part has been deleted". Leider hat der entsprechende Mitbewerber ein anderes Problem. Die Suite startet nach dem Systemstart sehr spät und bis zu diesem Zeitpunkt besteht keinerlei Schutz. (Getestet: In der Firewall blockierte Anwendungen können bis zum vollendeten Start ungehindert ins Internet und Schädlinge werden bis dahin auch nicht erkannt.)

Macke

Es wäre irgendwie ganz "nett", wenn sich hier endlich auch mal jemand seitens Bitdefender zu diesen Problemen äußert.

Vielleicht sollte man mal erkennen, dass sich hier gewisse User (darunter potentielle Neukunden) Stunden um die Ohren schlagen und umfangreiche Posts verfassen, nur um diversen Bugs auf die Schliche zu kommen, die mitunter sehr nervend und kräftezehrend sind.

Wenn dazu allerdings keinerlei Resonanz seitens der Verantwortlichen kommt, verlässt einen irgendwann die ######, das Produkt noch weiter zu "testen", geschweige denn irgendwann einmal zu kaufen.