93630
26.02.2016
5417
14
0
Ganzes Verzeichnis von Virenscanner ausnehmen: Sicherheitsrisiko?
Hallo,
wir setzen RAMicro ein. Leider kommt das Programm immer wieder in Konflikt mit dem Avast Virenscanner. Die "Lösung" des RAMicro Supports ist es nun, dass gesamte Programmverzeichnis von RAMicro auf die Whitelist zu setzen (als wildcard).
Ich habe irgendwie ziemliche Bauchschmerzen dabei, kann aber nicht wirklich begründen warum. Ein Sicherheitsrisko wäre natürlich, wenn der RAMicro Update-Dienst gehackt wird und tatsächlich verseuchte Dateien ausgeliefert werden. Die würde der Virenscanner nicht mehr stoppen können. Allerdings ist das Risiko dafür wahrscheinlich eher gering. Andere allgemeine Schädlinge werden sich wahrscheinlich auch nicht absichtlich in dem Ordner einnisten.
Also sind die Bauchschmerzen unbegründet oder habt ihr Argumente, warum das so nicht gut ist? Außer "schlechtem Style"
wir setzen RAMicro ein. Leider kommt das Programm immer wieder in Konflikt mit dem Avast Virenscanner. Die "Lösung" des RAMicro Supports ist es nun, dass gesamte Programmverzeichnis von RAMicro auf die Whitelist zu setzen (als wildcard).
Ich habe irgendwie ziemliche Bauchschmerzen dabei, kann aber nicht wirklich begründen warum. Ein Sicherheitsrisko wäre natürlich, wenn der RAMicro Update-Dienst gehackt wird und tatsächlich verseuchte Dateien ausgeliefert werden. Die würde der Virenscanner nicht mehr stoppen können. Allerdings ist das Risiko dafür wahrscheinlich eher gering. Andere allgemeine Schädlinge werden sich wahrscheinlich auch nicht absichtlich in dem Ordner einnisten.
Also sind die Bauchschmerzen unbegründet oder habt ihr Argumente, warum das so nicht gut ist? Außer "schlechtem Style"
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297495
Url: https://administrator.de/forum/ganzes-verzeichnis-von-virenscanner-ausnehmen-sicherheitsrisiko-297495.html
Ausgedruckt am: 18.04.2025 um 08:04 Uhr
14 Kommentare
Neuester Kommentar
Die Verhaltenserkennung wirkt ja nach wie vor. Ebenso der Virenscanner, wenn die Dateien aus dem Verzeichnis in den Speicher geladen werden.
M.W. gelten derartige Ausnahmen nur für dateibasierte Fullscans, die aber i.d.R. manuell bzw. relativ selten angeschubst werden.
Ich persönlich hätte zwar nicht direkt Bauchschmerzen - ich finde das nur nicht sonderlich hilfreich...
M.W. gelten derartige Ausnahmen nur für dateibasierte Fullscans, die aber i.d.R. manuell bzw. relativ selten angeschubst werden.
Ich persönlich hätte zwar nicht direkt Bauchschmerzen - ich finde das nur nicht sonderlich hilfreich...
Gängige Praxis bei solchen Problemen. Würde mir da keine Sorgen machen.
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Zitat von @117471:
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
"Bei solchen Problemen"?
Er hat doch nicht mal geschrieben, was das für Probleme sind, Performance? False positives?
Stimmt. Die Lösung bleibt aber die gleiche
Optimalerweise könnte man es natürlich so weit rubterbrechen wie möglich, anstatt pauschal das komplette Verzeichnis auszuschließen.
Hab da auch nie ein wirklich gutes Gefühl. Wenn denn mal ein "Pöhser Pube" auf die Idee käme, sich in dem Verzeichnis zu installieren...
Aber: Gängige Praxis. Zugegeben.
Nichtstestotrotz wird er ausgeführt und dann gescannt, wenn er nicht nochmal als Anwendung ausgenommen ist. Ich lebe damit. Bisher gut.
Buc
Aber: Gängige Praxis. Zugegeben.
Nichtstestotrotz wird er ausgeführt und dann gescannt, wenn er nicht nochmal als Anwendung ausgenommen ist. Ich lebe damit. Bisher gut.
Buc
Die Ausnahme muss ich leider auch für die Prozesse im Speicher eintragen, da die ramicro Programme dort ebenfalls erkannt und geblockt werden.
Also das Verzeichnis das ich ausnehme wird also niemals nicht gescannt.
(es geht um false positives)
Würdet ihr also einfach den ganzen Ordner komplett vom scannen ausnehmen? (Datei + runtime scan)
Also das Verzeichnis das ich ausnehme wird also niemals nicht gescannt.
(es geht um false positives)
Würdet ihr also einfach den ganzen Ordner komplett vom scannen ausnehmen? (Datei + runtime scan)
Nein.
Ich würde den Hersteller meiner Antivirensoftware auf den Topf setzen.
Ich hatte neulich änliche Fälle. Den vermeintlichen Virus habe ich bei GData im Lab eingereicht, 24 Stunden später war das Problem gelöst.
Ansonsten würde ich immer so vorgehen und warten, bis etwas in der Quarantäne landet - um es dann über genau diese Funktion wieder explizit freizugeben.
Ich würde den Hersteller meiner Antivirensoftware auf den Topf setzen.
Ich hatte neulich änliche Fälle. Den vermeintlichen Virus habe ich bei GData im Lab eingereicht, 24 Stunden später war das Problem gelöst.
Ansonsten würde ich immer so vorgehen und warten, bis etwas in der Quarantäne landet - um es dann über genau diese Funktion wieder explizit freizugeben.
Die versteifen sich alle auf "läuft doch". Habt ihr noch rationale Argumente warum das so nicht gut ist?. "Schlechter Stil" passt reicht nicht als Argument
Ja.
Mein Auto läuft auch ohne Katalysator und Airbag.
Mein Auto läuft auch ohne Katalysator und Airbag.
Hast du noch ein paar Argumente was passieren kann?
-der ramicro update server wir gehackt und liefert Viren
-ein Angreifer weiß, dass das Verzeichnis ausgenommen ist und plaziert genau dort die Viren (setzt einen gezielten Angriff vom. Jemandem der dad weiß voraus)
Was noch?
-der ramicro update server wir gehackt und liefert Viren
-ein Angreifer weiß, dass das Verzeichnis ausgenommen ist und plaziert genau dort die Viren (setzt einen gezielten Angriff vom. Jemandem der dad weiß voraus)
Was noch?
Jemand könnte ein virenbehaftetes Dokument (Vorlage o.Ä.) in das ramicro einbinden.
Hast Du denn Avast kontaktiert? We ist deren Reaktion?
Avira z.B. ist immer sehr interessiert an legitimen "False positives"
da gab es Lösungen und die kann Avast auch liefern...
Avira z.B. ist immer sehr interessiert an legitimen "False positives"
da gab es Lösungen und die kann Avast auch liefern...
Avast hält es für eine gute Idee jede einzelne Datei per Hash zu Whitelisten. Kriegen jetzt erstmal 70 Dateien und beim nächsten Update halt nochmal das gleiche Paket.
Hm. Warum sagt AVAST nicht einfach: "O.k. die Software kennen wir nun?"
Das Whitelisting ist jedenfalls ein überaus spannendes Thema. Niemand weiss, wer und was da alles draufsteht. Gab es grad nen schönen Artikel, ich glaube auf heise.de? Transparenz? Null.
Trotzdem: Die gefährlichsten Atacken sind immer noch relativ unspezifisch. Und gegen eine gezielte 0-Day Attacke hilft auch kein Virenscanner.
Daher: ausnehmen und gut.
Buc
Das Whitelisting ist jedenfalls ein überaus spannendes Thema. Niemand weiss, wer und was da alles draufsteht. Gab es grad nen schönen Artikel, ich glaube auf heise.de? Transparenz? Null.
Trotzdem: Die gefährlichsten Atacken sind immer noch relativ unspezifisch. Und gegen eine gezielte 0-Day Attacke hilft auch kein Virenscanner.
Daher: ausnehmen und gut.
Buc
