13. august 2006 - 13:01Der er
31 kommentarer og 4 løsninger
Virus ved kopiering af filer
PROGRAM: Jeg kører med Avira AntiVir PersonalEdition Classic
OBSERVATION: Jeg har fortaget en sikkerhedskopiering af nogle mapper på et drev ved hjælp af windows eget program til sikkerhedskopiering som findes i Start/programmer/tilbehør… eller direkte i C:\WINDOWS\system32\ntbackup.exe. Under programmets sikkerhedskopiering brokkede Antivir sig flere gange. Meget mærkeligt poppede den hver gang op med information om, at det var en .jpg-fil, som jeg selv har kreeret (et simpelt skærmdump). Ifølge Antivir skulle jpg-filen blot give sig ud for at være en jgp-fil. Bag efter skannede jeg jpg-filen manuelt, men nu var der pludselig ingen problemer. Så tydede jeg til den log som sikkerhedskopieringsprogrammet havde lavet. Heri kunne jeg læse at der for fire filers vedkommende var noteret følgende: ”kunne ikke åbnes og blev sprunget over. Årsag: Adgang nægtet”. Ingen af filerne havde noget at gøre med føromtalte jpg-fil Så kørte jeg en manuel scan igen af hele mappen hvor de fire filer lå i og igen var der ingen problemer (læs viruser)
SPØRGSMÅL Nogen der kan gennemskue det?
Mere tydelig kunne jeg også stille spørgsmålene 1. Kan Antivir ved en sikkerhedskopiering narres til at tro, at en anden fil end den, som i virkeligheden er inficeret med virus, er den skyldige? 2. Kan man inficeres med virus, hvis man blot kopierer en virusbefængt fil (altså ikke åbne den)? 3. Når der sikkerhedskopieres svarer dette så i virkeligheden mere til at åbne filerne frem for at kopiere dem almindeligvis? 4. Bispørgsmål. Hvis man får en warning om fra Antivir om at en bestemt fil ikke kunne åbnes, og det viser sig at dreje sig om en selvudpakkende fil – tør man så aktivere/udpakke den?
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Savner måske lidt en begrundelse for jeres svar. Et råd/løsningsforslag som "hvis dit antivirusprogram finder virus, så deaktivere det" - bør måske lige have et par ord med på vejen (ja undskyld), før det kan tjene som fuldgyldig og accepteret løsningsforslag.
Hvis nogen sidder ind med en dybere kendskab til Antivirusprogramers måde at arbejde på og kan besvare mine fire spørgsmål ville jeg være pæn taknemmelig (og sikker også andre nysgerrige bruger af eksperten)
"Et råd/løsningsforslag som "hvis dit antivirusprogram finder virus, så deaktivere det" - bør måske lige have et par ord med på vejen (ja undskyld), før det kan tjene som fuldgyldig og accepteret løsningsforslag."
Det er der absolut ingen af os som skriver - lige det modsatte!!!
Jeg ville kontrollere NTFS rettighederne til filen. Det er givetvis ikke samme rettigheder AV programmet kører med, når det scanner i baggrunden, og når du starter en manuel scanning
Undskyld forsinkelsen - men vil da gerne begrunde:
1. filen der findes virus i er en fil du selv har lavet = Antivir laver det der kaldes en falsk positiv = ingen virus. 2. Har du lavet en fuld virusscanning på din pc og er 100% sikker på at du ikke har virus, så kan du sagtens deaktivere virusprogrammet ved backup (der kommer jo ikke pludselig NYE filer på din pc mens backup foretages, for da foretager den sig INTET andet... (forhåbentlig) 3. Man skal aldrig deaktivere sit antivirusprogram hvis der findes virus - det burde alle vide.
Nu skulle det jo nødig blive en diskussion om hvad man har sagt og ikke sagt - det var bestemt ikke det, som var meningen. Så jeg vil lade det ligge og lade folk selv bedømme, om de første to forslag ikke faldt lidt i tråd med "Selv om dit antivirusprogram brokker sig, så delaktivere det".
Jeg er bekendt med den ganske glimrende side www.spywarefri.dk, men har valgt at oprette spørgsmålet her, da det drejer sig om virus.
Jeg takker "ksoren" for hans indlæg om end jeg ikke helt forstår det og ikke ved hvordan man tjekker angivne rettigheder.
john_stigers: 1. Gad vide hvorfor Antivir kan lave en falsk positiv? Det mindsker jo troen til programmet, når det fra tid til anden blot råber "ulven kommer"
2 Jeg er ikke mere 100 % sikker end pålideligheden af programmet Antivirs evne til at finde virus. Når den så pludselig i den grad beklager sig, så blive jeg da slet ikke 100 % sikker på at jeg er virusfri, men forsøger så at gennemskue, hvad der foregår. Derfor spørgsmålene:
________________________________________________________________________________ Kopi af opr. indlæg fra spørgsmålshaver: 2. Kan man inficeres med virus, hvis man blot kopierer en virusbefængt fil (altså ikke åbne den)? 3. Når der sikkerhedskopieres svarer dette så i virkeligheden mere til at åbne filerne frem for at kopiere dem almindeligvis? ________________________________________________________________________________ NB Hijacks log ser ganske fornuftig ud, så jeg er så godt som sikker på (vil aldrig bedrive hybris) at computerne er virusfri – vil bare gerne vide nogle ting om måden virusprogrammet arbejder på. Ja tak er du vild - jeg er meget videbegærligt (så pas på: jeg spørger ind til svarene ;) og vil meget gerne "lære lidt (eller meget) om proceduren ved backup" Du har ret: Dette drejer sig ikke om backup af systemfiler (det har jeg Ghost til) med blot mit store drev (partition), hvor Windows ikke er installeret på.
De fleste antivirus har en såkaldt heuristisk detektion af virus, så de har mulighed for at finde vira som der endnu ikke er modgift imod. Antivirusprogrammet måler på filernes "adfærd", om den ligner typisk malware adfærd. Den kan f,eks også reagere på usædvanlige komprimeringsmetoder, som normalt ikke anvendes af legeale processer. Det måler en lang række parametre, og alt efter hvor fintfølende man har indstillet den heuristiske detektion, jo før vil programmet reagere. Det kan selvfølgelig give falske positiver (som i dit tilfælde, formentlig), men kan også redde een for infektioner.
Der vil altid være låste eller måske password beskyttede filer, som et antivirus ikke kan scanne. Det er helt normalt.
Ja i dag er det både Firewall/Viruswall der konstant opdateres. Men mange tager stadig ikke Sikkerhed specielt alvorligt. I 70 % af alle virusangreb sker det indefra.
Men stadigvæk kilder spørgsmålene (jeg har noteres mig, at have fået savrpå det første delspørgsmål af John)
2. Kan man inficeres med virus, hvis man blot kopierer en virusbefængt fil (altså ikke åbne den)? 3. Når der sikkerhedskopieres svarer dette så i virkeligheden mere til at åbne filerne frem for at kopiere dem almindeligvis? 4. Bispørgsmål. Hvis man får en warning om fra Antivir om at en bestemt fil ikke kunne åbnes, og det viser sig at dreje sig om en selvudpakkende fil – tør man så aktivere/udpakke den?
Ang. spørgsmål 3 er jeg klar over at sikkerhedkopieringsprogrammet gør et eller andet usædvanligt som påvirker den "heuristisk detektion af virus" og giver (formodenligt) en falsk positiv. Men tilbage sidder jeg stadgvæk med spørgsmålet - hvad gør sikkerhedskopieringsprogrammet anderledes så der skabes en falsk positiv - Dette ville jo være en meget anvendelig viden, når man skal bedømme om virusadvarelsen er pjat eller til at stole på.
Men som John Stigers er inde på: Det er sikkert også nok blot at vide - at ved sikkerhedskopiering er det ikke til at vide med sikkerhed, hvad der falsk virusalram og hvad der ikke er - I så fald må fremgangmetoden være at lave et virusscaningen af de filer man vil sikkerhedskopiere inden sikkerhedkopieringen rent faktisk finder sted
Generalt er virus ikke skadelige før de aktiveres, det kan være en tastewkombination eller en data eller en exe fil der aktiveres.
Fra Internettet er det hack/crack sider og porn sider der er de største synder.
Derefter er det postkort, musik filer, film, messenger (fil udvækslinger) det samme gælder skype.
Så en god oprydning efter du har været på nettet, og et besøg på spywarefri.dk helgec.dk arlet.dk med videre, ville kunne undgå en masse frustrationer.
Hvis du ikke bruger en fil du har mistanke til kan du Zippe den og slette exe filen eller hvad den nu måtte hede.
2. Svaret er umiddelbart nej. MEN visse vira KAN muligvis blive aktiveret ved en kopieringsproces. Det kan man nok ikke 100% afvise.
3. Det er svært at svare på. Kopiprogrammer kan fungere forskelligt. Jeg vil mene, at kopiprogrammerne åbner filerne, og læser dem, men filen burde ikke bliver "kørt", og dermed aktiveret.
Det er umuligt at svare klart på hvad der fik Antivir til at reagere. Min formodning er, at Antivir ser JPG filens endelse, men da kopieringsprogrammet ændrer filens struktur ved komprimeringen, ser Antivir det som et forsøg på at camouflere filens sande "idenditet".
4. Det er slet ikke en indikation på virusaktivitet at filen ikke kan åbnes. Hvis du vælger at udpakke den, vil antivirus (forhåbentligt) reagere, hvis den SKULLE indeholde virus.
Jamen så er vi vel tæt på at have besvaret spørgsmålene. Takker pænt - husk at poste nogle svar, så point kan gives (især forevernewbie). er det iøvrig blevet god skik herinde at poste kommentar - selvom man svarer på spørgsmålet?
jacla: er følgende:
Citat jacla_________________________________________________________________________ Hvis du ikke bruger en fil du har mistanke til kan du Zippe den og slette exe filen eller hvad den nu måtte hede.
Så vil den ikke kunne skade din pc.
Ellers flyt den over på et andet medie. _____________________________________________________________________________________
et svar på mit spørgsmål 4 og så fald kan du uddybe det lidt
Takker Stadigvæk kunne det være fint, hvis Jacle ville uddybe følgende
Citat jacla_________________________________________________________________________ Hvis du ikke bruger en fil du har mistanke til kan du Zippe den og slette exe filen eller hvad den nu måtte hede.
Så vil den ikke kunne skade din pc.
Ellers flyt den over på et andet medie.
Vil Joh Stigers også ligge et svar (Point)? ________________________________________________________________________________
Hmm ja jeg går ud fra at du besvarer et af mine spørgsmål, men jeg kan ikke helt gennemskue hvilket et af dem - måske er det spørgsmål fire vedrørende selvudpakkende filer
Sålænge du arbejder med "pakkede filer / Zip filer" er der ingen fare. Det er først når du pakker dem ud og eller installere dem, det kan være farlige, hvis de indeholder virus.
Derfor kan man gemme filerne ZIP filerne på en USB Key eller diskette og pakke dem ud der.
Men er det en exe fil som skal eksekveres på PC'en er det hip som hap, hvor den er gemt.
Der er et program der hedder totalcommander, som kan se hvad der er i en zip fil uden at den pakker den ud. ved ikke om der findes andre programmer der kan gøre det samme
Men det er jo ikke en alm. zip/rar fil. Men derimod en selvudpakkede og de kan jo være i mange pakkeformatter og navnlig når det er en som Antivirusprogrammet ikke kender, er der noget som tyder på, at det er i et lidt speciel format.
En selvpakkende fil kan så vidt jeg husker sagtens have det indbygget, at den ved udpakning starter en .exe-fil, hvorved evt. virus altså også effektueres, så snart der klikkes på filen. Med mindre som "forevernewbie" også er inde på, at antivirusprogrammets baggrundsscanning snupper det i opløbet. Man så vidt jeg kan regne ud og det vil jeg da meget gerne have bekræftet kan en selvudpakkende fil, som virusprogrammet ikke kan åbne ikke dobbeltjekkes altså først manuel scan af filen og så herefter baggrundsscanning ved åbning?
En hel andet historie er om det er en mere sikker metode først at manuel scanne en fil før man klikker/åbner den. I så fald skal man vide lidt om hvordan virusprogrammet arbejder og her melder jeg pas. Eksekverer virusprogrammet exe.filerne (og lign. filer) og snupper dem så i opløbet på samme måde som ved den almindelige baggrundsscaning? I så fald er der ingen grund til at scanne en fil først, da det blot er dobbelt arbejde (dog være en sikring hvis Antivirusprogrammets baggrundsscaning ikke er aktiveret) Måske kan virusprogrammerne tjekke filerne uden at de eksekveres eller også eksekveres de og udpakkes i et sikkert viruelt rum, som ikke influerer computeren Selvudpakkende filer har jeg spurgt til, så det vil jeg ikke komme ind på igen. Men almindelige pakkefiler som Zip og RAR kan jo også indholde refrence til en eksekverbar fil. I så fald kan Antivirusprogramerne kigge i en sådan pakkefil uden at den eksekverer filen?
De fleste antivirusprogrammer scanner filer ved download, imens andre (nogle få) har en mere enkel filscanner, som først fanger virus når den bliver eksekveret.
Bemærk dog, at de førstnævnte sjældent scanner komprimerede filer, uden at man manuelt aktiverer funktionen i programmet, da det i reglen bruger en del ressourcer.
Jeg vil mene, at det vil være "god praksis", under alle omstændigheder, at scanne en nyligt downloadet fil manuelt, men det er et temperamentsspørgsmål. Og nej, scanneren eksekverer IKKE filen ved manuel scanning.
Der findes scannere som kører en fil i et sikkert (virtual computer) rum, for at tjekke filens handlinger. Er der for mange suspekte handlinger bliver filen sat i karantæne. Så vidt jeg ved er det kun Norman, NOD32, og Bitdefender som har denne funktion.
Ja, et antivirus kan sagtens scanne Zip og RAR filer manuelt, og filerne bliver ikke eksekveret. MEN, vær lidt forsigtig alligevel. Det er set før at en scanner har frikendt en fil for skidt, og så er der alligevel skidt i den. Skidtet er ofte lavet til at kunne snyde scannerne.
En manuel scanning hjælper dog intet, hvis scanneren ikke kender pakke formatet. Der er stor forskel på hvor mange pakkeformater en scanner kan håndtere. Antivir hører til dem som kender temmelig mange (Kaspersky kender flest).
Det der med selv at fordele pointene virkede ellers ikke rigtig - syntes ellers måske nok at forevernewbie ramte mest hovedet på sømmet. Hvorfor virkede det ikke (syntes da ellers jeg har gjort det før)?
Tak for point, og fordelingen er da ok, da vi jo allesammen har bidraget efter bedste evne :)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
