On Sat, 5 Nov 2022 21:19:52 -0000 (UTC), Peter Heirich wrote:
> Volker Bartheld wrote:
>> [Virenscan auf externem Speicher] Welche Relevanz hätte die Existenz
>> von Virensignaturen z. B. auf einem NAS, das Dateien zwar schreibt
>> und liest, aber nie ausführt?
> Es geht nicht darum, das NAS selbst zu schützen.
Auch mein PC muß nicht vor Virensignaturen geschützt werden, die sich
rein zufällig in einer Videodatei befinden.
Oder schmeißt Dein Newsreader im Ernst eine Warnung bei diesem QR-Code?
▄▄▄▄▄▄▄ ▄ ▄▄ ▄ ▄▄▄ ▄▄▄▄▄▄▄
█ ▄▄▄ █ ▄▀ ▄ ▀ █ ▀ ▀▀▀█▀▀ █ ▄▄▄ █
█ ███ █ █ ███▀ ██▄▄▀█▄▀ █ ███ █
█▄▄▄▄▄█ ▄ █▀█▀█▀█ █▀▄▀█▀█ █▄▄▄▄▄█
▄▄▄ ▄▄▄▄█ ▀▄▀ ██▀ ▀█▀▀ ▀▄▄ ▄
▀▀▀ ▄▀▄▀▄██▀ ▄▀▀▀█ ▄ ▄█▀▄▀▄▄▄
█ ▀▄▄█▄▀▀▀█▄▀██▀▀▀ ▀▀█▄ ▄██▀ ▄
▄ ▄▄▀█▄ █▀▀ ▀▄▀▀ ▄▀▀█▄ ▄█ ▄▄▀█
███▀ ▄ █▄█▀▄██ ▀▀▀▄▀▀ ▄▀▄██ ▄▄▀
▀ ▀▄▀█▄█▄ ███▀ ▀▀█▀▀█▀▄▀▀▀▀ ▄▀▄█▄
▀ ▀▄▄▄▀▄▄▄▄▀▀ ▀█▀ ▀█▀▀ ▄█▄█▄ ▄▄▄
▄ █▀█▀▄▄▄ ▀▀ ▄▀█ ▄▀███▀▀ ▄ ▄█▄ █
▄▀ ██▀▄▄ ▀▄█▄▀▀▀▀▄██▄ ██▄▄█▄▄▀
▄▄▄▄▄▄▄ ██ ██▄▄▀▀██▀▀ ▄█ ▄ █▀▄▄▄
█ ▄▄▄ █ █ ▀▄█▀▀██▀ ▀▄▀▀▀█▄▄▄█▄▄█▄
█ ███ █ ▄█ ▀▄ ▄ ▀▀▀███ ▄▄▄▄█▀█▄
█▄▄▄▄▄█ █▄ ▄▄█▄ ▀▀▀▀▀▀▀█ ▀█▄█ █▄
> Deshalb läuft auf meiner QNAP der QNAP-übliche Malware-Remover, der
> eigentlich ein Clamav ist. Sinn ist ein Zeitvorsprung in folgendem
> Szenario: Eine nicht erkannte Ransom-ware wird u.a. auf dem NAS
> abgelegt.
Nicht erkannt von wem? Auf dem PC, der auf das NAS schreibt? Sollte der
nicht einen On-the-Fly-Virenscanner haben, der ihm verbietet,
virenhaltige Dateien überhaupt anzufassen?
> Da sie dort nicht ausgeführt wurde, installiert sie auch nicht ihre
> "Tarnkappe". Das entspricht etwa der "Ausschaltung" von Rootkits
> durch Boot von einem frischen, geprüften Datenträger. Wenn jetzt
> später diese Ransom-ware irgendwo auffällt und deshalb Eingang in die
> Virensignaturen erhält, besteht die Chance, eine Ransom-ware zu
> erkennen, bevor diese Totalschaden anrichtet.
Totalschaden, weil irgendein Client diese Datei vom NAS liest und
unreflektiert ausführt? Je nun. Hört man in der Windowswelt öfter, daß
es eine schlechte Idee ist, einfach irgendwelche .exe zu starten.
Ja, zugegeben, es traten schon Fälle auf, wo eine "Mediendatei" (also
Dokumente bis hin zu simplen Bildern) so instrumentiert wurden, daß sie
einen Fehler im Dateibetrachter ausnutzten, um Schadcode auszuführen.
> Der Trick bei Ransom-ware ist ja, dass ein Rootkit installiert wird, über
> längere Zeit die Dateien verschlüsselt und transparent entschlüsselt
> werden.
Dazu ist kein Rootkit notwendig, außer Du verwendest eine sehr lockere
Definition. Administratorrechte ("root") benötigst Du zum Verschlüsseln
der Benutzerdateien nicht. Es reicht, die entsprechende Software im
Userkontext auszuführen.
> Ich persönlich habe auf tägliches deduplizierendes Backup ( Borg ) für
> Linux umgestellt. Da werden alle Dateien täglich komplett gelesen.
Dem Stichwort "Linux" entnehme ich, daß Du ohnehin schon die
wesentlichen Vorkehrungsmaßnahmen zu Virenabwehr getroffen hast.
Volker