[Problemzone] Was heissen die Begriffe unter behaviour bei VirusTotal?

[Tatanka Yotanka]

Ich habe mir angewöhnt Dateien, die ich aus dem Internet herunterlade, sowohl mit dem Windows 10 internen Virenschutz als auch mit VirusTotal zu überprüfen.
Bei der letzten Datei (Ich habe sie noch nicht geöffnet, aber laut Beschreibung sollte sie das Buch "Cicadas of southern Africa. An illustrated guide to known species" enthalten, und die Webseite ist laut VirusTotal ok.) sind mir einige Begriffe aufgefallen, deren Bedeutung ich in diesem Zusammenhang nicht verstehe, für mich aber seltsam klingen. Grundsätzlich wurde die Datei für sicher befunden, jedoch wurden die Begriffe "direct_cpu_clock-access", "checks-user-input", "checks-network-adapters", detect-debug-environment", "long-sleeps" und "runtime-modules" angezeigt. Für mich klingt das irgendwie. als würde die Datei mich ausspionieren.
Bei einer zweiten Buchdatei, die ich schon früher mal von einer anderen Webseite heruntergeladen hatte, wurden unter "Crowdsourced Sigma Rules" 3 Treffer für diese "Rules" was immer das heissen mag angezeigt, und zwar zwei "medium" und 1 "low". Auch diese Datei wurde aber grundsätzlich als sicher eingestuft.
Ich habe die Screenshoots hier im Forum ins Album hochgeladen, aber irgendwie finde ich gerade nicht mehr heraus, wie ich sie hier anzeigen kann.
Weiss jemand was das zu bedeuten hat?

[Homerclon]

Also der Punkt mit "direct_cpu_clock-access" etc., ist normal.
Ich hab mal ein PDF aus sicherer Quelle, und eine selbst erstellte hochgeladen, bei beiden wird dies auch angezeigt, und noch zwei bzw. ein weitere(s).
Somit liegen diese Punkte am PDF-Format bzw. den PDF-Reader selbst, nicht weil jemand böse Absichten hegt.

Zu den "Sigma Rules":
Mir gefällt nicht, was da aufgeführt wird. Der erste Treffer wird genutzt um Sicherheitslücken ausfindig zu machen. Das ist erst mal nichts schlechtes, kann aber u.a. auch von Ransomware (Computer komplett Verschlüsseln und Lösegeld fordern) genutzt werden.
Das zweite kann genutzt werden um Anwendungen zum AutoStart (wird beim starten von Windows automatisch ausgeführt) hinzuzufügen, ohne das der Nutzer gefragt wird ob das in Ordnung sei.
Beides wurde auch nicht in den vor mir hochgeladenen Vergleichs-PDFs gefunden, ist also nichts was man in einer PDF üblicherweise findet.

Generell gilt: Man sollte PDF-Reader und Office-Suites (MS Office, LibreOffice usw. usf) so einstellen, das Skripte und dergleichen, nicht automatisch ausgeführt werden. Dies sollte man dann auch nur für jene Dokumente zulassen, die man aus vertraulichen Quellen erhalten hat. In diese Dokumente könnten nämlich Skripte eingebaut worden sein, die Schädlich sind.


Ich füge hier mal deine Bilder an:

Eine Anleitung wie man selbst Bilder einfügt, findet man dort.
Hinweis: Das einbinden als Bildvorschau, wie ich es hier gemacht habe, ist in der Anleitung nicht enthalten.
Dafür muss man beim letzten Punkt der Anleitung, lediglich anstatt bei der Zeile "Bildlink", direkt die Zeile darunter verwenden (das mit dem album-Tag).

[Tatanka Yotanka]

Erst mal Danke.
Also sollte das Buch mit den für mich seltsamen Begriffen kein Problem sein, wenn ich das richtig verstanden habe. Obwohl diesselben Begriffe bei anderen Buchdateien nicht angezeigt wurden. (Sondern andere.)
Beim zweiten Buch hingegen, gar nicht gut. Das ist besonders schlecht, da ich jenes schon in meinen Backupdateien habe. Ich frage mich ja wieso VirusTotal da nicht grundsätzlich eine Warnung gebracht hat? Sonst hätte ich es nie behalten. Aber auf die Idee die anderen Ergebnisunterseiten jedes Mal anzusehen war ich da noch nicht gekommen. Gerade auch weil ich mit den Angaben da nicht viel anfangen kann.
Ausserdem dachte ich die Seite https://www.fao.org/fishery/en/topic/18099 sollte eine sichere Quelle sein. Immerhin ist die Organisation mit der UNO verbandelt. Die Seite selbst hatte ich glaube ich sogar von VirusTotal untersuchen lassen.
Was soll ich da machen ? Ich nehme an, nur die Datei einfach normal zu löschen ist keine Lösung. Und ich vermute, ich sollte alle Dateien von dieser Webseite nochmal überprüfen lassen und diesmal auch diese Unterseiten ansehen?
Was die Skriptausführung angeht: Sowohl in Word als auch im Adobe Acrobat habe ich nichts gefunden, was das Ausführen von Skripten betrifft. Wobei durchaus sein kann, dass ich die Einstellung übersehen oder nicht verstanden habe. Wobei das Office Packet gleichzeitig von meinem Vater verwendet wird. Ich bin nur Mitnutzer. Dann müsste wahrscheinlich er diese Einstellungen irgendwo einstellen? Oder ist das nicht Konto sondern Computer spezifisch? Ich habe leider keine Ahnung von Computer, auch wenn ich ihn nutze.
Danke für die Bildanleitung.

[Homerclon]

Ich habe, ehrlich gesagt, auf die Ergebnisunterseiten bisher auch nicht geachtet. Bis gestern nicht mal bemerkt das es die überhaupt gibt.
Aber ja, es wäre wirklich Sinnvoll wenn solch potentiell kritische Treffer auf der ersten Seite mit aufgeführt werden.
Es gibt aber noch immer die Möglichkeit eines Falschpositiv. Bei der Unterseite handelt es sich eher um eine Heuristische Suche.
Bei der Heuristik wird geschaut, ob es irgendwelche Auffälligkeiten gibt, also dinge getan werden bzw. enthalten sind, welche man typischerweise auch bei Schadsoftware findet. Aber manchmal werden Dinge die typischerweise von Schadsoftware verwendet werden, auch von harmlosen Programmen verwendet. Das macht deren Einstufung dann schwierig.

Ich verwende den Acrobat Reader schon einige Jahre nicht mehr, ich bin als PDF-Reader auf Foxit Reader umgestiegen (irgendwas am Acrobat Reader hatte mich gestört, ist aber schon so lange her, das ich mich nicht mehr erinnere).
Daher kann ich nicht sagen, wo man die entsprechenden Einstellungen bei Acrobat findet.

Beim Office-Paket müsstest du auch genauer werden um welche es sich handelt, da diese nicht identisch sind. Allerdings verwende ich LibreOffice, und könnte nur bei diesem sagen wo man die Einstellung findet, sowie wie sie benannt ist.
Bzgl. separate Einstellungen: So wie ich es verstanden habe, habt ihr getrennte PCs, teilt euch aber die Lizenz. Da könnte ich mir vorstellen das beides möglich ist, aber man müsste abklären wie es genau abläuft.

[Tatanka Yotanka]

Danke.
Kannst du mir einen Rat geben, was ich jetzt mit der Datei machen soll? (Ich weiss dass ich schlussendlich selber entscheiden muss.) Ich habe die Datei offenbar seit dem 26.09.2022, was mit meiner Erinnerung etwa übereinstimmt. Einen Ransomware Angriff gab es bisher offensichtlich nicht, das hätte ich schliesslich merken müssen wenn jemand meine Daten verschlüsselt. Unter Autostart, habe gerade nachgeschaut, sehe ich auch keine neuen Programme aufgeführt. Ich hoffe mal die würden angezeigt. Auch sonst ist mir, seit hinzukommen dieser Buchdatei, nichts neues seltsames aufgefallen, mit zwei kleinen Ausnahmen.
1. Bei der Bereinigung der temporären Dateien, wird seit kurzem (Kürzer als die Datei da ist.) Windows Updates nicht mehr aufgeführt, bei dem es sonst immer viel zu bereinigen gab. Aber seit dem letzten Bereinigen gab es, wenn ich mich recht erinnere, auch keine grossen Updates mehr, nur Virenschutzupdates. Vielleicht liegt es daran.
2. Gestern morgen kam plötzlich eine Meldung des Computers es gebe ein Problem mit meinem Microsoft-Konto, ich solle es aufrufen, wenn ich weiterhin Apps zwischen verschiedenen Geräten synchronisieren will. (Sehr frei nachformuliert.) Ich müsste erst schauen wo ich das aufrufen kann, und vor allem, was synchronisieren? Ich will gar nichts synchronisieren.

Ich hoffe daher, dass es ein Fehlalarm ist, traue der Datei aber nicht. Soll ich die Datei einfach löschen? Oder mit einem Programm dass beim Löschen die Datei wirklich überschreibt, löschen? (Da müsste ich allerdings erst eines Auftreiben, es ist kein Programm installiert, dass das kann.) Den Computer wieder komplett auf Viren prüfen lassen vom Windows 10 Virenschutz dürfte nichts bringen. Das habe ich seit herunterladen der Datei schon mehrmals (Immer vor dem Backup machen.) gemacht, mindestens ein mal auch mit dem Microsoft Defender Offline.
Ich fange mal an, alle .pdf Dateien die ich habe, noch mal mit VirusTotal zu überprüfen und auf solche Sigma Rules zu achten.
Ich dachte ich sei vorsichtig gewesen, aber offenbar nicht genug. Vielleicht lade ich besser gar keine .pdf Dateien mehr herunter. Das scheint ein sicherheitstechnisch schwieriger Dateityp zu sein.


Da ich vor der Entdeckung dieser Bücher und dem Herunterladen von 2-3 wissenschaftlichen Artikeln noch nie wirklich mit PDF-Dateien zu tun hatte, und auch jetzt nur anschauen, bearbeitet habe ich noch nie eines, habe ich mich nie gross um das verwendete Programm gekümmert. Es war eines installiert also gut.

Bezüglich Word, ja eine Lizenz zwei Computer. Vielleicht weiss mein Vater wo die Einstellungen dafür sind, vielleicht hat er sie sogar schon so eingestellt.

Edit: Ich habe begonnen die verschiedenen Buchdateien und Artikeldateien zu überprüfen. Weit bin ich noch nicht. Leider gab es bereits zwei weitere Treffer, einmal Sigma Rules und einmal etwas das ich interpretiere, dass das Dokument eine IP-Adresse kontaktiert hat. Und ich dachte ich hätte Glück als ich die Bücher entdeckt habe und der Virenscanner und (auf den ersten Blick) auch VirusTotal nichts fanden. Ich hoffe nur, ich muss nicht am Ende alle Dateien die ich habe plattmachen. (Nicht nur die Betroffenen.) Da wären hunderte Stunden von Hobby"arbeit" und einiges an Dateien die ich nie mehr bekommen kann verloren.
Wenn ich fertig bin, kann aber je nach Zeitverfügbarkeit Tage dauern, werde ich über die Ergebnisse berichten.

[Homerclon]

Du meinst, du hast in den Autostart-Ordner geschaut? Da wird kaum etwas reingeworfen, das ist eher für den Nutzer gedacht, damit er es leicht umsetzen kann.
Schadsoftware - aber auch die allermeisten anderen Programme - schreiben das direkt in die Registry.
Willst du herausfinden was wirklich alles automatisch startet, brauchst du ein extra Tool. Dieses nennt sich Autoruns (Download von Microsoft.com), lies dir auch die kurze Beschreibung und Erklärung zur Verwendung durch.

Um sicher zu gehen, das dein System nicht von Schadsoftware befallen ist, bringt es nichts einfach ein Virenscanner laufen zu lassen. Die Entwickler von Schadsoftware sind leider nicht Dumm, und haben sich einfallen lassen wie sie ihre Schadsoftware verstecken und tarnen, auch ggü. Virenscanner.
Sobald das befallene System läuft, greifen diese Mechaniken zum Verstecken. Was man tun kann, ist ein Live-Betriebssystem zu verwenden, idealerweise ein anderes als das was auf dem befallenen System bereits läuft. In der Regel bietet sich Linux (oder Derivat wie bspw. Ubuntu) an.
Von der c't gibts ein Ubuntu-Image, das speziell für solche Fälle und ähnliche angepasst ist, indem u.a. zig Virenscanner vorinstalliert sind. Aufgrund der Lizenzrechten der Virenscanner, kann dieses Image leider nicht frei angeboten werden, so das man die dazugehörige Ausgabe kaufen muss. Falls noch nicht vergriffen, kann man diese beim Verlag nachträglich kaufen.

Aber es gibt auch andere Linux-Images, die zu diesem Zweck vorbereitet sind. Der Antiviren-Entwickler Avira bot früher solch ein Image mal an, ob das noch immer ist, weiß ich aber nicht.

Für solche Live-Betriebssysteme braucht man ein USB-Stick der Bootfähig ist - alternativ ein DVD-Rohling -, und ein Tool mit dem man das Live-Betriebssystem auf den USB-Stick installieren kann. Als Tool kannst du den Universal USB Installer verwenden. Dieser soll auch Links zu "Rescue-Images" (also das was du brauchst) enthalten.
Mit dem Tool habe ich allerdings noch nicht gearbeitet, das was ich mal genutzt habe wird - was ich eben erst herausgefunden habe - seit 3 Jahren nicht mehr weiterentwickelt. Da dieses nicht mehr weiterentwickelte daher evtl. mit einigen aktuellen Images nicht mehr kompatibel ist, spare ich es mir dieses zu verlinken.

Genaue Anleitungen zu Live-Linux findest du im Internet.

Der Vorteil von einem Live-Linux ist, das es die Festplatte unangetastet lässt, die Schadsoftware merkt also nicht mal das der PC gestartet wurde. Solange man auch nicht aktiv auf die Festplatte zugreift, kann den Daten auch nichts passieren. Wenn man mit den Daten auf der Festplatte nichts gemacht hat, merkt man nach einem Neustart des PCs nicht mal, das der PC genutzt wurde.
Dies ist ist nur perfekt um das System auf den Befall von Schadsoftware zu prüfen, sondern auch um Software-Probleme auszuschließen. Gehört daher eigentlich zur Standardausrüstung für die Ursachensuche im Falle eines (hartnäckigen) Fehlers.


Bzgl. Microsoft-Konto und Synchronisieren. Das Synchronisieren ist dafür, falls du an mehreren PCs arbeitest. Oder auch um den Umzug auf einen Neuen PC zu erleichtern.
Ich nutze den Kram aber auch nicht, daher ...

Word: Wenn die Lizenz für 2 PCs ist, dann sollte es möglich sein unterschiedliche Einstellungen festzulegen, die jeweils auf dem PC gespeichert werden - oder mit dem Benutzerkonto verknüpft sind, und daher auch in einer Cloud landen könnten.


Ich wäre bei den Dateien zumindest Vorsichtig.

Wenn du PDFs meiden willst, wird die Alternative ziemlich Dünn. Das ist nämlich die verbreitetste Art um eBooks und ähnliches zu verteilen - neben proprietärer für bestimmte eBook-Reader. U.a. deshalb, weil PDFs es erlauben, das die Dateien nicht (einfach) verändert werden können.

[Tatanka Yotanka]

Vielen Dank.
Ich weiss jetzt wie ich weiter vorgehe.
Bezüglich pdfs: Momentan kann ich die schon meiden. Die Wissenschaftlichen Artikel muss ich nicht herunterladen und E-Books sind für mich eh nur eine Notlösung. Kaufen würde ich nie eines. Ich bevorzuge definitiv Bücher aus Papier.