ABBZ-Stats: “Wenn, dann mehrfach …” – auf 30% aller gescannter Rechner auffällige Dateien gefunden

Wir haben uns mal die Mühe gemacht und ca. 100.000 Scan-Reports (März 2011 bis November 2011) des Avira DE-Cleaners, die uns in der zurückliegenden Projektzeit freundlicherweise durch unsere Nutzer mit ihrem Einverständnis zur Verfügung gestellt wurden, ausgewertet. Folgende Erkenntnisse konnten daraus abgeleitet werden:

  • 30,01 % aller gescannter Rechner sind mit “auffälligen Objekten” infiziert!
  • im Durchschnitt hat jedes infizierte System 7,34 schädliche Dateien an Board!

In einem Zeitstrahl dargestellt, ergibt sich folgendes Tendenzbild:

Auffällig dabei ist, dass der Virenscanner durchgängig bei jedem Dritten gescannten System “auffällige Dateien” auf seiner Festplatte gefunden und isoliert/gelöscht hat – mit leicht steigender Tendenz. Interessant ist hier sicherlich, wie und ob sich dieser Wert im Dezember weiter erhöht und ob sich dieser Trend auch im Januar fortsetzt.

Und wie wirkt sich Weihnachten bzw. der gesteigerte Abverkauf und das Verschenken neuer PC-Hardware auf diese Daten aus? Werden wir im Januar einen “Einbruch” feststellen? 

4 thoughts on “ABBZ-Stats: “Wenn, dann mehrfach …” – auf 30% aller gescannter Rechner auffällige Dateien gefunden”

  1. Wir wissen jetzt, dass ca. ein Drittel der untersuchten Systeme kompromittiert sind. Wir erfahren, dass AV-/AM-Scanner im Durchschnitt ca. sieben Dateien als nicht vertrauenswürdig kennzeichnen. Wir wissen nicht, wieviele Indizien einer Kompromittierung alleine diese AV-/AM-Software übersieht.

    Mit o.g. Verfahren werden definitiv nicht alle Indizien einer Kompromittierung dokumentiert und übertragen. So fehlen z.B. alle Timelines von Objekten der Dateisysteme, siehe z.B. http://wiki.sleuthkit.org/index.php?title=Timelines.

    Inwieweit dürfen wir behaupten, dass ein von AV-/AM-Software “wiederhergestelltes” System vertrauenswürdig sei, obwohl wir wissen, dass nichteinmal weitere, wesentliche Hinweise auf eine Kompromittierung ausgewertet werden? Mit welcher Wahrscheinlichkeit müssen wir damit rechnen, dass ein “wiederhergestelltes” System weiterhin gefährlich bleibt?

    fragt adams in kritischer Distanz

    1. Hallo Hans Adams,

      mit diesem Beitrag wollten wir keine Dissertation zum Thema schreiben, sondern lediglich darauf hinweisen, dass mehr Rechner als der “Kunde” vermutet mit Schadsoftware infiziert sind, und dass in vielen Fällen eine Multi-Infektion vorliegt!

      Nicht mehr, nicht weniger!

      Grüße,
      TK, ABBZ

  2. Mit folgender Aussage komme ich nicht klar: “Klicken sie im Windows Explorer bis zur hosts-Datei”…………..Ich möchte überprüfen, ob hier nur ein Eintrag (localhost)
    aktiv ist. Ich habe leider keine Ahnung wie ich zur hosts-Datei gelange!!!
    Hoffe, man kann mir helfen!!
    mfg

    joko

Kommentare sind geschlossen.