Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Fake Antivirus "Alarm"

Geschrieben von: simracer 12.10.2012, 12:50

http://http:%20xxxx//avcheckscan.com/ (aufrufen der Webseite auf eigene Gefahr!)"lauert" ein Fake Antivirus(Ransomsoftware)das einem vorgaukeln will das das System infiziert sei. Keines der der Echtzeitschutz Module meiner verwendeten Schutzprogramme warnte mich davor die Webseite aufzurufen und ebenso verhinderte auch kein Echtzeitschutz Modul das runterladen des Fakes. Warnung: Falls jemand das Fake Antivirus testen möchte, dann bitte auf eigene Gefahr hin und sichert evtl. vorher das System oder macht es mit Sandboxen oder dergleichen.
Update: Die Seite ist wohl schon down.

Geschrieben von: Xeon 12.10.2012, 13:31

Edit: Seite down

Geschrieben von: scu 12.10.2012, 13:56

Bitte niemals auf infizierte Webseiten verlinken!

Schreib nächstes mal einfach hxxp://www.bösewebseite.com

Geschrieben von: simracer 12.10.2012, 13:58

Ich ändere es smile.gif
claudia hat es vorhin bei VT hochgeladen: https://www.virustotal.com/file/e749b7af6a58c3cfdc2e2e292db053702fbf94757e960832a711c85b9fce0b01/analysis/1350045031/ Avast erkent es aber trotzdem bei mir: http://www.abload.de/image.php?img=unbenannt6xayq0.jpg http://www.abload.de/image.php?img=fake5mjk0t.jpg

Geschrieben von: simracer 12.10.2012, 14:54

Eine weitere Analyse bei VT: https://www.virustotal.com/file/4a728625e8ebb9c7601f49902f7e8b4e7f1142e5a6de67c79c52f896b123979f/analysis/1350049875/

Geschrieben von: J4U 12.10.2012, 16:12

ZITAT(simracer @ 12.10.2012, 13:49) *
Keines der der Echtzeitschutz Module meiner verwendeten Schutzprogramme warnte mich davor die Webseite aufzurufen und ebenso verhinderte auch kein Echtzeitschutz Modul das runterladen des Fakes.
Man kann eben nicht alles kennen.

whistling.gif

Geschrieben von: simracer 12.10.2012, 16:19

J4U die Seite ist jetzt schon etwas länger down, warst etwas zu spät dort whistling.gif

Geschrieben von: SLE 15.10.2012, 13:51

ZITAT(simracer @ 12.10.2012, 13:49) *
... Keines der der Echtzeitschutz Module meiner verwendeten Schutzprogramme warnte mich davor die Webseite aufzurufen und ebenso verhinderte auch kein Echtzeitschutz Modul das runterladen des Fakes. ...


Irrelevant. wink.gif Bei Ausführung zählt.

Geschrieben von: simracer 15.10.2012, 13:54

ZITAT(SLE @ 15.10.2012, 14:50) *
Irrelevant. wink.gif Bei Ausführung zählt.

Das machte Avast ja auch wink.gif Und wenn ich jetzt nur den USB Stick anschliesse und habe die exe des Fakes da drauf, schlägt AVG IS an und will es sofort in Quarantäne verschieben.

Geschrieben von: simracer 15.10.2012, 18:30

........die Scanner von Symantec, TrendMicro, McAfee, PC Tools und von F-Secure bei VirusTotal erkennen die Datei immer noch nicht als Gefahr/Malware no.gif Quelle: https://www.virustotal.com/file/4a728625e8ebb9c7601f49902f7e8b4e7f1142e5a6de67c79c52f896b123979f/analysis/1350321870/

Geschrieben von: markus17 15.10.2012, 22:36

Ich habe das Sample mal mit G Data und etwas älteren Signaturen getestet. In der XP-VM wurde das Fake-AV Programm ganz kurz aktiv und dann meldete sich der BB von G Data, welcher alles in die Quarantäne verschob.

Gerade eben habe ich es noch einmal ausprobiert und zwar wenn ich das Sample aus einem zip-Archiv (von einem Netzlaufwerk) starte, dann wird die Malware komplett aktiv und lässt mich nur noch manche Programme starten. Nach 1-2 Minuten kommt dann aber trotzdem die Meldung vom BB, der alles löscht. Vom Desktop/Downloadordner oder aus dem Firefox reagiert der BB scheinbar wesentlich schneller.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)