Ein echter Rogue, versucht den User mit Falschmeldungen zu verunsichern, und zum Kauf zu bewegen.
hxxp://.www.mysuperviser.com

Der weigert sich beharrlich mich zu "erschrecken" , das läuft einfach nicht


http://www.abload.de/img/1udgw.jpg

Du wirst Ihn erschreckt haben

MAB mault [Ausführung in der Sandboxie]


Mistding:


Der Beitrag wurde von Kenshiro bearbeitet: 17.04.2009, 17:45

Da könnte man Verschwörungstheorien nähren wie MBAM immerso schnell an die Malware kommt , vll. selbst verbreitet das Zeug ?

Wer weiß, wer weiß

Ich pack mein Post einfach mal mit hier rein um kein neues aufzumachen.

http://www.pcwelt.de/start/sicherheit/vire..._und_umgekehrt/

Pcwelt berichtete hier vor ein paar Tagen von einer Scareware die nicht nur ein paar Prozesse blockiert sondern nur ein paar Ausnahmen freigibt um den User zum Kauf der Scareware besser nötigen zu können . Ich konnte dies in einem Test perfekt nachstellen , auf dem PC funktionierte nurnoch der Explorer und der IE . Alle anderen Prozesse wurden abgeschossen , auch alle Prozesse von Gdata2010 , der vorhandene Selbstschutz greift hier nicht weil man die meisten der Gdata Prozesse abschiessen kann


http://www.abload.de/img/1uc5j.jpg

Diese virtuelle Maschine war völlig unbrauchbar geworden und konnte keine der anderen ausgeführten Infektionen auf dem Desktop abwehren . Mehrere Malware Services und Prozesse installiert , DNS verbogen ect.

Jetzt hab ich auf einer NIS VM das Szenario noch einmal nachgestellt.


http://www.abload.de/img/2rge5.jpg


http://www.abload.de/img/3sjb1.jpg

Kuck an , die Scareware schafft es nicht den Norton Selbsschutz überwinden zu können da es nur 1 Prozess gibt den es zu schützen gilt .
Auch konnten hier zumindestens teilweise Infektionen abgewehrt werden wie zb. Rootkit und IPS Angriffe. Mit der rechtzeitigen Erkennung der Risiken wäre der PC hier noch brauchbar.

Hi

Hast Du die Datei absichtlich ausgeführt, um zu schauen, wie sich die NIS verhält, oder wurde sie nicht geblockt?

Ich kann sie mit Prevx nicht ausführen:


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 20.05.2009, 19:03

Achso das hab ich vergessen, ich hab ALLE Objekte auf dem Desktop ausgeführt und nach den anschliessenden Reboots der virtuellen Maschinen hat die Scareware die Kontrolle über den PC übernommen.
Du hast ausserdem etwas anderes.

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 19:08

Ok. Danke für die Aufklärung. Ich würde das hier zwar auch gern testen, aber ehrlich gesagt traue ich mich da grad nicht dran. Klingt nach sehr viel Ärger, wenn etwas schief laufen sollte.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 20.05.2009, 19:11

Ist nicht schlimm, einfach die VM schliessen und Änderungen verwerfen. Dazu muss an die Rückgängig Datenträger Option in den Einstellungen aktivieren vor dem Starten der VM .

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 19:51

Kannst du mir das Ding auch mal zukommen lassen? Danke.

*edit*

Ich kann nur die AVKTray.exe abschießen, sonst keinen Prozess. Ich weiß natürlich nicht, wie die Malware die Prozesse beendet. ^^

Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 19:21

Dann vetraue ich Dir und teste es auch mal . Könntest Du mir vlt. auch das Sample zur Verfügung stellen? Wie Du schreibst, hab ich wohl ein anderes Sample der System Security erwischt.

Vielen Dank!

Gruß,
Nightwatch

Auf malwaredomainlist habe ich eine AV.exe (Trojan.Win32.Winwebsec) gefunden, die von der G Data Verhaltensüberwachung geblockt und gelöscht wird. Eine zweite ak1.exe wird nicht bemängelt (außer ein Autostarteintrag). Ich weiß jetzt nicht welches Sample Voyager genommen hast, aber Prozesse wurden bei mir jetzt keine beendet.

*edit*
Laut Virustotal erkennt Symantec beide Dateien bereits, also muss ich andere Samples verwendet haben.

Der Beitrag wurde von markus17 bearbeitet: 20.05.2009, 20:18

0scan.us/download.php

versuche mal das , die türkisfarbene Install.exe stimmt mit dem System Security 2009 Icon überein.

dl1.adioro.com/distribs/5/registryoptimizer.exe

installiere auch das mit , das ist auch nur eine reine Scareware.

Danach die Gdata VM rebooten und schon kannst du nichtsmehr ausser dem Explorer und dem IE aufrufen , auch kein Gdata.

Ich finde zwar die Domain, kann aber dort kein Sample herunterladen. Egal mit welchen Einstellungen. Die Hauptseite verweist auf ein leeres 0kb embedded Textfile, wenn ich auf den Download es besagten Programmes navigiere.

EDIT: Ok. Ich versuche es darunter. Thx.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 20.05.2009, 20:24

Die install.exe wird derzeit nur von 3 Programmen erkannt:

Ikarus (und somit auch von a-squared)
AntiVir
Mc Afee (alle 3 Produkte)

Prevx erkennt das Sample per On-demand-Scan nicht:


Aber jetzt kommt der Mist. Ich krieg das Teil nicht auf den PC, denn nach dem Ausführen passiert immer das:


Die Heuristik beim Ausführen scheint wunderbar zu funktionieren. Auch dann, wenn man es nicht will

Nach einem Neustart passiert nichts mit dem Prozess von Prevx. Aber auch mit keinem anderen, weil es auch inaktiv geblockt wird. Ich müsste das nochmal testen (was aber dauern könnte), wenn ich das Programm gar nicht drauf habe. Denn so, geht es jedenfalls nicht. Ganz schön biestig

Gruß,
Nightwatch

@Nightwatch

verstehst du deinen eigenen PrevX Meldungen nicht ? Die Sicherheitssoftware scheint über eine Form der Clouderkennung zu verfügen , die install.exe wird beim Ausführen gesperrt mit der Meldung unten im Tray .
Aus dem Grund meldet Vista ein Zugriffs-Rechte Problem .

Der Beitrag wurde von Voyager bearbeitet: 20.05.2009, 20:52

Das ist mir durchaus bewusst. Nur krieg ich das Teil nicht auf den PC. Ob Prevx inaktiv oder aktiv ist, denn es kommt immer diese Meldung. Wahrscheinlich ist das der erweiterte Selbstschutz, den ich aktiviert habe und der ein Reboot erfordert. Das ist das Problem.
Ich muss mal schauen, wie ich die automatische Blockierung wegbekomme.
Deswegen schrieb ich ja biestig

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 20.05.2009, 20:55

Sodele. ich hab´s nun hinbekommen. Das nette Teil vollständig installiert und neugestartet:



Was passiert nach dem Reboot?

Prevx lebt!


Und es meldet auch gleich eine Infektion:



Well done

Gruß,
Nightwatch