Wurm und Erkennung, Backdoor.Bot. |
Willkommen, Gast ( Anmelden | Registrierung )
Wurm und Erkennung, Backdoor.Bot. |
17.08.2009, 14:12
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 936 Mitglied seit: 01.07.2008 Mitglieds-Nr.: 6.934 Betriebssystem: Windows 10 Pro Virenscanner: ESET |
Also ich hab da mal eine Verständnissfrage. Ich bezeichen mich keineswegs als Profi aber denke das ich durchaus mit der Materie Malware und PC vertraut bin.
Jetzt GDATA auf einem USB Stick den Virus "Backdoor.Bot.77168 (Engine A)" entdeckt. Hab bei Virustotal& Co. nachgeschaut und war überrascht was in meinen Augen eigentlich zuverlässige Kandidaten wie zBsp. Kaspersky dazu hatten -> NIX. LINK Jetz hab ich auf einem meiner Testsysteme (derzeit NIS2010) mal den Wurm machen lassen und dann geschaut was Norton meint. Und da gibt es ja jetzt dieses Feature bei dem ersichtlich wird was der Schädling so alles in der Registry und in den Dateien veranstaltet. Schon erschreckend/estaunlich. Für Leute wie mich ( für die meisten von Euch natürlich auch)jedoch nichts außergewöhliches, Malware eben. Aber erschreckender finde ich das oben genannte "Gute Programme" diesen gar nicht erkennen bzw nicht in ihrer List haben. Was den Leuten passiert die sich in Sicherheit wähnen und dann, wie auch immer zu dieser Malware gelangen und somit infiziert sind finde ich jedoch absolut Krass. Ja ich weiß Brain.exe und ein halbwegs gutes System+AV usw. Aber wohin soll der Trend gehen? Braucht man einen großen Hersteller der eine Superengine verbaut oder wie soll das weitergehen??ß gruß feni -------------------- Gruß feni
------------------------------------------------------------------------------------------- secure-one.de |
|
|
17.08.2009, 14:19
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Bei dem Dateiname als ausführbare Datei "3500_genuine_Serials_Of_Microsoft" wäre ich schonmal mißtrauisch das da NICHT das rauskommt was draufsteht.
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Nightwatch_* |
17.08.2009, 14:41
Beitrag
#3
|
Gäste |
Aber erschreckender finde ich das oben genannte "Gute Programme" diesen gar nicht erkennen bzw nicht in ihrer List haben. Was den Leuten passiert die sich in Sicherheit wähnen und dann, wie auch immer zu dieser Malware gelangen und somit infiziert sind finde ich jedoch absolut Krass. Hi Also ich finde die VT-Erkennung insgesamt doch in Ordnung. Von den großen "Namen" zeigen nur Kaspersky, NOD und Panda keinen Fund an, wobei man damit immer sehr vorsichtig sein muss. Die alte Leier von VT...oftmals sieht die Erkennung am Home-PC komplett anders aus. Des Weiteren verfügen die genannten Programme über eine Advanced Heuristik bei der Dateiausführung und haben eine Programmkontrolle (bis auf Eset). Beide Features sind in der Lage, so eine Datei auch nachträglich abzufangen. Natürlich gibt´s keine 100%ige Sicherheit. Malware-Samples, die durch sämtliche AV´s durchrasseln, hab ich aktuell zur Genüge. Ein ganzer Ordner mit über 600 Dateien. Alle ohne jegliche VT-Erkennung. Da helfen dann nur HIPS und Verhaltensblocker weiter. Ansonsten stimme ich @Voyager zu. Ohne Brain.exe wird´s eh immer gefährlich. Gruß, Nightwatch |
|
|
17.08.2009, 16:21
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.607 Mitglied seit: 17.02.2009 Mitglieds-Nr.: 7.363 |
Kann meinen Vorrednern nur zustimmen.
Ohne Brain geht es nicht. (Das soll hier aber nicht das Thema sein) Und die VT Auswertung ist 1. sogar noch recht positiv und 2. entspricht sie nicht immer dem was das AV auf dem Host erkennen würde. (sagte Nightwatch ja beides schon) Außerdem ist das bei Vundo Derivaten eh immer so eine Sache. Da hast du Glück, dass G-DATA überhaupt was erkennt. Scheinbar ist die Datei nicht mehr ganz neu. Jeden Tag entstehen so viele neue Vundo Versionen und Ableger das da keine Sau hinterher kommt. Da hilft nur Verhaltensbasierte Analyse und Cloud Tech. PrevX beispielsweise hat als einziges AV alle Conficker Varianten erkannt ohne die Dateien bei sich im Labor analysieren zu müssen. Das ist schon eine Leistung. Btw.: Hat jemand Lust das Sample mal gegen Mamutu zu schmeißen? Der Beitrag wurde von Habakuck bearbeitet: 17.08.2009, 16:21 -------------------- "If You Run Naked Around a Tree, at about 87 km/h, there is a possibilty of f4cking your self."
Albert Einstein |
|
|
28.08.2009, 14:46
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
ich hab da mal eine Verständnissfrage. Ich auch: Wo ist der Sinn der Sache? Du postest am 17.08.2009 die VT-Ergebnisse vom 03.04.2009 BTT: - Die verdächtige Datei scheint (dem Namen nach) ein Crack zu sein. - Ist sie wirklich eine Bedrohung der Sicherheit oder lediglich der Urheberrechten ist für einen Roboter (in dem Fall- VT) nicht so leicht zu beurteilen, insbesondere wenn man die ganz unterschiedlichen Einstellungen der bei VT-teilnehmenden AVs in Betracht zieht. - Kaspersky 7.0.0.125 war schon am 03.04.2009 obsolet. Fazit: Schicke die Datei nach Avira, ESET, KL - dann wissen wir vllt. mehr -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
02.09.2009, 11:43
Beitrag
#6
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 936 Mitglied seit: 01.07.2008 Mitglieds-Nr.: 6.934 Betriebssystem: Windows 10 Pro Virenscanner: ESET |
Ich auch: Wo ist der Sinn der Sache? Du postest am 17.08.2009 die VT-Ergebnisse vom 03.04.2009 Haha...haha. Ich hab die Datei bei VT hochgeladen und dann kam die Meldung wurde bereits analysiert (03.04,2009) usw. usofort. Klugschwätzer -------------------- Gruß feni
------------------------------------------------------------------------------------------- secure-one.de |
|
|
02.09.2009, 11:55
Beitrag
#7
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
Und dann musst du auf erneut analysieren klicken, so erhälltst du das aktuelle Ergebniss.
|
|
|
02.09.2009, 15:47
Beitrag
#8
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Und dann musst du auf erneut analysieren klicken Die Betonung geht hier nämlich auf das Wort musst . In 4 Monaten wurden vllt. 4000 neuen Schädlinge entdeckt, Du Klugschwätzer -------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
02.09.2009, 15:58
Beitrag
#9
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
Was willst du denn jetzt von mir ich glaub ich spinne. Das ist ja echt lächerlich...
|
|
|
02.09.2009, 16:19
Beitrag
#10
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Was willst du denn jetzt von mir ich glaub ich spinne. Das ist ja echt lächerlich... Von Dir? Gar nix! Ich habe NUR Deinen Beitrag für TO zitiert... Wieso nimmst Du das auf Deine Kappe???-------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
02.09.2009, 16:20
Beitrag
#11
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
Sorry kam so rüber. Nichts für ungut!
|
|
|
02.09.2009, 16:27
Beitrag
#12
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
-------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
02.09.2009, 23:22
Beitrag
#13
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 936 Mitglied seit: 01.07.2008 Mitglieds-Nr.: 6.934 Betriebssystem: Windows 10 Pro Virenscanner: ESET |
Ich hatte das natürlich am selben Tag dann auch noch hochgeladen und es kam das exakt selbe Ergebniss.
Das bewegte mich ja dann auch zu meinem Posting/Thread. Hatte ich das nicht geschrieben ->SORRY Was wäre den nun die Folgerung bezgl der Malware ?? Der Beitrag wurde von fenriz bearbeitet: 02.09.2009, 23:23 -------------------- Gruß feni
------------------------------------------------------------------------------------------- secure-one.de |
|
|
03.09.2009, 08:15
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.092 Mitglied seit: 14.08.2003 Wohnort: Asten, OÖ Mitglieds-Nr.: 149 Betriebssystem: Windows 11 Home x64 Virenscanner: Windows Defender Firewall: Router+Windows Firewall |
Was wäre den nun die Folgerung bezgl der Malware ?? Ich zitiere mich selbst sehr ungerne, aber: ZITAT Schicke die Datei nach Avira, ESET, KL - dann wissen wir vllt. mehr Hast Du's getan?
-------------------- Gruß
Rene-gad Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen. Roesen's Law |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.04.2024, 04:52 |