Also ich hab da mal eine Verständnissfrage. Ich bezeichen mich keineswegs als Profi aber denke das ich durchaus mit der Materie Malware und PC vertraut bin.
Jetzt GDATA auf einem USB Stick den Virus "Backdoor.Bot.77168 (Engine A)" entdeckt. Hab bei Virustotal& Co. nachgeschaut und war überrascht was in meinen Augen eigentlich zuverlässige Kandidaten wie zBsp. Kaspersky dazu hatten -> NIX.
LINK
Jetz hab ich auf einem meiner Testsysteme (derzeit NIS2010) mal den Wurm machen lassen und dann geschaut was Norton meint. Und da gibt es ja jetzt dieses Feature bei dem ersichtlich wird was der Schädling so alles in der Registry und in den Dateien veranstaltet. Schon erschreckend/estaunlich.
Für Leute wie mich ( für die meisten von Euch natürlich auch)jedoch nichts außergewöhliches, Malware eben.
Aber erschreckender finde ich das oben genannte "Gute Programme" diesen gar nicht erkennen bzw nicht in ihrer List haben.
Was den Leuten passiert die sich in Sicherheit wähnen und dann, wie auch immer zu dieser Malware gelangen und somit infiziert sind finde ich jedoch absolut Krass.
Ja ich weiß Brain.exe und ein halbwegs gutes System+AV usw.
Aber wohin soll der Trend gehen? Braucht man einen großen Hersteller der eine Superengine verbaut oder wie soll das weitergehen??ß

gruß feni

Bei dem Dateiname als ausführbare Datei "3500_genuine_Serials_Of_Microsoft" wäre ich schonmal mißtrauisch das da NICHT das rauskommt was draufsteht.

Hi
Also ich finde die VT-Erkennung insgesamt doch in Ordnung. Von den großen "Namen" zeigen nur Kaspersky, NOD und Panda keinen Fund an, wobei man damit immer sehr vorsichtig sein muss. Die alte Leier von VT...oftmals sieht die Erkennung am Home-PC komplett anders aus.
Des Weiteren verfügen die genannten Programme über eine Advanced Heuristik bei der Dateiausführung und haben eine Programmkontrolle (bis auf Eset). Beide Features sind in der Lage, so eine Datei auch nachträglich abzufangen.

Natürlich gibt´s keine 100%ige Sicherheit. Malware-Samples, die durch sämtliche AV´s durchrasseln, hab ich aktuell zur Genüge. Ein ganzer Ordner mit über 600 Dateien. Alle ohne jegliche VT-Erkennung. Da helfen dann nur HIPS und Verhaltensblocker weiter.

Ansonsten stimme ich @Voyager zu. Ohne Brain.exe wird´s eh immer gefährlich.


Gruß,
Nightwatch

Kann meinen Vorrednern nur zustimmen.

Ohne Brain geht es nicht. (Das soll hier aber nicht das Thema sein)

Und die VT Auswertung ist 1. sogar noch recht positiv und 2. entspricht sie nicht immer dem was das AV auf dem Host erkennen würde. (sagte Nightwatch ja beides schon)
Außerdem ist das bei Vundo Derivaten eh immer so eine Sache. Da hast du Glück, dass G-DATA überhaupt was erkennt. Scheinbar ist die Datei nicht mehr ganz neu.
Jeden Tag entstehen so viele neue Vundo Versionen und Ableger das da keine Sau hinterher kommt.

Da hilft nur Verhaltensbasierte Analyse und Cloud Tech. PrevX beispielsweise hat als einziges AV alle Conficker Varianten erkannt ohne die Dateien bei sich im Labor analysieren zu müssen. Das ist schon eine Leistung.

Btw.: Hat jemand Lust das Sample mal gegen Mamutu zu schmeißen?

Der Beitrag wurde von Habakuck bearbeitet: 17.08.2009, 16:21

Ich auch: Wo ist der Sinn der Sache? Du postest am 17.08.2009 die VT-Ergebnisse vom 03.04.2009

BTT:
- Die verdächtige Datei scheint (dem Namen nach) ein Crack zu sein.
- Ist sie wirklich eine Bedrohung der Sicherheit oder lediglich der Urheberrechten ist für einen Roboter (in dem Fall- VT) nicht so leicht zu beurteilen, insbesondere wenn man die ganz unterschiedlichen Einstellungen der bei VT-teilnehmenden AVs in Betracht zieht.
- Kaspersky 7.0.0.125 war schon am 03.04.2009 obsolet.

Fazit: Schicke die Datei nach Avira, ESET, KL - dann wissen wir vllt. mehr

Haha...haha. Ich hab die Datei bei VT hochgeladen und dann kam die Meldung wurde bereits analysiert (03.04,2009) usw. usofort.
Klugschwätzer

Und dann musst du auf erneut analysieren klicken, so erhälltst du das aktuelle Ergebniss.

Die Betonung geht hier nämlich auf das Wort musst .
In 4 Monaten wurden vllt. 4000 neuen Schädlinge entdeckt, Du Klugschwätzer

Was willst du denn jetzt von mir ich glaub ich spinne. Das ist ja echt lächerlich...

Von Dir? Gar nix! Ich habe NUR Deinen Beitrag für TO zitiert... Wieso nimmst Du das auf Deine Kappe???

Sorry kam so rüber. Nichts für ungut!

Peace markusg

Ich hatte das natürlich am selben Tag dann auch noch hochgeladen und es kam das exakt selbe Ergebniss.
Das bewegte mich ja dann auch zu meinem Posting/Thread. Hatte ich das nicht geschrieben ->SORRY

Was wäre den nun die Folgerung bezgl der Malware ??

Der Beitrag wurde von fenriz bearbeitet: 02.09.2009, 23:23

Ich zitiere mich selbst sehr ungerne, aber:
Hast Du's getan?