Infizierte Webseiten |
Willkommen, Gast ( Anmelden | Registrierung )
Infizierte Webseiten |
12.06.2011, 12:30
Beitrag
#1401
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Das Einsenden mit dem Hinweis auf unterschiedliche Checksummen ist vielleicht entscheident, falls dort zugehört wird und eine generische Erkennung erstellt wird. Jein, die vendors die etwas intelligentere Signaturen haben fallen meist nicht auf so kleine Änderungen herein. Edit: wobei deine Beispiele mich jetzt doch etwas widerlegen Der Beitrag wurde von SebastianLE bearbeitet: 12.06.2011, 12:32 -------------------- Don't believe the hype!
|
|
|
13.06.2011, 21:11
Beitrag
#1402
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
Na dem normalen User ist es bestimmt egal wie diese Crimeware erkannt wird, ob jetzt über Reputation oder durch Virensignaturen. Was zählt ist das es schnell und sicher erkannt wird !
Liebe Grüße |
|
|
13.06.2011, 21:28
Beitrag
#1403
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Mit Norton bestimmt und sonst generisch/heuristisch....
Bei jeder neuen Datei sieht es lau aus http://www.virustotal.com/file-scan/report...cfd5-1307996039 Der Beitrag wurde von citro bearbeitet: 13.06.2011, 21:40 |
|
|
14.06.2011, 17:51
Beitrag
#1404
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.654 Mitglied seit: 20.05.2005 Mitglieds-Nr.: 2.761 Betriebssystem: Windows 10 (64 bit) Virenscanner: Eset NOD 32 Antivirus Firewall: Win 10 |
www.dslr-forum.de
Wird mir plötzlich von Avast gesperrt mir dem Verweis eine Bedrohung wurde gefunden. Wenn die nicht gehackt wurden, muss es ein Fehlalarm sein. Scheint doch ein Problem zu geben lt. diesen Hinweisen: http://www.psd-tutorials.de/forum/54_digit...dslr-forum.html od. auch hier besprochen: http://www.dforum.net/showthread.php?t=599121 Der Beitrag wurde von maxos bearbeitet: 14.06.2011, 19:35 |
|
|
14.06.2011, 21:08
Beitrag
#1405
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Mhhh. Norton macht nichts.... und Virustotal sagt im moment auch nichts...
http://www.virustotal.com/url-scan/report....5897-1308074593 Aber das Problem wurde seitens der DSLR Betreiber ja bestätigt, also ist das kein FP... -------------------- |
|
|
16.06.2011, 00:33
Beitrag
#1406
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
Naja - dann musst du es mal durch den WebAV lassen und testen... Generell ist das aber hier kein gutes Beispiel, hier bringt der WebAV nur eine Vorabwarnung. Weiterleitung funktioniert mit dem IE. Ohne WebAV kommt ein JavaSkript welches das System mal schnell scannt: [attachment=7175:ss0.jpg] Dann darf man irgendwas klicken und bekommt immer irgendeine pack.exe angeboten. Man sollte eigentlich die Verarsche erkennen, weil es zu schlecht umgesetzt ist - da werden nichtmal die eigenen Laufwerke angezeigt... Diese pack.exe heruntergeladen und ausgeführt installiert eine Version vom Roque Security Shield, was superschnell scannt und super viel findet: [attachment=7176:ss1.jpg] Entfernung soll leider kosten: [attachment=7177:ss2.jpg] Auch ohne WebAV passiert also erstmal nichts, allerdings werden die je Download variierenden pack.exe von den meisten DateiAVs nicht erkannt. Ignoriert man das Anschlagen der BBs und HIPSe und stellt sich User vor, die hier auf alles reinfallen und alles anklicken bingt der WebAV als Frühwarner einen Vorteil. Sonst nicht. Norton stuft das Risiko der Datei ( pack.exe > Trojan.FakeAV!gen57> erkannt durch Auto-Protect) jetzt als HOCH ein. NIS20112.JPG ( 74.22KB ) Anzahl der Downloads: 30 Liebe Grüße |
|
|
16.06.2011, 08:39
Beitrag
#1407
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
@Tiranon
Nicht immer: VT 1/42 http://www.virustotal.com/file-scan/report...3e5a-1308208720 VT 20/42 http://www.virustotal.com/file-scan/report...6567-1308209397 da hilft nur einsenden |
|
|
16.06.2011, 08:51
Beitrag
#1408
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
Eingesendet habe ich es !
Trotzdem wurde die pack.exe von NIS2011 schon vor dem 12.Juni geblockt. Da war sie zwar noch als Risiko "Mittel" eingestuft aber sie wurde geblockt. Und ob das jetzt durch Reputation oder Signatur erkannt wird ist doch Wurscht www.virustotal.com ist ne nette Seite aber ob die auch immer richtig liegen weiß man ja wohl auch nicht !?! |
|
|
Gast_uweli1967_* |
16.06.2011, 08:51
Beitrag
#1409
|
Gäste |
Ich konnte gestern am späten Abend nochmal die pack.exe runterladen nachdem ich den AVG Echtzreitschutz komplett deaktiviert hatte(mit aktivem Echtzeitschutz verhindert der AVG Webschutz den Download von pack.exe). Dazu musste ich allerdings im IE 8 den Smart Screen Filter ausschalten(mit FF 4 hatte ich keine Chance pack.exe runterzuladen). Gerade vorhin nun hab ich die runtergeladene pck.exe Datei bei VirusTotal hochgeladen, gerade einmal 7 von 41 Scanner dort erkannten das als Gefahr:
Ich glaube, mit der beste Schutz bei Fake AV's ist der, dass man auf einer externen Festplatte ein sauberes Image bzw Backup seiner Systempartition bzw der Festplatte mit C überhaupt hat. Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 08:55 |
|
|
16.06.2011, 08:56
Beitrag
#1410
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Trotzdem wurde die pack.exe von NIS2011 schon vor dem 12.Juni geblockt. Da war sie zwar noch als Risiko "Mittel" eingestuft aber sie wurde geblockt. Und ob das jetzt durch Reputation oder Signatur erkannt wird ist doch Wurscht www.virustotal.com ist ne nette Seite aber ob die auch immer richtig liegen weiß man ja wohl auch nicht !?! Die Dateien sind verschieden groß und wenn sie gleich groß sind haben sie eine untersiedliche MD5, lade einfach ein paar herunter und teste, auch morgen vielleicht. Einmal wird es gen./ heur. erkannt, dann wieder nicht. Meine pack.exe kannst du leider nicht testen, denn die nächste ist wieder anders. |
|
|
16.06.2011, 09:01
Beitrag
#1411
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
Stimmt Danke für den Tipp, ich werde auch mit dem IE umgeleitet und zwar auf folgende Seite: Vorsicht ! hxxp://46.161.11.210/index.php?mBhv=WygoTkA%2BPCBJRW&c8=UE7DSJHJ6ML0FPI2dQL&Tc=YJJZ1&HMvg=N770MQ24WQE5&3tO=KF13&mfbU1=MAag&f6SH1=0gyJ2wlNDNTMBQtIihFKyIn&rJxt=gwML1d3Kwt6MykGMX44d2cGc3NkYWNreUNSQzk%3D&p9K=YAa31jCx9oDCYCSgg%2Ff0RMYH8vPwljIAMmN3pxcld%2Fc1QCa&NdPKO=Z5Z369CK80&Ib7L=9W6D42XSU91&lMZCN=Bzo1KlJL&956=S89K4BH3LPO2WKDFT6DDSXWZ# Ich rede gerade von dieser Seite! |
|
|
16.06.2011, 09:03
Beitrag
#1412
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
|
|
|
16.06.2011, 09:27
Beitrag
#1413
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
Ok gut das wir uns verstehen ;-)
Hab jetzt drei Mal die pack.exe runtergeladen und jedes mal wurde es als "WS.Repurtation.1" erkannt und als mittleres Risiko eingestuft. NIS20113.JPG ( 53.75KB ) Anzahl der Downloads: 12 Der Beitrag wurde von Tiranon bearbeitet: 16.06.2011, 09:29 |
|
|
16.06.2011, 09:52
Beitrag
#1414
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
Ok gut das wir uns verstehen ;-) Hab jetzt drei Mal die pack.exe runtergeladen und jedes mal wurde es als "WS.Repurtation.1" erkannt und als mittleres Risiko eingestuft. OK, aber wahrschinlich nicht als "Trojan.FakeAV!gen57" (?) edit: klar ist es wurscht, Norton schlägt Alarm, aber die anderen AVs ? Der Beitrag wurde von citro bearbeitet: 16.06.2011, 10:07 |
|
|
Gast_uweli1967_* |
16.06.2011, 10:57
Beitrag
#1415
|
Gäste |
Hi citro, folgender Ablauf bei mir: Wenn ich im IE 8 mit deaktiviertem SmartScreen Filter, aber aktivem AVG Echtzeitschutz die Webseite aufrufen will, dann reagiert AVG: . Wird aber von mir zusätzlich der AVG Echtzeitschutz deaktiviert, dann kommt zuerst diese Einblendung: im Browserfenster, klicke ich in der Einblendung auf okay, dann kommt das: und ich kann ungehindert durch klicken auf Remove All die Datei pack runterladen und Ausführen oder speichern wohin ich will. Ist nun die Datei pack bei mir runtergeladen und gespeichert(mittlerweile habe ich den AVG Echtzeitschutz wieder aktiviert, AVG ist bei mir aber ohne IDP installiert weil ich stattdessen ThreatFire benutze)und ich will pack Ausführen reagiert AVG mal gar nicht, wohl aber ThreatFire: (die Option bei ThreatFire "Diesen Pozess beenden und sperren" und "Diese Antwort speichern" habe jeweils ich gewählt) danach klicke ich bei ThreatFire auf Fortsetzen und wieder wird ThreatFire aktiv:
|
|
|
16.06.2011, 11:35
Beitrag
#1416
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.829 Mitglied seit: 06.10.2005 Mitglieds-Nr.: 3.709 Betriebssystem: Win 10 Home (1909) Virenscanner: Avira free Firewall: Comodo |
@uweli1967
danke mal für die Mühe |
|
|
Gast_uweli1967_* |
16.06.2011, 11:39
Beitrag
#1417
|
Gäste |
citro, Mühe war das keine für mich, ich wollte sehen wie meine Schutzprogramme jeweils reagieren oder auch nicht.
|
|
|
16.06.2011, 13:09
Beitrag
#1418
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey |
|
|
|
16.06.2011, 13:45
Beitrag
#1419
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
edit: klar ist es wurscht, Norton schlägt Alarm, aber die anderen AVs ? Vielleicht wurscht, aber dennoch sehr interessant: Die geringfügigen Modifikationen jedes Downloads reichen bei vielen um der Signatur zu entwischen. (Solange die Seite noch geht ein schönes Testfeld... Ich habe mir jetzt mal eine größere Anzahl der Variationen erstellen lassen die ich nur weggesichert habe - mal in einem Monat schauen, wie umfassend dann die Signaturen aussehen) Edit: WS.Reputation erhält man bei Norton bei jeder der Cloud unbekannten ausführbaren Datei. Der Beitrag wurde von SebastianLE bearbeitet: 16.06.2011, 13:47 -------------------- Don't believe the hype!
|
|
|
Gast_uweli1967_* |
16.06.2011, 14:11
Beitrag
#1420
|
Gäste |
ZITAT Ich habe mir jetzt mal eine größere Anzahl der Variationen erstellen lassen die ich nur weggesichert habe - mal in einem Monat schauen, wie umfassend dann die Signaturen aussehen) Sebastian, das hätte mich gewundert wenn du es nicht gemacht hättest interessant ist es allemal wie Virenschutzprogramme bzw Behavior Guards darauf(Downloadversuch und Ausführenversuch) reagieren oder auch nicht. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 03:13 |