Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
30.11.2012, 17:45
Beitrag
#101
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
@Sebastian Uwe hätte neu booten müssen, damit die Sandbox auch richtig funktioniert. Sowie wie er es in seiner Aufzählung hier, beschriebt war der Test mit Nachfragen "Punkt 3". Vorher hat es geklappt, da hätte also schon mehrmals gebootet sein müssen bzw. es zeigt, dass sie im Automodus funktionierte. Zum Test an sich: Äpfel und Birnen, einen Tag mit ZA den anderen mit Lameshield. (Bei ZA kackt Avast eh ab...). In der berichteten Form nicht nachvollziehbar und so helfen auch keine Fragen ala hätte, wäre, könnte. Das spannende, unabhängig der Avast Sandbox-Story: Sein Comodo meldete sich nie, was an den Einstellungen liegen muss. Ich will ja keinem zu Nahe treten: Aber ein HIPS ala Comodo scheint nix für Uwe zu sein, er blickt da (noch) nicht duch. Das sehe ich wieder aktuell an der Trainingsmodus Wortmeldung, am vermischen von Sandbox und HIPS weiter oben, an einigen älteren Beiträgen und Missinterpretationen von Comodo Meldungen. -------------------- Don't believe the hype!
|
|
|
Gast_claudia_* |
30.11.2012, 17:58
Beitrag
#102
|
Gäste |
habe nochmal Avast auf die schnelle installiert um das mit der Sandbox zu zeigen.
Comodo wird ja in der neuen Version das HIPS durch ein BB ersetzen und somit noch "anfängertauglich" sein (mit dem Trainings Modus kommt wahrscheinlich davon, das du Uwe jetzt völlig Lala machst)
Angehängte Datei(en)
|
|
|
30.11.2012, 18:09
Beitrag
#103
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
claudia, das Fenster mit dem Systemneustart bei Avast sah ich bei mir nicht als ich die Autosandbox aktivierte. In welchem Modus läuft bei dir das Comodo HIPS Defense+? Paranoid Modus?
-------------------- |
|
|
30.11.2012, 19:06
Beitrag
#104
|
|
Fühlt sich hier wohl Gruppe: Mitglieder Beiträge: 323 Mitglied seit: 15.02.2010 Mitglieds-Nr.: 7.945 Betriebssystem: Windows 10 x64 |
Wie kann man sich so etwas hier eigentlich freiwillig antun, Sandbox hier, Firewall da und Paranoid Modus auf der anderen Seite.
Wer als erster hier den 100% Schutz erreicht, meldet sich dann bitte mit Finger heben. |
|
|
30.11.2012, 19:20
Beitrag
#105
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Wie kann man sich so etwas hier eigentlich freiwillig antun, Sandbox hier, Firewall da und Paranoid Modus auf der anderen Seite. +1. Comodo wird ja in der neuen Version das HIPS durch ein BB ersetzen und somit noch "anfängertauglich" sein Sie nennen es so, dass was man bisher sehen konnte...nunja es wird sich zeigen. (mit dem Trainings Modus kommt wahrscheinlich davon, das du Uwe jetzt völlig Lala machst) Ich habe gar nichts geschrieben, nur das er Comodo nicht vernünftig eingestellt hat - sonst hätte er Meldungen bekommen. Hier hat er bewusst mit Malware gepsielt aber die Programme sollen ja schützen wenn man mal irgendwo unbewusst was kommt. Und das sie das in seiner Konfiguration nicht können zeigte er. Folglichwäre doch das beste auf Siganturen zu hoffen und ein paar automatische Features mitzunehmen: Im Avast die Autosandbox und zwar automatisch. LaLa macht er sich mit seinem rumgestelle alleine, wenn und weil er nicht weiß was er macht. Das man aber zumindest weiß, welche Modi bei einem genutzten Produkt was bewirken, setze ich voraus - sonst hat man das falsche Produkt. Das ist quasi Sufe 0. das es um eine HIPS Lösung geht wäre Stufe 1 dann die richtige Konfiguration, Stufe 2 die Meldungen zu verstehen, Stufe 3 richtig zu entscheiden und wenn man das alles hat gelangt man zu Stufe 4 und merkt, dass man kein HIPS mehr braucht. Worum ging der gehijackte Thread eigentlich? -------------------- Don't believe the hype!
|
|
|
Gast_claudia_* |
30.11.2012, 19:54
Beitrag
#106
|
Gäste |
Wie kann man sich so etwas hier eigentlich freiwillig antun, Sandbox hier, Firewall da und Paranoid Modus auf der anderen Seite. Wer als erster hier den 100% Schutz erreicht, meldet sich dann bitte mit Finger heben. alles andere wäre doch langweilig und deshalb sind wir doch hier im Forum aktiv. Jene die das nicht wollen und können verplempern ihre Zeit mit Facebook und Twitter @Uwe siehe Beitrag 100 hier D+ ist der Sichere Modus die richtige Einstellung(benutze den auch selben da ich nicht Paranoid bin) Der Beitrag wurde von claudia bearbeitet: 30.11.2012, 20:00 |
|
|
Gast_blueX_* |
30.11.2012, 21:32
Beitrag
#107
|
Threadersteller Gäste |
@Scrapie Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht. Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten. Das wundert mich auch ein wenig. Die Wochen vorher wurde über einen längeren Zeitraum leicht modifizierte FakeAVs verteilt. Seit ein paar Tagen ist dies anders. Auch das Intervall ist länger. Wenn die AVs 10 dieser leicht modifzierten Varianten vorliegen haben, dürfte es wohl doch nicht so schwer sein, eine Signatur zu erstellen, welche die Malware erkennt, oder? |
|
|
30.11.2012, 21:42
Beitrag
#108
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
Doch, denn die Malware Autoren wissen ja, welche Anpassungen sie vornemen müssen, um die Signaturen zu brechen, sie haben eigene Scanning services um das zu testen etc.
|
|
|
Gast_blueX_* |
30.11.2012, 21:59
Beitrag
#109
|
Threadersteller Gäste |
Doch, denn die Malware Autoren wissen ja, welche Anpassungen sie vornemen müssen, um die Signaturen zu brechen, sie haben eigene Scanning services um das zu testen etc. Bei den Massen, die in den letzten 3 Wochen veröffentlich wurden, geht das nicht. Die Samples werden ja massenweise undetected gemacht. |
|
|
Gast_blueX_* |
30.11.2012, 23:51
Beitrag
#110
|
Threadersteller Gäste |
Derzeit gibt es wieder im 20-Minuten-Takt eine neue Trojan.FakeAV-Variante, die sich sehr ähnlich sind.
Der Beitrag wurde von blueX bearbeitet: 30.11.2012, 23:52 |
|
|
01.12.2012, 03:31
Beitrag
#111
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
@blueX
das ist aber nur ne vermutung oder? wenn sie ein script haben, um die samples automatisch hochzuladen und die ergebnisse zu vergleichen wird das schon klappen. Und, wenn du Malware nur auf bestimmte Programme anpassen willst, wird es um so einfacher |
|
|
Gast_blueX_* |
01.12.2012, 21:41
Beitrag
#112
|
Threadersteller Gäste |
|
|
|
Gast_Scrapie_* |
02.12.2012, 06:48
Beitrag
#113
|
Gäste |
Doch, denn die Malware Autoren wissen ja, welche Anpassungen sie vornemen müssen, um die Signaturen zu brechen, sie haben eigene Scanning services um das zu testen etc. Man merkt, dass du noch nicht praktisch damit (Signatur finden, eingrenzen, Code anpassen und testen auf Laufzeit und Erkennung oder wenn kein Source vorhanden ist dann disassemblen, patchen und testen auf Laufzeit und Erkennung) zu tun hattest. Über die (offiziellen aber auch privaten) Online-Scanning-Dienste geht selbiges viiiiiieeeeeeel zu langsam. Ein selbst geschriebenes Programm braucht in einer VM auf einem Intel Duo 2,93 MHZ für eine Datei von nur 60kb Größe zwischen 3 und 7 Minuten je Signatur und je AV. Der Flaschenhals sind hier die Scan-Zeiten der AV's. Das ist nur, um eine Signatur einzugrenzen. Das eigentliche patchen und re-testen dauert u.U. ne Stunde - und dann hat man eine (1) Variante. Bei der Generationsfolge tippe ich eher auf einen polymorphen Crypter - auch wenn ich einen, der 100% diesen Anspruch erfüllt - noch nicht gesehen habe. @blueX Je mehr Samples, desto sicherer wird die Heuristik. Hast du schon auf Crypter gecheckt, welcher da drinne sein könnte - wenn es denn einer ist...? Der Beitrag wurde von Scrapie bearbeitet: 02.12.2012, 06:51 |
|
|
Gast_blueX_* |
02.12.2012, 11:19
Beitrag
#114
|
Threadersteller Gäste |
Es wird kein Crypter verwendet. Gerade deshalb ist wahrscheinlich die Erkennung so schlecht.
|
|
|
04.12.2012, 01:50
Beitrag
#115
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 673 Mitglied seit: 18.04.2009 Mitglieds-Nr.: 7.511 Betriebssystem: Linux Mint 17.2 / Win 7 Virenscanner: Firewall: Comodo FW Autosandbox |
@Uwe
wenn du ein wenig englisch kannst (oder Dir wenigstens die Bilder richtig betrachtest), dann hilft dir das hier vllt auch weiter: http://www.techsupportalert.com/content/ho...do-firewall.htm Von der Basis her, ist das wohl die beste Einstellung. Danach kannst Comodo noch individuell konfigurieren. Aber wie schon mehrfach erwähnt, solltest dich dann auch mal richtig mit Comodo beschäftigen, sonst ist es wohl wirklich die falsche Lösung für dich. EDIT: Außerdem ist zu sagen, dass ich kein Fan von deiner Variante, Comodo + Avast zusammen laufen zu lassen, bin. Entscheide dich für eins. Ist mit Sicherheit die bessere Variante. Der Beitrag wurde von M.Richter bearbeitet: 04.12.2012, 01:59 |
|
|
04.12.2012, 02:03
Beitrag
#116
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Von der Basis her, ist das wohl die beste Einstellung. Danach kannst Comodo noch individuell konfigurieren. Aber wie schon mehrfach erwähnt, solltest dich dann auch mal richtig mit Comodo beschäftigen, sonst ist es wohl wirklich die falsche Lösung für dich. EDIT: Außerdem ist zu sagen, dass ich kein Fan von deiner Variante, Comodo + Avast zusammen laufen zu lassen, bin. Danke für den Link, aber frag mal claudia was Sie mit mir macht...........Sie gibt mir Tipps zur ihrer Meinung nach richtigen Konfiguration von Comodo in Verbindung/Verbund mit Avast Free. Schau mal hier: http://www.computerinfo-board.de/post42416.html#p42416 wenn du magst. Ausserdem bekam ich schon von ihr Tipps und Hilfe per PN. Der Beitrag wurde von simracer bearbeitet: 04.12.2012, 02:05 -------------------- |
|
|
11.12.2012, 23:46
Beitrag
#117
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
SLE ich hab dich nicht vergessen: vor ein paar Tagen meintest du ja, es wäre schön gewesen, wenn man gesehen hätte wie AVG Free auf die 2 Files reagiert und was AVG Free damit macht. Okay, ich hab vorhin nochmal AVG Free(und OA Free FW)installiert, die 2 Files neu runtergeladen und auf dem Desktop gespeichert: und dann nacheinander versucht diese auszuführen. Anbei dazu die Bilder, die zeigen wie AVG Free reagierte(die mitinstallierte OA Free FW hatte ich zuvor beendet):
Der Beitrag wurde von simracer bearbeitet: 11.12.2012, 23:46 -------------------- |
|
|
12.12.2012, 00:06
Beitrag
#118
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
SLE ich hab dich nicht vergessen: vor ein paar Tagen meintest du ja, es wäre schön gewesen, wenn man gesehen hätte wie AVG Free auf die 2 Files reagiert und was AVG Free damit macht. Zum einen ist es nicht vergleichbar, da völlig neue Files. Zum anderen ging es ja um den proaktiven Teil, also ob das IDP mittlerweile wieder taugt - hier zeigen aber alle Screenshots Erkennungen auf die auf einer schon vorhandenen Signatur beruhen (auch wenn IDP davorsteht, ist es das von mir angesprochene "Schummeln", was einige mit ihren BBs tun, die sich eben leider nicht mehr isoliert testen lassen. Auch ein Grund warum @IBK in den dynamischen Tests keine Erkennungen der Einzelkomponenten ausweist) Der Beitrag wurde von SLE bearbeitet: 12.12.2012, 00:08 -------------------- Don't believe the hype!
|
|
|
12.12.2012, 00:20
Beitrag
#119
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Zumindest hast du ja jetzt gesehen, wie AVG auf die Files reagiert. Ein danach gestarter Scan mit Malwarebyte Anti-Rootkit ergab dann aber, das AVG Free wohl nicht alles entfernen konnte(einen OnDemand Scan mit AVG machte ich nicht):
ZITAT Malwarebytes Anti-Rootkit 1.01.0.1011 www.malwarebytes.org Database version: v2012.12.11.12 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 [administrator] 11.12.2012 23:59:09 mbar-log-2012-12-11 (23-59-09).txt Scan type: Quick scan Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P Scan options disabled: Objects scanned: 26063 Time elapsed: 9 minute(s), 59 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 1 HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot. Registry Values Detected: 2 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot. HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: -> Delete on reboot. Registry Data Items Detected: 3 HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (shell32.dll) -> Delete on reboot. HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (fastprox.dll) -> Delete on reboot. HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot. Folders Detected: 6 C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\U (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\U (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\L (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\L (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a (Trojan.Siredef.C) -> Delete on reboot. Files Detected: 3 C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\@ (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\@ (Trojan.Siredef.C) -> Delete on reboot. C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\U\00000001.@ (Trojan.0Access) -> Delete on reboot. (end) Und deshalb(aber auch ohne das Scanergebnis von Malwarebytes)wird das: eingespielt. Der Beitrag wurde von simracer bearbeitet: 12.12.2012, 00:25 -------------------- |
|
|
Gast_J4U_* |
12.12.2012, 10:46
Beitrag
#120
|
Gäste |
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 01.06.2024, 06:16 |