Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
29.11.2012, 11:13
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Was ich dir bildlich nicht festhalten konnte SLE: nachdem ich die Datei ja ausgeführt hatte und da zuerst abermals der Avast Netzwerkschutz anschlug, kamen danach alle paar Minuten ein Meldefenster von Avast, in dem stand das Avast ein Rootkit gestoppt hätte das in Recycler hätte aktiv werden wollen. Ein Bild davon was dann in Container/Quarantäne verschoben wurde zeigte ich ja schon aber nachdem alle paar Minuten lang eine solche Aktion stattfand, entschloss ich mich das System mit Chica PC-Shield Free zu scannen(dessen Ergebnis postete ich ja schon)und als nach dessen Bereinigung nochmal Meldefenster von Avast kamen, scannte ich mit Malwarebytes Anti-Rootkit das System und da kam zu Anfang noch bevor der Anti-Rootkit Scanner gestartet war auch ne Meldung wegen eines Rootkits ob man das bereinigen wolle oder so ähnlich. Danach startete der Malwarebytes Anti-Rootkit Scanner und noch während dessen Scans entschloss ich mich, danach sofort ein Backup/Image der Systempartition C einzuspielen.
-------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 01.06.2024, 01:39 |