Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
29.11.2012, 12:43
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht. Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge? -------------------- |
|
|
29.11.2012, 12:57
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge? Durch die nicht bereinigten Registry Einträge bleiben keine Störungen, wohl aber durch gerade bei Ransoms gern genutzte verstellte Standard-Registry Einträge. Da ist dann eben bei der Winlogon der Explorer nicht eingetragen und zuzsätzlich werden noch ein paar Programme (Regediit, Taskmanger) an der Ausführung gehindert. Folglich bereinigt man das System samt Registry, aber es funktioniert trotzdem nicht. Hinzu kommen oft manipulierte und ausgetauschte Systemdateien - auch da versagen viele Bereinigungen, weil löschen allein nicht hilft. Hatte gerade diese Woche wieder so einen Fall. (der hatte sogar Avast) Und hier liegt gerade auch bei Malwarebytes - einem der besseren Bereiniger - eine große Schwäche. Es gibt sehr wenige Programme, die hier intelligenter desinfizieren, z.B. Kaspersky aber auch MSE. Bereinigt man die Registry nicht hat man vielleicht einen toten Eintrag zum Start suspekter Files, die aber eh nicht mehr existieren. Folglich irrrelevant. Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 12:58 -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 06:13 |