Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
29.11.2012, 16:00
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Na dann, erneut ausführen und schauen ob's hilft. So SLE, wie schon erwähnt hatte ich die Avast Autosandbox aktiviert und auf Nachfragen gestellt, dann wieder die Avast Schutzsteuerung komplett deaktiviert, die Datei im ersten Link von blueX runtergeladen, auf dem Desktop gespeichert und dann die Avast Schutzsteuerung wieder komplett aktiviert und geschaut ob die Autosandbox auch wirklich an ist. So weit so gut, also führte ich die Datei aus und die Avast Autosandbox meldete sich das ich die Datei in der Autsandbox ausführen sollte und ich bestätigte das mit OK. Und was passierte dann? Ein Fake Antivirus konnte sich aktivieren trotz Autosandbox und ich hätte mir laut dem Fake eine Kaufversion von denen runterladen und kaufen sollen weil das Fake angeblich Infektionen auf meinem System fand Konsequenz: Paragon Boot-CD ins CD-Fach gelegt, den PC resetet und das neueste Systembackup von heute vormittag aufgespielt. Noch eine Anmerkung zu der Aussage von markusg: ZITAT is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe? ZITAT Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen... Ist definitiv jetzt Schluss damit bei mir, nochmal hole ich mir keines der Files. Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 16:04 -------------------- |
|
|
29.11.2012, 16:04
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
@uweli
Interessant und schlecht für Avast. So mies hätte ich es nicht vermutet. Und Comodo bleibt wieder stumm? Ist ja fast unglaublich, dann würde ich beides verbannen, da es hier nicht um irgendwelche Exoten Malware geht. Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe? Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen? Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 16:04 -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 20.06.2024, 01:41 |