Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[Gast_blueX_*]

Hallo,

ich beobachte seit einigen Wochen zwei interessante URL Adressen:
hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e
hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e

Über diese Adressen wird Malware massenhaft verbreitet.
So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen.

Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird.

Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen.
Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt.

Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen.

Habt ihr sowas schon mal gesehen?
Wie denkt ihr darüber?


Viele Grüße
bluex

[simracer]

Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.

Punkt 1: Wenn bei Avast die Autosandbox und auch die Comodo Sandbox aktiviert ist und das File aus Link 1 ausgeführt wird, wird das File automatisch in der Avast Autosandbox ausgeführt und analysiert und dann von Avast in dessen Quarantäne verschoben.
Punkt 2: das fast gleiche Szenario mit dem File aus Link 2 nur mit dem Unterschied das nun die Comodo Sandbox deaktiviert war. Ergebnis: siehe Punkt 1 das File wird automatisch in der Avast Autosandbox ausgeführt und analysiert und dann ebenfalls in die Quratäne verschoben.
Punkt 3: Die Comodo Sandbox ist noch deaktiviert aber die Avast Autosandbox steht nun auf Nachfragen: Beim ausführen des Files aus Link 2 geht ein Fenster der Avast Autosandbox auf in dem empfohlen wird das File in der Avast Autosandbox auszuführen und wenn ich das bestätigt habe sehe ich das der Prozess AvastServive exe wohl abschmiert und das Fake Antivirus aktiv werden kann und da Avast(und Comodo)versagen. Falls du es nicht glaubst SLE, hol dir die 2 Files aus den Links, installiere dir Avast Free und teste es selbst(du hast bestimmt einen Testrechner oder ein virtuelles System wo du das machen könntest wenn du wolltest)

Avast ist zu schwach dafür

Ich behaupte nein Avast ist nicht zu schwach dafür und habe mittlerweile eingesehen das die Avast Autosandbox eine effektive Verrteidigungsfunktion sein kann und werde diese künftig aktiviert lassen mit der Einstellung Auto.

Der Beitrag wurde von simracer bearbeitet: 30.11.2012, 01:53

[SLE]

@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.

File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.

@Scrapie
Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht.

Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten.