 Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
| Gast_blueX_* |
 28.11.2012, 19:03
Beitrag
#101
|
|
Gäste  |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
 |
 
|
Beiträge in diesem Thema
blueX Innerhalb weniger Minuten ist die Malware wieder undetected 28.11.2012, 19:03
claudia habe nochmal Avast auf die schnelle installiert um... 30.11.2012, 17:58 simracer claudia, das Fenster mit dem Systemneustart bei Av... 30.11.2012, 18:09 Xeon Wie kann man sich so etwas hier eigentlich freiwil... 30.11.2012, 19:06
SLE ZITAT(Xeon @ 30.11.2012, 19:05) Wie kann ... 30.11.2012, 19:20
claudia ZITAT(Xeon @ 30.11.2012, 19:05) Wie kann ... 30.11.2012, 19:54 markusg Doch, denn die Malware Autoren wissen ja, welche A... 30.11.2012, 21:42 blueX ZITAT(markusg @ 30.11.2012, 22:41) Doch, ... 30.11.2012, 21:59 Scrapie ZITAT(markusg @ 01.12.2012, 08:41) Doch, ... 02.12.2012, 06:48 blueX Derzeit gibt es wieder im 20-Minuten-Takt eine neu... 30.11.2012, 23:51 markusg @blueX
das ist aber nur ne vermutung oder? wenn si... 01.12.2012, 03:31 blueX ZITAT(markusg @ 01.12.2012, 04:30) @blueX... 01.12.2012, 21:41 blueX Es wird kein Crypter verwendet. Gerade deshalb ist... 02.12.2012, 11:19 M.Richter @Uwe
wenn du ein wenig englisch kannst (oder Dir ... 04.12.2012, 01:50 simracer ZITATVon der Basis her, ist das wohl die beste Ein... 04.12.2012, 02:03 simracer SLE ich hab dich nicht vergessen: vor ein paar Tag... 11.12.2012, 23:46 SLE ZITAT(simracer @ 11.12.2012, 23:45) SLE i... 12.12.2012, 00:06 simracer Zumindest hast du ja jetzt gesehen, wie AVG auf di... 12.12.2012, 00:20 J4U ZITAT(simracer @ 12.12.2012, 00:19) einen... 12.12.2012, 10:46 blueX Die von mir im ersten Post genannten Links sind im... 09.03.2013, 22:14 simracer bluex, ich hab mir gerade extra eines der Files ru... 09.03.2013, 22:42 blueX Also mein Avast Free erkennt die aktuelle Datei ni... 10.03.2013, 13:29 simracer Hast du Avast 8? wie bist du vorgegangen? ich hab ... 10.03.2013, 14:13 markus17 Der SmartScreen Filter vom Internet Explorer block... 10.03.2013, 16:33 simracer markus17, gleiches macht auch WOT und der Avast We... 10.03.2013, 17:03 simracer Und auch dieses Mal bestätigt ein danach ausgeführ... 10.03.2013, 19:00 SLE ZITAT(simracer @ 10.03.2013, 18:59) Und a... 10.03.2013, 19:56 Catweazle Vielleicht, solltet ihr die Samples by Malwarebyte... 10.03.2013, 19:37 simracer Catweazle, wer sagt denn das Malwarebytes die File... 10.03.2013, 19:56 Catweazle @ simracer
Da lag ich halt danneben, mit meiner A... 10.03.2013, 20:01 simracer ZITATDer Übersicht wäre es in solchen Fällen zumin... 10.03.2013, 20:05 SLE Checksummen kannst du ohne Screenshots schreiben. ... 10.03.2013, 20:08 simracer Damit hab ich mich noch gar nicht befasst als ... 10.03.2013, 20:14 SLE ZITAT(simracer @ 10.03.2013, 20:13) Damit... 11.03.2013, 16:53 simracer ZITAT(SLE @ 11.03.2013, 16:52) HIERMIT ka... 11.03.2013, 17:06 simracer ZITAT(SLE @ 11.03.2013, 16:52) HIERMIT ka... 11.03.2013, 17:48 blueX Die Files werden alle 20 Minuten geändert - spätes... 10.03.2013, 21:35 simracer Versteh ich nicht warum bei dir das File nicht erk... 10.03.2013, 21:41 simracer Gerade wieder ein File geholt und das mal bei Viru... 11.03.2013, 00:11 Scrapie Weitere Versionen unter selber URL aber mit Namen:... 11.03.2013, 04:47 simracer Ich hab nochmal so ein File bei VirusTotal hochgel... 11.03.2013, 15:38 SLE ZITAT(simracer @ 11.03.2013, 15:37) SLE, ... 11.03.2013, 16:51 simracer Ich hab mal die 2 Links von VT gepostet damit du e... 11.03.2013, 16:54 Jowi ZITAT(simracer @ 11.03.2013, 17:47) Okay ... 11.03.2013, 20:38 simracer Jowi, ich hab das mit 7zip entpackt und hatte die ... 11.03.2013, 20:41 J4U gleicher Wert = gleiche Datei 11.03.2013, 20:45 simracer ZITATgleicher Wert = gleiche Datei
Du meinst als B... 11.03.2013, 20:49 M.Richter ZITAT(simracer @ 11.03.2013, 20:48) Du me... 11.03.2013, 20:58 SLE ZITAT(simracer @ 11.03.2013, 20:48) Aber ... 11.03.2013, 21:30 simracer ZITAT(SLE @ 11.03.2013, 21:29) Ein HASHwe... 11.03.2013, 21:47 SLE ZITAT(simracer @ 11.03.2013, 21:46) Jetzt... 11.03.2013, 21:52 simracer ZITAT(SLE @ 11.03.2013, 21:51) 1 Wert rei... 12.03.2013, 18:03 Solution-Design ZITAT(SLE @ 11.03.2013, 21:51) 1 Wert rei... 12.03.2013, 20:23 M.Richter ZITAT(simracer @ 11.03.2013, 21:46) wenn ... 11.03.2013, 21:54 J4U ZITAT(M.Richter @ 11.03.2013, 21:53) Das ... 12.03.2013, 16:17 florian5248 @SLE
finde das wirklich irre, wie du diese Zeit i... 11.03.2013, 21:35 Tanzbaer ZITAT(florian5248 @ 11.03.2013, 21:34) @S... 11.03.2013, 21:46 simracer Ich wusste es bis vorhin nicht M.Richter. 11.03.2013, 22:28 M.Richter ZITAT(simracer @ 11.03.2013, 22:27) Ich w... 11.03.2013, 22:31 simracer Und eines muss man lassen: SLE hat echt Geduld und... 11.03.2013, 22:38 blueX Was ich nicht ganz verstehen kann: Je mehr Signatu... 14.03.2013, 15:06 ChP ZITAT(blueX @ 14.03.2013, 16:05) Was ich ... 15.03.2013, 20:14 blueX ZITAT(ChP @ 15.03.2013, 21:13) Das ist be... 17.03.2013, 00:09 simracer ZITATHier greifen dann zuverlässig nur Techniken w... 15.03.2013, 20:28 KasperskyFreaky Von welchem AV ist hier die Rede, blueX? 17.03.2013, 01:18 blueX Nod32, Malwarebytes ... 17.03.2013, 12:03 simracer Malwarebytes ist ja bekannt dafür das die stark si... 17.03.2013, 12:11 SLE Einige Hersteller tracken diese Seite mittlerweile... 17.03.2013, 12:24 simracer ZITATEs werden und wurden unter demselben Dateinam... 17.03.2013, 12:31 SLE ZITAT(simracer @ 17.03.2013, 12:30) GVU T... 17.03.2013, 12:33 simracer ZITAT(SLE @ 17.03.2013, 12:32) Was ist ei... 17.03.2013, 16:33 SLE ZITAT(simracer @ 17.03.2013, 16:32) Und w... 17.03.2013, 17:28 simracer Na die mit dem "schönen" Sperrbildschirm... 17.03.2013, 12:37 lotion http://urlquery.net/report.php?id=203249
immmer d... 17.03.2013, 16:05 simracer Die Files werden halt umgangssprachlich GVU Trojan... 17.03.2013, 17:33 SLE ZITAT(simracer @ 17.03.2013, 17:32) Die F... 17.03.2013, 17:41 Tiranon @lotion: habe ich das richtig verstanden? Alle URL... 17.03.2013, 17:34 simracer ZITATFrage: "Hilfe ich habe den GEMA - Virus... 17.03.2013, 17:44 SLE ZITAT(simracer @ 17.03.2013, 17:43) Besse... 17.03.2013, 17:53 Tiranon Ab ca. 3:40
http://www.youtube.com/watch?v=kNKc7D... 17.03.2013, 17:48 simracer ZITATJa, aber der ist leider komplizierter. Oft ge... 17.03.2013, 18:21 SLE ZITAT(simracer @ 17.03.2013, 18:20) Dann ... 17.03.2013, 19:01 simracer ZITATZeigt aber alles nur, dass du bisher mit den ... 17.03.2013, 19:13 blueX Abschließend zur Kenntnis:
Die URLs sind zwischenz... 26.03.2013, 20:41  |
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 05.06.2024, 14:44 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment