Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[Gast_blueX_*]

Die von mir im ersten Post genannten Links sind immernoch aktiv. Es werden seit Monaten täglich mehrere duzen neue Samples veröffentlicht.
Die AVs schaffen es einfach nicht eine ordentliche generische Erkennung zu bauen ... das ist echt Wahnsinn. Fast alle neue Samples, die im Stundentakt veröffentlicht werden, sind laut Virustotal nahezu alle unbekannt.

[simracer]

bluex, ich hab mir gerade extra eines der Files runtergladen, Online Armor deaktiviert und das File dann ausgeführt um zu sehen wie Avast Free reagiert. Ergebnis:

War bei den letzten 4-5 Files von dort auch so wenn ich Avast Free installiert hatte. Die Files wurden erkannt mit solchen Meldungen wie hier und in Virus-Contäner(Quarantäne)verschoben und es wurde kein GVU Trojaner Sperrbildschirm aktiviert. Den einzigen Unterschied den ich bei den genannten letzten 4-5 Files ausmachen konnte war nur der das je nach File der Dateisystemschutz aktiv wurde oder die Autosandbox.
Die anschliessende Überprüfung per Quick-Scan mit Malwarebytes Free ergibt:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.09.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]

09.03.2013 22:47:26
mbam-log-2013-03-09 (22-47-26).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237882
Laufzeit: 4 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Der Beitrag wurde von simracer bearbeitet: 09.03.2013, 22:54

[Gast_blueX_*]

Also mein Avast Free erkennt die aktuelle Datei nicht.

Auch laut Virustotal schaut es sehr mau aus: https://www.virustotal.com/de/file/2c55ea79...sis/1362918387/

[simracer]

Hast du Avast 8? wie bist du vorgegangen? ich hab zuerst den Avast Schutz deaktiviert damit ich die Seite aufrufen und das File runterladen konnte, hab das File auf dem Desktop abgespeichert, die Online Armor Free FW deaktiviert, den Avast Echtzeitschutz alle 8 Module wieder aktiviert und dann das File ausgeführt. Zuerst tat sich geschätzt ein paar Sekunden lang nichts doch dann kam das Avast Fenster vom Dateisystemschutz und die andere Einblendung.

[markus17]

Der SmartScreen Filter vom Internet Explorer blockiert die Seite mittlerweile auch schon im Vorhinein. Der Webschutz von G Data 2014 hat ebenfalls die Website geblacklisted.

[simracer]

markus17, gleiches macht auch WOT und der Avast Webschutz oder Netzwerkschutz. Um an die Dateien dort zu gelangen, deaktiviere ich kurz die Avast Schutzsteuerung und WOT. Nach dem erfolgten Download wird es wieder aktiviert. Gerade wieder ein File dort runtergeladen und das jetzige wird von der Autosandbox gestoppt beim Ausführen(OA Free war wieder beendet/deaktiviert für den Test):

[simracer]

Und auch dieses Mal bestätigt ein danach ausgeführter(dieses Mal ein ausführlicher Scan von C)mit Malwarebytes Free: Avast hat funktioniert.


Der Beitrag wurde von simracer bearbeitet: 10.03.2013, 20:23

[Catweazle]

Vielleicht, solltet ihr die Samples by Malwarebytes' Anti-Malware einsenden, die MBAM nicht erkennt.

Und dann seht ihr, ob das Zeug eingebaut wird, oder bzw. es dauern tut bis sie eingepflegt wird.

Catweazle

[simracer]

Catweazle, wer sagt denn das Malwarebytes die Files nicht erkannt hätte? Malwarebytes fand deshalb per OnDemand Scans nichts mehr bei meinen 2 Tests weil die von Avast in dessen Quarantäne verschoben wurde. Malwarebytes ist immer noch ein starker Scanner um damit sein System auf Ransomsoftware hin überprüfen zu können.

[SLE]

Und auch dieses Mal bestätigt ein danach ausgeführter(dieses Mal ein ausführlicher Scan von C)mit Malwarebytes Free: Avast hat funktioniert.

Ach so? Wenn Programm B nichts findet hat Programm A funktioniert? Das ist dieselbe Unlogik, welche die meisten Youtube "Tester" bringen. Gerade bei zeroday ist es nicht ungewöhnlich, dass A, B, C und D nichts finden und trotzdem ist was da.

Ich möchte damit ausdrücklich nicht sagen, dass AVAST hier nicht blockiert hat. Aber der saubere Malwarebytes Nachtrag ist hier unnötig und zeigt nix. Der Übersicht wäre es in solchen Fällen zumindest dienlicher zu schreiben: MWB fand nichts. Da muss man nicht den ganzen Log per Copy und Paste reinklatschen.

Wenn ihr Erkennung vs . Nichterkennung vergleichen wollt, dann schreibt v.a. mal die Checksummen der getesteten Files. Oft wechseln die recht schnell und eure Meldungen sind sonst nicht vergleichbar.

[Catweazle]

@ simracer

Da lag ich halt danneben, mit meiner Aussage dazu.

Catweazle

[simracer]

Der Übersicht wäre es in solchen Fällen zumindest dienlicher zu schreiben: MWB fand nichts. Da muss man nicht den ganzen Log per Copy und Paste reinklatschen.

Mach ich dir das nächste Mal und ich wollte heute eigentlich noch in der Avast Quarantäne die Eigenschaften der 3 Files die sich darin befanden per Screenshot festhalten und hier posten, dachte dann aber das wäre to much und hab es gelassen und die Files endgültig gelöscht.

[SLE]

Checksummen kannst du ohne Screenshots schreiben. Eindeutiger.

[simracer]

Damit hab ich mich noch gar nicht befasst als "Hobby-Tester", sah nur die 3 Files waren 2 die gleichen weil ich die 2 Mal direkt hintereinander ausgeführt hatte und das 3. hatte andere Nummern wenn man auf Eigenschaften ging sag ich mal.

Der Beitrag wurde von simracer bearbeitet: 10.03.2013, 20:14

[Gast_blueX_*]

Die Files werden alle 20 Minuten geändert - spätestens.

Auch wenn für das File, dass vor 20 Minuten eine Signatur erstellt wurde, wird das File, das 20 Minuten später auf der URL steht, nicht erkannt.

[simracer]

Versteh ich nicht warum bei dir das File nicht erkannt wird Du meinst aber schon beim Ausführen des Files? hast du Avast 7 Free oder schon Avast 8 Free installiert? Liegt es vielleicht daran das du vermutlich ein anderes, neueres OS hast als ich? Was passiert, wenn du das File ausgeführt hast und kurze später dein System rebootest? es gab mal GVU Trojaner Varianten, die aktivierten erst nach einen Reboot den Sperrbildschirm.

[simracer]

Gerade wieder ein File geholt und das mal bei VirusTotal hochgeladen: https://www.virustotal.com/de/file/bcde5d86...sis/1362956843/

[Gast_Scrapie_*]

Weitere Versionen unter selber URL aber mit Namen:

QUELLTEXT

animal-xxx-movie.avi.e x e
animal-sex-free.avi.e x e

Selbige werden aber nicht soooo haeufig aktualisiert. Kann das wer bestaetigen?


Cheers,
Scrapie

[simracer]

Ich hab nochmal so ein File bei VirusTotal hochgeladen das ich heute Vormittag unter der Url geholt habe: https://www.virustotal.com/de/file/974565f1...sis/1363012396/
SLE, wenn du möchtest, kannst du dir ja mal die 2 Files anhand der Informationen von Virus Total anschauen und vergleichen.

[SLE]

SLE, wenn du möchtest, kannst du dir ja mal die 2 Files anhand der Informationen von Virus Total anschauen und vergleichen.

Zwei völlig verschiedene Dinger und zumindest mal eine geringe VT Erkennung (solche Vergleiche sind ja bekanntermaßen enorm eingeschränkt). Aber das ist doch schon seit Threaderöffnung bekannt und wenn man für jedes neue File VT Links postet - who cares?