Infizierte Webseiten Einstellungen

[SLE]

Das Einsenden mit dem Hinweis auf unterschiedliche Checksummen ist vielleicht entscheident, falls dort zugehört wird und eine generische Erkennung erstellt wird.

Jein, die vendors die etwas intelligentere Signaturen haben fallen meist nicht auf so kleine Änderungen herein.
Edit: wobei deine Beispiele mich jetzt doch etwas widerlegen

Der Beitrag wurde von SebastianLE bearbeitet: 12.06.2011, 12:32

[Tiranon]

Na dem normalen User ist es bestimmt egal wie diese Crimeware erkannt wird, ob jetzt über Reputation oder durch Virensignaturen. Was zählt ist das es schnell und sicher erkannt wird !


Liebe Grüße

[citro]

Mit Norton bestimmt und sonst generisch/heuristisch....

Bei jeder neuen Datei sieht es lau aus

http://www.virustotal.com/file-scan/report...cfd5-1307996039

Der Beitrag wurde von citro bearbeitet: 13.06.2011, 21:40

[maxos]

www.dslr-forum.de

Wird mir plötzlich von Avast gesperrt mir dem Verweis eine Bedrohung wurde gefunden.

Wenn die nicht gehackt wurden, muss es ein Fehlalarm sein.

Scheint doch ein Problem zu geben lt. diesen Hinweisen: http://www.psd-tutorials.de/forum/54_digit...dslr-forum.html

od. auch hier besprochen: http://www.dforum.net/showthread.php?t=599121

Der Beitrag wurde von maxos bearbeitet: 14.06.2011, 19:35

[Hexo]

Mhhh. Norton macht nichts.... und Virustotal sagt im moment auch nichts...
http://www.virustotal.com/url-scan/report....5897-1308074593
Aber das Problem wurde seitens der DSLR Betreiber ja bestätigt, also ist das kein FP...

[Tiranon]

Naja - dann musst du es mal durch den WebAV lassen und testen...
Generell ist das aber hier kein gutes Beispiel, hier bringt der WebAV nur eine Vorabwarnung.

Weiterleitung funktioniert mit dem IE. Ohne WebAV kommt ein JavaSkript welches das System mal schnell scannt:
[attachment=7175:ss0.jpg]
Dann darf man irgendwas klicken und bekommt immer irgendeine pack.exe angeboten.
Man sollte eigentlich die Verarsche erkennen, weil es zu schlecht umgesetzt ist - da werden nichtmal die eigenen Laufwerke angezeigt...

Diese pack.exe heruntergeladen und ausgeführt installiert eine Version vom Roque Security Shield, was superschnell scannt und super viel findet:
[attachment=7176:ss1.jpg]

Entfernung soll leider kosten:
[attachment=7177:ss2.jpg]

Auch ohne WebAV passiert also erstmal nichts, allerdings werden die je Download variierenden pack.exe von den meisten DateiAVs nicht erkannt. Ignoriert man das Anschlagen der BBs und HIPSe und stellt sich User vor, die hier auf alles reinfallen und alles anklicken bingt der WebAV als Frühwarner einen Vorteil. Sonst nicht.

Norton stuft das Risiko der Datei ( pack.exe > Trojan.FakeAV!gen57> erkannt durch Auto-Protect) jetzt als HOCH ein.

 NIS20112.JPG ( 74.22KB ) Anzahl der Downloads: 30


Liebe Grüße

[citro]

@Tiranon

Nicht immer:

VT 1/42
http://www.virustotal.com/file-scan/report...3e5a-1308208720


VT 20/42
http://www.virustotal.com/file-scan/report...6567-1308209397

da hilft nur einsenden

[Tiranon]

Eingesendet habe ich es !

Trotzdem wurde die pack.exe von NIS2011 schon vor dem 12.Juni geblockt. Da war sie zwar noch als Risiko "Mittel" eingestuft aber sie wurde geblockt. Und ob das jetzt durch Reputation oder Signatur erkannt wird ist doch Wurscht

www.virustotal.com ist ne nette Seite aber ob die auch immer richtig liegen weiß man ja wohl auch nicht !?!

[Gast_uweli1967_*]

Ich konnte gestern am späten Abend nochmal die pack.exe runterladen nachdem ich den AVG Echtzreitschutz komplett deaktiviert hatte(mit aktivem Echtzeitschutz verhindert der AVG Webschutz den Download von pack.exe). Dazu musste ich allerdings im IE 8 den Smart Screen Filter ausschalten(mit FF 4 hatte ich keine Chance pack.exe runterzuladen). Gerade vorhin nun hab ich die runtergeladene pck.exe Datei bei VirusTotal hochgeladen, gerade einmal 7 von 41 Scanner dort erkannten das als Gefahr:

Ich glaube, mit der beste Schutz bei Fake AV's ist der, dass man auf einer externen Festplatte ein sauberes Image bzw Backup seiner Systempartition bzw der Festplatte mit C überhaupt hat.

Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 08:55

[citro]

Trotzdem wurde die pack.exe von NIS2011 schon vor dem 12.Juni geblockt. Da war sie zwar noch als Risiko "Mittel" eingestuft aber sie wurde geblockt. Und ob das jetzt durch Reputation oder Signatur erkannt wird ist doch Wurscht

www.virustotal.com ist ne nette Seite aber ob die auch immer richtig liegen weiß man ja wohl auch nicht !?!

Die Dateien sind verschieden groß und wenn sie gleich groß sind haben sie eine untersiedliche MD5, lade einfach ein paar herunter und teste, auch morgen vielleicht. Einmal wird es gen./ heur. erkannt, dann wieder nicht. Meine pack.exe kannst du leider nicht testen, denn die nächste ist wieder anders.

[Tiranon]

Stimmt Danke für den Tipp, ich werde auch mit dem IE umgeleitet und zwar auf folgende Seite:


Vorsicht !

hxxp://46.161.11.210/index.php?mBhv=WygoTkA%2BPCBJRW&c8=UE7DSJHJ6ML0FPI2dQL&Tc=YJJZ1&HMvg=N770MQ24WQE5&3tO=KF13&mfbU1=MAag&f6SH1=0gyJ2wlNDNTMBQtIihFKyIn&rJxt=gwML1d3Kwt6MykGMX44d2cGc3NkYWNreUNSQzk%3D&p9K=YAa31jCx9oDCYCSgg%2Ff0RMYH8vPwljIAMmN3pxcld%2Fc1QCa&NdPKO=Z5Z369CK80&Ib7L=9W6D42XSU91&lMZCN=Bzo1KlJL&956=S89K4BH3LPO2WKDFT6DDSXWZ#

Ich rede gerade von dieser Seite!

[citro]

Ich rede gerade von dieser Seite!

Genau die meine ich . (pack.exe in verschiedensten Variationen)

[Tiranon]

Ok gut das wir uns verstehen ;-)

Hab jetzt drei Mal die pack.exe runtergeladen und jedes mal wurde es als "WS.Repurtation.1" erkannt und als mittleres Risiko eingestuft.

 NIS20113.JPG ( 53.75KB ) Anzahl der Downloads: 12


Der Beitrag wurde von Tiranon bearbeitet: 16.06.2011, 09:29

[citro]

Ok gut das wir uns verstehen ;-)

Hab jetzt drei Mal die pack.exe runtergeladen und jedes mal wurde es als "WS.Repurtation.1" erkannt und als mittleres Risiko eingestuft.

OK, aber wahrschinlich nicht als "Trojan.FakeAV!gen57" (?)

edit: klar ist es wurscht, Norton schlägt Alarm, aber die anderen AVs ?

Der Beitrag wurde von citro bearbeitet: 16.06.2011, 10:07

[Gast_uweli1967_*]

Hi citro, folgender Ablauf bei mir: Wenn ich im IE 8 mit deaktiviertem SmartScreen Filter, aber aktivem AVG Echtzeitschutz die Webseite aufrufen will, dann reagiert AVG: . Wird aber von mir zusätzlich der AVG Echtzeitschutz deaktiviert, dann kommt zuerst diese Einblendung: im Browserfenster, klicke ich in der Einblendung auf okay, dann kommt das: und ich kann ungehindert durch klicken auf Remove All die Datei pack runterladen und Ausführen oder speichern wohin ich will. Ist nun die Datei pack bei mir runtergeladen und gespeichert(mittlerweile habe ich den AVG Echtzeitschutz wieder aktiviert, AVG ist bei mir aber ohne IDP installiert weil ich stattdessen ThreatFire benutze)und ich will pack Ausführen reagiert AVG mal gar nicht, wohl aber ThreatFire: (die Option bei ThreatFire "Diesen Pozess beenden und sperren" und "Diese Antwort speichern" habe jeweils ich gewählt) danach klicke ich bei ThreatFire auf Fortsetzen und wieder wird ThreatFire aktiv:

[citro]

@uweli1967

danke mal für die Mühe

[Gast_uweli1967_*]

citro, Mühe war das keine für mich, ich wollte sehen wie meine Schutzprogramme jeweils reagieren oder auch nicht.

[Tiranon]

OK, aber wahrschinlich nicht als "Trojan.FakeAV!gen57" (?)

edit: klar ist es wurscht, Norton schlägt Alarm, aber die anderen AVs ?

Nein sie wurden als "WS.Repurtation.1" erkannt ! Hier wird das Risiko als "Mittel" angezeigt.

Liebe Grüße

[SLE]

edit: klar ist es wurscht, Norton schlägt Alarm, aber die anderen AVs ?

Vielleicht wurscht, aber dennoch sehr interessant: Die geringfügigen Modifikationen jedes Downloads reichen bei vielen um der Signatur zu entwischen.
(Solange die Seite noch geht ein schönes Testfeld... Ich habe mir jetzt mal eine größere Anzahl der Variationen erstellen lassen die ich nur weggesichert habe - mal in einem Monat schauen, wie umfassend dann die Signaturen aussehen)

Edit: WS.Reputation erhält man bei Norton bei jeder der Cloud unbekannten ausführbaren Datei.

Der Beitrag wurde von SebastianLE bearbeitet: 16.06.2011, 13:47

[Gast_uweli1967_*]

Ich habe mir jetzt mal eine größere Anzahl der Variationen erstellen lassen die ich nur weggesichert habe - mal in einem Monat schauen, wie umfassend dann die Signaturen aussehen)

Sebastian, das hätte mich gewundert wenn du es nicht gemacht hättest interessant ist es allemal wie Virenschutzprogramme bzw Behavior Guards darauf(Downloadversuch und Ausführenversuch) reagieren oder auch nicht.