Infizierte Webseiten Einstellungen

[SLE]

Behavior Guards darauf(Downloadversuch und Ausführenversuch) reagieren oder auch nicht.

Die interessieren nicht wirklich im Dateivergleich, da die Dateien dasselbe anstellen. Interessant ist jetzt für mich eigentlich ob und wann es möglichst gemeinsame Signaturen dafür gibt.

Der Beitrag wurde von SebastianLE bearbeitet: 16.06.2011, 14:44

[Gast_uweli1967_*]

Interessant ist jetzt für mich eigentlich ob und wann es möglichst gemeinsame Signaturen dafür gibt.

Ich schätze, das wird relativ lange dauern weil ja ständig bei der pack.exe Datei deren ich nenne es mal ID(weiß es nicht besser wie man das genau nennt)geändert wird.
Ich finde es zumindest mal gut das(gute)BehaviorGuard Programme "aufpassen" und zumindest beim Ausführen erkenen dass es sich dabei um eine schädliche/gefährliche Aktion handelt.

Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 15:00

[Tiranon]

Vielleicht wurscht, aber dennoch sehr interessant: Die geringfügigen Modifikationen jedes Downloads reichen bei vielen um der Signatur zu entwischen.
(Solange die Seite noch geht ein schönes Testfeld... Ich habe mir jetzt mal eine größere Anzahl der Variationen erstellen lassen die ich nur weggesichert habe - mal in einem Monat schauen, wie umfassend dann die Signaturen aussehen)

Edit: WS.Reputation erhält man bei Norton bei jeder der Cloud unbekannten ausführbaren Datei.

Ich hoffe Du berichtest dann ausführlich in einem Monat, auch wie Norton dann reagiert !

Danke schon mal ;-)

[Hexo]

Also Norton hat bei mir NIX erkannt :-(
http://www.virustotal.com/file-scan/report...4fcb-1308240984

EDIT: EmsisoftEmergencyKit erkennt ebenfalls nix ^^

Was ist interesannt fand: Mit dem FireFox kam ich überhaupt nicht auf die Seite. Der IE war der "Seite" komplette ausgeliefert.

Der Beitrag wurde von Hexo bearbeitet: 16.06.2011, 17:37

[Gast_uweli1967_*]

Was ist interesannt fand: Mit dem FireFox kam ich überhaupt nicht auf die Seite. Der IE war der "Seite" komplette ausgeliefert.

Hi Hexo, das war bei mir ähnlich: FF4 ließ mich partout nicht auf die Seite. Der IE8 ließ mich auf die Webseite, aber downloaden konnte ich die pack.exe nur wenn dessen SmartScreen Filter deaktiviert war plus der Echtzeitschutz von AVG.

Also Norton hat bei mir NIX erkannt :-(

Versuch mal die Datei pack.exe auszuführen dann wird sich Norton schon melden Eine manuelle Scanner Überprüfung der pack.exe Datei mit AVG und Malwarebytes Free erbrachte bei mirauch keinen Fund. Ergo: Demnach sind die Signaturen der AV's noch nicht "eingeschossen" auf part.exe.

Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 18:20

[Hexo]

Versuch mal die Datei pack.exe auszuführen dann wird sich Norton schon melden

Unger, da ich aktuell kein Testsystem habe. Würde was passieren, wenn ich das in die Sandbox installieren würde? Wenn nein, dann würde ich es da drin mal testen.

[Gast_uweli1967_*]

Zu Sandboxie kann ich nichts sagen Hexo, nehme solche Programme nicht. Aber ich habe auch keinen Testrechner hier, nur den eigenen, wohl aber eine externe Festplatte mit Systembackups drauf. Das jüngste ist von vorgestern. Jetz hab ich bei mir zu Testzwecken TF und die PCT-FW deinstalliert und stattdessen die Comodo FW mit Defense+ installiert(nach wie vor ist AVG bei mir ohne IDP installiert). Mal schauen, ob Comodos Defense+ die pack.exe beim Ausführen als Gefahr erkennt
Edit: Defense+ mit den Standardeinstellungen machte keinen Muckser: dann werd ich mal das Backup einspielen.

Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 20:15

[markusg]

mit sandboxie gehts

[SLE]

NIS 2011 bleibt stumm, kein Mucks von SONAR. (Vbox, Win7x86) Selbst die UAC meckert nicht
 nis.jpg ( 281.18KB ) Anzahl der Downloads: 26
.

Ist aber kein wirklich spektakuläres Roque: ThreadExpert

Der Beitrag wurde von SebastianLE bearbeitet: 16.06.2011, 20:50

[Gast_uweli1967_*]

Damit hätte ich nicht gerechnet Sebastian. So wie es auf deinem Bild auschaut war es auch bei mir als Defense+ "versagte" Vielleicht spiele ich nachher nochmal AntiLogger statt Comodo auf, bin gerade an unserem lahmen, alten Notebook.

Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 20:33

[citro]

mit AVG und Malwarebytes Free erbrachte bei mirauch keinen Fund. Ergo: Demnach sind die Signaturen der AV's noch nicht "eingeschossen" auf part.exe.

Bei mir hatte MBAM über Kontextmenü bis jetzt immer reagiert (Trojan.Fake.Alert)

edit: mich wundert, dass die Fake AV-Seite solange online ist

Der Beitrag wurde von citro bearbeitet: 16.06.2011, 21:00

[Gast_uweli1967_*]

Hi citro, ich hab gerade eben die pack.exe Datei die ich auf einer anderen Partition gespeichert habe mit Malwarebytes Free gescannt. Ergebnis:
Und noch etwas: Auch Zemana AntiLogger lässt pack.exe Ausführen und das Fake AV kann sich installieren
Nachdem nun das Fake meinen PC infizieren konnte weil auch AntiLogger dessen Ausführung nicht verhinderte, scannte ich mein System manuell mit Malwarebytes Free und zwar die schnelle Überprüfung und Malwarebytes Free konnte das Fake löschen(bzw es wurde in Quarantäne verschoben)


Der Beitrag wurde von uweli1967 bearbeitet: 16.06.2011, 21:26

[Tiranon]

NIS 2011 erkennt wirklich ein paar pack.exe-Dateien nicht!

Siehe auch VirusTotal

Bringt es denn was die Datei dann manuell in die Quarantäne zuschieben und sie dann über die Quarantäne an Symantec zu senden?
Wie sind denn da die Erfahrungen?

Ich brauche zum Verständnis bitte nochmal eine Erklärung. Gibt es von der pack.exe verschiedene Varianten oder ist da einfach eine "ID" anders und sonst ist es das gleiche?

Der Beitrag wurde von Tiranon bearbeitet: 17.06.2011, 00:09

[SLE]

NIS 2011 erkennt wirklich ein paar pack.exe-Dateien nicht!

Quasi alle, die man frisch erstellt. Es werden nur ältere Exemplare per Signatur erkannt, die man selbst oder eben über VT zugesendet hatte. (Ist bei vielen so: Bei VT hochladen, ein paar Stunden/Tage später wird es von einigen erkannt, da die Hersteller die Samples ja bekommen). SONAR schwiegt bei allen von mir getesteten.

Ich brauche zum Verständnis bitte nochmal eine Erklärung. Gibt es von der pack.exe verschiedene Varianten oder ist da einfach eine "ID" anders und sonst ist es das gleiche?

Es ist alles das SecurityShield, das sich auf die gleiche Art und Weise installiert. Bei jedem Download wird die Datei entweder individiuell kreiert (Kleine Unterschiede in irrelevanten Codeschnipseln) oder es liegt eine große Anzahl vor die per Zufall verteilt wird. Ich tippe auf das erste.

Jede Datei hat dadurch eine neue Checksumme und ist strenggenommen eine neue, eigenständige Datei. Schaut man diese jedoch mit einem HexEditor an, sieht man nicht allzu viele Unterschiede.
 pack.jpg ( 452.65KB ) Anzahl der Downloads: 11

Folglich sollten/könnten Signaturen, die sich nicht auf die Checksumme, sondern auf die relevanten Codeschnipsel beziehen alle Typen erkennen können. geht ja bei anderen, komplexeren Schädlingen auch oft.
__

Edit: Mittlerweile haben scheinbar auch einige Hersteller umfassende Siganturen: Kaspersky (jetzt: Hoax.Win32.SMWnd.egh), AVAST, Bitfefender, Dr.Web und McAfee sollten zumindest jetzt alle alten und neuen Varianten erkennen können.

Der Beitrag wurde von SebastianLE bearbeitet: 17.06.2011, 07:59

[Gast_uweli1967_*]

Wo ich persönlich gestern Abend etwas enttäuscht war, war AntiLogger. Glaubte ich doch, weil er vor 2-3 oder 3 Wochen ein Fake erkannte das im Avast Forum(AVADAS)für Diskussionsstoff sorgte, er würde auch das jetzige Fake erkennen. Was mir persönlich auch bei den Fakes auffiel: Das Fake von vor 2-3 Wochen war wohl gefährlicher/umfangreicher und bei dem fand Malwarebytes Free bei mir 805 Infizierungen. Beim jetzigen Fake pack.exe waren es nur 2 die Malwarebytes Free auch löschen bzw in Quarantäne verschieben konnte. Auch wenn ich gestern mittels Malwarebytes Free wohl mein System bereinigen konnte, spielte ich trotzdem ein Systembackup ein.

Der Beitrag wurde von uweli1967 bearbeitet: 17.06.2011, 09:17

[Tiranon]

Quasi alle, die man frisch erstellt. Es werden nur ältere Exemplare per Signatur erkannt, die man selbst oder eben über VT zugesendet hatte. (Ist bei vielen so: Bei VT hochladen, ein paar Stunden/Tage später wird es von einigen erkannt, da die Hersteller die Samples ja bekommen). SONAR schwiegt bei allen von mir getesteten.


Es ist alles das SecurityShield, das sich auf die gleiche Art und Weise installiert. Bei jedem Download wird die Datei entweder individiuell kreiert (Kleine Unterschiede in irrelevanten Codeschnipseln) oder es liegt eine große Anzahl vor die per Zufall verteilt wird. Ich tippe auf das erste.

Jede Datei hat dadurch eine neue Checksumme und ist strenggenommen eine neue, eigenständige Datei. Schaut man diese jedoch mit einem HexEditor an, sieht man nicht allzu viele Unterschiede.
 pack.jpg ( 452.65KB ) Anzahl der Downloads: 11

Folglich sollten/könnten Signaturen, die sich nicht auf die Checksumme, sondern auf die relevanten Codeschnipsel beziehen alle Typen erkennen können. geht ja bei anderen, komplexeren Schädlingen auch oft.
__

Edit: Mittlerweile haben scheinbar auch einige Hersteller umfassende Siganturen: Kaspersky (jetzt: Hoax.Win32.SMWnd.egh), AVAST, Bitfefender, Dr.Web und McAfee sollten zumindest jetzt alle alten und neuen Varianten erkennen können.

Danke für Deine Mühe und die Erklärung !

Also wenn ich die pack.exe bei VT hochlade brauche ich sie nicht extra an Symantec (oder andere AV-Hersteller) senden, habe ich das richtig verstanden?

Danke

[SLE]

Also wenn ich die pack.exe bei VT hochlade brauche ich sie nicht extra an Symantec (oder andere AV-Hersteller) senden, habe ich das richtig verstanden?

Theoretisch brauchst du es nicht - praktisch: schwierig.

VirusTotal sendet alle Samples an die beteiligten Hersteller (früher gab es mal die Option ""Do not send to Anti-Virus-Labs", die wurde abgeschafft. Jetzt reagiert man m.W. nur noch auf Mails wo gebeten wird bestimmte Sachen nicht weiterzuleiten).

Somit haben die Hersteller (und z.T. die professionellen AV-Tester) die vermeintlichen Samples quasi spätestens nach dem Upload bei VT. Jedoch ist die Realität so, dass die Hersteller sich täglich mit zig verschiedenen angeblichen Bedrohungen auseinandersetzen müssen, z.T. greifen die verschiedenen Automatismen nicht und der Analyst muss "per Hand" ran. Es ist generell utopisch anzunehmen, dass alles immer zeitnah verarbeitet werden kann. Deshalb gibt es (je nach Hersteller) verschiedene Priorisierungen der Quellen und damit könnte ein File was von einem Kunden kommt höher priorisiert werden.

Wie es bei Symantec damit aussieht - k.A. die haben wie alle noch zahlreiche andere Kriterien. @Voyager hat hier einige Male dargestellt, wo man sich auch durchaus weigerte alles zugesendete schnell in Signaturen aufzunehmen.

[Gast_uweli1967_*]

Sebastian, mit deiner Aussage hier:

Edit: Mittlerweile haben scheinbar auch einige Hersteller umfassende Siganturen: Kaspersky (jetzt: Hoax.Win32.SMWnd.egh), AVAST, Bitfefender, Dr.Web und McAfee sollten zumindest jetzt alle alten und neuen Varianten erkennen können.

hast du bezüglich Avast recht Ich hab mir gestern nochmal pack.exe runtergeladen und dann wieder avast Free installiert und vorhin bei einem selbst erstellten Komplett OnDemand Scan erkannte Avast die pack.exe Datei:

[Tiranon]

So .

mal wieder eine neues Thema bzw neue Seite.


hxxp://www.cascinacortenuova.it/


Laut Symantec handelt es sich hier um ein HTTP Malicious Javascript Encoder 5. RISIKO: HOCH

Weiß zwar nicht was dieser Encoder5 macht, hört sich aber böse an

 VT.JPG ( 62.7KB ) Anzahl der Downloads: 20


Der Beitrag wurde von Tiranon bearbeitet: 18.06.2011, 10:07

[Hexo]

NIS erkennt das Pack.exe jetzt auch beim Download..... und beim insightscan.