Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

87 Seiten V  « < 71 72 73 74 75 > »   
Reply to this topicStart new topic
> Infizierte Webseiten
Gast_uweli1967_*
Beitrag 18.06.2011, 10:38
Beitrag #1441






Gäste






ZITAT(Tiranon @ 18.06.2011, 10:59) *
So .

mal wieder eine neues Thema bzw neue Seite.


hxxp://www.cascinacortenuova.it/


Laut Symantec handelt es sich hier um ein HTTP Malicious Javascript Encoder 5. RISIKO: HOCH

Weiß zwar nicht was dieser Encoder5 macht, hört sich aber böse an ranting.gif

[attachment=7191:VT.JPG]


Danke für den Hinweis Hexo thumbup.gif als ich versuchte, die Webseite aufzurufen reagierte Avast so:
Go to the top of the page
 
+Quote Post
Kenshiro
Beitrag 18.06.2011, 10:51
Beitrag #1442



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 5.344
Mitglied seit: 02.04.2005
Wohnort: Localhost
Mitglieds-Nr.: 2.320

Betriebssystem:
W10 [x64]
Virenscanner:
EAM
Firewall:
EAM



KL ebenfalls:



--------------------
Dr. Web' s Updates List
Dr. Web' s Virusbibliothek

Dr. Web´s History

"Kenshi" sagt sayonara
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]


Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden."
[Jewgenij Kaspersky]

Ubuntu Beryl Matrix 3D Desktop
Go to the top of the page
 
+Quote Post
Kenshiro
Beitrag 18.06.2011, 10:55
Beitrag #1443



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 5.344
Mitglied seit: 02.04.2005
Wohnort: Localhost
Mitglieds-Nr.: 2.320

Betriebssystem:
W10 [x64]
Virenscanner:
EAM
Firewall:
EAM



ZITAT(Tiranon @ 18.06.2011, 11:59) *
Weiß zwar nicht was dieser Encoder5 macht, hört sich aber böse an

Siehe Symantecs Beschreibung


--------------------
Dr. Web' s Updates List
Dr. Web' s Virusbibliothek

Dr. Web´s History

"Kenshi" sagt sayonara
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]


Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden."
[Jewgenij Kaspersky]

Ubuntu Beryl Matrix 3D Desktop
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 18.06.2011, 16:06
Beitrag #1444



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Nochmal zu der Pack.exe :

vom meinen gesicherten 11 Versionen der Pack.exe erkennt NIS 2011 zehn Varianten, die elft Variante, die nicht erkannt wurde habe ich nochmal bei VT hochgeladen und es auch nochmal an Symantec gesendet ....

http://www.virustotal.com/file-scan/report...8ff-1308408992#

Die eine Pack.exe wird also nicht erkannt aber würde es bei der Ausführung der .exe-Datei erkannt werden?

Danke

Der Beitrag wurde von Tiranon bearbeitet: 18.06.2011, 19:16
Go to the top of the page
 
+Quote Post
SLE
Beitrag 18.06.2011, 22:48
Beitrag #1445



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Tiranon @ 18.06.2011, 17:05) *
Nochmal zu der Pack.exe ...

Nicht unbedingt nochmal, sondern wieder mal!
Zu deinen Samples kann ich keine Aussage machen, der VT-Link hat mich aber stutzig gemacht, so dass ich mir eben nochmal 20 neue habe generieren lassen.

Während meine komplette Sammlung der pack.exe von letzter Woche mittlerweile von vielen großen Herstellern mit ein und derselben Signatur erkannt wird, muss ich sagen: Da ist auch jemand auf der anderen Seite fleißig.

Seit heute gibt es nagelneue, ganz andere pack.exe'n. Der Laie erkennt das am veränderten Icon, drinnen ist immer noch das gute Security Shield, aber eben in einem neuen Installer der (zumindest auf HEX Basis) fast nichts mehr mit dem alten gemeinsam hat:

Untereinander unterscheiden sich die neuen wieder kaum, also das alte Spiel der varrierten individuellen Downloads:


Das VT-Ergebnis ist derzeit ernüchternd.

Wieder nichts tragisches was ein System versaut (ThreatExpert), nur der alte Dummenfang. Läuft wieder ohne UAC Warnung und SONAR meckert beim ausführen auch nicht.

Edit:
Aktiviertes SEHOP genügt übrigens schon, dass diese SecurityShield Varianten bei mir nicht laufen.

Der Beitrag wurde von SebastianLE bearbeitet: 18.06.2011, 23:18


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 18.06.2011, 23:46
Beitrag #1446



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Ja ja die fleißigen bösen Bienchen :-)

Danke für deinen Bericht. Was mich noch interessieren würde wie das veränderte Icon jetzt aussieht ?
Vorher war es ja so ein hellgrünes Schild ....

Was ist bitte Aktiviertes SEHOP?

Danke dir

Der Beitrag wurde von Tiranon bearbeitet: 19.06.2011, 00:00
Go to the top of the page
 
+Quote Post
citro
Beitrag 19.06.2011, 07:25
Beitrag #1447



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



ZITAT(Tiranon @ 19.06.2011, 00:45) *
Was ist bitte Aktiviertes SEHOP?


Das wird es sein

http://support.microsoft.com/kb/956607/de
Go to the top of the page
 
+Quote Post
SLE
Beitrag 19.06.2011, 08:50
Beitrag #1448



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Tiranon @ 19.06.2011, 00:45) *
Was mich noch interessieren würde wie das veränderte Icon jetzt aussieht ?

Normales Installer Icon.

Edit: Diesmal schneller eine Reaktion der Signaturanbieter: Momentan haben Kaspersky, Bitdefender, Ikarus und SuperAntispyware entsprechende generische Signaturen und erkennen alle der neuen Varianten - der Rest ist (noch) blind.

Der Beitrag wurde von SebastianLE bearbeitet: 19.06.2011, 16:13


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_Advocatus-diaboli_*
Beitrag 19.06.2011, 23:28
Beitrag #1449






Gäste






Wenn um SEHOP geht :

http://www.heise.de/security/meldung/Micro...ET-1245712.html

Zum EMET Forum:

https://social.technet.microsoft.com/Forums/en/emet/threads

Zum Direktdownload:

https://social.technet.microsoft.com/Forums/en/emet/threads

Das Tool ist mittlerweile von meinen Systemen nicht mehr wegzudenken.
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 21.06.2011, 00:21
Beitrag #1450



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Es geht weiter

die pack.exe hat heute bei mir wieder ein neues Icon. Als erstes Icon war dieses hellgrüne Schild, dann kam die CD-Schachtel mit der CD davor und jetzt haben wir dieses Icon das blau ist mit den silbernen Pfeilen.

http://www.virustotal.com/file-scan/report...3c06-1308611055

http://www.virustotal.com/file-scan/report...f537-1308611116

http://www.virustotal.com/file-scan/report...738e-1308611180

hier mal drei Beispiele auf VT.
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 23.06.2011, 09:08
Beitrag #1451



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Hallo,

auf unserer "Lieblingsseite" geht es weiter.

hxxp://46.161.11.210/index.php?mBhv=WygoTkA%2BPCBJRW&c8=UE7DSJHJ6ML0FPI2dQL&Tc=YJJZ1&HMvg=N770MQ24WQE5&3tO=KF13&mfbU1=MAag&f6SH1=0gyJ2wlNDNTMBQtIihFKyIn&rJxt=gwML1d3Kwt6MykGMX44d2cGc3NkYWNreUNSQzk%3D&p9K=YAa31jCx9oDCYCSgg%2Ff0RMYH8vPwljIAMmN3pxcld%2Fc1QCa&NdPKO=Z5Z369CK80&Ib7L=9W6D42XSU91&lMZCN=Bzo1KlJL&956=S89K4BH3LPO2WKDFT6DDSXWZ#

Nach dem man die Googlewarnung ignoriert meldest sich bei mir gleich NIS 2011 mit folgender Meldung

Angehängte Datei  Norton.PNG ( 17.64KB ) Anzahl der Downloads: 42


Die pack.exe hat übrigens schon wieder ein neues Icon und bei VT sieht es z.Z. nicht so gut aus.

http://www.virustotal.com/file-scan/report...4d2d-1308815492

Liebe Grüße
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 23.06.2011, 09:30
Beitrag #1452



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Noch was vergessen...

Für mich ist diese Seite gerade ein sehr gutes Beispiel wie machtlos doch die GANZEN AV-Hersteller sind. Bis die pack.exe richtig erkannt wird dauert es meistens 1-2 Tage. In diesen 24-48 Stunden kann im Internet schon sehr viel passieren. Ich hoffe echt das die AV-Hersteller sich mal wirklich was gutes einfallen lassen. Aber bisher ist es eben ein Katz-und-Maus-Spiel bei dem die Katze gewinnt.
Go to the top of the page
 
+Quote Post
SLE
Beitrag 23.06.2011, 10:13
Beitrag #1453



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Tiranon @ 23.06.2011, 10:29) *
Für mich ist diese Seite gerade ein sehr gutes Beispiel wie machtlos doch die GANZEN AV-Hersteller sind. Bis die pack.exe richtig erkannt wird dauert es meistens 1-2 Tage. In diesen 24-48 Stunden kann im Internet schon sehr viel passieren. Ich hoffe echt das die AV-Hersteller sich mal wirklich was gutes einfallen lassen. ...


Vorsicht interpretiert ja. Vor allem mal ein Beleg dafür was die ganzen 99% Tests und Kampagnen eigentlich wert sind. Man testet halt nur altes Zeug.
Dennoch um mal für die Hersteller in die Bresche zu springen: Ich denke schon, wenn es hier nicht um ein relativ harmloses Roque gehen würde, sondern ein Sample, welches systemkritische Sachen verändert würden viele proaktive Mechanismen greifen. Hier installiert man quasi nur ein vollkommen nutzloses Programm und muss das Hirn ganz oft ausschalten...


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 23.06.2011, 10:21
Beitrag #1454






Gäste






Hallo Tiranon, ich hab gerade auch mal wieder die Webseite mit dem IE8 aufgerufen. Nach wie vor kommt zuerst diese Einblendung: klickt man dann auf OK kann der vermeintliche Online Scanner loslegen ohne dass sich mein Virenschutzprogramm mucksen würde: und will man dann die pack.exe Datei runterladen, muss ich zuerst im IE8 den SmartScreen Filter deaktivieren, danach kann ich problemlos die pack.exe Datei runterladen ohne das sich mein Virenschutzprogramm mucksen würde. Nachdem ich die pack.exe Datei auf'm Desktop gespeichert habe, habe ich diese mit avast und Malwarebytes überprüft mit dem Ergebnis das beide Scanner keine Gefahr darin erkennen:
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 23.06.2011, 10:58
Beitrag #1455



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



ZITAT(SebastianLE @ 23.06.2011, 12:12) *
Vorsicht interpretiert ja. Vor allem mal ein Beleg dafür was die ganzen 99% Tests und Kampagnen eigentlich wert sind. Man testet halt nur altes Zeug.
Dennoch um mal für die Hersteller in die Bresche zu springen: Ich denke schon, wenn es hier nicht um ein relativ harmloses Roque gehen würde, sondern ein Sample, welches systemkritische Sachen verändert würden viele proaktive Mechanismen greifen. Hier installiert man quasi nur ein vollkommen nutzloses Programm und muss das Hirn ganz oft ausschalten...


Naja also als ich dieses Security Shield auf dem Rechner hatte konnte ich nicht mal mehr den Task-Manager (Win7) öffnen oder Windows-Updates (Win XP) installieren.
und ein Programm das verhindert das ich irgendwelche Updates einspielen kann würde ich nicht als harmlos bezeichnen !

ZITAT(uweli1967 @ 23.06.2011, 12:20) *
Hallo Tiranon, ich hab gerade auch mal wieder die Webseite mit dem IE8 aufgerufen. Nach wie vor kommt zuerst diese Einblendung: klickt man dann auf OK kann der vermeintliche Online Scanner loslegen ohne dass sich mein Virenschutzprogramm mucksen würde: und will man dann die pack.exe Datei runterladen, muss ich zuerst im IE8 den SmartScreen Filter deaktivieren, danach kann ich problemlos die pack.exe Datei runterladen ohne das sich mein Virenschutzprogramm mucksen würde. Nachdem ich die pack.exe Datei auf'm Desktop gespeichert habe, habe ich diese mit avast und Malwarebytes überprüft mit dem Ergebnis das beide Scanner keine Gefahr darin erkennen:


Danke für dein Bericht. Aber das Avast nix findet/erkennt ist ja auch klar. Da es für die NEUE pack.exe noch keine Viren Signaturen gibt!

NIS 2011 erkennt die pack.exe auch "nur" als WS.Reputation.1. Aber was jetzt der Unterschied in der Erkennung bei NIS und Avast ist kann ich auch nicht genau erklären. Ich denke aber bei NIS (WS.Repurtation.1) sind es irgendwelche Verhaltensmuster. Vielleicht kann das ja einer mal näher erklären...

Angehängte Datei  Avast.PNG ( 8.26KB ) Anzahl der Downloads: 14


Liebe Grüße

Der Beitrag wurde von Tiranon bearbeitet: 23.06.2011, 11:14
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 23.06.2011, 11:18
Beitrag #1456






Gäste






Es ist ja ein gewisses kribbeln bei mir in den Fingern vorhanden, die pack.exe auszuführen biggrin.gif weil ich zum einem ThreatFire statt den Avast VS Schutz installiert habe und ThreatFire zuletzt bei mir die pack.exe als etwas Böses erkannt hat und entsprechend Meldefenster kamen und zum anderen habe ich erst vorhin ein Backup der Systempartition C erstellt rolleyes.gif
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 23.06.2011, 11:21
Beitrag #1457



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Na dann auf geht es....

Und wenn die Installation klappen sollte teste mal bitte ob Du in den Task-Manager kommst und ob Du (falls vorhanden) Windows-Updates installieren kannst. Die Updates gingen wie gesagt auf einem Win XP-Rechner NICHT!

Und schön alles mit Bildern für die Nachwelt festhalten ;-)


Der Beitrag wurde von Tiranon bearbeitet: 23.06.2011, 11:25
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 23.06.2011, 11:37
Beitrag #1458






Gäste






Tja Tiranon, Pech gehabt whistling.gif ThreatFire hat wieder aufgepasst: thumbup.gif ich wählte natürlich die Option den Prozess zu sperren und zu beenden und dies Antwort zu speichern. Der Unterschied zum letzten Mal war aber der das dieses Mal nur ein gefährlicher Prozess erkannt wurde. Beim letzen Mal vor einiger Zeit erkannte ThreatFire bei pack.exe noch 2 Prozesse wobei der eine als nicht ganz so hohe Gefahr eingestuft wurde.
PS:
Ein Hinweis dazu noch: Falls die Avast Free Auto Sandbox aktiviert ist und ich will die pack.exe Datei ausführen, meldet sich die besagte Avast Auto Sandbox auch zu diesem Prozess. Aber bei mir ist normalerweise die Avast Sandbox deaktiviert und ich finde das Meldefenster von ThreatFire besser weil es mir deutlicher eine Gefahr signalisiert als das Meldefenster der Avast Sandbox.

Der Beitrag wurde von uweli1967 bearbeitet: 23.06.2011, 12:01
Go to the top of the page
 
+Quote Post
Gast_uweli1967_*
Beitrag 23.06.2011, 12:25
Beitrag #1459






Gäste






ZITAT
Ein Hinweis dazu noch: Falls die Avast Free Auto Sandbox aktiviert ist und ich will die pack.exe Datei ausführen, meldet sich die besagte Avast Auto Sandbox auch zu diesem Prozess. Aber bei mir ist normalerweise die Avast Sandbox deaktiviert und ich finde das Meldefenster von ThreatFire besser weil es mir deutlicher eine Gefahr signalisiert als das Meldefenster der Avast Sandbox.

Ich muss diese Aussage schon wieder korrigieren: Ich aktivierte als die Avast Auto Sandbox, lud erneut pack.exe runter, führte es aus und jetzt passierte Folgendes: Avast Auto Sandbox muckste sich nicht und nahezu zeitgleich schaffte es pack.exe sich zu installieren und im fast gleichen Moment kam aber auch ein Hinweisfenster von ThreatFire und ich wählte wieder die Option den Prozess zu beenden und zu sperren und die Antwort zu speichern. Währenddessen war aber SystemShield schon aktiv und "beglückte" mich mit diversen Meldefenstern und dann passierte etwas was ich bis dato nicht kannte: ThreatFire brachte wieder ein Meldefenster das anders aussieht als ich das von ThreatFire kenne und besagtes Fenster war in rot gehalten und darin stand das ThreatFire erfolreich den Prozess pack.exe beendet und gesperrt habe. Aber um das abschliessen zu können müsse ich mein System neu starten was ich auch tat. Als das System wieder hochgefahren war, war SystemShield offensichtlich nicht mehr aktiv und eine Schnellüberprüfung mit Malwarebytes Free brachte auch keine Infizierungsfunde.
@Tiranon
Dieses Mal gibts mal keine Bilder dazu von mir notworthy.gif du darfst dich mit meiner Beschreibung zufrieden geben.

Der Beitrag wurde von uweli1967 bearbeitet: 23.06.2011, 12:28
Go to the top of the page
 
+Quote Post
Tiranon
Beitrag 24.06.2011, 04:46
Beitrag #1460



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.517
Mitglied seit: 01.07.2007
Wohnort: in der schönen Pfalz!
Mitglieds-Nr.: 6.291

Betriebssystem:
macOS 12.0.1 Monterey



Erreicht ihr noch die Seite?

ich bekomme da ne Fehlermeldung von Chrome "Oops! Google Chrome could not connect to 46.161.11.210"

Die Seite scheint es nicht mehr zu geben ....
Go to the top of the page
 
+Quote Post

87 Seiten V  « < 71 72 73 74 75 > » 
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 16:59
Impressum