Sollte ja eigentlich kein Problem sein, da nur der Dropper signiert war und nicht die nachgeladenen Dateien - es sei denn, eine signierte Datei vererbt ihre sichere Einstufung bei der Schutzsoftware an alle übrigen durch sie erstellten Datein. Wäre interessant das zu testen...
Scrapie
wenn das teil erst mal instaliert ist, wird eine erkennung sehr schwierig.
ich hatte schon pcs, da lief das teil 44 monate, und die dateien die ich dann gelöscht und geprüft hatte, hatten immernoch eine erkennung von 0 bei virus total.
http://www.paules-pc-forum.de/forum/viren-forum/145764-schnelltest-neuer-virus-ahnungslose-user-seit-monaten-infiziert.html
da haben wir ein kleines tool, welches den entsprechenden registry key untersucht und bei infektion eine warnmeldung ausgibt.
Die Erkennung ist leider immer noch mau. Ich habe gestern den ersten infizierten Rechner in meinem Umfeld gesehen. Aufgrund der breiten Streuung würde mich interessieren, wie er genau verbreitet worden ist. Über Blackhole?
ich hab jeden tag n paar Mediyes betroffene.
ich glaub ne maue erkennung ist noch übertrieben, die meisten dll und sys dateien die mir in die hände fallen haben ne erkennung von 0 und sind dabei unter umständen schon monate aktiev.
die meisten nutzer melden sich ja nicht mal wegen der für Mediyes als typisch beschriebenen symptome, sondern wegen ganz anderer probleme, und diese infektion fällt dann nur neben bei auf :-)
deswegen hatten wir ja das oben verlinkte tool erstellt.
wie der genaue verbreitungsweg ist, weis ich leider auch nicht, in irgend nem artikel hieß es popus auf pornoseiten, was aber auch nicht sonderlich hilfreich ist
Ok, danke. Mal schauen wie das weitergeht.
mal als beispiel, 4 dlls von 2 pcs.
.sys dateien hab ich noch nicht, aber sind meist auch nicht besser
https://www.virustotal.com/file/e8b5f75a7beec454b3ebd85370dec37f4d187d86377991d9645aabe6fae15fd4/analysis/1333468988/
https://www.virustotal.com/file/25d1d02a62f47e167286c9c8e1247326c742b36436d3ca4f670df6ac116edea0/analysis/1333469287/
https://www.virustotal.com/file/842a8feb70491b9dbd8bb61274b344121b40369ecbda1b6e4ae766b6c543be5b/analysis/1333469378/
https://www.virustotal.com/file/16ac0fca9bd74fbe38713b707416310a1be034536ac11267c2ccdc9f6019a926/analysis/1333469605/
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)