Uploadergebnisse v-total + jotti, viel spass :) |
Willkommen, Gast ( Anmelden | Registrierung )
Uploadergebnisse v-total + jotti, viel spass :) |
31.07.2011, 11:45
Beitrag
#4301
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
War eigentlich eine exe Datei - habe ich nur selber gepackt weil ich es anschließend nochmal an so ziemlich alle eingeschickt habe. Und wenn du die exe zu VT hochlädst - ist die Erkennung da auch so? -------------------- Don't believe the hype!
|
|
|
31.07.2011, 15:22
Beitrag
#4302
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.872 Mitglied seit: 24.05.2004 Mitglieds-Nr.: 872 Betriebssystem: Win 10 64bit Virenscanner: F-Secure Firewall: Win Firewall |
Ja ich glaube die war genauso Sebastian (habe nur gerade einen anderen Rechner und kann nicht im Verlauf von gestern nach gucken) . Hat mich selber mal interessiert ob es einen Unterschied zwischen direkter exe Datei oder einem hoch geladenen Archiv gibt.
Hier mal aktuell hoch geladen (die exe) - nun sind es 6/ 43 (14.0%) http://www.virustotal.com/file-scan/report...a0d2-1312121562 |
|
|
31.07.2011, 15:35
Beitrag
#4303
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Hat mich selber mal interessiert ob es einen Unterschied zwischen direkter exe Datei oder einem hoch geladenen Archiv gibt. Wenn es kein passwortgeschützes Archiv ist, dann nicht. Ausnahme: PREVX, das bei Archiven öfters mal "High Risk Worm" meint, bei den entpackten Files aber nicht. -------------------- Don't believe the hype!
|
|
|
31.07.2011, 22:45
Beitrag
#4304
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.872 Mitglied seit: 24.05.2004 Mitglieds-Nr.: 872 Betriebssystem: Win 10 64bit Virenscanner: F-Secure Firewall: Win Firewall |
Ah Danke für die Aufklärung
Na dann schauen wir mal wie viele dafür eine Erkennung anlegen. Bei manchen habe ich den Eindruck das wenn der Verhaltensschutz den Schädling erkennt das man sich sogar manchmal bewusst oder unbewusst eine Signatur dafür spart oder sich dann hier für lange Zeit lässt. Symantec wäre ein Beispiel ^^ Kaspersky hingegen erstellt davon unabhängig ziemlich flott eine Erkennung. Meine Erfahrungen jedenfalls bisher xD |
|
|
16.08.2011, 22:36
Beitrag
#4305
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 1.872 Mitglied seit: 24.05.2004 Mitglieds-Nr.: 872 Betriebssystem: Win 10 64bit Virenscanner: F-Secure Firewall: Win Firewall |
Langsam bin ich auch zu faul zum ständigen einsenden.
http://r.virscan.org/14e48d2fc7048c9d097db0aa55450ea6 Der Beitrag wurde von Denny bearbeitet: 16.08.2011, 22:36 |
|
|
17.09.2011, 18:23
Beitrag
#4306
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Bekam gerade bei Facebook ein Link zugeschickt - wie neugierig ich doch bin führte ich die Datei selbstverständlich auch aus. Das AV das ich derzeit (testweise) benütze ESET meldete sich im Automatikmodus gar nicht - sprich der Rechner wurde infiziert. Im Interaktiven Modus kam ganz genau eine Meldung (siehe Bild)
So sieht übr. die Erkennung aus. http://virusscan.jotti.org/de/scanresult/7...9c0146d7873c040 Gruß Der Beitrag wurde von KasperskyFreaky bearbeitet: 17.09.2011, 18:26
Angehängte Datei(en)
|
|
|
17.09.2011, 20:42
Beitrag
#4307
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Im Interaktiven Modus kam ganz genau eine Meldung (siehe Bild) Und selbst die zählt nicht als Schutz oder Erkennung, da du eine Startabfrage bei jeglicher Anwendung bekommst. -------------------- Don't believe the hype!
|
|
|
17.09.2011, 20:51
Beitrag
#4308
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Mittlerweile erkennt ESET das Teil per Signatur
ZITAT Und selbst die zählt nicht als Schutz oder Erkennung, da du eine Startabfrage bei jeglicher Anwendung bekommst. Hab ich ja auch nicht behauptet, oder? Gruß |
|
|
17.09.2011, 20:54
Beitrag
#4309
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Hab ich ja auch nicht behauptet, oder? Ne Kann man aber nicht oft genug herausstellen -------------------- Don't believe the hype!
|
|
|
18.09.2011, 00:21
Beitrag
#4310
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Hab die Malware an mehrere Hersteller gesendet... so schaut nun die Erkennung aus - klick.
Gruß Der Beitrag wurde von KasperskyFreaky bearbeitet: 18.09.2011, 00:38 |
|
|
22.09.2011, 09:14
Beitrag
#4311
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Es gibt ein neuen Schädling der sich hauptsächlich über die Sozialen Netze verbreitet. Ich hab mir die Datei angeschaut und es handelt sich um einen Wurm - hab die Datei auch bei den verschiedenen Herstellern geschickt.
Wie die Erkennung ausschaut sieht ihr hier Gruß |
|
|
23.09.2011, 11:13
Beitrag
#4312
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Erstaunlich.
Ist das ein FP oder warum erkennen 24 Stunden später nur 3 Virenscanner den Facebook wurm? http://www.virustotal.com/file-scan/report...67eb-1316764688 (Das ist der Wurm, den KasperskyFreaky gestern gepostet hat) -------------------- |
|
|
23.09.2011, 14:31
Beitrag
#4313
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.051 Mitglied seit: 15.10.2006 Mitglieds-Nr.: 5.448 Betriebssystem: Win7 Prof. x64 Virenscanner: GDATA TP 20xx Firewall: GDATA TP 20xx |
Glaube kaum, dass es ein FP ist, denn diese Files kommen immer wieder vor. G Data blockt aber z.B. jedes einzelne von ihnen durch den BB und so werden es auch einige andere AV-Programme machen. Eine signaturenbasierende Erkennung würde trotzdem nicht schaden. ^^
|
|
|
23.09.2011, 14:38
Beitrag
#4314
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Mich würde mal interesieren, was Sonar und / oder Deepguard mit dem File machen.
Ich hab leider kein VM wo ich das testen kann und in ner Sandbox das testen ist wohl nicht empfehlenswert.... -------------------- |
|
|
23.09.2011, 14:48
Beitrag
#4315
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
ZITAT Ist das ein FP oder warum erkennen 24 Stunden später nur 3 Virenscanner den Facebook wurm? Es handelt sich hierbei um kein FP! Ich weiß nicht wieso einige Hersteller sich viel Zeit lassen für eine Signatur - Erkennung. Kaspersky bsp. meldete sich bei mir nach ca. ner halben Stunde und es wurde dann auch sofort in KSN eingetragen, sprich mit aktivierter KSN erkannte Kaspersky das Ding. Jetzt schaut es immerhin schon besser aus, klick ZITAT Mich würde mal interesieren, was Sonar und / oder Deepguard mit dem File machen. Werde ich mir gleich anschauen Gruß Der Beitrag wurde von KasperskyFreaky bearbeitet: 23.09.2011, 14:50 |
|
|
23.09.2011, 15:23
Beitrag
#4316
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Soo.....
hab mir auf meiner VM NIS 2012 installiert (zuvor die VM selbstverständlich zurückgesetzt). Updates eingespielt und PC neu gestartet. Nun kommen wir zum spannenden (soo spannend ist es wiederrum auch nicht ) Teil dieses Beitrages. Ich hab die Malware heruntergeladen .... gemeldet hat sich Norton bisher nicht. Hab die Datei dann gestartet und es öffnete sich mein Browser - es erschien die Webseite "myspace". Nun erschient folgendes Folgende Aktionen hat das Teil durchgeführt ( siehe Bilder ) Nun schauen wir mal was F-Secure macht - wenn die Malware gestartet wird. Gruß Der Beitrag wurde von KasperskyFreaky bearbeitet: 23.09.2011, 16:13 |
|
|
23.09.2011, 16:29
Beitrag
#4317
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Also hat beides mal der BB gegriffen. Ist schon mal was positives. Wobei es mich wundert, das der Dateinsight so spät ausschlägt und der Browser schon mal startet. Keine Meldung von Sonar???? Echt schade.
Gut, einen Infekt hat es nicht gegeben, gelle. Danke schön für diesen Test. Muss mir auch mal ne VM zulegen. Der Beitrag wurde von Hexo bearbeitet: 23.09.2011, 16:31 -------------------- |
|
|
23.09.2011, 16:34
Beitrag
#4318
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 171 Mitglied seit: 02.08.2011 Mitglieds-Nr.: 9.129 Betriebssystem: Windows 10 x64 Virenscanner: None |
Keinerlei Meldung von SONAR....
Gruß |
|
|
23.09.2011, 16:48
Beitrag
#4319
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.165 Mitglied seit: 05.10.2010 Wohnort: Im Herzen: New York City Mitglieds-Nr.: 8.211 Betriebssystem: Win 10 Pro 64bit Virenscanner: Emsisoft Anti-Malware Firewall: Windows 10 FW - NAT |
Merkwürdig.
Alles weiter wäre zu sehr offtopic. Ich schreibs mal in den NIS Thread rein. Danke schön. -------------------- |
|
|
24.09.2011, 01:37
Beitrag
#4320
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Wenn mich nicht alles täuscht war das eine Meldung von Sonar , diese Facebook.exe hat eine Fake Csrss.exe erstellt und die wurde von Sonar gelöscht wegen verdächtiger Aktivität . Ausserdem denke ich diese Facebook.exe hatte ausser dem Erstellen der Trojaner Routine nur die Aufgabe zur Ablenkung ein Bild anzuzeigen oder eine URL zu öffnen was anfürsich nicht zwangsweise schädlich ist. Wenn dem so ist muss Sonar auch nicht zwangsweise den Dropper löschen (sollte es aber) .
Lieg ich damit in etwa richtig ? Vermutlich ja, man siehts ja im Bild. Keine Sorge Sonar löscht in der Regel immer den Dropper und Kaspersky naja wie die im Automodus abschneiden darüber wollen wir mal garnicht reden , da gibts Video auf Youtube... Der Beitrag wurde von Voyager bearbeitet: 24.09.2011, 02:13 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 08.05.2024, 04:28 |