Druckversion des Themas

Geschrieben von: Hexo 30.06.2011, 11:26

Hoffe das ist der korrekte Bereich....

Quelle: http://winfuture.de/news,64030.html

Wie könnte man den TDL-4 erkennen? Kennt ihr die Malware?

Gruß

Geschrieben von: SebastianLE 30.06.2011, 11:47

TDL = TDSS = Alureon....
Wird eigentlich nur immer spanned wenn ein Update des Rootkits kommt, zumindest die spezialisierten Tools haben mit der Erkennung derzeit keine großen Probleme, ebenso viele AVs nicht mehr.

Geschrieben von: florian5248 30.06.2011, 12:15

Ich meine HitmanPro 3.5 hat damit kein Problem.

Geschrieben von: Clap 30.06.2011, 16:17

Hallo,

überprüfen Programme wie NIS und KIS usw. eigentlich auch immer den Master Boot MBR?
Hatte ja früher Avira und da konnte man das aktivieren.
Hab da jetzt bei NIS so nichts gefunden.

Geschrieben von: SebastianLE 30.06.2011, 16:31

Na so allgemein kannst du es auch nicht sagen. Sagen wir so - sie haben immer schnell reagiert und waren oft mit die ersten bei Erkennung und Entfernung neuer Varianten.


Bei NIS kann ich es nicht genau sagen, beim letzten VM Test hat es eine TDL Infektion weder verhindert noch erkannt, aber ich bin dem nicht tiefer nachgegangen um hier eine verlässliche Aussage treffen zu können. KIS ja - es findet einen mittels TDSS infizierten MBR, zur Bereinigung braucht man aber oft den TDSS-Killer.

Geschrieben von: florian5248 30.06.2011, 18:10

Danke für die Info, es wäre schade, wenn NIS so rückläufig geworden ist, bezüglich MBR.

TDSS-Killer, der ist auch im Einsatz.

Geschrieben von: markusg 30.06.2011, 19:31

ich verstehe sowieso nicht, warum man jetzt sagt, das netz sei "entdeckt" worden, wenn ich das im original artikel richtig lese ist es einfach ne analyse des tdss botnetzes, mehr nicht.
der bericht ist ja so ausgelegt, als währe tdl4 just diese woche entdeckt worden...
edit falls ich irre, koregiert mich :-)

Geschrieben von: SebastianLE 30.06.2011, 19:53

Ja, eben nach journalistischen Standards dramatisch und effekthascherisch aufbereitet. Machen doch auch einige AV-Anbieter so, die so tuen als wäre TDL was ganz neues...

@florian: ??? Wieso im Einsatz - infizierst du dich so oft, weil zur Prävention bringt es ja 0.

Geschrieben von: florian5248 01.07.2011, 06:39

Ne, lasse den TDSS-Killer 1-2mal in der Woche drüber laufen. Ist ja kein Kondom.

Geschrieben von: Julian 01.07.2011, 06:45

Könntest du mir ein Sample, wo man den TDSS-Killer braucht, mal zukommen lassen?
Bisher hat KIS 12 bei mir nämlich noch jede TDSS-Infektion erkannt und bereinigt.

Geschrieben von: SebastianLE 01.07.2011, 07:46

Da müssten wir auf neue Varianten warten - derzeit erkennt und bereinigt KIS auch hier alle mir bekannten.

Geschrieben von: markusg 01.07.2011, 10:31

so ein quark jede woche den tdss killer laufen zu lassen.
vernünftiges av, eingeschrenktes konto, windows up to date, drittanbieter software up to date, zum täglichen surfen sandboxie, dann instaliert sich kein tdl und auch keine andere malware. vor allem woher willst du den wissen das du nicht grad ne variannte hast, die nicht erkannt wird, konzequenter weise müsstest du dann allerhöchstens jede woche nen sauberes backup einspielen.
zumal ich die panik von dir eh nicht verstehen kann, gibt ja noch viele andere verbreitete malware familien, da müsstest du jede woche ne ganze latte von removern laufen lassen..

Geschrieben von: florian5248 01.07.2011, 10:54

Ich esse nu mal gerne Quark.


Spiele regelmäßig mein Image zurück, na und........



Da hast du mächtig was falsch verstanden. Panik?? Könnte mich eher köstlich amüsieren.

Möchte nicht jetzt Beleidigend werden, daher spare ich mir den Rest.

Geschrieben von: SebastianLE 01.07.2011, 11:07

Komisch das jetzt auf die doch inhaltlichen Punkte von markus irgendwie nichts kam...

Geschrieben von: Voyager 01.07.2011, 12:13

Image zurück spielen hilft aber nicht zwangsweise wenn der MBR infiziert ist , der MBR wird zb bei Acronis nur auf Anfrage überschrieben beim Zurückschreiben eines Image.

Geschrieben von: florian5248 01.07.2011, 12:19

Selbstverständlich wird das von mir gemacht. Hatte angenommen, das Acronis_Anwender das als selbstverständlich ansehen, das wird.

Gut aufgepasst.

Geschrieben von: Firefox 1947 06.07.2011, 15:21

@ markusg

Das kann ich bestätigen, das ist auch mein Sicherheitskonzept und es hat sich bewährt.

Gruß Firefox

Geschrieben von: Clap 06.07.2011, 20:31

hab das mit dem eingeschränkten Konto bei xp auch gemacht.
Bei Win 7 find ich es nicht so gelungen. Kann aber auch an meiner Unwissenheit liegen.

Hab mir auch mal einen Standardbenutzer eingerichtet. Ist soweit auch ok.
Wenn ich dort aber zb. Sandboxie übernehme, schreibt sich dieser in den Autostart vom Standartbenutzer.
Wenn ich dann Msconfig öffne, fehlen mir natürlich die Rechte.
Also öffne ich das als Admin. Und das klappt, nur bin ich dann im Autostart von meinem Admin Konto.
Jegliche Änderung des St.Benutzers bleibt unangetastet.?

Aber wie gesagt, vielleicht bin ich zu blöd
Sinn macht das Konto auf jeden Fall

Geschrieben von: Damnatus 07.07.2011, 02:43

Hallo Clap,

bin gerade über dein Posting 'gestolpert' und weils mich spontan selbst interessiert hat hab ich mich mal auf die Suche gemacht.
Wenn du msconfig startest (bspw über "Ausführen" wirst du über UAC nach dem Admin-Konto gefragt und erteilst damit, soweit ich das gesehen habe dem Standard-Konto das Recht seine Autostart-Einträge zu verändern.
Sollte dem nicht so sein, bleibt wohl nur ein Eingriff in die Registry.
Die Autoruneinträge findest du unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

und hier:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Quelle: http://www.pcwelt.de/forum/windows-nt-2000/68000-autostart-registry.html

Geschrieben von: Clap 07.07.2011, 08:43

Hallo

danke für die Antwort.
(Off Topic sorry)
Aber bei mir gibt es nur eine Admin Auswahl, und dann lande ich in den Einstellungen des Admin Kontos.
Mit dem Programm Autoruns geht es ohne Probleme, auch ohne Rechte.
Liegt wahrscheinlich daran, das die Programme vom Admin Konto übernommen wurden.

Geschrieben von: Schattenfang 11.07.2011, 21:51

ich kenne eine seite auf der tdl4-samples sind, die zumindest nach dem damaligen stand nicht alle erkannt worden sind. ist aber schon im april gewesen, überprüfen kann ichs nicht. darf ich den link eigentlich hier reinstellen?

oder ich machs lieber mit md5:

MD5 : 3edd490066ea4a312e6fa6dc420af6c6
MD5 : 8b0b9acea732b91bc2305162c06ed8fc
MD5 : f4cbf6bef6df44213cff3332422a0b78 (geringste erkennung)
MD5 : f7e79b727d9eb24eb522204182d47fdd

alle von kis (und einigen anderen) damals nicht erkannt.

Geschrieben von: SebastianLE 11.07.2011, 22:11

Sind keine Samples in dem Sinne, sondern alles nur entpackte Teilkomponenten (einzeln nicht lauffähig) eines älteren TDL4 Samples (TDL4 0.03). Mittlerweile werden auch diese Teile von vielen erkannt. Hier keine Quellen nennen ist Ok.

http://www.virustotal.com/file-scan/report.html?id=215e7f87c18525fc842c155278a0a49d5075c35ffac1d4f1580e1fc92d4cc52c-1310310766
ldr64: x64 Version des Treibers der den eigentlichen Rootkittreiber lädt

http://www.virustotal.com/file-scan/report.html?id=857df0c9d476fa9fbaa96bc07aeb94466172fa0820c3625a04b1f87f3d94731a-1310310652
ldr32: x86 Version des Treibers der den eigentlichen Rootkittreiber lädt

http://www.virustotal.com/file-scan/report.html?id=964fec64fb8b03d387fae132e206f0b7e4c3fe5e7aa1f5d12fbe765f7da2c66a-1310310053
ldr16: Teil des Loaders im Zsh. mit einem infizierten MBR "wirksam"

http://www.virustotal.com/file-scan/report.html?id=231e95dc2ad1c2e2325ebcd2f75b2d2569a952e138226b71ee8420ee5a639ef1-1310310232
Haupttreiber von TDL4 für x64

Geschrieben von: Schattenfang 12.07.2011, 18:52

danke für den test sebastian. ich hatte mit den dingern nie berührungspunkte. interessant dass das treiber für die tdltreiber sind.
welche av´s (außer den reinen hipslösungen) schützen denn deiner meinung nach sehr gut vor tdl4? oder sehen alle schlecht aus?
und wie ist eigentlich so die rootkiterkennung von gdata? die haben doch einige fortschritte gemacht (auch in sachen bb), oder?

Geschrieben von: SebastianLE 12.07.2011, 20:31

Nicht wirklich, systemnahe Software braucht halt Treiber. Alle decrypteten TDL4 Samples bestehen aus diesen Dateien - oft in denselben Versionen. Nur die wechselnde "Verpackung" (Dropper) lässt Signaturlösungen immer hinterhecheln und ist mal eins durchgerutscht und installiert fällt vielen durch die verwendeten Rootkittechniken eine Erkennung des aktiven Rootkits schwer. Obwohl es auch hier derzeit herstellerübergreifend Besserungen gibt. Spannend wird es IMO v.a. beim nächsten größeren TDL Update wieder.


Meinung, egal. Beobachtung: Wenn ich mir die VT-Erkennungen für die verschiedenen Dropper der letzten Monate anschaue, rutscht jedem AV mal eins durch, bei relativ neuen Samples ist die Erkennung oft irgendwo bei 1-7/42. Generelle Aussagen sind unmöglich, wenn dann nur in der Form, dass v.a. die großen vendors schneller entsprechende Erkennungen einpflegen.

Gescheite HIPS-Lösungen, und Anwender die damit umgehen können, sind derzeit sicher am effektivsten, auch der Verhaltensblocker von EAM(Mamutu) gibt recht eindeutige Meldungen aus. Von GDatas Blöckerchen kam verhaltensbasiert nichts - da war man auf die Signaturen angewiesen. (Ganz aufregende Diskussion dazu hatten wir http://www.rokop-security.de/index.php?showtopic=20881&view=findpost&p=335971)

Geschrieben von: Schattenfang 12.07.2011, 20:55

danke, habs geahnt. die meisten kommerziellen programme sind mal wieder nicht zu gebrauchen, wenns um das eingemachte geht.
interessant finde ich auch den kleinen disput zwischen kaspersky und microsoft bezüglich der einschätzung, wie unzerstörbar das tdl4-botnetz wirklich ist: http://winfuture.de/news,64217.html

ich weiß nicht so recht. zurzeit schwanke ich in sachen tdl4 ein wenig zwischen panikmache und sorge. es sind immer wieder die gleichen, die sowas so hoch pushen. viele hersteller nehmen das teil nicht mal richtig ernst und schreiben nichts darüber in ihre blogs. bei stuxnet hatten wenigstens alle mitgezogen

Geschrieben von: SebastianLE 12.07.2011, 21:18

Es ist viel Panikmache dabei, wobei man bei TDSS/TDL folgende Punkte hervorheben sollte:
- professionelle Pflege und Updates des Rootkits (seit 2008!)
- wie war das vor TDL3 an ITW Rootkits die auf x64 funktionieren?

Zur Debatte:
Da kommt ein Artikel auf http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot, nicht der erste nicht der interessanteste zu TDL - aber er wird medial groß aufgegriffen und aufbereitet.
Unterschieden zwischen der Malware und dem daraus aufgebauten Botnetz wird in den oberflächlichen und effekthascherischen Folgeartikeln der Portale nicht mehr und ONV gewinnt den Eindruck hier ist etwas ganz neues und gefährliches im Anmarsch. ... man lese diverse Foren.

Die Fehlinterpretation von "unzerstörbar" rief dabei besonderes Echo hervor. So gibt es sogar eine http://www.securelist.com/en/blog/516/TDL_4_Indestructible_or_not eines KL-Analysten. Die Autoren von TDL hätten gern ein unzerstörbares Botnetz (wer nicht?). Das sagte/meinte der Ursprungsartikel - nichts anderes. De facto sind TDL/TDSS aufspür und entfernbar...

Zum "hab's geahnt":
Ob es nun TDL ist oder irgendwas anderes - Signaturlösungen hinken immer hinterher, fertig. Und das manche viel Geschrei um ihren Verhaltensblocker machen, der nicht mal in der Lage ist die bekannten Verhaltensweisen des derzeit verbreitetesten Rootkis zu erkennen - naja unser "König" eben.

Zu "immer die gleichen":
Eher nicht, wobei es z.T. verständlich ist damit auch zu "werben". Aber gerade auf securelist gibt es schon seit geraumer Zeit interessante Artikel zum Thema... Wenn ich dagegen lesen was z.B. ESET teilweise zum Thema ablässt...die tun wirklich so, als läge etwas ganz neues vor und SIE hätten es aufgedeckt. Und auch der TDSS-Killer von KL existiert schon lange und wird fortwährend geupdatet. In letzter Zeit kommen TDSS-Entfernungstools auf einmal aus allen Ecken: Wachen andere auf - oder Marketing?

Geschrieben von: Schattenfang 12.07.2011, 21:32

Ja, es scheint so, als bräuchten einige wieder ein wenig mehr rummel in der branche. Damit meine ich nicht nur die it-unternehmen selbst. Trotzdem: prevx ist neben eset auch immer so ein kandidat dafür. Die schreiben sich quasi schon das wort tdl allein in die fahnen.
Neu ist das ganze nicht wirklich und ich sehe es ebenfalls so, dass genau dieser umstand zu denken geben sollte, wenn man sich die ergebnisse der verbreiteten sicherheitslösungen nach versionswechseln anschaut.
Andererseits war tdl über lange zeit ein „nicht kommerzielles“ projekt. Vielleicht ist es auch deswegen weniger beachtet worden. Doch das soll sich ja im quartal 4/2010 geändert haben, wobei mich die niedrigen preise pro 1000 erfolgreichen infektionen schon wundern.
Macht auf mich den anschein, dass da mehr tüftler am werk sind, als leute, die es wirklich wie storm oder rustock darauf anlegen, in kurzer zeit so viele botuser wie möglich zu schaffen.

Und noch eine andere sichtweise: tdl hat nie die große beachtung auf der dunklen seite gefunden. Oder – und das könnte die angst wieder drastisch schüren – wir wissen davon einfach nichts. Ganz und frei nach dem motto: stille wasser sind tief!

Geschrieben von: Julian 12.07.2011, 23:02

Dass man das Botnet Dank P2P-Funktionen nur schwer abschalten kann, weil durch das Killen der zentralen CnC-Server auf diese ausgewichen wird, sollte man aber schon nicht vergessen.
Darum ging es ja in der Kontroverse. Man darf gespannt sein, was dann wirklich gegen das Botnet unternommen wird, aber bei dezentraler CnC-Struktur kann man sicherlich nicht so einfach mit einem Mal den großen Wurf landen, wie das bei früheren Botnets der Fall war.

Geschrieben von: Voyager 13.07.2011, 14:10

Die sollen doch froh sein das es Botnets gibt , so lässt sich die Sicherheitssoftware marketingträchtig verkaufen.

Geschrieben von: markusg 13.07.2011, 16:40

wie kommst du darauf das tdss eine eher untergeordnete rollte gespielt hatt?
an den diversen foren haben wir schon seit 2,5 jahren mehr oder weniger stark damit zu tun.
letztes jahr war es laut microsoff die am häufigsten vorkommende malware auf deutschen pcs.
wenn man liest, das in dem botnetz 4,5 mio pcs eingebunden sind, würd ich jetzt mal behaupten das es das größte botnetz im moment ist, man möge mich koregieren.
naja, und zu den artikeln, wenn einer einen artikel schreibt, wo superlative wie "unzerstörbar" etc vorkommen, muss jeder hinterher hächeln.
das andere hersteller nichts im blog schreiben kann auch verschiedene gründe haben.
1. sie denken es ist schon alles gesagt :-)
2. sie wollen davon ablenken, dass ihre software dieses rootkit im aktieven zustand nicht erkennen kann.
zu den sicherheitsmaßnamen hatten wir ja schon einiges gesagt hier.
aus meiner sicht kommts nicht auf die schutz software an, sondern erst mal auf ein vernünftig konfiguriertes system (sandbox) etc
backup und dann die schutz software.
die signaturen kannst du sowieso meist vergessen, generiken werden schnell durchbrochen und wenn tdl nen größeres update erhällt werden evtl. auch noch verhaltensanalysen ausgetrickst.

Geschrieben von: Schattenfang 13.07.2011, 17:24

ja in security-foren wurde das vielleicht diskutiert. in der breiten öffentlichkeit kennt das teil keiner. storm oder zumindest conficker/stuxnet gingen richtig durch die medien. waren auch wesentlich größer mit viel mehr infizierten rechnern. von den wurmepidemien von früher brauch ich gar nicht mehr sprechen. da ist tdl doch eher überschaubar.
ich meine aber nicht nur die beachtung von der weißen seite, sondern auch von der schwarzen. tdl ist technologisch betrachtet ein geeignetes instrument für spionage. hat sich aber kaum einer dafür interessiert. stattdessen wird es "verscherbelt". wobei über 3 jahre gar kein kommerzielles interesse bestand
außer - wie ich schon sagte - stille wasser sind tief.

Geschrieben von: SebastianLE 13.07.2011, 17:35

Bitte jetzt nicht noch Verschwörungstheorien...

Geschrieben von: Schattenfang 13.07.2011, 17:41

das was ich sagen wollte ist nur, dass nach außen hin tdl uninteressant für die schwarze seite scheint. aber es könnte ja dennoch sein, dass wir das einfach nicht mitkriegen. keine verschwörungstheorie. nur differenzierung.

Geschrieben von: markusg 13.07.2011, 18:33

das wollte ich doch damit sagen, tdl wird schon lange genutzt. ich kann jetzt nur von den foren ausgehen, wo wir malware entfernen, tdl ist nichts neues, damit haben wir schon seit 2009 zu kämpfen.

ich wage zu bezweifeln, ohne es wirklich belegen zu können, das stuxnet weiter verbreitet ist als tdss. stuxnet hatt nur mehr aufmerksamkeit bekommen, da der "druck" dazu etwas zu schreiben enorm groß ist, wenn 10 zeitschriften /magazine was machen, müssen die andern auch drann.
und wenn das wort "waffe" bzw "cyber waffe" fällt, müssen die breiten medien auch rann, denn ein bericht mit dem begriff "waffe" lässt sich meist gut verkaufen :-)
siehst du ja jetzt auch, bei dem "unzerstörbaren botnetz" wo auch alle deutschen und bestimmt auch anders sprachige magazine aufspringen und ohne zu hinterfragen den artikel abschreiben und mit weiteren superlativen ausschmücken.
nehmen wir zb spyeye, hatt auch keine hohe medienpräsenz, ist aber trotzdem sehr häufig anzutreffen und kann, je nach ausstattung vielseitig eingesetzt werden, auch zur spionage.
ich denke da insbesondere ans abgreifen von zertifikaten, was natürlich nur interessant ist, wenn man nen software entwickler ausspäht.
und bankdaten natürlich

Geschrieben von: markusg 13.07.2011, 18:35

ob tdl jetzt mehr zur spionage geeignet ist als andere rootkits kann ich dir nicht so genau beantworten.
aber ich denke eher nicht das das rootkit von regierungen in auftrag gegeben wurde.
man kann ja in einschlägigen foren alle möglichen dienstleistungen erwerben, die mit tdss bzw dem botnetz zu tun haben.

Geschrieben von: Schattenfang 13.07.2011, 18:50

nein auf keinen fall. ich formuliere es mal andersherum: stell dir vor, ich entwickle ein rootkit, dass so fortschrittlich und technologisch hochversiert ist, dass es mit sämtlichen it-security-solutions kaum probleme hat. und das entwickle ich laufend weiter, optimiere und pflege es. doch niemand (von der schwarzen seite) scheint sich für dieses rootkit so recht zu interessieren, obwohl es doch so gut geeignet ist. letztendlich setze ich preise an, die für dieses business eher gering sind, damit ich damit wenigstens etwas anfangen kann.

wer findet den fehler? irgendetwas stimmt in der geschichte nicht. und daher könnte es sein, dass es sich bei eventuellen auftraggebern nicht um leute handelt, bei denen es gleich bekannt wird. ich spreche aber nicht von behörden oder regierungen. oder ich bin eine person, die gar nicht das ziel hat, das zu vermarkten. wäre doch beides möglich.

Geschrieben von: markusg 13.07.2011, 18:57

ich verstehe aber leider immernoch nicht, was dich auf die idee bringt.
dieses pdf zb:
http://www.damballa.com/downloads/r_pubs/Damballa_2010_Top_10_Botnets_Report.pdf
sagt aus, das tdss das am weitest verbreitete botnetz ist.
obwohl du recht hast, das richtige wachstum gabs in 2010, aber gesehen wurde es vorher eig schon recht häufig.
über den preis kann ich dir nichts genaues sagen, aber es ist je nach ausstattung, so weit ich mich erinnere ähnlich teuer wie andere malware.
meistens wird ja noch rogue etc instaliert, um den gewinn zu maximieren.
ich denke auch die meisten av lösungen kommen einiger maßen zurecht mit tdss, wenn sie nen verhaltensschutz anbieten.
aber da sich noch viele mit dem teil infizieren, ist vllt keine größere entwicklung nötig im moment :-)

Geschrieben von: Schattenfang 13.07.2011, 19:03

für das, was tdl wert wäre, ist er gering. daher macht es auf mich den anschein, dass

a) jemand sich nicht bewusst ist, wieviel das ding wirklich wert ist oder
b) jemand andere lukrative auftraggeber hat, die wir nicht kennen oder
c) es dem erschaffer egal ist, weil er selbst andere ziele verfolgt oder
d) weil es konkurrenzkämpfe gibt.

microsoft wird das botnetz bald abstellen. wenn es einer kann dann die. waren bisher auch die einzigen.

Geschrieben von: markusg 13.07.2011, 19:18

na allein kann ms die server nicht offline bringen, da müssen lokale behörden mitarbeiten.
bei tdl scheint das schwieriger zu sein.
1. sind die cc server wohl sehr verteilt.
2. durch die p2p komponennte könnte das netzwerk auch ohne cc server laufen.
wegen der preise:
klar sind diese leute auch dem selben wirtschaftlichen regeln unterworfen wie ein normales unternehmen in der freiehen marktwirtschaft. das malware-geschäft macht sicher auch milliarden umsätze.
man versucht ja auch bei den meisten angriffen, soviel geld wie möglich raus zu hohlen.
also werbung, fake avs, datenklau und evtl. abhebungen vom konto, und dann halt noch vermietung des botnetzes für angriffe.
naja und wofür man fremde pcs sonst noch so nutzen kann, tdss ist da ja vielseitig

Geschrieben von: SebastianLE 13.07.2011, 20:30

Na aber hallo:
Sehen wir mal von der Verbreitung ab. Was soll an Stuxnet nicht berichtenswert gewesen sein??
Da treten große gefälschte Zertifikate auf, in Atomanlagen wird die Steuerung beeinflusst - zum Glück nicht in die falsche Richtung, höchstwahrscheinlich steckten Regierungskreise dahinter, wie die Verbreitung gelang wird immer noch gerätselt (die Theorien und Aussagen führender Sicherheitsunternehmen und -experten dazu sind sehr abenteuerlich). Auch wenn ich sonst ein großer Zahlenfreund bin: Das ist weitaus tragischer als ein paar Millionen infizierter PrivatPCs und verdammt nochmal gehört sowas berichtet.

__

Zurück zu TDL:
Was ist spannend daran? Die Ausdauer, die Qualität, der Sprung auf x64, die Anpassungsfähigkeit und Entwicklung... alles irgendwo. Man wartet doch im Prinzip nur darauf ob und was als nächstes kommt...

Wer dahintersteckt weiß niemand, sicher auch ein Grundstein für den Erfolg. Spekulieren ala "Es könnte sein..." bringt hier jedoch NULL.
Die Preise und Verkaufsstrategie: Es gibt genug Leute die sich damit auskennen und die eher nicht davon ausgehen das diese Angebote von den Machern kommen...

Von daher @Schattenfang: Was ist TDL denn "wert"? - aktuell nicht mehr viel, spannend ist was kommt!

Geschrieben von: markusg 13.07.2011, 20:42

ich hab nicht gesagt, dass man darüber nicht berichten sollte.
ich wollte nur erklären, warum diese malware eine höhere aufmerksamkeit erhalten hatt, dass ist eben am ende ein selbstläufer geworden.
dann musste jeder nen removal tool haben etc, weil die kunden ja geschützt werden wollten, und da jeder sagen wollte "guck ma, ich habs drauf" :-)
das hatt aber nichts mit der tatsächlichen verbreitung zu tun gehabt

Geschrieben von: SebastianLE 13.07.2011, 20:47

@markus: Ich bezog mich auch eher auf die Aussage von Schattenfang, dass Stuxnet durch die Medien ging...

Geschrieben von: markusg 13.07.2011, 20:52

aso, dann war das wohl ein missverständniss :p

Geschrieben von: Schattenfang 13.07.2011, 21:10

mehr. dafür kann man locker das 10x fache nehmen.


ich habe auch nirgendwo geschrieben, dass stuxnet nicht berichtenswert war. im gegenteil: habe sogar begründet, dass das ein wesentlich schwererer fall war.

Geschrieben von: SebastianLE 13.07.2011, 21:21

Ja - deine Begründung war aber "verbreiteter" - was ich wie Markus eindeutig widerlegen würde. Egal, nicht noch ein offenes Fass.
Der Rest - ich will hier nicht spekulieren, habe alles geschrieben: Aktuell ist TDL IMO nicht mehr soviel wert, spannend ist ob noch was kommt und was.
Wenn du dir ne gescheite Schutzsoftware zulegst, kann ich dir gerne verschiedenste Samples aller Generationen zum testen geben - wirst sehen vom Verhalten her mind. je Generation alles dasselbe. Wer da derzeit proaktiv schläft ist einfach nichts wert.

Geschrieben von: markusg 13.07.2011, 21:26

naja, es wird ja auch bei tdss, wie auch bei allen anderen malware familien verschiedene ausstattungen geben.
bei zbot zb gibt es ebenfalls pakete, die rund $ kosten. andere wiederum gibts bereits für 500 $
das selbe bei spyeye, da gehts von einigen hundert $ bis einigen tausend.
wegen stuxnet, da hatte ich das von dir auch so verstanden, dass du mit der verbreitung argumentiert hast. die es aber nicht gibt, meines wissens nach, zumindest nicht auf privat pcs.

Geschrieben von: Schattenfang 14.07.2011, 11:50

danke aber ich teste nicht mehr. allerhöchstens mit beta-versionen, aber keine malware.


stuxnet hat allein in china 6 millionen infiziert. es ist/war durchaus weit verbreitet und wesentlich gefährlicher, als tdl.
es wird mit sicherheit verschiedene preisstufen und lizenzmodelle geben, das denke ich auch. ich weiß immer nicht, wie sich normale homeuser mit solchen zeugs eindecken? ich dachte, ich wäre schon viel im net unterwegs. es können noch so viele tdl-versionen rauskommen, ich werde nie eines sehen.

Geschrieben von: markusg 14.07.2011, 13:22

naja, ich weis nicht wie vertrauenswürdig diese meldung aus china ist. ohne irgendwelche vorurteile bedienen zu wollen, sollte man meldungen aus china doch mit etwas vorsicht verfolgen, denn wenn ich das richtig sehe, wurde diese meldung von chinesischen medien (staatsmedien) und von chinesischen antimalware-firmen verbreitet, wobei ich bei denen nicht weis, ob sie nicht auch irgendwelchen zwängen unterliegen.
wegen tdss suchst du wohl an der falschen stelle torrent sites zb bzw die downloads sind häufig nen guter anlauf punkt.

Geschrieben von: Schattenfang 14.07.2011, 14:51

ne ich suche ja nicht. und die infizierten user haben wohl auch nicht explizit gesucht. daher verwundert mich das, wie die leute sowas immer auf ihre rechner kriegen. wenn man nicht sucht, sieht man doch solche dinge gar nicht.

Geschrieben von: markusg 14.07.2011, 16:10

sorry aber das ist einfach nicht war.
ich hab jede woche genügend user mit tdss infektion.

Geschrieben von: Schattenfang 14.07.2011, 16:20

und woher stammt das zeug? mir ist noch nie sowas begegnet und ich bin schon allein beruflich nonstop im netz. ich spiele außerdem wow und lade mir sämtliche addons etc. runter.
wer sich warez, crackz und pornos runterzieht darf sich allerdings nicht beschweren. auf ntv kriegt man das sicherlich nicht.

Geschrieben von: markusg 14.07.2011, 16:30

aber die wirklichkeit sieht ja nun mal so aus, dass viele sich nicht nur ntv ansehen.
porno und streaming seiten sind beliebt, wie kino.to, obwohl es da meist eher zbot bzw spyeye gab.
ich glaub bei youporn gabs ne zeitlang tdss, aber ich hab im mom keine lust zu suchen ob ich was find.
aber das man sich nur auf illegalen seiten bzw seiten mit pornografischem inhalt infiziert, stimmt so auch nicht.
auch die suche mit suchmaschinen nach aktuellen news führt häufig auf infizierte seiten.
http://www.tecchannel.de/sicherheit/news/2026059/seo_poisoning_immer_mehr_angriffe_gemeldet/
dann hast du auch häufig werbeanzeigen, die auf bekannten seiten geschaltet werden und malware enthalten, deren möglichkeiten gibts viele :-)

Geschrieben von: Ricard 14.07.2011, 19:49

Hi!
Könnte jemand von Euch mir ein paar neue TDL4-Samples zum Testen per PN zur Verfügung stellen? Würde mich sehr freuen

Danke

Geschrieben von: markusg 14.07.2011, 20:46

wenn bis morgen noch nichts bekommen hast send ich dir mal welche

Geschrieben von: Ricard 14.07.2011, 20:49

Vielen Dank Markus. Ich habe bereits von einem netten User hier welche bekommen:

http://www.abload.de/image.php?img=tdl4fnik.png