Druckversion des Themas
Hier klicken um das Topic im Orginalformat anzusehen
Rokop Security _ Trojaner, Viren und Würmer _ Innerhalb weniger Minuten ist die Malware wieder undetected
Geschrieben von: blueX 28.11.2012, 19:03
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen:
hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e
hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e
Über diese Adressen wird Malware massenhaft verbreitet.
So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen.
Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird.
Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen.
Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt.
Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen.
Habt ihr sowas schon mal gesehen?
Wie denkt ihr darüber?
Viele Grüße
bluex
Geschrieben von: blueX 28.11.2012, 19:12
Was ich noch vergessen habe, aber auch recht interessant ist.
Einige AVs haben mir mitgeteilt, dass der Server scheinbar einen IP-Filter besitzt. Sie können nicht auf die URLs zugreifen.
Es werden daher scheinbar bestimmte Regionen oder bestimmte IPs herausgefiltert, so dass der Server und somit der Download der Dateien für manche nicht verfügbar ist.
Geschrieben von: Catweazle 28.11.2012, 19:26
Nun Ja; https://www.virustotal.com/url/73a97c50d6919b975bdf133b58c11441ea642984e15ce450045a792481992968/analysis/1354126840/ https://www.virustotal.com/url/b2c1c3e24d6b64ac5844d3533f59118ac926032d1bee8dcb210917a77194133e/analysis/1354126948/ immer hin was ....
Catweazle
Geschrieben von: simracer 28.11.2012, 21:23
@blueX
Mit Avast Free hab ich keine Chance die 2 Seiten aufzurufen: http://www.abload.de/image.php?img=unbenanntdxdk7.jpg http://www.abload.de/image.php?img=unbenannt1sddra.jpg
Geschrieben von: blueX 28.11.2012, 21:37
Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.
Geschrieben von: J4U 28.11.2012, 21:42
J4U
Geschrieben von: simracer 28.11.2012, 21:54
Problem gibt es da keines J4U 
blueX wollte nur zum Ausdruck bringen: gelangt man auf die Webseite und läd sich die Dateien runter und führt die aus, dann werden die von nur sehr wenigen Scannern erkannt und das Fake-AV dazu kann sich "entfalten" bzw in Aktion treten. Das sagte aber auch mal SLE das die Virenschutz Hersteller Probleme damit hätten wenn es um Ransomsoftware geht.
Geschrieben von: SLE 28.11.2012, 22:00
Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil:
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.
btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint.
Die Meldung und der Test von Uwe hat nichts mit dem von BlueX beobachteten Phänomen zu tun.
Zur Frage: Sowas habe ich schon recht oft gesehen, so selten ist das nicht. Die 14 Tage sind eher selten: Es sind meist dieselben 3-5 Anbieter die es schaffen recht schnell generische Signaturen zu erstellen - was aber auch auf den Umfang ankommt. Andere Anbieter können das kaum.
OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen
Geschrieben von: simracer 28.11.2012, 22:10
Na hoffentlich reibst du dich daran nicht auf SLE
an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.
Warum ist in deinen Augen eine Blacklist keine Erkennung? es wurde doch durch eine Schutzfunktion(Netzwerkschutz)verhindert, das Webseiten aufgerufen werden können, auf denen sich Infizierungen bzw infizierte Dateien/Files befinden. In meinen Augen ist das auch eine Art von Erkennung.
Geschrieben von: markus17 28.11.2012, 22:19
G Data blockt die URL nicht, jedoch wird die Malware vom BB unschädlich gemacht. Da gibt es aber einige Seiten von der Sorte, die einem Bilder oder Video exe-Dateien andrehen wollen. Gibt sicher genug, bei denen das AV noch nicht anschlägt oder einfach kein aktueller Virenschutz drauf ist. (sehe immer wieder die abgelaufenen Testversionen auf diversen PCs/Notebooks)
Geschrieben von: J4U 28.11.2012, 22:32
J4U
Geschrieben von: SLE 28.11.2012, 22:34
an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht
Weil eine Blacklist eben nicht nur Seiten beinhaltet auf den sich infizierte Dateien befinden, sondern auch welche die mal infiziert waren. Es werden einfach Seiten als risikoreich eingestuft, ob sie es sind/nicht mehr sind etc. ist irrelevant. Erkannt wird nichts - Seiten werden komplett gesperrt auch die harmlosen Inhalte. Wer hier von Erkennung spricht müsste auch gleichzeitig von massenhaft FPs sprechen. Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.
Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.
Geschrieben von: J4U 28.11.2012, 22:40
J4U
Geschrieben von: simracer 28.11.2012, 22:49
Das war ja klar das dir das nicht entgeht
Schwamm drüber ich möchte kein AR werden Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, das Fake-AV wird ausgeführt und dann hat man den Ärger damit weil man entweder das System bereinigen muss oder ein Systembackup einspielen muss.
Hab ich doch auch nicht geschrieben das ich Avast mit Ransomsoftware von blueX Seiten getestet hätte
aber: Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten.Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens
Geschrieben von: simracer 28.11.2012, 22:53
J4U
Das unterschreibe ich dir J4U
denn ein Schutzmechanismus des AV's hat den Zugriff auf eine Webseite verhindert, auf der es Malware(Ransomsoftware)gibt. Das zählt für mich in erster Linie und ist daher meiner Meinung nach auch eine Erkennung.Geschrieben von: Xeon 28.11.2012, 23:08
NOD32 erkennt beim ersten Link die .exe Datei als schädlich und blockt diese.
Beim zweiten Link wird die URL blockiert und der Zugriff auf die Datei verweigert.
Geschrieben von: simracer 28.11.2012, 23:40
Ich war mal wieder zu langsam
wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.
Geschrieben von: SLE 28.11.2012, 23:54
Nein, hier ist der Fall etwas anders. Die Malware an sich sollte erkannt werden um zukünftig zu schützen. Wenn nämlich diesselbe Malware nicht über die gesperrte Webseite kommt zählt die Blacklist nichts. Die Blacklist ist eher nützlich um proaktiv bekannte Einfallstore zu schließen.
Hier ist es komplexer, denn es ist quasi immer dasselbe nur eben
Ebenso einen Thread hatten wir hier doch schon vor knapp einem Jahr, wo ich das auch gut an ein paar Beispielen und HEX-Vergleichen zeigte. Und man sah recht schnell, wer in der Lage ist gute Signaturen zu bauen.
Erkennung = eindeutige Identifikation von Schadsoftware. Hier wurde alles geblockt, auch harmlose Seitenelemente, Grafiken etc. All das sind in der Logik gleichzeitig auftretende FP's - geblockte harmlose Elemente
Das war auch eher ein Insiderwitz: xxx-porn-movie.avi; doggy-style-sex.avi.exe etc. Fast immer ist das ZeroAccess
Geschrieben von: SLE 28.11.2012, 23:55
wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.Dann deaktiviere dein Avast vernünftig, leere den Browser Cache etc. Die Seiten sind noch aktiv und funktionsfähig.
Geschrieben von: simracer 28.11.2012, 23:58
Ich hatte den FF Browser Cache geleert und bei Avast alle Schutzmodule für 10 Minuten deaktiviert 
okay ich probier es nochmal.
Edit: jetzt hat es gekappt, ich hab die 2 Dateien.
Geschrieben von: simracer 29.11.2012, 00:14
Beim Ausführen der Datei(die ich vorher aufs Desktop kopierte)reagierte Avast so: http://www.abload.de/image.php?img=unbenannt2fho4n.jpg und dann wurden Dateien(laut Avast Rootkit)in den Container verschoben: http://www.abload.de/image.php?img=unbenannt3e9rrw.jpg
Geschrieben von: simracer 29.11.2012, 00:29
Malwarebytes alias Chica PC-Shield Free fand per Schnellüberprüfung auch 4 Files: http://www.abload.de/image.php?img=11aun3.jpg http://www.abload.de/image.php?img=20iueg.jpg
www.chicalogic.com
Datenbank Version: v2012.11.28.08
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxxxxxx :: xxxxxxxxxxxxxxx [Administrator]
29.11.2012 00:14:49
cpcs-log-2012-11-29 (00-14-49).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234237
Laufzeit: 4 Minute(n), 46 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 2
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.
(Ende)
Geschrieben von: J4U 29.11.2012, 00:45
J4U
Geschrieben von: simracer 29.11.2012, 01:27
Ergänzend: ich hab natürlich meine Systempartition C nicht so gelassen und ein Backup/Image der Systempartition C mit der Paragon Rettungs/Boot-CD eingespielt.
Geschrieben von: SLE 29.11.2012, 10:29
Wenn alle dasselbe AV nutzen. Derzeit wird ja nur eine gängige ZeroAccess Variante verteilt, die sollte zumindest jeder vernünftige Verhaltensschutz mittlerweile erkennen.
Die Avast Meldung von Uwe macht in meinen Augen keinen Sinn, wenn ein Netzwerkschutz beim Ausführen anschlägt...
Geschrieben von: simracer 29.11.2012, 11:13
Was ich dir bildlich nicht festhalten konnte SLE: nachdem ich die Datei ja ausgeführt hatte und da zuerst abermals der Avast Netzwerkschutz anschlug, kamen danach alle paar Minuten ein Meldefenster von Avast, in dem stand das Avast ein Rootkit gestoppt hätte das in Recycler hätte aktiv werden wollen. Ein Bild davon was dann in Container/Quarantäne verschoben wurde zeigte ich ja schon aber nachdem alle paar Minuten lang eine solche Aktion stattfand, entschloss ich mich das System mit Chica PC-Shield Free zu scannen(dessen Ergebnis postete ich ja schon)und als nach dessen Bereinigung nochmal Meldefenster von Avast kamen, scannte ich mit Malwarebytes Anti-Rootkit das System und da kam zu Anfang noch bevor der Anti-Rootkit Scanner gestartet war auch ne Meldung wegen eines Rootkits ob man das bereinigen wolle oder so ähnlich. Danach startete der Malwarebytes Anti-Rootkit Scanner und noch während dessen Scans entschloss ich mich, danach sofort ein Backup/Image der Systempartition C einzuspielen.
Geschrieben von: SLE 29.11.2012, 11:59
Klingt so als hätte Avast mal wieder versagt und nur die Hälfte gestoppt....Comodo auch stumm geblieben?
Geschrieben von: simracer 29.11.2012, 12:03
Hast du wohl richtig eingeschätzt SLE
ja Comodo blieb stumm(wieder ne Bestätigung für dich)und was mich an Avast etwas stört ist warum Avast nicht die Registry mit überprüft 
Andererseits: müsste man auch mal von anderen Usern mit deren Virenschutzlösungen lesen können, wie deren Programme reagieren wenn besagte schädliche Datei auf deren System ausgeführt wird. Ich glaube, Avast ist nicht das einzige Virenschutz Programm das da ins straucheln gerät.
Geschrieben von: SLE 29.11.2012, 12:05
Warum sollte man? Bei Bereinigungen sinnvoll wenn dort irgendwas an Systemeinstellungen verbogen wurde. Der Rest ist irrelevant, wenn dort ein paar Verweise von Malware ins nichts stehen ist das ohne jegliche Auswirkungen.
€: Jedere gescheite Verhaltensblocker erkennt ZeroAccess.
Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.
Geschrieben von: simracer 29.11.2012, 12:10
Das mein ich doch SLE: Avast überprüft bei den OnDemand Scans nicht die Registry und wie Malwarebytes und andere Scanner aufzeigen, macht sich Malware auch in der Registry breit und verändert dort Einstellungen bzw setzt eigene ich nenn es mal Befehle rein.
Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.Mich würde mal interessieren wie Programme wie Kaspersky, BitDefender, G-Data, Avira Premium usw auf das File, das ich ausführte, reagieren würde bei Usern die besagte Programme im Einsatz haben.
Geschrieben von: SLE 29.11.2012, 12:25
Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht.
GData: BB erkennt ZA, Kaspersky sollte es mittlerweile (2013) auch in den Standardeinstellungen proaktiv stoppen, auf mehreren Wegen; BD: keine Ahnung; Avira hat bei sowas oft schnell Signaturen. Ein unkastriertes Avast mit Sandbox sollte hier auch geholfen haben.
Geschrieben von: J4U 29.11.2012, 12:41
Sorry, kurz vor der Spätschicht ist mir manchmal so komisch...
Geschrieben von: simracer 29.11.2012, 12:43
Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge?
Geschrieben von: SLE 29.11.2012, 12:57
Durch die nicht bereinigten Registry Einträge bleiben keine Störungen, wohl aber durch gerade bei Ransoms gern genutzte verstellte Standard-Registry Einträge. Da ist dann eben bei der Winlogon der Explorer nicht eingetragen und zuzsätzlich werden noch ein paar Programme (Regediit, Taskmanger) an der Ausführung gehindert. Folglich bereinigt man das System samt Registry, aber es funktioniert trotzdem nicht. Hinzu kommen oft manipulierte und ausgetauschte Systemdateien - auch da versagen viele Bereinigungen, weil löschen allein nicht hilft. Hatte gerade diese Woche wieder so einen Fall. (der hatte sogar Avast) Und hier liegt gerade auch bei Malwarebytes - einem der besseren Bereiniger - eine große Schwäche. Es gibt sehr wenige Programme, die hier intelligenter desinfizieren, z.B. Kaspersky aber auch MSE.
Bereinigt man die Registry nicht hat man vielleicht einen toten Eintrag zum Start suspekter Files, die aber eh nicht mehr existieren. Folglich irrrelevant.
Geschrieben von: simracer 29.11.2012, 13:03
Also SLE, ist es doch nicht so verkehrt wenn nicht sogar nützlich bei bestimmten Infektionen wie zum Beispiel Ransomsoftware wenn man einen Scanner einsetzt, der auch die Registry bereinigt und manipulierte Standard-Registry Einträge wieder korrigiert indem die Manipulationen die von der Infektion erstellt wurden gelöscht werden.
Geschrieben von: SLE 29.11.2012, 13:09
Ja, aber die allerallerallermeisten machen das eben nicht. Sie scannen nur die Registry und löschen - das ist oft überflüssig und reicht eben nicht. Sie verschlimmbessern oft sogar und erschweren eine manuelle Bereinigung, wobei hier die Eräuterung jetzt zu weit gehen würde.
Geschrieben von: markusg 29.11.2012, 13:36
is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)
Geschrieben von: simracer 29.11.2012, 13:46
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)
So weit richtig deine Aussage markusg, aber auch doch nur teilweise denn ich hatte ja ganz bewusst die Avast Schutzsteuerung deaktiviert gehabt um überhaupt das tdss File runterladen und danach ausführen zu können. Ein normaler User der nicht mit Malware spielt bzw. testet, hätte auf die Reaktion des Avast Netzwerkschutz richtig reagiert und den gesperrten Zugriff auf die Seite mit der Infizierung hingenommen. Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen.
Geschrieben von: markusg 29.11.2012, 13:48
Aber da alle zero access variannten im grunde gleich sind, währe bei einer nicht auf der blacklist stehenen seite die infektion warscheinlich erfolgreich gewesen, ich neme an, du hattest den netzwerk schutz dafür deaktviert, um das file zu laden.
Geschrieben von: simracer 29.11.2012, 13:52
Ich hatte die komplette Avast Schutzsteuerung deaktiviert um das File laden zu können. Ausserdem ist bei mir wie es SLE schon richtig andeutete, Avast etwas "kastriert" weil die Autosandbox deaktiviert ist die nach SLE's Meinung das TDSS gestoppt hätte.
Geschrieben von: SLE 29.11.2012, 14:08
Avast versagt hier insofern völlig, da nicht alle Einfallstore auf die Blacklist kommen können. Wollen wir hoffen, dass es wenigsten in den Standardeinstellungen mit Sandbox mittlerweile hier greift (sollte aber), denn mit Signaturen sind sie auch nicht bei den schnellsten dabei. Das TDL und ZeroAccess Verhalten ist seit über einem Jahr im Grunde dasselbe und Avast wurden die proaktiven Schwächen dazu oftmals aufgezeigt. Das dein (ebenfalls kastriertes) Comodo hier schweigt wundert mich fast noch mehr, den hier kann und sollte man das HIPS doch recht präzise einstellen, wenn man die Autosandbox deaktiviert.
Insofern: Auch wenn du im gewählten Falle etwas deaktiviert hast um an das File zu kommen, zeigt das Beispiel das dein momentanes Setup nicht effektiv gegen eine der weitverbreitesten Gefahren schützt. Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc.
Geschrieben von: simracer 29.11.2012, 14:15
SLE, glaubst du etwa, ich erstelle Backups von der Systempartition C ohne MBR? nein die Option MBR und auch die Option Erste Spur der Festplatte(Sektor 0)sind immer aktiviert wenn ich ein solches Backup erstelle. Ausserdem bin ich jetzt mal über "meinen eigenen Schatten gesprungen" und habe die Avast Autosandbox aktiviert mit der Einstellung auf Nachfragen.
Geschrieben von: SLE 29.11.2012, 15:00
Na dann, erneut ausführen und schauen ob's hilft.
Geschrieben von: Gregor 29.11.2012, 15:53
Habe momentan leider keinen Testrechner mehr übrig, würde mich interessieren wie EAM darauf reagiren würde.
Denke aber das der Verhaltensschutz greifen sollte.
Geschrieben von: markusg 29.11.2012, 15:55
Ja, aber diese Variannten scheinen den MBR nicht anzufassen.
Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen...
Geschrieben von: simracer 29.11.2012, 16:00
So SLE, wie schon erwähnt hatte ich die Avast Autosandbox aktiviert und auf Nachfragen gestellt, dann wieder die Avast Schutzsteuerung komplett deaktiviert, die Datei im ersten Link von blueX runtergeladen, auf dem Desktop gespeichert und dann die Avast Schutzsteuerung wieder komplett aktiviert und geschaut ob die Autosandbox auch wirklich an ist. So weit so gut, also führte ich die Datei aus und die Avast Autosandbox meldete sich das ich die Datei in der Autsandbox ausführen sollte und ich bestätigte das mit OK. Und was passierte dann? Ein Fake Antivirus konnte sich aktivieren trotz Autosandbox und ich hätte mir laut dem Fake eine Kaufversion von denen runterladen und kaufen sollen weil das Fake angeblich Infektionen auf meinem System fand
Konsequenz: Paragon Boot-CD ins CD-Fach gelegt, den PC resetet und das neueste Systembackup von heute vormittag aufgespielt.Noch eine Anmerkung zu der Aussage von markusg:
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?
Ist definitiv jetzt Schluss damit bei mir, nochmal hole ich mir keines der Files.
Geschrieben von: SLE 29.11.2012, 16:00
Denke aber das der Verhaltensschutz greifen sollte.
No prob. Es kommen Meldungen bei fast allen Aktionen.
Geschrieben von: SLE 29.11.2012, 16:04
@uweli
Interessant und schlecht für Avast. So mies hätte ich es nicht vermutet. Und Comodo bleibt wieder stumm? Ist ja fast unglaublich, dann würde ich beides verbannen, da es hier nicht um irgendwelche Exoten Malware geht.
Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen?
Geschrieben von: simracer 29.11.2012, 16:25
Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.
Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb:
Geschrieben von: simracer 29.11.2012, 16:57
Das: http://www.abload.de/image.php?img=unbenanntmbooi.jpg passiert jedes Mal wenn die Comodo Sandbox aktiviert ist und ich die Rennsimulationen starten/spielen will
Geschrieben von: SLE 29.11.2012, 17:07
Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich.
Zufriedenheit schützt nicht. Du hast eindrucksvoll gezeigt, dass deine Schutzssoftware in der von dir verwendeten Konfiguration gegen weitverbreitete Bedrohungen bei dir stumm bleibt. Die Gründe auf das Argument "bis jetzt bliebt ich sauber" habe ich oben erläutert. Dies sprechen nicht für die Software sondern für andere Faktoren. Ich bin zufrieden ohne klassische Schutzssoftware und habe mir nie was eingefangen. Bedeutet das im Umkehrschluss, dass diese Software komplett sinnlos ist??
Hilft auch nichts, da Updates immer nach der Sicherheitslücke kommen und sich zero-day Attacken gerade dadurch auszeichen zu arbeiten wenn noch kein Update existiert. Wozu brauchst du eigentlich Java?
Geschrieben von: simracer 29.11.2012, 17:10
Selbst wenn ich das ganze Steam Verzeichnis das auf der Partition D ist, in Comodo bei Defense+ Einstellungen/Einschleusen von Shellcode erkennen/Ausnahmen hinzufüge: http://www.abload.de/image.php?img=xxnqo0o.jpg und das übernehme damit das als Ausnahme definiert ist, kommt die Fehlermeldung die man in dem Bild des vorherigen Postings sieht
Geschrieben von: simracer 29.11.2012, 17:12
Und du wüsstest, was ich in Comodo für eine Einstellung machen müsste damit das nicht passiert?
Geschrieben von: SLE 29.11.2012, 17:17
Nein, es nicht mein PC und nicht meine gewählte Software. Wenn man sein Programm jedoch versteht sollte man das i.d.R. hinbekommen und wenn es über Ausnahmen ist, bei einer wirklichen Inkompatibilität muss das Programm weg.
Geschrieben von: simracer 29.11.2012, 17:19
Du hast ja schon gelesen das ich das komplette Steam Verzeichnis als Ausnahme für Comodo Defense+ definiert habe so wie ich das im vorherigen Posting schrieb? Auch das zusätzliche hinzufügen von Steam.exe als aktiver Prozess hilft nicht, die Fehlermeldung kommt trotzdem.
Geschrieben von: SLE 29.11.2012, 17:26
Steam ist ja sicher nicht der einzige Prozess des Spiels...
Geschrieben von: simracer 29.11.2012, 17:30
Das stimmt schon SLE, aber das gesamte Steam Verzeichnis von der Partition D war als Ausnahme definiert und da sind doch alle Anwendungen und Prozess drin die unter Steam laufen wie Race07, GTRevo, RaceON usw. Ohne installierten Steam Client würden die allesamt nicht laufen.
Geschrieben von: claudia 29.11.2012, 17:34
Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)
Geschrieben von: SLE 29.11.2012, 17:38
Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen?
Geschrieben von: simracer 29.11.2012, 17:42
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)
Nehme ich gerne an claudia
ich hätte nichts dagegen wenn ich auch die Comodo Sandbox als weitere Schutzebene nutzen könnte ohne das diese meine rennsimulationen "abwürgt"Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia.
Geschrieben von: SLE 29.11.2012, 17:45
Das ist ja auch supi. Aber dann hilft es dir vielleicht im konkreten Fall - aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen.
Geschrieben von: Gregor 29.11.2012, 18:06
Ok, danke...
Geschrieben von: markusg 29.11.2012, 18:12
Hi
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.
Windows firewall, kann ausreichend, Extra FW ist nicht nötig.
Sandboxie fürs browsen.
Vernünftiges AV wie emsisoft (nur als beispiel)
Da sind die Meldungen doch recht einfach gehalten, und aktuelle Malware wird, meiner Erfahrung nach auch geblockt, wenn es angezeigt wird. :-)
Geschrieben von: Schattenfang 29.11.2012, 20:01
@simracer
Ich möchte Dir wirklich Sandboxie ans Herz legen, wenn du Dich mit diesen Technologien beschäftigen möchtest. Erstens lernst Du bei der Konfiguration und Einstellung schon ziemlich viel und zweitens ist Comdo im Vergleich zu Sandboxie eine Nullnummer. Nicht böse gemeint, aber auf Avast würde ich mich allein nie verlassen. Comodo ist zwar durchaus ein Zusatz, aber es gibt bessere. Warum nicht diese nutzen?
Geschrieben von: claudia 29.11.2012, 20:08
Comodo ist mehr als nur eine Firewall.
Ab Win 7 ist zwar die Firewall von Windows (hinter einem Router) völlig ausreichend, aber D+ ist schon ein mächtiges Werkzeug gegen Malware.
Eigentlich reichen die Bordmittel ab Windows 7 insgesamt aus (FW, AV, Benutzerkonto, EMET und ein paar Anpassungen) (+ Brain.exe)
Geschrieben von: blueX 29.11.2012, 20:15
Ich sehe es auch so wie Sebastian, dass die URL-Blockierung keinen wirklichen Schutz bietet. Was ist, wenn die Malware aus anderen Quellen stammt (Einschleußung über USB-Stick oder durch einen Exploit).
Übrigens werden seit heute keine Backdoors mehr verteilt, sondern wieder Trojan.FakeAV. Fast stündlich sind neue Varianten zu finden.
Wie schlecht, dass die AVs sind, erkennt man bei einem Scan einer Datei: https://www.virustotal.com/file/cc653bf24555433db3573713cb8db4bee7e4e383494e2c4a14f3c03a0a0d34bd/analysis/
Die Signatur von Kaspersky wurde übrigens erst durch eine Einsendung von mir hinzugefügt. Auch Kaspersky erkennt derzeit die Files nicht.
Nicht mal heuristisch besteht eine Erkennung der AVs.
Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen.
EDIT: Das Sample habe ich übrigens an alle gelisteten AVs bei Virustotal eingesandt. Das nächste in einer Stunde ist aber wieder sicher undetected.
Geschrieben von: Schattenfang 29.11.2012, 20:25
Da bin ich anderer Meinung. D+ ist ein Hips und in diesem Sektor gibt es imo bessere Lösungen.
Geschrieben von: markus17 29.11.2012, 20:29
Genau so ein FakeAV habe ich letztens von einem Notebook einer bekannten entfernt. Wenn ich das aktuelle Sample aus dem ersten Link in der VM mit G Data teste, dann wird dieses ebenfalls über die Verhaltensüberwachung gelöscht. Mittlerweile schlagen auch beim URL Scan von V-Total weitere Hersteller Alarm: https://www.virustotal.com/url/12d64186c69f741a6a7903400910323daf9a4a34ba9239671647648c4cbb044c/analysis/1354217227/
*edit*
Wenn ich die doppelte Dateiendung entferne, dann wird die Malware immer noch von G Data gelöscht.
Geschrieben von: simracer 29.11.2012, 20:30
Bei der Avast Autosandbox heute stand etwas drin von Generischer Erkennung und das man die Anwendung in der Autosandbox ausführen solle(war vorgegeben, hätte man aber auch ändern können auf Abbrechen oder normal ausführen). Trotzdem konnte sich das Fake AV aktivieren und mein System "infizieren".
Geschrieben von: simracer 29.11.2012, 20:36
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.
markusg, dann erlaube mir mal die Gegenfrage was Comodo Meldungen die von Usern nicht verstanden werden, damit zu tun haben das die aktivierte Comodo Sandbox meine Rennsimulationen nicht starten lässt. Die Comodo bringt nämlich keine Meldung wenn ihre Sandbox aktiviert ist, was ich machen will/soll wenn ich meine Rennsimulationen starten will. Zu Anfang wenn die Comodo frisch installiert ist(und die Sandbox noch deaktiviert ist von mir), kommen 1 oder 2 Abfragen vom Defense+ und von der Firewall wenn Steam und Race07 gestartet werden.
Geschrieben von: claudia 29.11.2012, 20:42
besser vielleicht, aber sicherlich nicht preiswerter
Geschrieben von: claudia 29.11.2012, 20:45
bist du sicher, das die Benachrichtigung für Prozesse die automatisch in der Sandbox ausgeführt werden, aktiv ist?
Geschrieben von: simracer 29.11.2012, 20:57
Meinst du das claudia: http://www.abload.de/image.php?img=cccchjsj4.jpg ? Ich hab gerade Comodo komplett neu installiert, die Sandbox aktiviert gelassen, das System rebootet nachdem ich die Konfiguration auf Proactive Security geändert habe und nun bin ich gespannt was passiert wenn ich die Rennsimulationen starten will.
Edit/Update: es kam keinerlei Abfragefenster und die Fehlermeldung kam erneut. In der Liste der aktiver Prozesse steht die Steam Anwendung als vertrauenswürdig drin: http://www.abload.de/image.php?img=comodoy9p05.jpg und was mich etwas stutzig macht: warum steht in der ganzen Liste bei den Prozessen Sandbox Level aus? Comodo hatte ich doch deinstalliert gehabt und dann neu installiert gehabt mit dieses Mal aktiver Sandbox.
Geschrieben von: simracer 29.11.2012, 21:34
Nachdem ich nun meine Rennsimulationen mit deaktivierter Comodo Sandbox starten konnte, stehen nun bei Comodo Defense+ unter Liste Aktiver Prozesse 3 Pozesse drin wenn die Rennsimulation läuft: http://www.abload.de/image.php?img=19nssr.jpg und nur der Prozess Steam.exe wurde als Vertrauenswürdig beurteilt. Die beiden anderen nicht sondern Unbekannt und wenn ich bei denen hergehe und die einstelle das das Vertrauenswürdige Dateien wären, ändert das nichts und die werden weiterhin als Unbekannt von Comodo geführt.
PS: Alle 3 Prozesse wurden schon von mir an Comodo übermittelt, das hab ich vorhin auch nochmal gecheckt
Weiteres Edit: Endlich klappt es: Alle 3 Prozesse von Steam und Race07 werden nun als Vertrauenswürdig aufgeführt: http://www.abload.de/image.php?img=vcomodo2bgbki.jpg und die Rennsimulation startet mit aktivierter Comodo Sandbox
Ein ganz dickes Danke an claudia 
Geschrieben von: claudia 29.11.2012, 21:45
bei vertrauenswürdigen Prozesse ist der Level auf aus und so wie im Bild zwei richtig. (Ausnahme wenn du bewusst Prozesse in der Sandbox starten willst wie Browser z.B.)
Starte mal bei den zwei unbekannten Prozessen mit rechter Maustaste online suche und setze sie danach als Trust.
Danach Programm (Rennspiel) neustarten.
Geschrieben von: simracer 29.11.2012, 21:48
claudia, lese nochmal den letzten Abschnitt meines letzten Postings Was mir gerade einfällt: Steam.exe das schon als Vertrauenswürdig geführt wurde, wurde nochmal übermittelt. Meinst du das könnte der "Knackpunkt" gewesen sein? Die 2 anderen Prozesse waren schon übermittelt und bis vorhin aber noch als Unbekannt geführt.
Geschrieben von: claudia 29.11.2012, 22:01
ja hatte ich überlesen.
Schön das es es klappt. 
Geschrieben von: simracer 29.11.2012, 22:02
Bin ich jetzt was von froh und vor allem Dir dankbar claudia
Geschrieben von: simracer 29.11.2012, 22:05
SLE, wie du siehst, bin ich gewillt mich damit zu beschäftigen und habe Dank der Mithilfe von claudia es nun endlich geschafft das meine Rennsimulationen auch mit aktivierter Comodo Sandbox starten/laufen.
Geschrieben von: SLE 29.11.2012, 22:20
Und, kennst du die wahre Ursache? Das Problem ist einerseits natürlich die Verschachtelung von Comodo, andererseits aber auch die Herangehensweise. Da werden HIPS Ausnahmen gesetzt, wenn es Probleme mit der Sandbox gibt etc.
Hoffentlich bleiben die Steam-Sachen sauber... Leider ist die Hilfe ja in englisch, so dass dir das das Einarbeiten zusätzlich erschwert.
Aber zurück zum Ursprungsproblem: Probiere doch mal dein Comodo so zu konfigurieren, dass es dich vor echten Bedrohungen (Testfile hast du ja) auch warnt und somit als Schutz einen Sinn macht und nicht nur als Rennspielblocker.
Geschrieben von: simracer 29.11.2012, 22:47
Irrtum SLE, die Testfiles hab ich nicht mehr, die wurden von mir mit TuneUP Schredder gelöscht. Wenn, dann müsste ich die mir erst wieder runterladen und sorry im Moment hab ich dazu keine Lust mein System absichtlich damit auseinderzusetzen. Vielleicht erinnerst du dich auch daran was markusg dazu schrieb: http://www.rokop-security.de/index.php?s=&showtopic=22361&view=findpost&p=363520 und ich habe nur einen PC hier stehen und keinen Testrechner da.
Geschrieben von: SLE 29.11.2012, 23:05
Na dann, hoffentlich kommen nicht mal ähnliche vorgehende, besser getarnte Schädlinge auf deinen PC.
Geschrieben von: simracer 29.11.2012, 23:15
Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren? wieder solche Files auf meinem Arbeitsrechner auszuführen um zu sehen wie meine Schutzsoftware darauf reagieren würde wenn ich bei dieser Einstellungen ändere.
Geschrieben von: Xeon 29.11.2012, 23:31
Uwe, jetzt lass dich doch hier von dem Unfug nicht verrückt machen.
Geschrieben von: simracer 29.11.2012, 23:57
Lasse ich mich auch nicht Xeon
Geschrieben von: DarkProjekt 30.11.2012, 00:01
http://www.cosgan.de/smilie.php
Er bemüht sich, dir ausführlich zu erklären, was du da auf deinem Rechner veranstaltest.
Auch Wenn du vor lauter Langeweile und üppig vorhandener Tagesfreizeit keine andere Beschäftigung findest als deinen Hauptrechner zu infizieren um "interessante" Foreneinträge generieren zu können, empfehle ich dir die Installation von Virtual Box.
Kostenlos, leicht zu konfigurieren und die ideale Plattform, halbwegs sicher Erfahrungen verschiedener Security Lösungen in deinen 4-5 favorisierten Foren in Form von täglichen Berichten bereitzustellen und dabei trotzdem nicht zur Virenschleuder zu mutieren, der sich u.a. ahnungslos seine Passwörter klauen lässt.
Geschrieben von: markusg 30.11.2012, 00:05
Hi, Malware auf dem Produktiv System laufen zu lassen, ist aus meiner Sicht, keine gute idee. Nen Vorwurf war das nicht, nur ne Feststellung
Geschrieben von: SLE 30.11.2012, 00:12
Natürlich ist das leichtsinnig hoch x. Weil auch in der Zeit bis dein Image zurückgespielt wurde genug passieren kann. Nur du machst es ja trotzdem und hast uns so hier allen gezeigt, dass dein Schutzkonzept sehr anfällig ist - du musst nur irgendwie an den richtigen Dropper kommen. Du bist aber schon zufrieden wenn irgendwelche Spiele laufen und nicht wenn dein PC geschützt ist. Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.
Geschrieben von: simracer 30.11.2012, 01:46
Punkt 1: Wenn bei Avast die Autosandbox und auch die Comodo Sandbox aktiviert ist und das File aus Link 1 ausgeführt wird, wird das File automatisch in der Avast Autosandbox ausgeführt und analysiert und dann von Avast in dessen Quarantäne verschoben.
Punkt 2: das fast gleiche Szenario mit dem File aus Link 2 nur mit dem Unterschied das nun die Comodo Sandbox deaktiviert war. Ergebnis: siehe Punkt 1 das File wird automatisch in der Avast Autosandbox ausgeführt und analysiert und dann ebenfalls in die Quratäne verschoben.
Punkt 3: Die Comodo Sandbox ist noch deaktiviert aber die Avast Autosandbox steht nun auf Nachfragen: Beim ausführen des Files aus Link 2 geht ein Fenster der Avast Autosandbox auf in dem empfohlen wird das File in der Avast Autosandbox auszuführen und wenn ich das bestätigt habe sehe ich das der Prozess AvastServive exe wohl abschmiert und das Fake Antivirus aktiv werden kann und da Avast(und Comodo)versagen. Falls du es nicht glaubst SLE, hol dir die 2 Files aus den Links, installiere dir Avast Free und teste es selbst(du hast bestimmt einen Testrechner oder ein virtuelles System wo du das machen könntest wenn du wolltest)
Ich behaupte nein Avast ist nicht zu schwach dafür und habe mittlerweile eingesehen das die Avast Autosandbox eine effektive Verrteidigungsfunktion sein kann und werde diese künftig aktiviert lassen mit der Einstellung Auto.
Geschrieben von: Scrapie 30.11.2012, 08:52
Hat einer mal die versch. Generationen miteinander im Hex verglichen?
Scrapie
Geschrieben von: SLE 30.11.2012, 10:14
@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.
File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.
@Scrapie
Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht.
Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten.
Geschrieben von: Scrapie 30.11.2012, 10:42
@SLE:
Cheers !
Hatte es so verstanden, dass immer leicht veränderte Varianten hochgeladen werden. Vor ein paar Jahren (Ende 2008) war das der Fall unter 218.93.205.xxx (blueX weiß es bestimmt noch ). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.
Die Erkennung war immer gegen Null und wenn die Hersteller dann innerhalb der Woche ne generische Erkennung gebastelt hatten, dann kam die nächste Welle. War ganz lustig das "Hamster-Rad" aka Signaturerkennung über einen so langen Zeitraum hin zu verfolgen ...
Scrapie
Geschrieben von: Schattenfang 30.11.2012, 10:50
Uwe, Prozesse einfach so auf eine Whitelist zu schieben bringt Dir keine Sicherheit. Ich kenne Comodo nicht, aber wenn sie damit komplett aus der Überwachung raus sind, dann hast Du selbst das zusätzliche Schutzlevel durchbrochen. Von daher würde ich an Deiner Stelle die Konfiguration überprüfen und mich in die Materie einlesen. Ein Hips (oder ähnliche Systeme) zu verwalten und einzustellen dauert, das ist ganz normal. Ich habe bei Appguard ca. sechs Stunden dafür gebraucht und selbst da sind mir noch immer wieder kleine Sicherheitslücken aufgefallen, die ich nachbessern musste.
Aber im Allgemeinen gilt: Personen, die das Wissen haben brauchen kein Hips. Personen, die das Wissen (noch) nicht besitzen, hilft ein Hips nicht. Es gibt andere kostenlose Programme, die einfacher zu bedienen sind und Dir mehr als Scheinsicherheit bieten. Dein Vorgehen in diesem Fall ist fahrlässig. Wenn Dir das egal ist, dann kannst Du gleich die zusätzlichen Computerressourcen freigeben und Comodo deinstallieren - kommt auf das selbe raus.
Geschrieben von: SLE 30.11.2012, 10:53
). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.Jepp, dachte auch erst hier ist es sowas. Hatten hier dieses Jahr (muss hier bei Rokop in irgensonen Sammelthread stehen - VT Thread oder infizierte Webseiten) auch so einen Fall wo je Download ein individueller Dropper generiert wurde, leichteste Variationen im HEX aber die AVs hatten enorm zu kämpfen.
Geschrieben von: simracer 30.11.2012, 11:03
File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.
Ein paar Fragen hätte ich dazu noch SLE: kann es daran gelegen haben das Avast scheiterte weil bei den ersten Tests bei mir zum einem die Autosandbox zuerst nicht aktiviert war und beim nächsten Testversuch die Autosandbox auf Nachfragen stand und nicht auf Auto? Denn komischerweise reagierte Avast ja gestern bei den letzten 2 Tests mit den 2 Files mit eingeschalteter Autosandbox im Auto Modus so das die Files gleich in der Sandbox landeten, dort analysiert wurden und dann in Quarantäne verschoben wurden. Die nächste Frage betrifft Comodo: kann der Spiele-Modus daran Anteil haben das das Comodo HIPS Defense+ nicht reagiert und/oder die Einstellungen für die Firewall und Defense+ die beide auf Sicherer Modus stehen? wäre es besser wenn ich jeweils Trainings oder Paranoid Modus wählen würde?
Geschrieben von: claudia 30.11.2012, 14:57
bin zwar nicht Sebastian kann aber auch deine Fragen zum Teil beantworten.
1. dein erster und entschiedener Fehler mit der Autosandbox von Avast war, nicht nach dem aktivieren neu zu booten.
2. es macht keinen Unterschied ob Auto oder Nachfragen
In der Standardeinstellung wird ein zu startendes Programm, das avast! als verdächtig einstuft, automatisch in dieser Sandbox ausgeführt. In den Einstellungen der AutoSandbox kann dies geändert werden, so dass Avast! zuerst nachfragt. Wenn Sie dabei "In Sandbox ausführen" wählen, wird das Programm in der Sandbox gestartet und kann dort Ihrem System keinerlei Schaden zufügen.
( mit Heuristik auf Hoch und PUP Erkennung an, ist die Erkennung deutlich besser ohne fehleranfällig zu sein )
zu Comodo
die Firewall Einstellung würde ich auf Eigene Richtlinie stellen um mehr Kontrolle zu haben
die Autosandbox erhöht nicht zwangsläufig die Sicherheit aber deutlich den Komfort
Ohne Sandbox kommen halt die HIPS Abfragen recht häufig und dann hängt es halt von deinem Wissen ab, die richtige Entscheidung zu treffen
Mit Sandbox den Grad der Einstellung der Ausführungskontrolle was ein Programm innerhalb der Sandbox so darf und was nicht. 5 Stufen stehen zur Auswahl.
- Partially Limited (Default) - The application is allowed to access all the Operating system files and resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged operations like loading drivers or debugging other applications are also not allowed.
- Limited - Only selected operating system resources can be accessed by the application. The application is not allowed to execute more than 10 processes at a time and is run with out Administrator account privileges.
- Restricted - The application is allowed to access very few operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.
- Untrusted - The application is not allowed to access any of the Operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.
- Blocked – The application is not allowed to run at all.
Geschrieben von: simracer 30.11.2012, 16:00
Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus.
Geschrieben von: SLE 30.11.2012, 16:46
Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte.
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.
Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen?
Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.
Geschrieben von: simracer 30.11.2012, 17:15
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.
SLE, es kann aber auch daran gelegen haben was claudia schrieb: nämlich das das System hätte rebootet gehört nachdem ich die Autosandbox aktiviert hatte und ich hatte ja nicht das System rebootet.
Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.
Ich schaue mir jetzt mal den Trainings-Modus an, das scheint ein guter Kompromiss zu sein zwischen Paranoider Modus und Sicherer Modus und ich will mich ja mit dem HIPS der Comodo auseindersetzen, will sehen wenn Abfragefenster kommen und dann darauf reagieren wenn ich sehe was für eine Anwendung/Aktion in den Fenstern gemeldet wird.
Geschrieben von: claudia 30.11.2012, 17:32
D+ ist der Sichere Modus die richtige Einstellung! Trainingsmodus wie der Name schon sagt trainierst du dein HIPS (alles wird erlaubt und Regeln erstellt)
@Sebastian Uwe hätte neu booten müssen, damit die Sandbox auch richtig funktioniert.
Geschrieben von: SLE 30.11.2012, 17:45
Sowie wie er es in seiner Aufzählung http://www.rokop-security.de/index.php?showtopic=22361&view=findpost&p=363594, beschriebt war der Test mit Nachfragen "Punkt 3". Vorher hat es geklappt, da hätte also schon mehrmals gebootet sein müssen bzw. es zeigt, dass sie im Automodus funktionierte. Zum Test an sich: Äpfel und Birnen, einen Tag mit ZA den anderen mit Lameshield. (Bei ZA kackt Avast eh ab...). In der berichteten Form nicht nachvollziehbar und so helfen auch keine Fragen ala hätte, wäre, könnte.
Das spannende, unabhängig der Avast Sandbox-Story: Sein Comodo meldete sich nie, was an den Einstellungen liegen muss.
Ich will ja keinem zu Nahe treten: Aber ein HIPS ala Comodo scheint nix für Uwe zu sein, er blickt da (noch) nicht duch. Das sehe ich wieder aktuell an der Trainingsmodus Wortmeldung, am vermischen von Sandbox und HIPS weiter oben, an einigen älteren Beiträgen und Missinterpretationen von Comodo Meldungen.
Geschrieben von: claudia 30.11.2012, 17:58
habe nochmal Avast auf die schnelle installiert um das mit der Sandbox zu zeigen.
Comodo wird ja in der neuen Version das HIPS durch ein BB ersetzen und somit noch "anfängertauglich" sein
(mit dem Trainings Modus kommt wahrscheinlich davon, das du Uwe jetzt völlig Lala machst)
|
Geschrieben von: simracer 30.11.2012, 18:09
claudia, das Fenster mit dem Systemneustart bei Avast sah ich bei mir nicht als ich die Autosandbox aktivierte. In welchem Modus läuft bei dir das Comodo HIPS Defense+? Paranoid Modus?
Geschrieben von: Xeon 30.11.2012, 19:06
Wie kann man sich so etwas hier eigentlich freiwillig antun, Sandbox hier, Firewall da und Paranoid Modus auf der anderen Seite.
Wer als erster hier den 100% Schutz erreicht, meldet sich dann bitte mit Finger heben. 
Geschrieben von: SLE 30.11.2012, 19:20
+1.
Sie nennen es so, dass was man bisher sehen konnte...nunja es wird sich zeigen.
Ich habe gar nichts geschrieben, nur das er Comodo nicht vernünftig eingestellt hat - sonst hätte er Meldungen bekommen. Hier hat er bewusst mit Malware gepsielt aber die Programme sollen ja schützen wenn man mal irgendwo unbewusst was kommt. Und das sie das in seiner Konfiguration nicht können zeigte er. Folglichwäre doch das beste auf Siganturen zu hoffen und ein paar automatische Features mitzunehmen: Im Avast die Autosandbox und zwar automatisch. LaLa macht er sich mit seinem rumgestelle alleine, wenn und weil er nicht weiß was er macht.
Das man aber zumindest weiß, welche Modi bei einem genutzten Produkt was bewirken, setze ich voraus - sonst hat man das falsche Produkt. Das ist quasi Sufe 0. das es um eine HIPS Lösung geht wäre Stufe 1 dann die richtige Konfiguration, Stufe 2 die Meldungen zu verstehen, Stufe 3 richtig zu entscheiden und wenn man das alles hat gelangt man zu Stufe 4 und merkt, dass man kein HIPS mehr braucht.
Worum ging der gehijackte Thread eigentlich?
Geschrieben von: claudia 30.11.2012, 19:54
Wer als erster hier den 100% Schutz erreicht, meldet sich dann bitte mit Finger heben. alles andere wäre doch langweilig und deshalb sind wir doch hier im Forum aktiv.
Jene die das nicht wollen und können verplempern ihre Zeit mit Facebook und Twitter
@Uwe
siehe Beitrag 100 hier
D+ ist der Sichere Modus die richtige Einstellung(benutze den auch selben da ich nicht Paranoid bin)
Geschrieben von: blueX 30.11.2012, 21:32
Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht.
Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten.
Das wundert mich auch ein wenig. Die Wochen vorher wurde über einen längeren Zeitraum leicht modifizierte FakeAVs verteilt. Seit ein paar Tagen ist dies anders. Auch das Intervall ist länger.
Wenn die AVs 10 dieser leicht modifzierten Varianten vorliegen haben, dürfte es wohl doch nicht so schwer sein, eine Signatur zu erstellen, welche die Malware erkennt, oder?
Geschrieben von: markusg 30.11.2012, 21:42
Doch, denn die Malware Autoren wissen ja, welche Anpassungen sie vornemen müssen, um die Signaturen zu brechen, sie haben eigene Scanning services um das zu testen etc.
Geschrieben von: blueX 30.11.2012, 21:59
Bei den Massen, die in den letzten 3 Wochen veröffentlich wurden, geht das nicht.
Die Samples werden ja massenweise undetected gemacht.
Geschrieben von: blueX 30.11.2012, 23:51
Derzeit gibt es wieder im 20-Minuten-Takt eine neue Trojan.FakeAV-Variante, die sich sehr ähnlich sind.
Geschrieben von: markusg 01.12.2012, 03:31
@blueX
das ist aber nur ne vermutung oder? wenn sie ein script haben, um die samples automatisch hochzuladen und die ergebnisse zu vergleichen wird das schon klappen.
Und, wenn du Malware nur auf bestimmte Programme anpassen willst, wird es um so einfacher
Geschrieben von: blueX 01.12.2012, 21:41
das ist aber nur ne vermutung oder?
Natürlich ist es nur eine Vermutung.
Geschrieben von: Scrapie 02.12.2012, 06:48
Man merkt, dass du noch nicht praktisch damit (Signatur finden, eingrenzen, Code anpassen und testen auf Laufzeit und Erkennung oder wenn kein Source vorhanden ist dann disassemblen, patchen und testen auf Laufzeit und Erkennung) zu tun hattest. Über die (offiziellen aber auch privaten) Online-Scanning-Dienste geht selbiges viiiiiieeeeeeel zu langsam.
Ein selbst geschriebenes Programm braucht in einer VM auf einem Intel Duo 2,93 MHZ für eine Datei von nur 60kb Größe zwischen 3 und 7 Minuten je Signatur und je AV. Der Flaschenhals sind hier die Scan-Zeiten der AV's. Das ist nur, um eine Signatur einzugrenzen. Das eigentliche patchen und re-testen dauert u.U. ne Stunde - und dann hat man eine (1) Variante.
Bei der Generationsfolge tippe ich eher auf einen polymorphen Crypter - auch wenn ich einen, der 100% diesen Anspruch erfüllt - noch nicht gesehen habe.
@blueX
Je mehr Samples, desto sicherer wird die Heuristik. Hast du schon auf Crypter gecheckt, welcher da drinne sein könnte - wenn es denn einer ist...?
Geschrieben von: blueX 02.12.2012, 11:19
Es wird kein Crypter verwendet. Gerade deshalb ist wahrscheinlich die Erkennung so schlecht.
Geschrieben von: M.Richter 04.12.2012, 01:50
@Uwe
wenn du ein wenig englisch kannst (oder Dir wenigstens die Bilder richtig betrachtest), dann hilft dir das hier vllt auch weiter:
http://www.techsupportalert.com/content/how-install-comodo-firewall.htm
Von der Basis her, ist das wohl die beste Einstellung. Danach kannst Comodo noch individuell konfigurieren. Aber wie schon mehrfach erwähnt, solltest dich dann auch mal richtig mit Comodo beschäftigen, sonst ist es wohl wirklich die falsche Lösung für dich.
EDIT: Außerdem ist zu sagen, dass ich kein Fan von deiner Variante, Comodo + Avast zusammen laufen zu lassen, bin.
Entscheide dich für eins. Ist mit Sicherheit die bessere Variante.
Geschrieben von: simracer 04.12.2012, 02:03
EDIT: Außerdem ist zu sagen, dass ich kein Fan von deiner Variante, Comodo + Avast zusammen laufen zu lassen, bin.
Danke für den Link, aber frag mal claudia was Sie mit mir macht...........Sie gibt mir Tipps zur ihrer Meinung nach richtigen Konfiguration von Comodo in Verbindung/Verbund mit Avast Free. Schau mal hier: http://www.computerinfo-board.de/post42416.html#p42416 wenn du magst. Ausserdem bekam ich schon von ihr Tipps und Hilfe per PN.
Geschrieben von: simracer 11.12.2012, 23:46
SLE ich hab dich nicht vergessen: vor ein paar Tagen meintest du ja, es wäre schön gewesen, wenn man gesehen hätte wie AVG Free auf die 2 Files reagiert und was AVG Free damit macht. Okay, ich hab vorhin nochmal AVG Free(und OA Free FW)installiert, die 2 Files neu runtergeladen und auf dem Desktop gespeichert: http://www.abload.de/image.php?img=unbenanntdlosf.jpg und dann nacheinander versucht diese auszuführen. Anbei dazu die Bilder, die zeigen wie AVG Free reagierte(die mitinstallierte OA Free FW hatte ich zuvor beendet): http://www.abload.de/image.php?img=16bruo.jpg http://www.abload.de/image.php?img=2nrorb.jpg http://www.abload.de/image.php?img=3rwq73.jpg http://www.abload.de/image.php?img=474ro5.jpg http://www.abload.de/image.php?img=5c9qcj.jpg
Geschrieben von: SLE 12.12.2012, 00:06
Zum einen ist es nicht vergleichbar, da völlig neue Files. Zum anderen ging es ja um den proaktiven Teil, also ob das IDP mittlerweile wieder taugt - hier zeigen aber alle Screenshots Erkennungen auf die auf einer schon vorhandenen Signatur beruhen (auch wenn IDP davorsteht, ist es das von mir angesprochene "Schummeln", was einige mit ihren BBs tun, die sich eben leider nicht mehr isoliert testen lassen. Auch ein Grund warum @IBK in den dynamischen Tests keine Erkennungen der Einzelkomponenten ausweist)
Geschrieben von: simracer 12.12.2012, 00:20
Zumindest hast du ja jetzt gesehen, wie AVG auf die Files reagiert. Ein danach gestarter Scan mit Malwarebyte Anti-Rootkit ergab dann aber, das AVG Free wohl nicht alles entfernen konnte(einen OnDemand Scan mit AVG machte ich nicht):
www.malwarebytes.org
Database version: v2012.12.11.12
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
[administrator]
11.12.2012 23:59:09
mbar-log-2012-12-11 (23-59-09).txt
Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 26063
Time elapsed: 9 minute(s), 59 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.
Registry Values Detected: 2
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.
HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: -> Delete on reboot.
Registry Data Items Detected: 3
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (shell32.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.
Folders Detected: 6
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\U (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\L (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a (Trojan.Siredef.C) -> Delete on reboot.
Files Detected: 3
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\@ (Trojan.Siredef.C) -> Delete on reboot.
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
(end)
Und deshalb(aber auch ohne das Scanergebnis von Malwarebytes)wird das: http://www.abload.de/image.php?img=unbenannt22qjrcv.jpg eingespielt.
Geschrieben von: J4U 12.12.2012, 10:46
Geschrieben von: blueX 09.03.2013, 22:14
Die von mir im ersten Post genannten Links sind immernoch aktiv. Es werden seit Monaten täglich mehrere duzen neue Samples veröffentlicht.
Die AVs schaffen es einfach nicht eine ordentliche generische Erkennung zu bauen ... das ist echt Wahnsinn. Fast alle neue Samples, die im Stundentakt veröffentlicht werden, sind laut Virustotal nahezu alle unbekannt.
Geschrieben von: simracer 09.03.2013, 22:42
bluex, ich hab mir gerade extra eines der Files runtergladen, Online Armor deaktiviert und das File dann ausgeführt um zu sehen wie Avast Free reagiert. Ergebnis: http://www.abload.de/image.php?img=unbenanntojuf4.jpg
http://www.abload.de/image.php?img=xxb2uji.jpg
War bei den letzten 4-5 Files von dort auch so wenn ich Avast Free installiert hatte. Die Files wurden erkannt mit solchen Meldungen wie hier und in Virus-Contäner(Quarantäne)verschoben und es wurde kein GVU Trojaner Sperrbildschirm aktiviert. Den einzigen Unterschied den ich bei den genannten letzten 4-5 Files ausmachen konnte war nur der das je nach File der Dateisystemschutz aktiv wurde oder die Autosandbox.
Die anschliessende Überprüfung per Quick-Scan mit Malwarebytes Free ergibt:
www.malwarebytes.org
Datenbank Version: v2013.03.09.12
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
:: [Administrator]
09.03.2013 22:47:26
mbam-log-2013-03-09 (22-47-26).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 237882
Laufzeit: 4 Minute(n), 12 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Geschrieben von: blueX 10.03.2013, 13:29
Also mein Avast Free erkennt die aktuelle Datei nicht.
Auch laut Virustotal schaut es sehr mau aus: https://www.virustotal.com/de/file/2c55ea79d0617ab6c1c8e6c9d1d5ff83d48fef53de210744fd2beae06829bbf6/analysis/1362918387/
Geschrieben von: simracer 10.03.2013, 14:13
Hast du Avast 8? wie bist du vorgegangen? ich hab zuerst den Avast Schutz deaktiviert damit ich die Seite aufrufen und das File runterladen konnte, hab das File auf dem Desktop abgespeichert, die Online Armor Free FW deaktiviert, den Avast Echtzeitschutz alle 8 Module wieder aktiviert und dann das File ausgeführt. Zuerst tat sich geschätzt ein paar Sekunden lang nichts doch dann kam das Avast Fenster vom Dateisystemschutz und die andere Einblendung.
Geschrieben von: markus17 10.03.2013, 16:33
Der SmartScreen Filter vom Internet Explorer blockiert die Seite mittlerweile auch schon im Vorhinein. Der Webschutz von G Data 2014 hat ebenfalls die Website geblacklisted.
Geschrieben von: simracer 10.03.2013, 17:03
markus17, gleiches macht auch WOT und der Avast Webschutz oder Netzwerkschutz. Um an die Dateien dort zu gelangen, deaktiviere ich kurz die Avast Schutzsteuerung und WOT. Nach dem erfolgten Download wird es wieder aktiviert. Gerade wieder ein File dort runtergeladen und das jetzige wird von der Autosandbox gestoppt beim Ausführen(OA Free war wieder beendet/deaktiviert für den Test):
http://www.abload.de/image.php?img=avastalarmw7l97.jpg
http://www.abload.de/image.php?img=avihlgk9lse.jpg
Geschrieben von: simracer 10.03.2013, 19:00
Und auch dieses Mal bestätigt ein danach ausgeführter(dieses Mal ein ausführlicher Scan von C)mit Malwarebytes Free: Avast hat funktioniert.
Geschrieben von: Catweazle 10.03.2013, 19:37
Vielleicht, solltet ihr die Samples by Malwarebytes' Anti-Malware einsenden, die MBAM nicht erkennt.
Und dann seht ihr, ob das Zeug eingebaut wird, oder bzw. es dauern tut bis sie eingepflegt wird.
Catweazle
Geschrieben von: simracer 10.03.2013, 19:56
Catweazle, wer sagt denn das Malwarebytes die Files nicht erkannt hätte? Malwarebytes fand deshalb per OnDemand Scans nichts mehr bei meinen 2 Tests weil die von Avast in dessen Quarantäne verschoben wurde. Malwarebytes ist immer noch ein starker Scanner um damit sein System auf Ransomsoftware hin überprüfen zu können.
Geschrieben von: SLE 10.03.2013, 19:56
Ach so? Wenn Programm B nichts findet hat Programm A funktioniert? Das ist dieselbe Unlogik, welche die meisten Youtube "Tester" bringen. Gerade bei zeroday ist es nicht ungewöhnlich, dass A, B, C und D nichts finden und trotzdem ist was da.
Ich möchte damit ausdrücklich nicht sagen, dass AVAST hier nicht blockiert hat. Aber der saubere Malwarebytes Nachtrag ist hier unnötig und zeigt nix. Der Übersicht wäre es in solchen Fällen zumindest dienlicher zu schreiben: MWB fand nichts. Da muss man nicht den ganzen Log per Copy und Paste reinklatschen.
Wenn ihr Erkennung vs . Nichterkennung vergleichen wollt, dann schreibt v.a. mal die Checksummen der getesteten Files. Oft wechseln die recht schnell und eure Meldungen sind sonst nicht vergleichbar.
Geschrieben von: Catweazle 10.03.2013, 20:01
@ simracer
Da lag ich halt danneben, mit meiner Aussage dazu.
Catweazle
Geschrieben von: simracer 10.03.2013, 20:05
Mach ich dir das nächste Mal und ich wollte heute eigentlich noch in der Avast Quarantäne die Eigenschaften der 3 Files die sich darin befanden per Screenshot festhalten und hier posten, dachte dann aber das wäre to much und hab es gelassen und die Files endgültig gelöscht.
Geschrieben von: SLE 10.03.2013, 20:08
Checksummen kannst du ohne Screenshots schreiben. Eindeutiger.
Geschrieben von: simracer 10.03.2013, 20:14
Damit hab ich mich noch gar nicht befasst als "Hobby-Tester", sah nur die 3 Files waren 2 die gleichen weil ich die 2 Mal direkt hintereinander ausgeführt hatte und das 3. hatte andere Nummern wenn man auf Eigenschaften ging sag ich mal.
Geschrieben von: blueX 10.03.2013, 21:35
Die Files werden alle 20 Minuten geändert - spätestens.
Auch wenn für das File, dass vor 20 Minuten eine Signatur erstellt wurde, wird das File, das 20 Minuten später auf der URL steht, nicht erkannt.
Geschrieben von: simracer 10.03.2013, 21:41
Versteh ich nicht warum bei dir das File nicht erkannt wird Du meinst aber schon beim Ausführen des Files? hast du Avast 7 Free oder schon Avast 8 Free installiert? Liegt es vielleicht daran das du vermutlich ein anderes, neueres OS hast als ich? Was passiert, wenn du das File ausgeführt hast und kurze später dein System rebootest? es gab mal GVU Trojaner Varianten, die aktivierten erst nach einen Reboot den Sperrbildschirm.
Geschrieben von: simracer 11.03.2013, 00:11
Gerade wieder ein File geholt und das mal bei VirusTotal hochgeladen: https://www.virustotal.com/de/file/bcde5d86aceee6c478bb6165595dcbc2cd061bb8d82a0805373a1938110225a6/analysis/1362956843/
Geschrieben von: Scrapie 11.03.2013, 04:47
Weitere Versionen unter selber URL aber mit Namen:
animal-sex-free.avi.e x e
Selbige werden aber nicht soooo haeufig aktualisiert. Kann das wer bestaetigen?
Cheers,
Scrapie
Geschrieben von: simracer 11.03.2013, 15:38
Ich hab nochmal so ein File bei VirusTotal hochgeladen das ich heute Vormittag unter der Url geholt habe: https://www.virustotal.com/de/file/974565f15d9c7118b62f587705e379568619b8e4eaa93e81fea5986bc9b3a440/analysis/1363012396/
SLE, wenn du möchtest, kannst du dir ja mal die 2 Files anhand der Informationen von Virus Total anschauen und vergleichen.
Geschrieben von: SLE 11.03.2013, 16:51
Zwei völlig verschiedene Dinger und zumindest mal eine geringe VT Erkennung (solche Vergleiche sind ja bekanntermaßen enorm eingeschränkt). Aber das ist doch schon seit Threaderöffnung bekannt und wenn man für jedes neue File VT Links postet - who cares?
Geschrieben von: SLE 11.03.2013, 16:53
http://www.implbits.com/hashtab.aspx kannst du komfortabel in den Dateieigenschaften Hashwerte anzeigen, Dateien vergleichen etc. Für Einzeldateien ganz gut geeignet.
Geschrieben von: simracer 11.03.2013, 16:54
Ich hab mal die 2 Links von VT gepostet damit du evtl. die Unterschiede der 2 Files sehen kannst, steht doch immer etwas dabei bei Weitere Details.
Geschrieben von: simracer 11.03.2013, 17:06
Ob ich damit umzugehwn wüsste? werde es mir mal anschauen wenn ich Lust habe. Zu dem 2. File das ich bei VT hochgeladen hatte: AVG Free erkannte das beim Ausführen nicht, das System wurde nach Reboot als ich den FF dann öffnen wollte vom Sperrbildschirm "beglückt". Im 2. Anlauf mit installierter OA Free FW(und noch AVG Free)wurde das File von OA Free gstoppt und im 3. und letzten Versuch dann wieder mit Avast Free neben der OA Free FW(diese deaktivierte ich dafür wieder)wurde das File beim Ausführen vom Avast Dateisystemschutz gestoppt und in Qurantäne verschoben.
Geschrieben von: simracer 11.03.2013, 17:48
Okay SLE, mit HashTab bin ich nicht klar gekommen(muss ich mir mal vor Ort vom PC Fachmann erklären lassen), aber das Alternativ Tool FileAlyzer liefert zu dem letzten GVU Trojaner File unter General diese Informationen: http://www.abload.de/image.php?img=22vmuq1.jpg und bei All Hashes das: http://www.abload.de/image.php?img=23apuan.jpg
Geschrieben von: Jowi 11.03.2013, 20:38
Hi Uwe,
rechtsklick auf eine Datei und dann Eigenschaften, dort hast du dann einen weiteren Tab mit den Hashwerten.
Geschrieben von: simracer 11.03.2013, 20:41
Jowi, ich hab das mit 7zip entpackt und hatte die beschriebene Funktion per rechter Maustaste nicht Und wenn ich ehrlich bin: ich weiß mit den Werten nichts anzufangen, ist für mich wie das berühmte Buch mit den 7 Siegeln
Geschrieben von: J4U 11.03.2013, 20:45
gleicher Wert = gleiche Datei
Geschrieben von: simracer 11.03.2013, 20:49
Du meinst als Beispiel zum Beispiel die GVU Trojaner Files die ich runtergeladen habe? Die unterschieden sich, das erkannte sogar ich zum beispiel an deren Größe. Aber mit was ich nichts anfangen kann sind zum Beispiel die ganzen Werte unter Hash usw., was die zu bedeuten haben.
Geschrieben von: M.Richter 11.03.2013, 20:58
Der Hash ist doch der Wert. Gleicher Hash = Gleiche Datei.
Das meinte doch J4U ...oder liege ich jetzt falsch?
Geschrieben von: SLE 11.03.2013, 21:30
Ein HASHwert ist das Ergebnis einer Funktion, die in der Regel eine große Datenmenge rechnerisch auf eine einzige eindeutige Zeichen/Zahlenkette reduziert.
So können z.B. auch Dateien mit gleichen Namen und gleicher Dateigröße dennoch verschieden sein - der Hashwert zeigt dies an.
Es gibt verschiedenste Funktionen zur Berechnung und somit auch verschiedene Arten von Hashwerten. Aufgeblasene Tools zeigen dann alles an...und man muss sich einen raussuchen. Hashtab kann man dabei leicht konfigurieren bzw. es zeigt per default nur die gängigsten Hashwerte an.
In der Regel sind das
MD5 (mittlerweile unsicher) SHA1 und/oder SHA256.
Diese 3 sieht man auch über jedem VT Output.
Wenn ihr also Scanergebnisse vergleichen wollt, ist das Minimum bzw. der Startpunkt sicherzustellen, dass ihr über diesselbe Datei redet. Deshalb einen Hashwert kommunizieren. Bsp.: xxx-porn-movie.avi.exe (SHA1 a26fb0af47cf36aaa7f2fa97693ad484b3b33196)
In Zeiten von Cloud (und VT Uploads) reicht dieser Wert den begabten und befähigten, oft schon um an das File zu kommen.
Geschrieben von: florian5248 11.03.2013, 21:35
@SLE
finde das wirklich irre, wie du diese Zeit investierst um noch ein wenig das positive in den Vordergrund zurücken und Nachhilfeunterricht zugeben. Dem einen, wie dem anderen. Gut und einfach erklärt, aber ohne ein wenig Grundwissen sind das "Perlen vor die S......
Geschrieben von: Tanzbaer 11.03.2013, 21:46
finde das wirklich irre, wie du diese Zeit investierst um noch ein wenig das positive in den Vordergrund zurücken und Nachhilfeunterricht zugeben. Dem einen, wie dem anderen. Gut und einfach erklärt, ...
Geschrieben von: simracer 11.03.2013, 21:47
So können z.B. auch Dateien mit gleichen Namen und gleicher Dateigröße dennoch verschieden sein - der Hashwert zeigt dies an.
Es gibt verschiedenste Funktionen zur Berechnung und somit auch verschiedene Arten von Hashwerten. Aufgeblasene Tools zeigen dann alles an...und man muss sich einen raussuchen. Hashtab kann man dabei leicht konfigurieren bzw. es zeigt per default nur die gängigsten Hashwerte an.
In der Regel sind das
MD5 (mittlerweile unsicher) SHA1 und/oder SHA256.
Diese 3 sieht man auch über jedem VT Output.
Wenn ihr also Scanergebnisse vergleichen wollt, ist das Minimum bzw. der Startpunkt sicherzustellen, dass ihr über diesselbe Datei redet. Deshalb einen Hashwert kommunizieren. Bsp.: xxx-porn-movie.avi.exe (SHA1 a26fb0af47cf36aaa7f2fa97693ad484b3b33196)
In Zeiten von Cloud (und VT Uploads) reicht dieser Wert den begabten und befähigten, oft schon um an das File zu kommen.
Jetzt hat es pling gemacht bei mir
wenn also die 3 Werte: Geschrieben von: SLE 11.03.2013, 21:52
wenn also die 3 Werte: bei 2 nehmen wir wieder GVU Trojaner Files, identisch sind, ist es ein dieselbe GVU Trojaner Variante.1 Wert reicht, also entweder du vergleichst MD5 oder SHA1 oder... (wobei MD5 am unsichersten ist.)
Geschrieben von: M.Richter 11.03.2013, 21:54
Ja, der Hash-Wert ( 1ner von den Hashwerten, besser der Sha wert als MD5) gibt Auskunft ob es die gleichen Datein sind. Das hättest aber auch ganz schnell rausgefunden wenn du kurz mal google bemüht hättest
Dachte eigentlich das dürfte bekannt sein hier im Forum.
Geschrieben von: simracer 11.03.2013, 22:28
Ich wusste es bis vorhin nicht M.Richter.
Geschrieben von: M.Richter 11.03.2013, 22:31
Ja, ist doch kein Problem. Jetzt weißt es umso besser. Dachte vorhin nur, dass es doch allgemein bekannt sein dürfte hier im Forum zumindest und hab nicht wirklich dein Problem verstanden. Deine Fragen haben mich dann sogar soweit gebracht, dass ich selber aufn Schlauch Stand und schon unsicher wurde. Aber ist ja jetzt geklärt.
Geschrieben von: simracer 11.03.2013, 22:38
Und eines muss man lassen: SLE hat echt Geduld und erklärt so etwas gut
Und um mein Gewissen zu beruhigen(ist eigentlich nicht nötig)spiel ich mal lieber das letzte Backup/Image von C ein.
Geschrieben von: J4U 12.03.2013, 16:17
Dachte eigentlich das dürfte bekannt sein hier im Forum.
Geschrieben von: simracer 12.03.2013, 18:03
Nochmal Danke fürs erklären SLE
Hab noch 2 GVU Trojaner Files da die ich noch nicht gelöscht hatte und das eine File hat den SHA-1 Wert 99CD4FFD20AF2A23004A1CFC5B17F11BECB229CE und das andere File den SHA-1 Wert 3D312D9175EEB43F05672D762B43F0BB6AA729BE
Geschrieben von: Solution-Design 12.03.2013, 20:23
MD5 nutze ich nur, um meinen Dokumenten-Ordner zu checken
Geschrieben von: blueX 14.03.2013, 15:06
Was ich nicht ganz verstehen kann: Je mehr Signaturen für diese Malware eingepflegt werden, desto schwerer müsste sie doch der Urheber undetected bekommen und desto leichter sollten doch die AVs die Malware erkennen können.
Bei vielen Signaturen für die Malware, muss es doch Überschneidungen geben.
Ich verstehe nicht warum alle Problem bei der Erkennung haben ...
Geschrieben von: ChP 15.03.2013, 20:14
....
Das ist bei polymorpher Malware leider nicht so einfach. Hier greifen dann zuverlässig nur Techniken wie zum Beispiel Verhaltenserkennung.
Geschrieben von: simracer 15.03.2013, 20:28
Das kann ich dir für Online Armor Free bescheinigen
jedes der mittlerweile von mir 9-10 ausgeführten GVU Trojaner Files in den letzten Wochen wurde vom Online Armor Programmschutz gestoppt und eine Infektion des Systems verhindert .
Geschrieben von: blueX 17.03.2013, 00:09
Das mag sein. Trotzdem fällt auf, dass zwei, drei AVs hervorragend damit umgehen können und schon sehr gute Signaturen bestehen.
Geschrieben von: KasperskyFreaky 17.03.2013, 01:18
Von welchem AV ist hier die Rede, blueX?
Geschrieben von: blueX 17.03.2013, 12:03
Nod32, Malwarebytes ...
Geschrieben von: simracer 17.03.2013, 12:11
Malwarebytes ist ja bekannt dafür das die stark sind bei Ransomsoftware und deshalb auch bei VT bei den ersten sind die Signaturen dafür haben. Ich meine aber auch gesehen zu haben das Emsisoft immer schnell mit Signaturen da war bei den GVU Trojaner Files(zumindest bei denen die ich getestet habe).
Geschrieben von: SLE 17.03.2013, 12:24
Einige Hersteller tracken diese Seite mittlerweile und da kann man Signaturen recht schnell generieren. Andere blocken die Seite mittels Blacklists/Webfiltern etc. - real life. Dritte haben andere Kriterien um der Malwareflut Herr zu werden - Relevanz, Verbreitung etc. und da wird dann eben auf das geachtet was im Umlauf ist und nicht was der Suchende irgendwo findet, womit man aber sonst nie in Verbindung kommt. Direkt kommt man ja nie auf diese Links, wo es genug andere dieser Art gibt.
Ich sehe hier null Rückschlussmöglichkeit auf Sorgfalt oder Signaturenqualität, dies auch weil es hier auch nicht wirklich um polymorphe Malware handlet oder permanent um Ransomware. Es werden und wurden unter demselben Dateinamen verschiedenste Malwaredateien bereitgestellt. (Von ein paar popeligen Ransoms über ZeroAccess und Sinowal war da bei meinen Beobachtungen alles dabei).
Geschrieben von: simracer 17.03.2013, 12:31
Bei den 9-10 Files die ich dort runtergeladen und ausgeführt hatte, handelte es sich jedes mal um GVU Trojaner.
Geschrieben von: SLE 17.03.2013, 12:33
Was ist ein GVU-Trojaner?
Geschrieben von: simracer 17.03.2013, 12:37
Na die mit dem "schönen" Sperrbildschirm.
Geschrieben von: lotion 17.03.2013, 16:05
http://urlquery.net/report.php?id=203249
immmer die selbe ip
2013-02-13 18:58:09 1 / 0 http://motherxhubtbo.ddns.name/latest/animal-sex-video.avi.exe [Hungary] 94.199.53.203
2013-02-13 18:47:11 1 / 1 http:///motherxhubjwf.dnset.com/latest/animal-porn-movie.avi.exe [Hungary] 94.199.53.203
2013-02-13 17:37:45 1 / 0 http://motherxhubtov.dnset.com/latest/animal-sex-video.avi.exe [Hungary] 94.199.53.203
VT
https://www.virustotal.com/de/file/24049994161d81cf7959c762a8219b31ec4e137291e447e44198dd465da474c8/analysis/1363532931/
and
VT
https://www.virustotal.com/de/file/24049994161d81cf7959c762a8219b31ec4e137291e447e44198dd465da474c8/analysis/1363532957/
Die urls hier gehören alle dazu
motherxhubbca.ddns.name
asianxhubipa.ddns.name
motherxhubpua.ddns.name
motherxhubphb.ddns.name
asianxhuboob.ddns.name
motherxhubzbc.ddns.name
asianxhubalc.ddns.name
asianxhubgoc.ddns.name
asianxhubxqc.ddns.name
asianxhubuwc.ddns.name
asianxhubgfd.ddns.name
motherxhubjjd.ddns.name
motherxhubrrd.ddns.name
asianxhubmxd.ddns.name
motherxhubaoe.ddns.name
asianxhubote.ddns.name
asianxhubsue.ddns.name
asianxhubkff.ddns.name
motherxhubijf.ddns.name
motherxhubujf.ddns.name
asianxhubanf.ddns.name
asianxhubnuf.ddns.name
asianxhubewf.ddns.name
asianxhubfhg.ddns.name
motherxhubtkg.ddns.name
asianxhubnwg.ddns.name
motherxhubceh.ddns.name
motherxhubfci.ddns.name
motherxhubtoi.ddns.name
motherxhubdri.ddns.name
asianxhubyri.ddns.name
asianxhubmvi.ddns.name
asianxhublwi.ddns.name
asianxhubwej.ddns.name
asianxhubdhj.ddns.name
motherxhubajj.ddns.name
motherxhubomj.ddns.name
asianxhubcoj.ddns.name
asianxhubxvj.ddns.name
motherxhubbyj.ddns.name
asianxhubnak.ddns.name
motherxhubmgk.ddns.name
asianxhubgrk.ddns.name
asianxhubcvk.ddns.name
asianxhubpal.ddns.name
asianxhubkdl.ddns.name
asianxhubsrl.ddns.name
motherxhubaym.ddns.name
asianxhublbn.ddns.name
motherxhubion.ddns.name
asianxhubmrn.ddns.name
motherxhublyn.ddns.name
asianxhubqbo.ddns.name
asianxhubxqo.ddns.name
asianxhubwro.ddns.name
asianxhubjwo.ddns.name
motherxhubecp.ddns.name
asianxhubjdp.ddns.name
asianxhubfhp.ddns.name
motherxhubmlp.ddns.name
asianxhubptp.ddns.name
asianxhubhvp.ddns.name
motherxhubpzp.ddns.name
motherxhubzfq.ddns.name
motherxhubktq.ddns.name
asianxhubkuq.ddns.name
asianxhubqbr.ddns.name
motherxhubrcr.ddns.name
adivoxtubeddr.ddns.name
asianxhuboer.ddns.name
asianxhubifr.ddns.name
asianxhubtmr.ddns.name
asianxhubumr.ddns.name
asianxhubanr.ddns.name
asianxhubrrr.ddns.name
asianxhubgyr.ddns.name
asianxhubczr.ddns.name
asianxhubdps.ddns.name
asianxhubmps.ddns.name
asianxhubptt.ddns.name
motherxhubtvt.ddns.name
asianxhubygu.ddns.name
motherxhubqtu.ddns.name
motherxhubvtu.ddns.name
asianxhubgov.ddns.name
asianxhubnvv.ddns.name
motherxhubppw.ddns.name
asianxhubbsw.ddns.name
asianxhubgvw.ddns.name
asianxhubtcx.ddns.name
asianxhubcrx.ddns.name
asianxhubtwx.ddns.name
asianxhuboby.ddns.name
motherxhubxny.ddns.name
motherxhubhsy.ddns.name
asianxhubbzy.ddns.name
asianxhubvdz.ddns.name
motherxhubhlz.ddns.name
asianxhubymz.ddns.name
asianxhubenz.ddns.name
motherxhubloz.ddns.name
motherxhubaea.dnset.com
asianxhubrwa.dnset.com
asianxhubkjb.dnset.com
analxxxclipsqxb.dnset.com
asianxhubkjc.dnset.com
asianxhubauc.dnset.com
asianxhubcxc.dnset.com
asianxhublxc.dnset.com
asianxhubbcd.dnset.com
asianxhubbhd.dnset.com
asianxhubdod.dnset.com
asianxhubjsd.dnset.com
motherxhubape.dnset.com
motherxhubfwe.dnset.com
analxxxclipskwe.dnset.com
asianxhubixe.dnset.com
asianxhubwof.dnset.com
asianxhubaxf.dnset.com
motherxhubeyf.dnset.com
analxxxclipslfg.dnset.com
motherxhubqig.dnset.com
motherxhubxng.dnset.com
asianxhubdug.dnset.com
asianxhubuyg.dnset.com
asianxhubmzg.dnset.com
asianxhubyoh.dnset.com
motherxhubawh.dnset.com
asianxhuboji.dnset.com
motherxhubcli.dnset.com
analxxxclipshoi.dnset.com
asianxhubgti.dnset.com
asianxhubhaj.dnset.com
motherxhubrcj.dnset.com
motherxhubwmj.dnset.com
asianxhubttj.dnset.com
motherxhubgwj.dnset.com
asianxhubwbk.dnset.com
asianxhubjgk.dnset.com
motherxhubehk.dnset.com
asianxhubphk.dnset.com
asianxhubcal.dnset.com
motherxhubhfl.dnset.com
motherxhubkhl.dnset.com
asianxhubnkl.dnset.com
motherxhubkml.dnset.com
asianxhubnwl.dnset.com
motherxhublmm.dnset.com
asianxhubazm.dnset.com
asianxhubran.dnset.com
motherxhubjon.dnset.com
promosextubemun.dnset.com
asianxhubwvn.dnset.com
asianxhubvco.dnset.com
asianxhubaoo.dnset.com
asianxhubyso.dnset.com
analxxxclipsjvo.dnset.com
asianxhubgbp.dnset.com
motherxhubrlp.dnset.com
motherxhubyxp.dnset.com
asianxhubfhq.dnset.com
motherxhubvnq.dnset.com
asianxhubryq.dnset.com
asianxhubber.dnset.com
promosextubethr.dnset.com
analxxxclipsucs.dnset.com
motherxhubhus.dnset.com
motherxhubizs.dnset.com
motherxhubzht.dnset.com
motherxhubfmt.dnset.com
asianxhubeot.dnset.com
motherxhubtyt.dnset.com
asianxhubycu.dnset.com
motherxhubqnu.dnset.com
asianxhubsuu.dnset.com
motherxhubgwu.dnset.com
motherxhubovv.dnset.com
asianxhubllw.dnset.com
asianxhubgxx.dnset.com
asianxhubjpy.dnset.com
asianxhublty.dnset.com
motherxhubavy.dnset.com
asianxhubsmz.dnset.com
ixpornstarsrjg.ontheweb.nu
amandapornhub1.info
amandapornhub10.info
amandapornhub2.info
amandapornhub3.info
amandapornhub4.info
amandapornhub5.info
amandapornhub6.info
amandapornhub7.info
amandapornhub8.info
amandapornhub9.info
adivoxtubeesv.ddns.name
adivoxtubexyk.dnset.com
analxxxclipspuh.ddns.name
analxxxclipsqic.ddns.name
analxxxclipsyjh.dnset.com
asianxhuboob.ddns.name
asianxhubztm.dnset.com
avisaxmovshdb.myftp.org
avisaxmovswoo.myvnc.com
bondxtubedta.co.cc
bondxtubeeic.co.cc
bondxtubetcq.co.cc
bountyxtubewty.co.cc
cherryporntube.in
criptxvidsegc.co.cc
drunkporntube.in
evaporntv9.info
goldporntube.in
hqadulttube.in
mianlinks.info
milfandsex.in
newcooltube.in
newcooltube.in
ns1.proxtubes.in
promosextubednt.ddns.name
promosextuberor.ddns.name
promosextuberql.ddns.name
promosextubersm.ddns.name
promosextuberyp.dnset.com
promosextubesfe.ddns.name
promosextubestm.ddns.name
promosextubevre.ddns.name
redpornhub7.pro
roundasstube.in
sexadvanced.in
sextubestore.in
tubeplanetves.co.cc
tubesworldgly.co.cc
videosexhub.info
xamateurpornlic.www1.biz
xpornstaraeg.zyns.com
xpornstarsckc.ddns.name
zajebaloxtube5.info
zoferxtube1.info
zoferxtube10.info
zoferxtube2.info
zoferxtube3.info
zoferxtube4.info
zoferxtube5.info
zoferxtube6.info
zoferxtube7.info
zoferxtube8.info
zoferxtube9.info
Geschrieben von: simracer 17.03.2013, 16:33
Und wie würdest du dann so etwas: http://www.abload.de/image.php?img=neuesbilddpyhb.jpg
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
(Das Logfile wurde vor der Bereinigung von mir gespeichert)
Quelle des Files: siehe vorheriges Posting von lotion.
Geschrieben von: SLE 17.03.2013, 17:28
Eine stinknormale WinLocker/Ransom Variante, die schön dynamisch das Land erkennt und in Deutschland dann auf dem Sperrbildschirm GVU/GEMA/BKA etc. anzeigt, in anderen Ländern anderes.
Deshalb gibt es dennoch keinen GVU / GEMA oder BKA Virus oder auch Trojaner. Solche umgangssprachlichen Bezeichnungen verwirren mehr, als das sie irgendwo helfen...
Geschrieben von: simracer 17.03.2013, 17:33
Die Files werden halt umgangssprachlich GVU Trojaner/Virus(vorher BKA/GEMA) so in den Foren genannt/bezeichnet SLE Fakt ist(hoffentlich stimmst du da zu)das noch viele Virenschutz Programme Probleme damit haben diese zu erkennen wenn neue Varianten dieser Ransomsoftware auftauchen.
Geschrieben von: Tiranon 17.03.2013, 17:34
@lotion: habe ich das richtig verstanden? Alle URLs oben in deiner Liste sind GVU/GEMA-Trojaner?
Geschrieben von: SLE 17.03.2013, 17:41
Deshalb ist es trotzdem falsch...und hat mehr Chaos als Klarheit geschafft.
Frage: "Hilfe ich habe den GEMA - Virus" Antwort: "Nehme Malwarebytes, blah blah". Haarsträubend
Klar ist die Erkennung per Signatur schwer. Sind halt recht einfache Baukästen für diese Files und die Masche ist recht lukrativ deshlab wird viel generiert. Aber HIPSe und BBs haben das mittlerweile drauf.
@Tiranon: Nein. Die lösen alle zur selben IP auf und dort gibt es verschiedenste schnell wechselnde Files und ab und an sind Ransom's bei, oft Müll etc.
Geschrieben von: simracer 17.03.2013, 17:44
Besserer Vorschlag von dir für betroffenen ONU der kein aktuelles Systembackup hat?
Und: es funktioniert wenn man Malwarebytes als "Bereiniger" installiert hat(mit nicht zu alten Signaturen).
Geschrieben von: Tiranon 17.03.2013, 17:48
Ab ca. 3:40
http://www.youtube.com/watch?v=kNKc7DuRJ_8
Geschrieben von: SLE 17.03.2013, 17:53
Und: es funktioniert wenn man Malwarebytes als "Bereiniger" installiert hat(mit nicht zu alten Signaturen).
Ja, aber der ist leider komplizierter. Oft genug entfernt nämlich MBAM nur einen Teil (den Ursprung) und bleibt dann blind. (soviel zu es funktioniert)
Dann gilt es nämlich mal ein paar gescheite Logs anzufertigen (AVZ/OTL) und in speziellen Foren vorstellig zu werden.
Geschrieben von: simracer 17.03.2013, 18:21
Dann hatte ich ja bis jetzt mit Malwarebytes Glück. Oder wie erklärst du dann das es immer Infektionen an den gleichen Orten waren und andere Scanner wie Emergency Kit oder Kaspersky Rescue Disk nach den Scans mit Malwarebytes nichts mehr fanden?
Es waren(laut Malwarebytes)immer solche Fundorte:
C:\Dokumente und Einstellungen\xxxxxxxx\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\xxxxxxxx\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
Beziehungsweise: manchmal fehlte auch schon die letzte Infizierung bei einem Malwarebytes Scan(Desktop)weil das File auf dem Desktop(ich hab mir die Files immer auf das Desktop kopiert)vom Virenschutz Programm in dessen Qurantäne verschoben wurde bei dessen Ausführung.
Geschrieben von: SLE 17.03.2013, 19:01
Weil man Startupentries nicht an beliebigen Orten anlegen kann. Die bestehen i.d.R. immer aus einem Regeintrag (hier Winlogon...soll ja gleich beim Booten kommen) und einem File in den Anwendungsdaten das dadurch gestartet wird. Der Dropper auf dem Desktop (wenn die Infektion wie hier über direktes Dateistarten geschieht) löscht sich auch gern mal selbst nach der Ausführung. Diese Aktionen sollte jeder BB erkennen - und müsste es auch.
Zeigt aber alles nur, dass du bisher mit den harmlosesten Spielzeugvarianten dieser Dinger experimentiert hast (die es oft über den Link dieses Topics gibt)Die kann man auch "per Hand" entfernen (siehe z.B. Sempervideo). Es gibt und gab aber eben auch weitaus komplexere die noch mehr Unfug machen: Systemdateien verbiegen, Sachen nachladen, Dateien verschlüsseln. Und das sind genau die Sachen wo MWb a.) oft versagt und b.) ein Löschen nur bestimmter Dateien über MWB eine Desinfektion sogar unmöglich machen kann.
Dies war und ist aber noch nie ein gutes Vorgehen gewesen um eine Infektion bzw. den Umfang oder Reste dieser festzustellen.
Geschrieben von: simracer 17.03.2013, 19:13
Hab ich(dir)ja auch immer geschrieben bzw erwähnt das es die Files waren aus den Links von blueX zu Anfang des Threads
Das will ich ja gar nicht bestreiten SLE
und bei denen "Kalibern" ist es dann besser wenn man sich hilfesuchend an Spezialisten wie das Trojaner Board zum Beispiel wendet, einen PC Fachmann zur Hand hat oder aber wenn man ein sauberes Systembackup/image hat.
Geschrieben von: blueX 26.03.2013, 20:41
Abschließend zur Kenntnis:
Die URLs sind zwischenzeitlich nicht mehr erreichbar.
Ich denke, da hat jemand bemerkt, dass die URLs von einigen AVs überwacht werden.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)