Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Suche noch diverse Schädlinge
Rokop
Beitrag 14.05.2003, 13:33
Beitrag #1



Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Ich bin gerade dabei etwas Ordnung in meine Malwaresammlung zu bringen (Obwohl sie nicht direkt unordentlich ist, sondern etwas unübersichtlich) In diesem Zuge werde ich auch einige neue Testsets erstellen. Speziell bei ITW Würmern, P2P Würmern, Macroviren und Bootsektorviren könnte ich aber noch einiges gebrauchen. Wenn Jemand noch den einen oder anderen Kandidaten hat, würde ich mich über eine Zusendung freuen.
Sobald ich Ordnung in der Sache habe, werde ich Auflistungen erstellen, die ich dann bei Bedarf zur Verfügung stellen kann. Selbstverständlich werde ich die Sammlung wie immer auch an AV-Hestellern zur Verfügung stellen.

Was ich außerdem noch benötige:

Ich möchte ein Testset erstellen, indem sich all das tummelt, was nicht primär schädlich bzw. Malware ist. Dazu gehören u.a. Dialer, Nuker, Flooder, Binder, Spassviren, Backdoorclients und Editserver. Letzteres habe ich zur Genüge, von den anderen Dingen könnte ich noch einiges gebrauchen.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Gast_Gladiator_*
Beitrag 14.05.2003, 14:05
Beitrag #2






Gäste






ZITAT(Rokop @ 14. May 2003, 14:32)
Ich möchte ein Testset erstellen, indem sich all das tummelt, was nicht primär schädlich bzw. Malware ist. Dazu gehören u.a. Dialer, Nuker, Flooder, Binder, Spassviren, Backdoorclients und Editserver. Letzteres habe ich zur Genüge, von den anderen Dingen könnte ich noch einiges gebrauchen.

Diesen Test gewinnt GAV mit fast 100%iger Sicherheit laugh.gif

Wieviel Nuker brauchen wir denn ? Reichen 1200 erstmal ? laugh.gif
Oder Spassviren ? So bescheidene 800 Stueck einschliesslich 380 die KAV nicht kennt und hochgradig gefaehrlich sind wie bsw. der Joke.Forge77.Bored ?

Fuer die Wuermer mach mal ne Liste fertig was Du brauchst.
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 14.05.2003, 15:19
Beitrag #3


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Neeee, einige pro Kategorie sollten reichen. Und sooo viele ITW Würmer sind es ja auch nicht die fehlen ...


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Gast_vampire_*
Beitrag 14.05.2003, 15:43
Beitrag #4






Gäste






mal ne frage an die experten:

welchen sinn macht es wenn die scanner auch nuker, flooder, clienten und editserver finden...?

das verlängert doch eigentlich nur die ohnehin schon lange dauernde suche, und man kann davon ausgehen, daß der user sich die software mit voller absicht auf die platte geladen hat.

warum also...?
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 14.05.2003, 16:06
Beitrag #5


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Meiner Meinung nach könnte dieses Zeug aus den Signaturen draußenbleiben. Es gibt aber genügend Fälle (meist Firmen, Schulen usw), wo solche Dateien auf dem Rechner nichts verloren haben. Muß man einfach so akzeptieren. Daher würde ich es in eine Bewertung im Test nicht oder nicht besonders stark einfließen lassen. Kommt aber auf die näheren Umstände an. Ich will jedoch ein Testset haben, wo all so ein Zeugs drin ist.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Gast_vampire_*
Beitrag 14.05.2003, 16:24
Beitrag #6






Gäste






ahh ok, schulen und firmen sind ein argument, macht sinn...dank dir... smile.gif
Go to the top of the page
 
+Quote Post
Gast_IRON_*
Beitrag 14.05.2003, 16:24
Beitrag #7






Gäste






Auch ich finde, dass sowas nicht in die Signaturen gehört, allerdings wollen wir ja nicht vergessen, dass die lieben Zeitschriften-Test-Experten dann wieder einen weiteren haltlosen Grund hätten, falsch zu bewerten. Und wir wissen ja, dass ONU diesen Dödeln jedes Wort glaubt, besonders, wenn etwas negativ bewertet wird. Also solange es nicht ausartet oder die Performance der Scanner nicht allzu sehr drückt, sollen sie in Gottes Namen hinein...
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 14.05.2003, 17:17
Beitrag #8


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Ich hatte an Folgendes gedacht:

Ich erstelle ein komplexes Testset mit allen Arten von Malware. Dieses nehme ich für Standard Tests wie zum Bsp. für Kurzvorstellungen neuer Programme oder neuer Programmversionen. Ein Teil dieses Tests wird dann auch das scannen nach solchen Dateien wie Clients, Dialern, Nukern usw. sein. Der Leser kann sich dann ein Bild davon machen, was das Programm vermag. Wichtig fände ich allerdings, wenn die Meldung des Programmes auch darauf hinweist, das es keine eigentliche Malware ist.
Von Zeit zu Zeit werde ich neue Malware in die Testsets mit einfließen lassen, so wie ich es jetzt auch schon immer wieder mal tue.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
JoJo
Beitrag 14.05.2003, 18:52
Beitrag #9



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 546
Mitglied seit: 28.04.2003
Mitglieds-Nr.: 62



Ich meine bei TDS habe ich mal so eine Option gesehen die dem Benutzer die Möglichkeit gibt auch nach Clients und Editoren suchen zulassen. Bei der neuen GAV Version kann man doch auch in etwa entscheiden bei welcher Gefahrenstufe das Programm Alarm schlagen soll...oder habe ich vielleicht da etwas falsch verstanden rolleyes.gif ?
Go to the top of the page
 
+Quote Post
Gast_Gladiator_*
Beitrag 14.05.2003, 20:14
Beitrag #10






Gäste






Sobald was aus dem Ratboard gefunden wird faellt das automatisch in the Kathegorie Scherzprogramme laugh.gif
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 18.05.2003, 10:57
Beitrag #11


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Neues zur Malwaresuche:

Habe mich eben kurzfristig dazu entschlossen KaZaa zu installieren. Ich habe mir 18 Dateien heruntergeladen, von denen 17 Malwaredateien sind. Mit dem entsprechenden Suchbegriff ist es also eine wahre Fundgrube. Ohne nötige Kenntnisse jedoch ist KaZaa kaum weiterzuempfehlen !


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
raman
Beitrag 18.05.2003, 13:03
Beitrag #12



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.931
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich weiss nicht, ob es schon jemanden aufgefallen ist, bei den neusten Virenbeschreibungen fehlen die Infos, welche Dateinamen die Malware nutzt um sich unter Kazaa zu verbreiten. Sonst koennte man die einzelnen AV-Firmen ja fast als "VX" bezeichnen!;)


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Gast_IRON_*
Beitrag 18.05.2003, 13:57
Beitrag #13






Gäste






Das kann aber auch daran liegen, dass dies immer wieder ähnliche oder identische Namen sind, wie sie es bei anderer Malware bereits in der Vergangenheit gab. In der Regel sinds Namenkombinationen aus bekannter Software + Crack, +Keygen, +Serial, +Full, +Patch, +Bugfix, +Update und diversen Dateitypen. Das Muster ist nun schon derart ausgelutscht, dass es wenig Sinn hätte, das jedes Mal zu wiederholen.
Go to the top of the page
 
+Quote Post
Gast_Gladiator_*
Beitrag 18.05.2003, 15:39
Beitrag #14






Gäste






Uebrigens danke mit dem Supernova Ralf, ich habe dort alle Versionen eingepflegt gehabt bis eben auf diese C Variante. Eigentlich sollte die die Generic Detection Todschlagen, tut sie aber nicht weil ich 1 byte (in worten EIN DUMMES BYTE) mad.gif zuviel bei der Generic hatte und genau dieses eine Byte unterschiedlich war laugh.gif Das habe ich uebrigens schon gefixt und ist heute Abend als Update Verfuegbar. Ich pflege den SuperNova C (jetzt wo ich ihn schon mal habe) noch vor der Generic ein, dann kann ich ihn wenigstens ordentlich benennen wink.gif

Aber das mit Kazaa stimmt - ich sammle dort auch immer - GAV 4 eignet sich mit der Heuristc wunderbar um "verdaechtige" Dateien zu flaggen (bei Backdoors und Trojaner klappt das ziemlich gut) die auch KAV noch nicht kennt eigentlich auch bei Wuermern - vorausgesetzt man hat bei der Heuristic nicht gepennt und eine zwingend notwendige sogenannte "AND-Signatur" ein Byte zu gross gemacht laugh.gif

Mit dem heutigen Update hat GAV 4 uebrigens die Faehigkeit anzuzeigen was eine Datei im Detail tut.
Sprich das duerfte fuer Rokop aeusserst interessant sein - ich bin hier noch beim Abschlusstest bevor es dass (wie ueblich) als taegliches Update gibt.

Das heisst man hat dann eine art "File Profiler / Analyser Funktion" die alle Files wo gewisse Merkmale festgestellt wurden listet wo da zum beispiel waeren:

* Besitzt RASDIAL -> kann Dialer sein
* Besitzt Moeglichkeit mit anderen zu kommunizieren -> kann Backdoor / Trojaner sein
* Besitzt Moeglichkeit verschiedene Adressbuecher auszulesen -> Kann Wurm sein

Das hat *nix* mit Heuristic ansich zu tun sondern eher mit dem Auflisten was ein File alles theoretisch tun koennte.
Go to the top of the page
 
+Quote Post
JoJo
Beitrag 18.05.2003, 18:13
Beitrag #15



Fühlt sich hier wohl
****

Gruppe: Mitglieder
Beiträge: 546
Mitglied seit: 28.04.2003
Mitglieds-Nr.: 62



du haust ja tierisch in die Tasten wa ? Na da bin ich mal gespannt auf das nächste update (und auf das tool oder was auch immer mit dem man seinen eigenen skin machen kann biggrin.gif )
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 19.05.2003, 00:36
Beitrag #16


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Nur zur Information: Die Kazaa-Ausbeute war recht groß. Von den ca. 70 heruntergeladenen Dateien waren rund 50 Stück P2P Würmer. Nun habe ich 8 verschiedene Würmer mehr in meiner Sammlung. wink.gif
Das Negative an der Sache: Kazaa kann man wirklich Niemandem empfehlen. Ist echt voll verseucht. So schlimm ist es bei anderen Tauschbörsen mit Sicherheit nicht.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post
Gast_IRON_*
Beitrag 19.05.2003, 00:51
Beitrag #17






Gäste






Naja...was heißt empfehlen???
Wer es regelmäßig nutzt, tut das ja sicherlich in dem Bewusstsein, etwas Illegales zu tun (es sei denn, er tauscht ausschließlich legale, urheberrechtlich nicht geschützte Dinge haha) wink.gif Aber KaZaA ist, was Viren und Würmer betrifft, auch nicht schlimmer, als andere Tauschbörsen. Es hat nur wesentlich mehr User. Bei eMule wurde wohl letztens die 100.000er Marke gleichzeitig saugender User überschritten. Bei KaZaA sind es über 4 Millionen.
Go to the top of the page
 
+Quote Post
Rokop
Beitrag 19.05.2003, 07:22
Beitrag #18


Threadersteller

Leader of the Pack & Mr. Shishandis
Gruppensymbol

Gruppe: Administratoren
Beiträge: 4.412
Mitglied seit: 19.04.2003
Wohnort: Kaufungen
Mitglieds-Nr.: 43

Betriebssystem:
Mac OS 10.5 Leopard
Virenscanner:
keinen
Firewall:
keine



Na mit empfehlen meinte ich eigentlich, daß ich immer wieder mal gefragt werde, welche Tauschbörse ich so favorisieren würde. Ausprobiert hatte ich schon fast alle einmal, aber benutzen tu ich im Prinzip keine mehr. Nach meinem gestrigen kurzen Ausflug in die Welt der Patches, Cracks, Updates und Serials war ich doch ein wenig erstaunt, wieweit dieses Netz verseucht ist. Von "Empfehlungen" kann also keine Rede sein, schließlich bin ich derjenige, der dann wieder gerufen wird, wenn der Computer verseucht ist.


--------------------
(-- Roman --)
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 09.12.2019, 08:00
Impressum