Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[Gast_blueX_*]

Hallo,

ich beobachte seit einigen Wochen zwei interessante URL Adressen:
hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e
hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e

Über diese Adressen wird Malware massenhaft verbreitet.
So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen.

Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird.

Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen.
Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt.

Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen.

Habt ihr sowas schon mal gesehen?
Wie denkt ihr darüber?


Viele Grüße
bluex

[Gast_blueX_*]

Was ich noch vergessen habe, aber auch recht interessant ist.
Einige AVs haben mir mitgeteilt, dass der Server scheinbar einen IP-Filter besitzt. Sie können nicht auf die URLs zugreifen.

Es werden daher scheinbar bestimmte Regionen oder bestimmte IPs herausgefiltert, so dass der Server und somit der Download der Dateien für manche nicht verfügbar ist.

[Catweazle]

Nun Ja; https://www.virustotal.com/url/73a97c50d691...sis/1354126840/ https://www.virustotal.com/url/b2c1c3e24d6b...sis/1354126948/ immer hin was ....

Catweazle

[simracer]

@blueX
Mit Avast Free hab ich keine Chance die 2 Seiten aufzurufen:

[Gast_blueX_*]

Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.

[Gast_J4U_*]

Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.

Uwelis Screenshot nach werden die Echsen durch Avast erkannt, Norton blockt die Domain. 2x erkannt, 2x Aufgaben erfüllt, wo ist das Problem?

J4U

[simracer]

Problem gibt es da keines J4U blueX wollte nur zum Ausdruck bringen: gelangt man auf die Webseite und läd sich die Dateien runter und führt die aus, dann werden die von nur sehr wenigen Scannern erkannt und das Fake-AV dazu kann sich "entfalten" bzw in Aktion treten. Das sagte aber auch mal SLE das die Virenschutz Hersteller Probleme damit hätten wenn es um Ransomsoftware geht.

[SLE]

Uwelis Screenshot nach werden die Echsen durch Avast erkannt,...

Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil:
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.
btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint.

Die Meldung und der Test von Uwe hat nichts mit dem von BlueX beobachteten Phänomen zu tun.

Zur Frage: Sowas habe ich schon recht oft gesehen, so selten ist das nicht. Die 14 Tage sind eher selten: Es sind meist dieselben 3-5 Anbieter die es schaffen recht schnell generische Signaturen zu erstellen - was aber auch auf den Umfang ankommt. Andere Anbieter können das kaum.

OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 22:02

[simracer]

btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint.

Na hoffentlich reibst du dich daran nicht auf SLE an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.

Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil:
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.

Warum ist in deinen Augen eine Blacklist keine Erkennung? es wurde doch durch eine Schutzfunktion(Netzwerkschutz)verhindert, das Webseiten aufgerufen werden können, auf denen sich Infizierungen bzw infizierte Dateien/Files befinden. In meinen Augen ist das auch eine Art von Erkennung.

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 22:15

[markus17]

G Data blockt die URL nicht, jedoch wird die Malware vom BB unschädlich gemacht. Da gibt es aber einige Seiten von der Sorte, die einem Bilder oder Video exe-Dateien andrehen wollen. Gibt sicher genug, bei denen das AV noch nicht anschlägt oder einfach kein aktueller Virenschutz drauf ist. (sehe immer wieder die abgelaufenen Testversionen auf diversen PCs/Notebooks)

[Gast_J4U_*]

URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt.

OK, da hätte ich wohl noch eine Zeile weiter lesen sollen... Als Erkennung sehe ich das trotzdem an, eine Schicht des Schutzprogrammes hat den Zugriff zuverlässig verhindert. Ob das nun über Signaturen, Verhaltensanalyse, Blacklist oder wie auch immer erfolgt ist für das Verhindern von Infektionen erst mal Nebensache.

J4U

[SLE]

Na hoffentlich reibst du dich daran nicht auf SLE an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.

Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht

Warum ist in deinen Augen eine Blacklist keine Erkennung? es wurde doch durch eine Schutzfunktion(Netzwerkschutz)verhindert, das Webseiten aufgerufen werden können, auf denen sich Infizierungen bzw infizierte Dateien/Files befinden. In meinen Augen ist das auch eine Art von Erkennung.

Weil eine Blacklist eben nicht nur Seiten beinhaltet auf den sich infizierte Dateien befinden, sondern auch welche die mal infiziert waren. Es werden einfach Seiten als risikoreich eingestuft, ob sie es sind/nicht mehr sind etc. ist irrelevant. Erkannt wird nichts - Seiten werden komplett gesperrt auch die harmlosen Inhalte. Wer hier von Erkennung spricht müsste auch gleichzeitig von massenhaft FPs sprechen. Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 22:35

[Gast_J4U_*]

Seiten werden komplett gesperrt auch die harmlosen Inhalte.

Kollateralschaden

sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Der übliche Wettlauf zwischen Hase und Igel. Wenn eine Webseite als Malwareschleuder auftritt, dann sperren und fertig, erspart einen Haufen Arbeit. Natürlich sollte die Blacklist auch gepflegt, sprich ab und an bereinigt, werden.

J4U

[simracer]

Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht

Das war ja klar das dir das nicht entgeht Schwamm drüber ich möchte kein AR werden

Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, das Fake-AV wird ausgeführt und dann hat man den Ärger damit weil man entweder das System bereinigen muss oder ein Systembackup einspielen muss.

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Hab ich doch auch nicht geschrieben das ich Avast mit Ransomsoftware von blueX Seiten getestet hätte aber: Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten.

OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen

Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 22:49

[simracer]

OK, da hätte ich wohl noch eine Zeile weiter lesen sollen... Als Erkennung sehe ich das trotzdem an, eine Schicht des Schutzprogrammes hat den Zugriff zuverlässig verhindert. Ob das nun über Signaturen, Verhaltensanalyse, Blacklist oder wie auch immer erfolgt ist für das Verhindern von Infektionen erst mal Nebensache.

J4U

Das unterschreibe ich dir J4U denn ein Schutzmechanismus des AV's hat den Zugriff auf eine Webseite verhindert, auf der es Malware(Ransomsoftware)gibt. Das zählt für mich in erster Linie und ist daher meiner Meinung nach auch eine Erkennung.

[Xeon]

NOD32 erkennt beim ersten Link die .exe Datei als schädlich und blockt diese.
Beim zweiten Link wird die URL blockiert und der Zugriff auf die Datei verweigert.

[simracer]

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Ich war mal wieder zu langsam wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 23:41

[SLE]

Der übliche Wettlauf zwischen Hase und Igel. Wenn eine Webseite als Malwareschleuder auftritt, dann sperren und fertig, ...

Nein, hier ist der Fall etwas anders. Die Malware an sich sollte erkannt werden um zukünftig zu schützen. Wenn nämlich diesselbe Malware nicht über die gesperrte Webseite kommt zählt die Blacklist nichts. Die Blacklist ist eher nützlich um proaktiv bekannte Einfallstore zu schließen.

Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, ...

Hier ist es komplexer, denn es ist quasi immer dasselbe nur eben pro Download wird es schnell leicht modifiziert. Also nichts komplett neues. Das AV kennt es, nur leicht veränderte Dropper eben nicht. Und eine gute Signatur sollte alles fassen tut es hier aber nicht. Das einige AVs die Webseite blockieren oder sonstwie spielt da nicht die Rolle. (s.o.)

Ebenso einen Thread hatten wir hier doch schon vor knapp einem Jahr, wo ich das auch gut an ein paar Beispielen und HEX-Vergleichen zeigte. Und man sah recht schnell, wer in der Lage ist gute Signaturen zu bauen.

Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten.

Erkennung = eindeutige Identifikation von Schadsoftware. Hier wurde alles geblockt, auch harmlose Seitenelemente, Grafiken etc. All das sind in der Logik gleichzeitig auftretende FP's - geblockte harmlose Elemente

Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens

Das war auch eher ein Insiderwitz: xxx-porn-movie.avi; doggy-style-sex.avi.exe etc. Fast immer ist das ZeroAccess

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 23:57

[SLE]

Ich war mal wieder zu langsam wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.

Dann deaktiviere dein Avast vernünftig, leere den Browser Cache etc. Die Seiten sind noch aktiv und funktionsfähig.

[simracer]

Ich hatte den FF Browser Cache geleert und bei Avast alle Schutzmodule für 10 Minuten deaktiviert okay ich probier es nochmal.
Edit: jetzt hat es gekappt, ich hab die 2 Dateien.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 00:02