Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Solution-Design]

In der *.mht-Datei von ht-p://www.citydome-rosenheim.de/html/MCMS/MAIN/public/index.php

Prevx1 V2 2008.08.10 Malicious Software
Webwasher-Gateway 6.6.2 2008.08.10 Exploit.HTML.Hostile-URL.gen (suspicious)

[citro]

Ich habe dort eine andere Datei herausgefischt:

und zwar diejenige welcher der Scanner isoliert hat

http://www.virustotal.com/de/analisis/a59d...5a7bbf12ddd8f9e


edit: KAV hat sich gemeldet:

Hello,

opr07PYA - Trojan.HTML.Agent.m

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Jetzt muss ich mal den Webmaster informieren

Der Beitrag wurde von citro bearbeitet: 10.08.2008, 12:26

[toby]

Avira hat eine CSS-Datei isoliert. Genaugenommen die Datei 19.css im Ordner "internal_styles".

Da wurde evtl. eine ursprünglich harmlose .css mit einem Script "erweitert".

[citro]

Avira hat eine CSS-Datei isoliert. Genaugenommen die Datei 19.css im Ordner "internal_styles".

Da wurde evtl. eine ursprünglich harmlose .css mit einem Script "erweitert".

hi,

unwissend oder mit böser Absicht ?

[toby]

Hallo,

im Avira-Forum wurde von einem Mod. bei einer identischen Virenwarnung, jedoch einer anderen (!!!!!!!) Website folgendes in einer CSS-Datei vermutet (ich zitiere):

Zitat: "So, ich habe mir die CSS Datei genauer angeschaut und tatsächlich ist sie nicht koscher, denn am Ende wurde in ihr ein durch viele dutzend Leerzeichen verstecktes und in Hexwerte umgewandeltes Script eingefügt. Vermutlich hofft diese Datei so auf einen Brwoser mit einer Sicherheitslücke im CSS Parser zu stoßen (denn ohne eine solche wäre das Script vermutlich ungefährlich)"... Zitat ende.

Ich habe mich mit CSS bisher beim privaten Webdesign (man könnte Gestümper sagen ) nur rudimentär befasst.
Wenn ich mir die von Avira isolierte CSS betrachte, stelle ich am Ende ebenfalls viele Leerzeichen, sowie eine Wandlung in Hex-Code fest.
Beim Konvertieren des Hex-Code erhalte ich...... tadaaaaaaaa : ein Script!!!

Wie bereits gesagt: Ich bin weitgehend Laie. Keine Gewähr für die o.g. Feststellung. Da sollten grundsätzlich Profis ran.

Ob nun nützlich, sinnvoll, gefährlich oder absichtlich, kann vermutlich nur der Webmaster/Betreuer beantworten.

toby

Edit: Ordnungshalber hier der Link zum vollständigen Forenthema des oben zitierten Mods um nicht irgendwas aus dem Zusammenhang zu reissen:
http://forum.avira.com/wbb/index.php?page=...;threadid=38003

Sollte der Direkt-Link nicht erwünscht sein, bitte löschen.
Danke

Der Beitrag wurde von toby bearbeitet: 10.08.2008, 20:59

[citro]

Hallo,
Ob nun nützlich, sinnvoll, gefährlich oder absichtlich, kann vermutlich nur der Webmaster/Betreuer beantworten.

toby

Danke, dort habe ich mich schon gemeldet -

Der Thread ist eigentlich im Thema zerissen aber ich finde es wichtig Uploadergebnisse von VT, Jotti etc. nach einiger Zeit wieder auszuwerten

[Solution-Design]

Der Thread ist eigentlich im Thema zerissen aber ich finde es wichtig Uploadergebnisse von VT, Jotti etc. nach einiger Zeit wieder auszuwerten

Stimmt. Vielleicht sollte man hier http://www.rokop-security.de/index.php?showtopic=17012 fortfahren

[toby]

Spalter!

Aus Respekt vor den Senior-Members werde ich mich natürlich daran halten


Erkennung der CSS-Datei weiterhin mager:

Datei 19.css empfangen 2008.08.11 20:25:26 (CET)
Ergebnis: 6/36 (16.67%)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.12.0 2008.08.11 -
AntiVir 7.8.1.19 2008.08.11 JS/Redirector.A
Authentium 5.1.0.4 2008.08.11 -
Avast 4.8.1195.0 2008.08.11 JS:Redirector-B
AVG 8.0.0.156 2008.08.11 -
BitDefender 7.2 2008.08.11 -
CAT-QuickHeal 9.50 2008.08.11 -
ClamAV 0.93.1 2008.08.11 -
DrWeb 4.44.0.09170 2008.08.11 -
eSafe 7.0.17.0 2008.08.11 -
eTrust-Vet 31.6.6023 2008.08.11 -
Ewido 4.0 2008.08.11 -
F-Prot 4.4.4.56 2008.08.11 -
F-Secure 7.60.13501.0 2008.08.11 -
Fortinet 3.14.0.0 2008.08.11 -
GData 2.0.7306.1023 2008.08.11 JS:Redirector-B
Ikarus T3.1.1.34.0 2008.08.11 Virus.JS.Redirector.B
K7AntiVirus 7.10.411 2008.08.11 -
Kaspersky 7.0.0.125 2008.08.11 -
McAfee 5358 2008.08.11 -
Microsoft 1.3807 2008.08.11 -
NOD32v2 3346 2008.08.11 -
Norman 5.80.02 2008.08.11 -
Panda 9.0.0.4 2008.08.11 JS/Redirector.B
PCTools 4.4.2.0 2008.08.11 -
Prevx1 V2 2008.08.11 -
Rising 20.57.02.00 2008.08.11 -
Sophos 4.32.0 2008.08.11 -
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.11 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.11 -
VBA32 3.12.8.3 2008.08.11 -
ViRobot 2008.8.11.1331 2008.08.11 -
VirusBuster 4.5.11.0 2008.08.11 -
Webwasher-Gateway 6.6.2 2008.08.11 Script.Redirector.A

Der Beitrag wurde von toby bearbeitet: 11.08.2008, 19:30

[citro]

Ich mache mal da weiter: (Infizierte Webseiten)

http://www.rokop-security.de/index.php?s=&...st&p=244764


@toby

ich habe den Thread hier in die Länge gezogen und das mit dem Respekt ist einfach "Käse"

Der Beitrag wurde von citro bearbeitet: 11.08.2008, 21:22

[citro]

Mal etwas Französisches wo man sich anmelden kann, und diverse Kontakte via Web Cam knüpfen kann.


ja was nachdem Download, bzw. beim Versuch geschieht, sieht man hier. Fern bleiben von dieser Seite!!!

http://www.threatexpert.com/report.aspx?md...7654faaf3071473

Dieser Adware.EShoper wurde wohl von KAV wie auch von a² wieder zurückgenommen

http://www.virustotal.com/de/analisis/25e3...fe5f6e4b79c8b26

[Kenshiro]

Möchte gern wissen, wieso KL und emsisoft, die Adware von der DB herausgenommen haben?

[citro]

Möchte gern wissen, wieso KL und emsisoft, die Adware von der DB herausgenommen haben?

Vielleicht hat es damit was zu tun (F/P?)

http://www.rokop-security.de/index.php?s=&...st&p=244343

[Rios]

Neuer Bandit !!

Kennen noch nicht viele.
hxxp://internet-antivirus.com/ Vorsicht!!

[markus17]

Neuer Bandit !!

Kennen noch nicht viele.
hxxp://internet-antivirus.com/ Vorsicht!!

Wenn sich das Ding nach der Installation starten will, erkennt die Verhaltensüberwachung von GDATA die Datei. Sieht so aus, als ob die garnicht so schlecht ist. ^^

[Julian]

Wenn sich das Ding nach der Installation starten will, erkennt die Verhaltensüberwachung von GDATA die Datei. Sieht so aus, als ob die garnicht so schlecht ist. ^^

Kannst du das etwas näher beschreiben? In der VM habe ich bei Gdata nur eine Autostartüberwachung gesehen, weshalb es sich bei diesem Programm durchaus melden kann

[attachment=4006:ar1.jpg] [attachment=4007:ar2.jpg]

Dann bleibt die Installation beim Nachladen von Komponenten aus dem Internet stecken.
[attachment=4008:net.jpg] [attachment=4009:net2.jpg]

Muss also nichts schädliches sein, kann auch einfach nur ein Fraudprog sein.

[chris30duew]

HI
also auch mal so zur geliebten Verhaltensüberwachung von Gdata. Um es mal ganz deutlich zu sagen, ist das nichts anderes als eine Überwachung des Autostarts, was jetzt eben in Verhaltensüberwachung umgenannt wurde. also nichts anderes als die Überwachung die schon in der 2008er Version drin war. Alles andre ist Einbildung.
Ich habe mal mit verschiedenen Adware Programmen die wir ja reichlich auf Jotti hier finden nen versuch gewagt auf VM, es wurden bei Gdata immer nur wie Julian auch sagt, Einträge und Änderungen in den Autostart gemerkt und gemeldet sonst nichts.
Andere Änderungen wurden nicht gemeldet. Und sofern weder Avast nocht Kaspersky ne Signatur für das entsprechende Programm haben ist Gdata ganz einfach blind. fertig. Denn die Heuristik von Gdata, sorry kann man in die Tonne treten. Falls keine Signatur für eine Malware vorliegt hat Gdata nichts entgegenzusetzen ausser vll den Autostart zu verhindert, das heisst aber nicht, das die malware nicht nach der installation schon laufen würde, da kann Gdata nix machen, da es weder eine gescheite Heuristik nocht eine RICHTIGE Verhaltensüberwachung oder gar HIPs hat.

ich verstehe nicht, wo echt jeder das Thema "schliessen der Lücke zwischen Ausbruch und Signatur" durch HIPS oder Verhaltensentdeckung (TruPrevent, DeepGuard, KIS HIPS) ernst nimmt, Gdata immer noch frech denk, die beiden engines werden es schon richten...

sorry wenn auch etwas off topic, aber ist meine meinung

[Julian]

ich verstehe nicht, wo echt jeder das Thema "schliessen der Lücke zwischen Ausbruch und Signatur" durch HIPS oder Verhaltensentdeckung (TruPrevent, DeepGuard, KIS HIPS) ernst nimmt, Gdata immer noch frech denk, die beiden engines werden es schon richten...

Vielleicht fehlt Gdata dafür das richtige Personal? Wer ein HIPS bastelt, muss sich immerhin mit Windows sehr gut auskennen und das selbe gilt wohl für einen guten Selbstschutz, der ebenfalls bei Gdata fehlt.

[markus17]

Jaja, flame noch ein bisschen Chris.
In der 2009er Version wurde die Verhaltensüberwachung verbessert. Früher wurde wirklich nur der Autostart und vielleicht noch vereinzelte Registry-Pfade überwacht. Die Heuristik von GDATA ist nicht die beste, jedoch haben nur wenige AV-Scanner eine wirklich gute Heuristik.

Aber zum Thema:
Ok, ich lade also die Datei herunter und für das Setup aus. Zuerst bekomme ich eine Meldung, dass sich etwas in den Autostart eintragen will und danach, wenn sich das eigentliche Programm starten will, bekomme ich eine Warnung ... (siehe Screenshots) und ich kann das Programm in Quarantäne geben.

Der Beitrag wurde von markus17 bearbeitet: 12.08.2008, 13:54

Angehängte Datei(en)

 autostart_berwachnung.PNG ( 20.17KB ) Anzahl der Downloads: 20
 verhaltensanalyse.PNG ( 19.58KB ) Anzahl der Downloads: 23
 verhaltensanalyse_2.PNG ( 13.34KB ) Anzahl der Downloads: 19

 

[chris30duew]

ok nun versuch das ganze mal mit der Version 2008 und du wirst die gleichen ergebnisse bekommen, nur mit anderer "überschrift" im meldungsfenster....

wie gesagt diese registryüberwachung gabs schon immer :-D seit 2008. Ausserdem flame ich nicht, das ist meine meinung, die ich auch schon während des Betatests 2008 immer und immer wieder angab, das man endlich an der heuristik was machen muss und HIPS eingebaut gehört. Es reicht eben nicht sich 2 engines zu kaufen und den rest ausenrum schön zu verpacken. Was an eigenleistung von Gdata steckt denn viel drin? vll höchstens noch die verhaltensüberwachung. Schade eben das auch in 2009 HIPS bei Gdata keine rolle spielt.

da hätte man sich mal um ne eigentständige und bessere heuristik kümmern sollen und sich nicht auf die schwache der standard engines verlassen. aber vll soll das die "neue" verhaltensüberwachung das kombinieren, wird man man sehn.

zurück aber zum jotti thema!!

@Julian was meinst du zur verhaltensüberachung von Gdata wenn du dir von Markus17 die bilder anschaust? im Vergleich zu Kaspersky. Kann man sich auf diese verlassen von gdata oder wäre es da schon zu spät?

Der Beitrag wurde von chris30duew bearbeitet: 12.08.2008, 14:02

[markus17]

ok nun versuch das ganze mal mit der Version 2008 und du wirst die gleichen ergebnisse bekommen

Ähm, nein? Hast du dir den 2. Screenshot angesehen? Es wird ganz klar gesagt, dass das Programm schädliches Verhalten aufweist und gefragt, ob man es isolieren will. Bei der 2008 wär genau der Autostart verhindert worden, das wars. Und wenn ich mir KAV ansehe (siehe Screenshots weiter oben), dann wird dort das Programm noch gestartet. Bei GData verschwindet es und ist weg!
*edit*
Es werden auch Dateien von der Verhaltensüberwachung erkannt, die keinen Eintrag in den Autostart ablegen.

Wenn du noch weiter über dieses Thema diskutieren willst, dann eröffne hier in diesem Unterforum einen Thread GData Verhaltensüberwachung und wir machen dort weiter. Den obigen Post von mir kann man glaube ich hier im Thema lassen, da Julian ja nur sehen wollte, was ich meine.

Der Beitrag wurde von markus17 bearbeitet: 12.08.2008, 14:07