Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_kurz-pc_*]

Wir reden von 2 verschiedenen Sachen , den Link hxxp: / / codecdownload.soft4funportal.com/zcodec.1113.exe hab ich von Rios bekommen . Dieser macht nur das was man in dem Bild sieht.
http://www.abload.de/image.php?img=aufzeichnent1s.jpg

Rios hat mir dann irgendwas anderes gegeben und nicht diesen den du hast.

Ich bräuchte dein Modell zum Gegentest.

Meine stammt auch von hxxp://codecdownload.soft4funportal.com/zcodec.1113.exe hab die über google gefunden.
Meine MD5 stimmt aber überein mit der MD5 von der Datei die Rios bei VT hochgeladen hat. Eventuell ist es Browserabhängig welche Datei man bei Download bekommt. Kannst du deine Mal bei VT hochladen? Oder MD5 Posten.

Das ist die wo ich habe: hxxp://rapidshare.com/files/152988368/zcodec.1113.exe MD5 63d204b016098df1c49c4cc0eb41dc3f

Virustotal

[citro]

Nachtrag:
Das Risiko yenoMgiB.exe wurde eben 16.27Uhr als Trojan Zlob vom Autoprotect erkannt

Ebenfalls:

[Voyager]

@kurz-pc

Ich habs mal im Vista (Virtual PC) getestet , er löscht sich bei Doppelklick , das NAB darauf meldet auch nichts und nach dem Löschvorgang kann ja logischerweise nichts mehr weiter passieren , weg ist weg und Aktivitäten (z.b. Netzwerk) gibts danach auch keine..
Vll. hat der ja Angst vor Norton ?

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 16:19

[Gast_Scrapie_*]

Hi

Klarer Fall von (teilweiser) VM-Erkennung
Erkennt so ein Teilchen, dass es unter einer Sandbox oder VM läuft, dann löscht es sich, um die Analyse zu erschweren.
Auf diversen Foren werden seit ca. drei Wochen vermehrt entsprechende Sources für C++, Delphi und selbst VB angeboten. Aktuell 6 Sandboxen und fünf VM im Angebot.
Wollt ihr daher unter VM testen, müsst ihr vorher die Erkennung auspatchen. Dann läufts wie unter echtem PC....


Scrapie

[Julian]

Hi

Klarer Fall von (teilweiser) VM-Erkennung
Erkennt so ein Teilchen, dass es unter einer Sandbox oder VM läuft, dann löscht es sich, um die Analyse zu erschweren.
Auf diversen Foren werden seit ca. drei Wochen vermehrt entsprechende Sources für C++, Delphi und selbst VB angeboten. Aktuell 6 Sandboxen und fünf VM im Angebot.
Wollt ihr daher unter VM testen, müsst ihr vorher die Erkennung auspatchen. Dann läufts wie unter echtem PC....


Scrapie

Die meiste Malware, die man über pcsl oder malwaredatabaseblog bekommt, funktioniert nicht in einer VM.
Ist allerdings schon ein relativ alter Hut...

[Voyager]

Ist meine Überlegung möglicherweise doch zutreffend , das Ding checkt die Systemumgebung ab und beginnt die Schadroutine erst wenn das System keine Treffer aufzeigt. Erschreckend ist natürlich wenn alle anderen ihre Malware auf physischen Systemen starten. Jede Änderung auf einem virtuellem System ist nicht vertrauenswürdig und wird nach Beendigung immer verworfen.

@Julian

Die Malware funktioniert schon, sie löscht sich selbst.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 16:45

[Julian]

Ist meine Überlegung möglicherweise doch zutreffend , das Ding checkt die Systemumgebung ab und beginnt die Schadroutine erst wenn das System keine Treffer aufzeigt. Erschreckend ist natürlich wenn alle anderen ihre Malware auf physischen Systemen starten.

Wen meinst du?

@Julian
Die Malware funktioniert schon, sie löscht sich selbst.

Sie wird aber nicht als eigentliche Malware aktiv.

[Gast_Scrapie_*]

Ist allerdings schon ein relativ alter Hut...

Ja.
Aber wie gesagt gibt seit drei Wochen einen Run auf Crypter und Packer, die diese Funktion mitbringen. War früher so ein Feature in der entsprechenden Malware selber integriert, jetzt kann mit den Cryptern und Packern nahezu jede Malware auf die Schnelle damit aus- und nachrüsten.


Interessant dazu das folgende PDF: KLICK

We characterize the prevalence of malware evasion methods by executing 6,900 recently-captured malware samples under different environment — more than 40% of the total malware samples reduce their malicious behavior under virtual machines or with a debugger attached, and they account for potentially 90% of the Internet attacks during certain periods.

Overall, 2,625 (42.2%) samples reduced their malicious behavior under either VM execution or debug execution.

Scrapie

[Julian]

Interessant, thx Scrapie

[Gast_kurz-pc_*]

Also hab noch mal ein Test gemacht.

Windows XP Pro SP3 in VirtualBox 2.0.2 mit installierten VBoxGuestAdditions
Dann kommt das raus.


Windows XP Pro SP3 in Microsoft Virtual PC 2007 ohne Virtual Machine Additions
Datei löscht sich sofort nach dem ausführen.

Anscheidt hat Scrapie recht.

Das erklärt auch diese unterschiedlichen Ergebnisse:
http://www.cwsandbox.org/?page=report&...;password=deoda
und
http://www.threatexpert.com/report.aspx?md...49c4cc0eb41dc3f

[Voyager]

War klar das NAB nicht so blind sein kann und absolut nichts mitbekommen würde wenn die Malware vor dem Löschvorgang noch etwas macht.

[dragonmale]

Erschreckend ist natürlich wenn alle anderen ihre Malware auf physischen Systemen starten. Jede Änderung auf einem virtuellem System ist nicht vertrauenswürdig und wird nach Beendigung immer verworfen.

Ich persönlich finde es eher erschreckend, dass durch den vermehrten Einsatz, von virtuellen System, auf privaten Rechnern, nun immer mehr User in dem Glauben sind, nun frei weg Malware testen zu müssen/zu können Mal ganz davon abgesehen, dass dies (bei den meisten so eingesetzten Systemen) nicht wirklich Sinn macht, scheinen sich viele auch nicht des bestehenden Restrisikos bewusst zu sein -> Malware könnte z.B ausbrechen. Virtuelle Systeme sind auch nicht zu 100% sicher.
Wenn man unbedingt testen möchte, kann man sich ohne weiteres auch einen alten Rechner dafür herrichten und z.B. entsprechend aufrüsten, wenn man z.B. mit hardwareseitiger Wiederherstellung arbeiten möchte ... usw.

[Voyager]

Malware könnte z.B ausbrechen. Virtuelle Systeme sind auch nicht zu 100% sicher.

ist mir bekannt allerdings ist die Gefahr immernoch geringer als auf Arbeits-PCs oder anderen Partitionen den Virus zu starten.

kann man sich ohne weiteres auch einen alten Rechner dafür herrichten

Auch dort besteht die Gefahr das das Bios oder der Bootblock beschädigt wird bei entsprechender Malware und dann wars das auch , man ist nirgendwo wirklich sicher.

[Gast_kurz-pc_*]

Wenn man unbedingt testen möchte, kann man sich ohne weiteres auch einen alten Rechner dafür herrichten und z.B. entsprechend aufrüsten, wenn man z.B. mit hardwareseitiger Wiederherstellung arbeiten möchte ... usw.

Meinst du so was?
http://www.pearl.de/a-PX1035-1356.shtml?vid=917

Mann kann auch bei Acronis True Image den Try&Decide Modus benutzen.

[dragonmale]

ist mir bekannt

Ich habe dich zwar zitiert, aber meine Aussage war eher allgemeiner Natur, denn dass dir das nicht unbekannt ist, bezweifele ich auch nicht -> aber bei anderen, bin ich mir nicht immer so sicher ...

allerdings ist die Gefahr immernoch geringer als auf Arbeits-PCs oder anderen Partitionen den Virus zu starten.

Richtig, nur besteht trotzdem noch ein Restrisiko und die meisten virtuellen Systeme laufen halt leider nicht auf Testrechnern, sondern eben auf Arbeitsrechnern -> und genau darum geht es

Auch dort besteht die Gefahr das das Bios oder der Bootblock beschädigt wird bei entsprechender Malware und dann wars das auch , man ist nirgendwo wirklich sicher.

Nun ja, selbst wenn das wirklich passiern würde -> Na und, ist doch ein Testsystem
Mal ganz davon abgesehen, dass solche hardwareseitigen Systeme z.B. das Bios schützen/ wiederherstellen können etc.

@kurz-pc,
ja, z.B.

Der Beitrag wurde von dragonmale bearbeitet: 11.10.2008, 18:16

[Julian]

Ich persönlich finde es eher erschreckend, dass durch den vermehrten Einsatz, von virtuellen System, auf privaten Rechnern, nun immer mehr User in dem Glauben sind, nun frei weg Malware testen zu müssen/zu können

Was ja nun bei VMs schlicht nicht möglich ist, wie Scrapie ja auch hier mit guter Quelle einwarf.

Mal ganz davon abgesehen, dass dies (bei den meisten so eingesetzten Systemen) nicht wirklich Sinn macht, scheinen sich viele auch nicht des bestehenden Restrisikos bewusst zu sein -> Malware könnte z.B ausbrechen. Virtuelle Systeme sind auch nicht zu 100% sicher.

Man kann die Prozesse einer VM mit HIPS weitestgehend beschränken, was das ohnehin beinahe utopische Risiko noch weiter minimiert.
Ist also nicht sonderlich realistisch und um bestimmte Sceanfeatures bestimmer Produkte zu testen, muss die Malware halt gestartet werden, z.B. bei KIS, wobei das Resultat davon dann mehr oder weniger einem Test auf einem Host entspricht.

Wenn man unbedingt testen möchte, kann man sich ohne weiteres auch einen alten Rechner dafür herrichten und z.B. entsprechend aufrüsten, wenn man z.B. mit hardwareseitiger Wiederherstellung arbeiten möchte ... usw.

Was aber nicht ausschließt, dass der Tester schlampt und ein irrtümlicherweise clean vermutetet System munter durchläuft und z.B. Spam verschickt.

[Voyager]

Man kann die Prozesse einer VM mit HIPS weitestgehend beschränken, was das ohnehin beinahe utopische Risiko noch weiter minimiert.
Ist also nicht sonderlich realistisch und um bestimmte Sceanfeatures bestimmer Produkte zu testen, muss die Malware halt gestartet werden, z.B. bei KIS, wobei das Resultat davon dann mehr oder weniger einem Test auf einem Host entspricht.

Was ich dazu noch hinzufügen will, der virtuelle PC hat nur Benutzerrechte im Vista , wenn da wer ausbricht (was ich bisher noch nicht gesehen habe) hat er auf dem Host keinerlei Rechte, das minimiert das Risiko noch weiter das man sich über ein virtuelles System malware einfangen könnte.

[dragonmale]

@Julian
Eigentlich habe mit meinem Beitrag nur auf Bonds (für meine Begriffe) falsch platziertes "erschreckend" reagieren wollen und u.a. war diese Festellung hier …

Was ja nun bei VMs schlicht nicht möglich ist, wie Scrapie ja auch hier mit guter Quelle einwarf.

...auch ein eigentlich wichtiger Bestandteil meiner Aussage ->

Mal ganz davon abgesehen, dass dies (bei den meisten so eingesetzten Systemen) nicht wirklich Sinn macht

Warum zitierst du mich al(so) in diesem Zusammenhang?

Man kann die Prozesse einer VM mit HIPS weitestgehend beschränken, was das ohnehin beinahe utopische Risiko noch weiter minimiert.

Zuerst einmal braucht es kein HIPS dazu. Ein HIPS ist im Prinzip nur ein Bestandteil einer sog. letzten Verteidigungslinie -> wenn man ein HIPS dazu benutzen muss, um entsprechende Regeln anzulegen, sollte man sich einmal grundlegend Gedanken über sein Sicherheitskonzept machen

Des Weiteren finde ich die Wortwahl >utopisch< etwas unpassend -> kommt von Wunschvorstellung und assoziiert etwas unmögliches/unerfüllbares und das trifft definitiv so nicht zu -> du kannst ja z: B. gerne mal div. Suchmaschinen bemühen und nach bekanten (und gefixten) Löchern von entsprechender Software suchen -> so ist z.B die letzte entsprechende Meldung gerade mal 5 Tage alt.

Ist also nicht sonderlich realistisch

Doch, es ist (eben) realistisch und im Gegensatz dazu ist es (eben) eine Wunschvorstellung , dass virtuelle Umgebungen sicher und effizient (bei der Analyse) sind -> umgekehrt wird ein Schuh draus.

und um bestimmte Sceanfeatures bestimmer Produkte zu testen, muss die Malware halt gestartet werden

Entschuldigung Julian, aber -> was du nicht sagst -> Jetzt muss ich doch mal fragen -> Hast du eigentlich die Intention meines Beitrages verstanden?

z.B. bei KIS, wobei das Resultat davon dann mehr oder weniger einem Test auf einem Host entspricht.

Ok, und was hat mein eigentliches Anliegen jetzt mit z.B. solch einem pubertären "HIPS", wie dem, von KIS zu tun?

Was aber nicht ausschließt, dass der Tester schlampt und ein irrtümlicherweise clean vermutetet System munter durchläuft und z.B. Spam verschickt.

Was hat das jetzt damit zu tun? Jeder kann Fehler machen -> Nur wenn der "Fehler" schon damit beginnt, dass schlicht und ergreifend das notwendige Know-how und Equipment fehlt, um überhaupt aussagekräftige Ergebnisse erzielen zu können, sollte man sich vielleicht einmal Gedanken darüber machen, was man wirklich will -> Mir ging es eigentlich darum, wie sorglos einige hier (und andernorts) mit dieser Thematik umgehen und solche Aussagen (wie die deinige) verstehe ich in diesem Zusammenhang überhaupt nicht, denn ein Bestandteil meines Anliegens ist ja die Tatsache, dass es vielen Usern einfach am (eigentlichen) nötigem Know-how und Equipment für solche Tests fehlt und einige der Meinung sind, das man einfach mal Malware, in einer VM (auf seinem Hauptrechner), ausgeführt und auf seine Lieblingsschutzsoftware loslässt und schon hat man ein relevantes und brauchbares Ergebnis …

Irgendwie verstehe ich diese Logik nicht ganz -> was spricht denn dagegen, sich, bei Interesse, einen alten Rechner entsprechend einzurichten? Ob dann nun mit, oder ohne VM (das nötige Wissen vorausgesetzt) getestet wird, ist dann doch jedem selber überlassen -> aber was einige hier so betreiben …. und auch noch andere dazu animieren …

Der Beitrag wurde von dragonmale bearbeitet: 11.10.2008, 22:45

[Voyager]

Gönn doch den Leuten den Spass , immerhin lernt man unter Umständen so etwas dabei und Leute die sich aus eigenem Interesse damit auseinandersetzen sind doch immernoch besser als PC-Benutzer dessen Gerät einem Botnet angehören und dem PC-Benutzer stört das aus Desinteresse am Thema nichtmal sonderlich viel.
Du hälst dich sicher auch für ein Geek oder ein Versteher oder schlimmeres , warum bist du das ? Weil du Interesse am dem Thema hast . Mag schon sein das du vll. alles besser weisst nur wer kann das schon nachprüfen ? Ein VM ist ein praktikables Tool und in der Regel für derartige Tests auch noch ausreichend , bei wem dann doch in einem eher seltenen Fall der Supervirus zuschlägt weiss mit den Konsequenzen leben zu müssen , was heisst eine Infektion zu beseitigen notfalls durch Neuinstall.

[Julian]

Hallo dragonmale,

@Julian
Eigentlich habe mit meinem Beitrag nur auf Bonds (für meine Begriffe) falsch platziertes "erschreckend" reagieren wollen und u.a. war diese Festellung hier …

...auch ein eigentlich wichtiger Bestandteil meiner Aussage ->

Warum zitierst du mich al(so) in diesem Zusammenhang?

weil deine Thesen nicht ganz signifikant sind, habe ich es mir gestattet, eine auf einen allgemeinen Kontext bezogene Antwort zu geben.

Zuerst einmal braucht es kein HIPS dazu. Ein HIPS ist im Prinzip nur ein Bestandteil einer sog. letzten Verteidigungslinie -> wenn man ein HIPS dazu benutzen muss, um entsprechende Regeln anzulegen, sollte man sich einmal grundlegend Gedanken über sein Sicherheitskonzept machen

Etwas differenzierter:
Ein HIPS kann, und in entsprechenden Umgebungen sollte es sogar, die letzte Verteidigungslinie sein.
In Prozentsätzen ausgedrückt stoppen z.B. Comodo oder Online Armor 99,9% der Malware, Rechtebeschränkungen durch z.B. einen entsprechenden Useraccount stoppen 95% (natürlich nur Fantasiewerte).
So gesehen ist es ein simples Additionsspiel, ich behaupte aber für mich, dass mir nie Malware unter die Finger kommt, die durch Userbeschränkungen geblockt wird, wo mein HIPS versagen würde, weil ein HIPS letztendlich das selbe macht, nur komplexer und individueller.

Des Weiteren finde ich die Wortwahl >utopisch< etwas unpassend -> kommt von Wunschvorstellung und assoziiert etwas unmögliches/unerfüllbares und das trifft definitiv so nicht zu -> du kannst ja z: B. gerne mal div. Suchmaschinen bemühen und nach bekanten (und gefixten) Löchern von entsprechender Software suchen -> so ist z.B die letzte entsprechende Meldung gerade mal 5 Tage alt.

Der Wortlaut war "beinahe utopisch", und um auf deine Argumente einzugehen, auch deshalb, weil man erst einmal die Malware, die einen VM-Exploit ausnutzt, finden und unwissend in einer entsprechenden VM-Umgebung ausführen muss.

Doch, es ist (eben) realistisch und im Gegensatz dazu ist es (eben) eine Wunschvorstellung , dass virtuelle Umgebungen sicher und effizient (bei der Analyse) sind -> umgekehrt wird ein Schuh draus.

Das hab ich ja auch nie gesagt
Eine gewisse Relevanz können die Ergebnisse aber trotzdem haben.

Entschuldigung Julian, aber -> was du nicht sagst -> Jetzt muss ich doch mal fragen -> Hast du eigentlich die Intention meines Beitrages verstanden?

Da bin ich mir nicht sicher, allerdings halte ich es für wahrscheinlich, dass einfach ein gewisser Dissens vorliegt.

Ok, und was hat mein eigentliches Anliegen jetzt mit z.B. solch einem pubertären "HIPS", wie dem, von KIS zu tun?

Du siehst ja die Bilder von den Pop-Ups in meinen Beiträgen, wo KIS warnt, dass es sich um ein wahrscheinlich gefährliches Programm handeln könnte.
Um an diese Pop-Ups "ranzukommen", muss man das Malwaresample starten, und dabei ist das Ergebnis gleich, ob ich es nun in einer VM oder auf dem Host starte.

Was hat das jetzt damit zu tun? Jeder kann Fehler machen -> Nur wenn der "Fehler" schon damit beginnt, dass schlicht und ergreifend das notwendige Know-how und Equipment fehlt, um überhaupt aussagekräftige Ergebnisse erzielen zu können, sollte man sich vielleicht einmal Gedanken darüber machen, was man wirklich will

Gut, ich stimme dir vollkommen zu, dass versierte Leute, die extrem viel Zeit, Know-How und Interesse haben, zweifelsfrei sagen können, ob z.B. das Bios verändert wurde und so einwandfrei feststellen können, ob der PC dauerhaft infiziert ist oder nicht. Aber wer macht das schon?
Von den oberflächlich "Hobby"-Interessierten hier sicherlich keiner
Das ist ein ähnlicher Worst Case-Fall wie das gezielte Exploiten einer VM durch Malware.

(...) ausgeführt und auf seine Lieblingsschutzsoftware loslässt und schon hat man ein relevantes und brauchbares Ergebnis …

Hat man auch, wenn man nicht gerade ein Sample erwischt, was sich selbst schützt, indem es in einer VM nicht seine (volle) Aktivität entfaltet, oder eine VM exploitet (Worst Case IMO).

Irgendwie verstehe ich diese Logik nicht ganz -> was spricht denn dagegen, sich, bei Interesse, einen alten Rechner entsprechend einzurichten?

Bei mir z.B. der Platz.


Ansonsten stimme ich bond zu (Ja, richtig gelesen )