Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Poulsen_*]

Darum liebe ich diesen Thread so. Hier geht's wenigstens "sachlich" zu.
Oder waren das jetzt doch alle Threads, in denen KAV und NAV vorkommen.

[Voyager]

@Julian

Niemand will dich verarschen, du solltest aber schon zuhören wenn man dir etwas sagt .

Ich hoffe ich bekomme jetzt keinen auf den Deckel und man macht hier mal eine Ausnahme beim Posten von PNs.

Es sind diesselben Dateien (umbenannt) aber immer verschiedener Hash => Alle mit einem UPX-Patcher geringfügig variert.

Gute Heuristik sollte daher fast alle Varianten finden. Wer keine Heuristik hat = Essig

98% mit Hilfe der (einer Maske) Heuristik zu erkennen ist wirklich sehr gut.

AntiVir wird ja immer so hoch gelobt. Es erkannt aber nur 33% der Varianten. Im Log tauchen dazu über 20 verschiedene Erkennungen auf - alles *Gen.2.xy (xy ist eine zweistellige Zahl). NIS schafft das mit nur einer heuristischen Erkennung, was darauf schliessen läßt, das diese Maske sehr sehr gut aufgebaut ist.

KAV hat hier lokal & Alles auf maximal gedreht 0% erkannt.
Okay, proaktiver Schutz gibt es ja vielleicht noch, trotzdem ziemlich schlecht in meinen Augen.

Julian scannt gerade mit KIS und meldet sein Ergebnis.
Ein Anderer testet Avira Premium, AVG und Bitdefender...

Das fett markierte ist der Schlüssel um das was es hier geht Julian , der Scanner muss mittels der Heuristik jede Abweichung erkennen können (Norton nur zu 98,2%) . Es geht Nicht um einen Familienstamm der Malware , dir bleibt nichts anderes übrig als den Rotz zu scannen und hier keine Vorträge zu halten .
Ich hoffe mal du bist jetzt etwas bereitwilliger bei der Arbeit dabei und hörst auf sinnlos um dich zu treten aus welchem Grund auch immer.

[Gast_Sicherheit_*]

Darum liebe ich diesen Thread so. Hier geht's wenigstens "sachlich" zu.
Oder waren das jetzt doch alle Threads, in denen KAV und NAV vorkommen.

Das Salz in der Suppe, der jeweiligen Intressenvertreter.

Jeder kann davon ein wenig Löffeln und den eigenen Geschmack erherausfinden.

Danke an @all

Der Beitrag wurde von Sicherheit bearbeitet: 12.10.2008, 16:02

[Gast_Scrapie_*]

Hallo

Also das Posting von oben ist aktualisiert.
Danke an alle, die mitgeholfen haben !


Zu den Dateien selber:
- Alle mit UPX v3.02 gepackt.
- Lassen sich ohne Probleme entpacken => UPX-Header nicht verändert
- Dateien unterscheiden sich alle im Offset 422F - 424D (30Bytes) durch zufällige Daten => Immer anderer Hash

Durch diese minimale Änderung geh' ich mal davon aus, dass es 2.250x die identische Datei ist (selber Funktionsumfang), aber geringfügig verändert wurde, um die Erkennung zu erschweren. Eine gute Heuristik sollte aber mit so einer kleinen Abweichung umgehen können. Das dies durchaus machbar ist, haben ein paar Produkte ja gezeigt.

- Keine verdächtigen Strings
- Keine erkennbare VM- und Sandbox-Erkennung
- Datei löscht sich nach Start
- Injiziert sich in svchost.exe
- Startet IE (default Browser)
- Lädt zwei Dateien (1 & 2)aus dem Netz und installiert ne Menge an Dateien
- Übermittelt die aktuelle IP an einen Host, dieser liefert die Stadt, Sprache (Land) und Geoposition zurück! Gehört zu webHancer und sammelt Infos über Surfverhalten (1 & 2 & 3)
- Kontaktiert regelmäßig theinstalls.com, prime.webhancer.com , w*w.funtarget.com & megaloadz.com wegen Updates


//EDIT:

a-squared wieder mit 100% Erkennung bei Allem gedroppt & nachgeladenem...

QUELLTEXT

\uesiuqcr.exe     gefunden: Riskware.AdWare.Win32.WebHancer.390!IK
\n2ewsys.exe/whAgent.exe     gefunden: Win32.SuspectCrc!IK
\n2ewsys.exe/whInstaller.exe     gefunden: Win32.SuspectCrc!IK
\n2ewsys.exe/webhdll.dll     gefunden: Riskware.AdWare.Win32.WebHancer.390!IK
\n2ewsys.exe/whiehlpr.dll     gefunden: Virus.Win32.Dialer.567!IK
\n2ewsys.exe     gefunden: Adware.Win32.WebHancer.390!A2
\timain471.exe     gefunden: Backdoor.Win32.VB.bax!IK
\getsn32.dll     gefunden: Backdoor.Win32.VB.bax!IK
\smwin32.dll     gefunden: Backdoor.Win32.VB.bax!IK

Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 12.10.2008, 16:41

[Julian]

@Julian

Niemand will dich verarschen, du solltest aber schon zuhören wenn man dir etwas sagt .

Der pure Hohn, den ich aber mal weitestgehend ignoriere...
Ich sag es dir jetzt noch ein xtes Mal: Es es für eine gute Emulatorheursitk ziemlich schnuppe, wie ein Sample gepackt ist, weil es in einer virtuellen Umgebung ausgeführt wird und am Verhalten, nicht an Dateimerkmalen, erkannt wird.
Und wenn sich alle Samples gleich verhalten, dann werden sie auch alle erkannt. So etwas habe ich dir in ähnlicher Form schon zig Mal mitgeteilt, aber scheinbar kommt das nie an...

[Solution-Design]

Ich sag es dir jetzt noch ein xtes Mal: Es es für eine gute Emulatorheursitk ziemlich schnuppe, wie ein Sample gepackt ist, weil es in einer virtuellen Umgebung ausgeführt wird und am Verhalten, nicht an Dateimerkmalen, erkannt wird.

Dann kann Kaspersky den OnDemand-Scan auch herausprogrammieren

[Gast_kurz-pc_*]

So AVG Free ist jetzt auch endlich fertig.

2225 erkannt als "Crypt.UO"
Also so um die 98,88%
Scan hat sehr lange gedauert 2 Stunden 52 Minuten.

[Voyager]

Ich gebs auf, Julian windet sich den Ordner zu scannen weil er bestimmt weiss das es bei 0% OnDemand-Scan Erkennung bleibt.

Der Beitrag wurde von bond7 bearbeitet: 12.10.2008, 16:45

[Julian]

Dann kann Kaspersky den OnDemand-Scan auch herausprogrammieren

Man kann auch beim OD-Scan die Heuristik einschalten, nur halt nicht so tief (Level 10 zu Level 500).
Dauert aber auch schon lang genug.

[chris30duew]

boaaaah mensch ist doch jetzt gut bei euch beiden
Norton erkennt es eben aufgrund der heuristik sozusagen vor der ausführung, klar da es ja durch die heuristik blockiert wird, Kaspersky erkennt es eben nicht heuristisch, was ja auf ne vll bessere heuristik in dieser zusammensetzung der files hindeutet, aber dafür erkennt es kaspersky durch den emulator und schütz dadurch genauso vor infizierung!
hier ist eben die heuristik von norton gut dabei, und bei KIS eben die proaktive oder HIPS erkennung. Was gibts denn hier so zu streiten?

Am besten mal so machen. Die Heuristik bei Norton ausschalten so das es NICHT heuristisch erkannt wird und ausführen, so sehen wir wie gut die proaktive erkennung von Norton ist (ich glaube Sonar).

auf der andren seiten einfach ein sample davon zu kaspersky senden und sobald es in den signaturen ist, kann man schauen ob der rest (der ja abgewandelt ist) von der heuristik erfasst wird.

oder lieg ich da falsch?

[Julian]

oder lieg ich da falsch?

Jein, die Erkennung erfolgt bei Kaspersky auch durch eine Heuristik, nur arbeitet die halt mit einem Emulator

[Voyager]

Wenn Sonar ein Sample erkennt dann erkennt Sonar alle 2250 Objekte , es sind ja diesselben Viren. Hier geht es aber gerade nicht um "Ausführung" , hier gehts um OnDemand-Scan und anstatt hier nur mit der großen Emulationsheuristik zu prahlen sollte er den Scan endlich mal machen auch wenns dauert.

Der Beitrag wurde von bond7 bearbeitet: 12.10.2008, 16:56

[dragonmale]

@Scrapie,
als Ergänzung zur Erkenungsliste:

Dr.Web CureIt! -> 2250 = 100% alle als Trojan.DownLoader.50219 identifiziert -> und das in einem rasend schnellen Tempo ...

Nachtrag:

Im Moment läuft ein Scan mit McAfee (Artemis), da bis jetzt ja nur die CMD getestet wurde -> kann sich nur um Stunden handeln ...

Der Beitrag wurde von dragonmale bearbeitet: 12.10.2008, 17:47

[Gast_Scrapie_*]

@Scrapie,
als Ergänzung zur Erkenungsliste:

Dr.Web CureIt! -> 2250 = 100% alle als Trojan.DownLoader.50219 identifiziert -> und das in einem rasend schnellen Tempo ...

Nachtrag:

Im Moment läuft ein Scan mit McAfee (Artemis), da bis jetzt ja nur die CMD getestet wurde -> kann sich nur um Stunden handeln ...

Danke, ich werde es gleich ergänzen
Das ist dann aber der letzte AV - in der Zwischenzeit sollten die Samples ja überall angekommen sein und eine Erkennung kein Kunststück mehr

[citro]

Hat das schon jemand mit a²free ohne Ikarussignaturen getestet ?

Der Beitrag wurde von citro bearbeitet: 12.10.2008, 17:52

[Gast_Scrapie_*]

Ruhiger Sonntag...

Rat-Server Nr.1: Klick
RAT-Server Nr.2 (UPX): Klick
RAT-Server Nr.2 (unpacked): Klick
Crypter-Stub: Klick
RAT-Server Nr. 2 von oben + Crypter von oben: Klick

[Gast_kurz-pc_*]

Das ist dann aber der letzte AV - in der Zwischenzeit sollten die Samples ja überall angekommen sein und eine Erkennung kein Kunststück mehr

Beim mir läuft noch NOD32 aber das kann noch eine weile dauern. Da das letzte Update von eset gestern war lass ich denn Scan noch durchlaufen.

[Gast_Scrapie_*]

Hat das schon jemand mit a²free ohne Ikarussignaturen getestet ?

a-squared FREE v3.5 - 0 = 0%


@kurz-pc:
Okay

Der Beitrag wurde von Scrapie bearbeitet: 12.10.2008, 18:11

[Solution-Design]

Dr.Web CureIt! -> 2250 = 100% alle als Trojan.DownLoader.50219 identifiziert -> und das in einem rasend schnellen Tempo ...

Die TrojanDownloader wurden per Sig erkannt, welche Dr.Web scheibar flux hinzufügte. Interessant sind wirklich eher nur die heuritischen Erkennungen. Wenn eine Signatur vorhanden ist... Das ist ja einfach

[Voyager]

Ist das jetzt überhaupt möglich das eine Signatur alle 2250 Variablen abdecken kann oder geht die Signatur fest auf die Dateigröße , wär bissl blöd ?