Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Scrapie_*]

Ist das jetzt überhaupt möglich das eine Signatur alle 2250 Variablen abdecken kann oder geht die Signatur fest auf die Dateigröße , wär bissl blöd ?

Eher auf Hashwerte - zumal er (DrWeb) soooo schnell war.
Das check ich später noch, keine Sorge

Zudem wie oben gesagt wird es jetzt langweilig - es wird keiner mehr im Originalposting hinzugefügt.

In ein paar Wochen Re-Scann ist sicher witzig


Scrapie

[Voyager]

Ein ReScan ist eher witzlos wenn die AV Hersteller ihre Signaturdatenbanken damit vollmüllen .... solange das Packet keiner in irgendwelchen Ecken im Netz frei veröffentlicht oder die Forenteilnehmer alle 2250 Samples einsenden ( zum Julian rüberschiel).

[Gast_Scrapie_*]

Hi

Dr.Web hat eindeutig Signaturen dafür.
Genauer sind es zwei, jeweils nur 4 Bytes lang und die Offsets liegen sehr dich beieinander:

=> Daher (für Dr.Web) so schnell der Scann
=> Daher (für Dr.Web) soooo einfach zu patchen
=> Daher (für Dr.Web) soooo einfach mit Tools unerkannt zu machen


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 12.10.2008, 18:38

[Voyager]

@dragonmale

Dr.Web ohne Signaturupdate neu aufspielen und nochmal scannen.

Jetzt stellt sich die Frage wie kam Dr.Web an das Packet ?

Der Beitrag wurde von bond7 bearbeitet: 12.10.2008, 18:49

[dragonmale]

=> Daher (für Dr.Web) soooo einfach mit Tools unerkannt zu machen

... und dann wäre es mal interessant, wie der Guard reagiert, wenn man die Samples startet.

@bond7,
ich habe mit CureIt! gescannt
Die CureIt! Version war von heute Nachmittag (bevor ich die Datei von Scrapie erhalten hatte), nur kam ich nicht eher zum Scannen -> und jetzt läuft seit ca. eineinhalb Stunden der McAfee-Scan ...

Ich hatte mir die Samples eigentlich auch nur geladen, um damit mal ein paar Tests mit dem McAfee HIPS und dem neuen 8.7er AV-Guard durchzuführen ...

Der Beitrag wurde von dragonmale bearbeitet: 12.10.2008, 19:06

[Julian]

Wenn Sonar ein Sample erkennt dann erkennt Sonar alle 2250 Objekte , es sind ja diesselben Viren. Hier geht es aber gerade nicht um "Ausführung" , hier gehts um OnDemand-Scan und anstatt hier nur mit der großen Emulationsheuristik zu prahlen sollte er den Scan endlich mal machen auch wenns dauert.

Es geht um die Erkennung des Scanners allgemein, ich kann auch in der Registry rumwursten und den Emulator für On Demand-Scans auf Level 500 stellen, dauert dann halt nur einen Tag, aber die Erkennung ist spitze...
Die Frage sollte eher sein, welches AV ist in der Lage, die Samples On Acces bzw. On Execution aufzuspüren und somit den User zu schützen. Da hat dann die Emulator-Heuristik voll ihre Pflicht erfüllt, was man von der On Demand-only Heuristik von Norton 2009 nicht behaupten kann...

[Voyager]

Autsch , der hat gesessen.

Wann ist dein popliger Scan fertig ?

[dragonmale]

Mit Artemis werden insges. 19 von 2250 On-Demand erkannt ...

[Gast_kurz-pc_*]

Nod32
2 Stunden 52 Minuten
41 Dateien gefunden Variante von Win32/Kryptik.O

[chris30duew]

Also von Artemis hab ich mir mehr versprochen.
da wird ewig so n tam tam und geheimnis draus gemacht wo es nun enthalten ist, wo nicht, sogar die Erkennung steigt auf 99% an (wobei das ja die enterprise version war 8.7, ob bei der home version mit artemis das ergebnis gleich wäre?) und bei mir selbst hat artemis nur einmal angeschlagen und auch hier eher wenige funde.....


vll weiss auch wenns etwas OT ist IBK mehr ob das artemis in enterprise produkten (V8.7 etc) und die in home produkten (aktive protection) von der leistung und erkennung vergleichbar sind

[Gast_Scrapie_*]

Ein Betthupferl noch schnell mit der Zahnbürste im Mund: SWF-Exploit


Gute n8,
Scrapie

[Gast_kurz-pc_*]

Was denn Zcodec1113.exe angeht. ThreatExpert hat das Problem beseitigt.

The anti-VM trick used by the malware was fixed - the updated report is available at:
http://www.threatexpert.com/report.aspx?md...49c4cc0eb41dc3f

Ganz schön schnell wie ich finde.

[citro]

Ich persönlich finde es eher erschreckend, dass durch den vermehrten Einsatz, von virtuellen System, auf privaten Rechnern, nun immer mehr User in dem Glauben sind, nun frei weg Malware testen zu müssen/zu können Mal ganz davon abgesehen, dass dies (bei den meisten so eingesetzten Systemen) nicht wirklich Sinn macht, scheinen sich viele auch nicht des bestehenden Restrisikos bewusst zu sein -> Malware könnte z.B ausbrechen. Virtuelle Systeme sind auch nicht zu 100% sicher.

HI, abgesehen von einem alten Rechner,

hat jemand Erfahrung inwieweit Try&Decide von Acronis sicher ist und ob das letztendlich auch unter die Kategorie VM fällt ?
Try&Decide müsste auf einer sog. Security Zone, eine eigene dafür angelegte Partition funktionieren und ohne extra ein Betriebssystem installieren zu müssen.

[citro]

Ein sog. Webmediaplayer au seinem Werbebanner:

gestern erkannte ihn nur Microsoft, KAV und Avira waren dann wie gewohnt die schnellsten danach.

http://www.virustotal.com/de/analisis/bced...92f8ab90bdbe59b

http://virscan.org/report/e2babc94e8e50724...56e5809584.html

Der Beitrag wurde von citro bearbeitet: 14.10.2008, 18:12

[Gast_Scrapie_*]

Nur ein Ergebnis von 7 Codec's aus den letzten 2h: Klick

Das ewige Katz-und-Maus Spiel ....

[olli]

Ein sog. Webmediaplayer au seinem Werbebanner:

gestern erkannte ihn nur Microsoft, KAV und Avira waren dann wie gewohnt die schnellsten danach.

http://www.virustotal.com/de/analisis/bced...92f8ab90bdbe59b

http://virscan.org/report/e2babc94e8e50724...56e5809584.html

Kannst Du die Datei nochmal scannen lassen? Würde mich mal interressieren, wie schnell die Hersteller reagieren....

Bis denne
Olli

[citro]

Kannst Du die Datei nochmal scannen lassen? Würde mich mal interressieren, wie schnell die Hersteller reagieren....

Bis denne
Olli

Habe sie nur noch bei Symantec, a², Ikarus, Avast, vba32, AdAware und Malwarebytes eingeschickt, ist momentan noch so wie bei VT.

[Voyager]

Neuer Trick , man kombiniere Phishinglinks die so ohne Eingabefelder nicht als Phishing erkannt werden und platziert darin nur virale Drive-by-Downloads mit recht seltsam anmutenden Beschwichtigungsversuchen die den User verleiten nur sollen das Ding zu installieren.



http://www.virustotal.com/de/analisis/1f22...521e87991173aea

[Gast_kurz-pc_*]

So ne schlechte erkennung hate ich schon lange nicht mehr.

hxxp://scan.antispyware-free-scanner.com/

Setup: Result: 0/36 (0%)
http://www.virustotal.com/analisis/fba4a87...0d6f177935b879a

Programm: Result: 2/36 (5.56%)
http://www.virustotal.com/analisis/9171b28...1cd75d65ed21e40

Webseite:


Setup:


Programm:

[Rios]