Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Angelehnt an mein letztes Posting http://www.rokop-security.de/index.php?s=&...st&p=252794

Manchmal zweifelt man schon wie Effektiv der Malware-Test bei symantec ist , die hauseigene Heuristik hat das Objekt schon längst als böse verdäcchtigt

Dear ---------,

We have analyzed your submission. The following is a report of our findings for each file you have submitted:

filename: F:\40\1\Oceanmultissl.exe
machine: Machine
result: See the developer notes

Developer notes:
F:\40\1\Oceanmultissl.exe Our automation was unable to identify any malicious content in this submission.
The file will be stored for further human analysis

[rolarocka]

hxxp://www.messengerskinner.com Die GUI wird ab und zu gewechselt.

An ThreatFire kommt MessengerSkinner nicht vorbei:







Der Beitrag wurde von rolarocka bearbeitet: 26.10.2008, 14:44

[Julian]

Hier auf dieser Phishingseite solle man einen Update installieren

KIS erkennt es mit der Heuristik, wahrscheinlich mitlerweile auch per Signatur.

[Kenshiro]

Jepp KAV erkennt es via Sig

[Gast_Scrapie_*]

Microsoft, yeah !

Fake-AV, übliche Masche, halbwegs glaubhafte Aufmachung der Webseite, Erkennung noch mangelhaft, ...


Gute n8,
Scrapie

[Julian]

Microsoft, yeah !

Fake-AV, übliche Masche, halbwegs glaubhafte Aufmachung der Webseite, Erkennung noch mangelhaft, ...

Ist es denn ein schädliches oder nur ein Fraudprogramm?

[Gast_Scrapie_*]

Ist es denn ein schädliches oder nur ein Fraudprogramm?

ka
Geh jetzt in's Bett.
Sag dir Morgen mehr wenn du willst


Scrapie

[Voyager]

An ThreatFire kommt MessengerSkinner nicht vorbei:

Am Antibot auch nicht, es ist hier eingestellt auf vollautomatische Erkennung und Bereinigung ohne Userbestätiging.





Zusatz : Test mit NIS09

*Messengerskinner.dll wird von Autoprotect erkannt und gelöscht


*Systemaktivitätsüberwachung hat 2 Objekte erkannt die Änderungen am PC vornehmen , eine davon wird mit der Heuristik erkannt, die zweite existiert nicht im angegebenen Ordner.







Der Beitrag wurde von bond7 bearbeitet: 27.10.2008, 22:52

[markus17]

Microsoft, yeah !

Fake-AV, übliche Masche, halbwegs glaubhafte Aufmachung der Webseite, Erkennung noch mangelhaft, ...


Gute n8,
Scrapie

Bei den FakeAVs scheint Microsoft allgemein recht schnell und erkennungsmäßig gut zu sein. *verschwörungstheorieerfindengeh*

[Voyager]

Heute gabs wiedermal eine nette Ecard im Emailkasten

http://www.virustotal.com/de/analisis/6310...26940c60a3a54f6

Das ist ein hartnäckiges Biest , das versucht Codeinjection und rebootet den PC sogleich sodas NAB dann nochmal ansetzen muss um den Müll aus dem System zu bekommen welche mit dem Winlogon gestartet wurde. Anschliessend verbleibt noch ein Fake-Antispyware Tray Objekt welche im Schlepptau des Explorer mitgestartet wird, O20 - AppInit_DLLs: karna.dat
Das Securitycenter wurde gelöscht und die Firewall deaktiviert und Windowsdefender beschädigt , das ist das leidliche Problem bei Malware diese beschädigt im besten Fall das System so das Neuaufsetzen die bessere Lösung wäre

Edit: Nachtest mit NIS in der VM

Hier werden 2 Trojaner gestoppt , Speicherzugriffe auf nicht zugelassene Adressen blockiert aber das Objekt welches mit dem Winlogon gestartet wird übersehen, die Systemaktivität wird aber erkannt siehe Bild. Die erweiterte Programmsteuerung in der Firewall steht hier auf Automatik , bei manueller Einstellung sollte der Codeinjection Schutz greifen .
Die Kombination mit NAB könnte hier Abhilfe schaffen da NAB dieses Objekt erfolgreich löschen konnte.



Edit2: Nachtest mit NIS und NAB in der VM

Wie zu erwarten hat sich NIS um die Trojaner gekümmmert die das System verstümmeln und NAB hat sich um den Winlogon Trojaner gekümmert.



Jetzt ist es auch möglich den Sicherheitscenter Dienst wieder erfolgreich zu starten.

Der Beitrag wurde von bond7 bearbeitet: 28.10.2008, 15:41

[Rios]

Ähm, Winrar 3.8 Download kann so aussehen, und so.
VirusTotal
VirusTotal 2
Eigentlich die selbe Seite, nur eben einmal direkt, bzw. indirekt.

[Voyager]

Norton Antibot wirft das gleich raus weil ehh keine zulässigen Aktivitäten hat , bei NIS09 passiert leider nicht viel . Die Systemänderungen werden aber erkannt und aufgezeichnet .



Ich hab die DLL mal gescannt, das sieht mager aus da muss sich Norton nicht schämen

http://www.virustotal.com/de/analisis/907e...01307621379a216

Die Infos ganz unten auf Virustotal sind interesannt -> http://info.prevx.com/aboutprogramtext.asp...E99AF00D0CBF9EE

Die DLL ist das erste mal heute am 1.11. als 53977224.DLL benannt in Spanien aufgetaucht , könnte möglicherweise einen Hinweis geben aus welcher Gegend der Hacker stammt der die wrar380.exe Datei entworfen hat.

Der Beitrag wurde von bond7 bearbeitet: 01.11.2008, 17:18

[Gast_Xeon_*]

Wo bekommt man diesen Winrar 3.8 Download den her ?

[Voyager]

freeware-softlink.com

Fake !

Seitenherkunft http://www.whois.de/whois/search/freeware-softlink.com

Der Beitrag wurde von bond7 bearbeitet: 01.11.2008, 17:30

[dragonmale]

freeware-softlink.com

eigenartig, denn ich erhalte von dort nur eine Datei, welche die selbe MD5-Summe (sie auch Virustotal) hat, wie die Original-Datei, welche auch Rios hier

VirusTotal 2

hochgeladen hatte -> durchschaut die "Seite" etwa mein Vorhaben

Nachtrag:
Ok, jetzt ist alles klar -> nicht nur "freeware-softlink.com", sondern "www" davor

Nur, verstehe ich dann das

freeware-softlink.com

Fake !

Seitenherkunft http://www.whois.de/whois/search/freeware-softlink.com

nicht ganz -> zumal der whois-Hinweis ja eine saubere Seite zu betreffen scheint

Nachtrag 2:
Ok, nachdem ich mir mal die IP, von beiden, angeschaut habe, dämmert es langsam -> igendwie stand (bei) mir gerade jemand auf der Leitung

Der Beitrag wurde von dragonmale bearbeitet: 01.11.2008, 18:35

[Julian]

VirusTotal 2

Danke für den Link, Rios
Das zweite Winrar, was auf der Seite angeboten wird, ist dann also das Originale? Also ein FP von F-Secure?

[dragonmale]

Also ein FP von F-Secure?

... welcher mittlerweile gefixt wurde -> siehe meinen VT-Link

[Voyager]

Ohh , das hab ich jetzt auf die schnelle nicht beachtet wenn man das www weglässt das man die Originale RAR erhält und mit www den Trojaner

[dragonmale]

wenn man das www weglässt das man die Originale RAR erhält und mit www den Trojaner

raffitückisch

[Gast_Nightwatch_*]

... welcher mittlerweile gefixt wurde -> siehe meinen VT-Link

Jepp. Hatte es gestern Nacht (wie versprochen) noch eingeschickt. Und heute sollte der FP weg sein.