Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

@Scrapie


Glaub ich eher nicht das die Ecard so einen Schutz integriert hatte, Norton Antibot konnte doch das ganze Verhalten aufzeichnen.

[Rios]

Scha ma mal. Live Player
VirusTotal

[Voyager]

????://www.live-player.com/

Die Datei wird vermutlich ständig geändert, ich hab eine andere Größe bekommen.
http://www.virustotal.com/de/analisis/6949...15d6a3348d9915a

Dasselbe Spiel wie bei dem Galaplayer , der Downloader holt die eigentliche Anwendung nach und installiert gleichzeitig 2 Trojaner die Code einschleussen und den Prozessspeicher vorhandener Prozesse gefährden laut NAB .



Edit:

Hab das eben nochmal mit NIS09 getestet , der Live-Player wird vom Autoprotect als Sicherheitsrisiko erkannt und gelöscht , von den Backdoor Programmen bekommt Norton irgendwie noch nichts mit. Nach der Installation des Liveplayer bekommt man eine Webseite zur erfolgreichen Installation, darauf soll man ein Spywaresecure Programm herunterladen zum Free Scan , dies wird von Norton heuristisch erkannt aber erst nach der Installation.

Suspicious.AH.102
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\programme\spyware-secure\spyware-secure_trial.exe - Gelöscht
1 Prozess
c:\programme\spyware-secure\spyware-secure_trial.exe - Beendet

Mit der Kombination aus NIS + NAB bekäme man hier alles tot wenn auch noch Reste der Liveplayerinstallation verbleiben.

Der Beitrag wurde von bond7 bearbeitet: 12.11.2008, 16:44

[Gast_Scrapie_*]

Hi

Die Ecard von oben läuft ohne Probleme in virtueller Umgebung. bond hat ja schon Details gepostet.

Hier läd sie zusätzlich noch von sergej-grienko.com eine Datei Namens "11-11.bin" herunter.
Das ist eine Vorlage für eine nette Pishingseite, die dem User alle möglichen Infos abverlangt, mit denen später versucht werden kann, Passwörter und Sicherheitsabfragen zu erraten.

Snifferlog und die Seite (zur Sicherheit als txt) in der Anlage...



Der Player von oben änder permanent seine Checksumme. Entsprechend sieht die Erkennung dann aus.
Ich habe jetzt schon wieder anderen Hash als im Posting von bond


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 12.11.2008, 16:15

[Rios]

Avira meint das teil ist Clean!! also echt kompliment, die Antwort wie auch immer, dauerte nicht mal eine Stunde. Bin ich eigentlich nur von Kaspersky so gewöhnt.

[Rios]

http://www.siteadvisor.com/analysis/

[Gast_Scrapie_*]

Hi

Ach ja?
Das Teil modifiziert (oder vielleicht besser personalisiert) sich bei jedem DL noch auf dem Server ab Offset 46000. Leicht zu testen, wenn man die patch.php dort direkt aufruft.
Nach der Installation schlägt der Player dem User vor, ein AntiSpyware-Programm zu laden. Dessen Erkennung sieht wie folgt aus: *Klick*

Gruß an die Jungs von AntiVir. Wir hatten hier am See zwar Fönwetter die letzten Tageund manche sind da etwas empfindlich und nicht ganz bei der Sache, aber für mich ist das eindeutig nicht clean


Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 12.11.2008, 16:47

[Voyager]

Antivir und alle anderen Ungläubigen am besten den Link mitgeben Wenn sich das Teil bei jedem Download ändert dürfte die Signaturbasierende Erkennung aber eher zwecklos sein.




http://www.imgbox.de/?img=k44316d76.jpg

Der Beitrag wurde von bond7 bearbeitet: 12.11.2008, 16:52

[Rios]

Scrapie,
aber auch hier gibt es noch eine andere exe. klick.

[Gast_Scrapie_*]

Antivir und alle anderen Ungläubigen am besten den Link mitgeben Wenn sich das Teil bei jedem Download ändert dürfte die Signaturbasierende Erkennung aber eher zwecklos sein.

Der Link zum "Anti-Spywareprogramm":

QUELLTEXT

GET /patch.php?uai=h++p://w*w.spyware-secure.com/register.php&nums=P32-FDvOXlpAzV&login=672125&lg=DE&zmode= HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
Accept-Language: de
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: download.spyware-secure.com
Connection: Keep-Alive

HTTP/1.1 200 OK
Content-Type: octet-stream
Content-Disposition: filename=SpywareSecure_trial_setup.exe
Content-Length: 673425
Date: Wed, 12 Nov 2008 15:54:33 GMT
Server: lighttpd

Man beachte auch hier den Aufruf über die patch.php

Das Teilchen modifiziert nur einen Block von 04 60 00 bis etwa 04 65 E0.
Davor und danach genug Platz für diverse Signaturen...


//Edit:
Link unklickbar gemacht

Der Beitrag wurde von Scrapie bearbeitet: 12.11.2008, 17:08

[Gast_Scrapie_*]

Scrapie,
aber auch hier gibt es noch eine andere exe. klick.

...
Man beachte auch hier den Aufruf über die patch.php
...

[Gast_kurz-pc_*]

Wider so ein YouTube Fake der per Mail verteilt wird.
videopornu456h3.exe

hxxp://dagasub.cl/index14.php
hxxp://dagasub.cl/videopornu456h3.exe

http://www.virustotal.com/analisis/d837936...b69b24655530649

http://www.threatexpert.com/report.aspx?md...48a16b4fdfc8169
http://www.cwsandbox.org/?page=report&...;password=ajweb
http://anubis.iseclab.org/?action=result&a...amp;format=html

[Julian]

Ein kurzer AV-Test von mir:

4628 Samples -> 100%

Norton:
Scan ohne Heuristik: 4515 -> 97.56%
Scan mit automatischer Heuristik: 4515 -> 97,56%
Scan mit aggressiver Heuristik: 4521 -> 97,69%

AntiVir Free:
Standardeinstellungen: 4614 -> 99,70%
Höchste Scaneinstellungen: 4617 -> 99,78%

Kaspersky:
Scan mit niedriger Heuristik: 4606 -> 99,52%
Hohe Heuristik: 4608 -> 99,57%
Erweiterte Heuristik beim Start + HIPS-Heuristik: 4617 -> 99,78%
Beta-Heuristik: Erweiterte Heuristik beim Start + HIPS-Heuristik: 4620 -> 99,83%

Das Set besteht zum allergrößten Teil aus Trojanern und Backdoors, 2-3 Fraudtools sind auch mit drin, die aber eventuell Malware-Verhalten an den Tag legen, deshalb hab ich sie nicht rausgenommen.

Der Beitrag wurde von Julian bearbeitet: 13.11.2008, 12:33

[chris30duew]

@Julian

was ist denn das für ne Beta Heuristik? ich denke der neue Heuristik Emulator wäre schon längst via update rausgekommen. Oder gibts schon wieder nen neuen? weil du BETA schreibst.

gruss

[Julian]

@Julian

was ist denn das für ne Beta Heuristik? ich denke der neue Heuristik Emulator wäre schon längst via update rausgekommen. Oder gibts schon wieder nen neuen? weil du BETA schreibst.

gruss

Wieder eine neue
Hoffentlich wird die bald final.

[chris30duew]

cool
ja wo bekomme ich denn her? weil im kaspersky beta forum steht davon gar nix. oder hab ich was überlesen? wenn ja verlink mich mal dahin

[Domino]

http://forum.kaspersky.com/index.php?showtopic=86632


Domino

[chris30duew]

Domino,
danke für den Link. aber ich dachte das ist die Heuristik Version die schon längst per update ausgeliefert sein sollte. hat zumindest lucian damals gesagt.
ich habs jetzt net genau durchgelesen, kann es daher sein, das einfach die neue BETA die julian ansprach in den alten post übernommen wurde?
im moment blick ich grad net durch

[Julian]

kann es daher sein, das einfach die neue BETA die julian ansprach in den alten post übernommen wurde?

Genau

[Solution-Design]

Ein kurzer AV-Test von mir:
AntiVir Free:
Standardeinstellungen: 4614 -> 99,70%

Spricht irgendwie alles für Avira...

Scanne doch deine Malware-Sammlung mit asquared/Ikarus. Wäre interessant