Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

h??p://767certificate.com/

Vorsicht , es kommt ein Flyby Download auf dem Link mit einem Flash-Fake dessen Erkennung praktisch noch Null ist.

http://www.virustotal.com/de/analisis/8b45...f5750810268bb24
Ein paar Aussenseiter erkennen irgendwas generisches aber das wars dann auch schon.

Ein Test in einer VM wird diese sogleich rebootet , NAB bemerkt dabei nichts und es ist nach dem Reboot schwer eine Infektion auszumachen weil kein fremder Prozess auffindbar ist . Der Grund liegt auf der Hand , Infektion fehlgeschlagen oder Rootkit ?
Da gabs doch nochwas , achja das Sonar und wie der Zufall so will kann das Sonar eine Rootkit-Infektion abfangen bevor diese den PC rebooten und sich verstecken kann.







Ein Rootkit wollte also ein Autorun Objekt verstecken, sehr hinterhältig.

Zusatz:
Wenn wir aus reiner Neugierde nochmal nachschauen was diese Rootkit-Infektion denn so genau anstellt und folgen der Download-Anweisung ganz unten in dem Threatexpert-Log ,
http://www.threatexpert.com/report.aspx?md...68ad2a9697dc30f
wird dieses Risiko erkannt was bei erfolgreicher Infektion nachgeladen werden soll.


http://www.symantec.com/security_response/...-99&tabid=2
Na wasdenn , nochmehr Rootkits von 2006 ?

Der Beitrag wurde von Voyager bearbeitet: 14.03.2009, 03:45

[Rios]

Exploit!! pdf




Symantec sollte es jetzt auch erkennen.

Der Beitrag wurde von Rios bearbeitet: 14.03.2009, 08:35

[Julian]

h??p://767certificate.com/

Wenn man DEP für alle Prozesse aktiviert, wird es auch geblockt, wenn kein AV installiert ist, auch Comodo warnt vor einem Pufferüberlauf.
KIS erkennt es heuristisch, CAMAS muss bei so etwas auch Alarm schlagen.

[Voyager]

@Rios

Symantec sollte was wo erkennen ? Upps, wieder vergessen zu sagen um was es speziell geht wa

Der Beitrag wurde von Voyager bearbeitet: 14.03.2009, 14:54

[Julian]

Swizzor (aus dem Comodo-Forum):
https://www.virustotal.com/de/analisis/fbc3...4d068547a4ae0a0
CAMAS

KAV erkennt es heuristisch. Wer ein anderes AV testen will, was bei VT nichts erkennt, kann sich gerne melden

[markus17]

Bei diesem Rootkit (Flashplayer) passiert bei G Data glaube ich auch nicht viel. Man führt das Sample aus, die Verhaltensüberwachung meldet sich 2x, man verweigert die Änderungen und das wars. Kein Reboot, keine arbeitende Festplatte, kein neuer Prozess, aber das Sample fehlt in der VM.

[Voyager]

die Verhaltensüberwachung meldet sich 2x, man verweigert die Änderungen und das wars

Wie schaut das genau aus , warum muss man das von Hand verweigern ?

[Gast_Xeon_*]

Wie schaut das genau aus , warum muss man das von Hand verweigern ?

Der Nutzer muß hier selbst entscheiden, verweigern oder zulassen.

[Julian]

Der Nutzer muß hier selbst entscheiden, verweigern oder zulassen.

Ich hatte solche Meldungen beim Betatest auch mit einigen wenigen Nicht-Malware-Programmen. Für Oma X also auch nicht so ideal?

--------------------
https://www.virustotal.com/de/analisis/968e...fcf349bbdeca77b
Und wieder tut die KAV-Heuristik das, was sie tun soll
CAMAS
Camas kann leider nicht die gedropten Programme weiter analysieren, hoffentlich kommt das noch.

[Gast_Xeon_*]

Für Oma X also auch nicht so ideal?

Nein, da gebe ich dir recht.

[Gast_Xeon_*]

https://www.virustotal.com/de/analisis/968e...fcf349bbdeca77b

Was ist den die McAfee GW Edition ?

[Julian]

Was ist den die McAfee GW Edition ?

Wüsste ich auch mal gerne, war vorhin noch nicht da
Aber dass es gleich etwas erkennt, fällt schon mal positiv auf.

[dragonmale]

Was ist den die McAfee GW Edition ?

Ohne mich jetzt richtig kundig gemacht zu haben, würde ich mal sagen, dass dies etwas mit Secure Web (früher Webwasher), von Secure Computing, zu tun hat, denn diese Firma gehört seit letztem Jahr zu McAfee.

edit:
ein Buchstabe war zu viel

Der Beitrag wurde von dragonmale bearbeitet: 14.03.2009, 17:08

[Gast_Nightwatch_*]

Ohne mich jetzt richtig kundig gemacht zu haben, würde ich mal sagen, dass dies etwas mit Secure Web (früher Webwasher), von Secure Computing, zu tun hat, denn dieses Firma gehört seit letztem Jahr zu McAfee.

Jepp. Schaut so aus: http://www.wilderssecurity.com/showthread.php?t=236065

[Rios]

@Rios

Symantec sollte was wo erkennen ? Upps, wieder vergessen zu sagen um was es speziell geht wa

Betriebsgeheimnis

[markus17]

Wie schaut das genau aus , warum muss man das von Hand verweigern ?

Ja muss man. Bilder von diesen Meldungen wurden ja schon mal hier im Forum gepostet. G Data fängt dabei nur 2 Autostarteinträge ab. Ich gehe also mal davon aus, dass das Rootkit nach dem ausführen der Datei im System verankert sein kann, aber nach einem Neustart nicht aktiv sein muss. Genauer nachprüfen kann ich das ganze aber gerade nicht. Eventuell funktioniert das Rootkit in einer VM auch nicht.

Wenn ich die Meldung beim 1. mal mit Erlauben bestätige kommt jedoch keine 2. Meldung mehr und die Festplatte arbeitet danach kurz. Es muss also irgendetwas passieren. Ein automatischer Reboot findet aber auch dieses mal nicht statt.

Was ich noch dazusagen muss:
Ich verwende das IE6 XP Image für VirtualPC, das sich jeder kostenlos von Microsoft downloaden kann. Mir war es nämlich letztens zu hart, extra XP in einer VM aufzusetzen. ^^

Ich hatte solche Meldungen beim Betatest auch mit einigen wenigen Nicht-Malware-Programmen. Für Oma X also auch nicht so ideal?

Seit Version 2009 kommen die Meldungen aber nicht mehr so häufig bei Installationen. Eventuell gibt es auch hier eine "Whitelist".

Angehängte Datei(en)

 verhaltens_berwachung.PNG ( 31.78KB ) Anzahl der Downloads: 22

 

[Voyager]

Ja muss man.

Muss man nicht , immerhin hat der Typ auf der Cebit gesagt das ihre Software eine Generation der Konkurenz vorraus sei aber die offensichtliche Malwareaktion nichtmal selbst löschen will ?
Andere schaffen das mit ihren rückständigen Produkten ohne eine einzige Userinteraktion siehe ganz oben auf dieser Seite Bild 1-3 .

Ich gehe also mal davon aus, dass das Rootkit nach dem ausführen der Datei im System verankert sein kann, aber nach einem Neustart nicht aktiv sein muss.

Sicher ist der Rootkit nach dem Neustart aktiv weil du nichts von den Files und dem Autorun eintrag siehst .

Eventuell funktioniert das Rootkit in einer VM auch nicht.

Hier im Virtual PC + XP funktioniert das Rootkit gut.

Der Beitrag wurde von Voyager bearbeitet: 14.03.2009, 18:37

[markus17]

Wenn du wieder so anfängst würde ich die Diskussion am liebsten auf der Stelle beenden. ... :-/
Kannst du nicht einmal einen Beitrag über andere Programme als Symantec verfassen, wo nicht der Teil "andere schaffen das / Die Konkurrenz ..."+Zwinkersmiley vorkommt?

Langsam zweifle ich deine Altersangabe in deinem Profil an. ...

Muss man nicht , immerhin hat der Typ auf der Cebit gesagt das ihre Software eine Generation der Konkurenz vorraus sei aber die offensichtliche Malwareaktion nichtmal selbst löschen will ?
Andere schaffen das mit ihren rückständigen Produkten ohne eine einzige Userinteraktion siehe ganz oben auf dieser Seite Bild 1-3 .

Die Aktion war nicht 100%ig malwareverdächtig, kann aber durch eine verseuchte Datei hervorgerufen werden. Ein automatisches Blockieren aller neuen Autostarteinträge wäre also Schwachsinn, aber egal.


Ich hab den Test jetzt noch einmal durchgeführt.
- VPC XP SP3 Image von Microsoft
- G Data IS 2010 (vom 3.3 die letzte Beta ohne Updates) und dieses mal beide Engines aktiviert, da ich beim 1. mal nur Engine B aktiviert hatte.

1. Datei ausgeführt und bei der 1. Meldung erlauben gesagt.
2. G Data meldet sich:
Virus: Trojan.Spy.Agent.NVX (Engine A)
Datei: abcdefg.bat
Verzeichnis: C:\Documents and Settings\IETest\Desktop\Malware
Prozess: Adobeflashplayer.exe

Inhalt der Datei abcdefg.bat:
rem sdel sckrypt

:klabel

del %1

if exist %1 goto klabel

del %0

3. Datei wurde von mir blockiert, keine weiteren Meldungen folgten.

Nach einem Rootkitscan findet G Data dann noch folgendes:
new_drv.sys
C:\Windows
Trojan.Rootkit.Agent.EX (Engine A)

Ich werde das ganze später noch einmal mit aktuellen Signaturen wiederholen.

[Voyager]

Die Aktion war nicht 100%ig malwareverdächtig, kann aber durch eine verseuchte Datei hervorgerufen werden. Ein automatisches Blockieren aller neuen Autostarteinträge wäre also Schwachsinn, aber egal.

Doch war Sie , ein Rootkit-Treiber wird installiert und danach wird ein Autorun Objekt ausgerechnet im klassischen Malwareverzeichnis Windows und/oder System Verzeichnis installiert , genau deshalb ist auch das Sonar angesprungen um dieses Autorunobjekt automatisch zu beseitigen. Wenn Norton Antibot hier 1 Sekunde mehr Zeit in der VM hat und bekommt (bevor der PC von der Malware rebootet wird) springt auch dieses bei dem Flash-Fake an , ich hab das mehrmals probiert. Ein Rootkit + Autorun im Windowsfolder = klassische Malwareaktion.

[Solution-Design]

Nun, hetzen sei mal ruhig erlaubt, gibt dem ganzen was Pepp Aber ich bin auch der Meinung... Wenn schon Behavior-Blocker, dann mit vernünftigen Regeln. G-Data hat mich mit seiner(n) Methode(n) im 2010er Test auch nicht wirklich überzeugen können. Ist ja ein nettes Progrämmchen, aber ... lange kein must have. Da lob mir einer Comodo oder Online Amor mit irgendwas... Sorry, G-Data reizt aber auch manchmal zum lästern. Nimms nicht so persönlich Markus

/OT

Nach einem Rootkitscan findet G Data dann noch folgendes:
new_drv.sys
C:\Windows
Trojan.Rootkit.Agent.EX (Engine A)

Ein RootKit nachträglich entfernen...? Ich halte davon nicht wirklich viel. Zumindest wäre das Vertrauen in das System beeinträchtigt. Sollte G-Data vielleicht doch was nachlegen, bei der verhaltensbasierten Erkennung.

Der Beitrag wurde von Solution-Design bearbeitet: 14.03.2009, 19:40