Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[rolarocka]

h??p://767certificate.com/

EsetAV4:

Der Beitrag wurde von rolarocka bearbeitet: 14.03.2009, 20:23

[Gast_Xeon_*]

h??p://767certificate.com/

a-squared (Kaufversion) beim Versuch die Datei zu starten:




Der Beitrag wurde von Xeon bearbeitet: 14.03.2009, 20:31

[Rios]

Dürfte das hier beschriebene Teil sein.
Info

[Voyager]

@rolarocka

Die Frage ist , was musstest du bei Eset Nod drücken nach dem Starten des Flash-Fake, irgend eine Verbotsaktion wie bei a-squared ?

@Xeon

Das Rootkit wurde übersehen ? "Empfehlung nicht verfügbar" würde mir als Laien jetzt nicht viel sagen wo ich draufdrücken muss.

[Julian]

Bond, wie kommst du auf die Idee, dass der Treiber geladen worden sein könnte, wenn beim Erstellen der .sys-Datei das AV anspringt?
Dann ist es nämlich noch nicht zu spät und es gibt keinen Grund, das System neu aufzusetzen.

[Voyager]

Ich vermute mal du meinst Eset , noch habe ich rein garnichts dazu behauptet wie du mir das schon unterstellst ? Ich hab lediglich gefragt was er tun musste um die Malware zu bereinigen.
Bei a-squared sieht man lediglich einen Userpromt bei dem Autorun Objekt, keine Meldung mit einer Sysdatei oder sonstwas.

Warst du doch etwas zu voreilig oder von was redest du ?

[Gast_tpro_*]

Eine Frage zum Rootkit: Theoretisch kann allein der Besuch einer Website zur Rootkit-Installation führen oder? Eine ominöse EXE-Datei wird ja hoffentlich niemand ausführen ...

[Voyager]

Theoretisch kann allein der Besuch einer Website zur Rootkit-Installation führen oder?

Nicht wirklich , wenn der Browser aktuell ist und Adobe Flash und PDF ect. auch aktuell ist dann kommt in der Regel nichts von alleine aktiv in das System , mal von unbekannten Lücken abgesehen die die Malwareschreiber ausnutzen könnten. WMF Exploits ect. ist ja alles seit langem gefixed , wo die Gefahr akut bestand Malware im Hintergrund einzuschleussen und zwar in jedem Browser.. Auch ein Rootkit ist nurn Stück Software was erstmal auf die Platte kommen muss und wenn es keine offenen Einfallstore a´la WMF oder PDF gibt dann musst du einen Flyby Content erst einmal von Hand ausführen.
Wenn du darin geübt bist Fälschungen zu erkennen wo die Webseite von dir verlangt irgendwas einzuspielen dann passiert dir eigentlich nichts, die Malwareschreiber wissen das das Sie ohne Lücken im Browser auf die Dummheit des Internetnutzers bauen müssen.

Der Beitrag wurde von Voyager bearbeitet: 15.03.2009, 00:22

[Gast_tpro_*]

Wenn du darin geübt bist Fälschungen zu erkennen wo die Webseite von dir verlangt irgendwas einzuspielen dann passiert dir eigentlich nichts, die Malwareschreiber wissen das das Sie ohne Lücken im Browser auf die Dummheit des Internetnutzers bauen müssen.

Was mich nach wie vor wundert: In diversen Foren sieht man in den User-Signaturen oft einen Zoo an AV/AS Programmen, aber von einem gepatchten System ist praktisch nie die Rede. Dafür fehlt wohl die Werbung?

[markus17]

Wiederholter Versuch mit aktuellen Signaturen: (keine Unterschiede zur vorher)
1. Sample ausführen.
2. Diesmal habe ich die von der Verhaltensüberwachung bemängelte Aktion verweigert.
2.1. Die bat Datei wird wieder erstellt
3. Der zweite Autostarteintrag wird blockiert. / Die bat Datei wird bemängelt und gelöscht.
4. keine weiteren Meldungen

Egal ob man also die Autostart-einträge erstellen lässt oder nicht, es tritt immer (nach dem 1. Neustart) folgende Situation auf:
Die Speicher- und Autostartüberprüfung findet nichts.
Der normale Full Scan findet nichts.
Der Rootkitscan findet wiederum die new_drv.sys.
Nach einem weiteren Neustart wird beim Blocken der Autostarteinträge nichts mehr gefunden und wenn man sie zulässt, taucht die new_drv.sys immer wieder von neuem auf.

Der Treiber wird also im nachhinein von G Data gelöscht (mein Vertrauen wäre auch dahin ) und diese ominöse 9xxxxx.exe wird zwar gescannt, aber nicht erkannt. Keine Ahnung was die genau macht. Wahrscheinlich bindet sie immer wieder neu diese new_drv.sys.

Sorry, G-Data reizt aber auch manchmal zum lästern. Nimms nicht so persönlich Markus

Man darf ja auch lästern, stört mich auch nicht wirklich, aber bei bond hat einfach fast jeder Beitrag diesen Unterton dabei und irgendwann stört das einfach. Dass G Data kein wirkliches HIPS hat weiß ich und deshalb kann die Rootkitinfektion auch nicht geblockt werden. Das fehlende HIPS in G Data wird ja schon länger bemängelt, auch von mir.

Der Beitrag wurde von markus17 bearbeitet: 15.03.2009, 03:00

[Voyager]

http://www.threatexpert.com/report.aspx?md...ed2bc89f4f57b20

Wenn man ganz unten auf die Webseite geht sehen wir 2 Links , der erste davon "filo9999.php" wirft eine Menge Risiken aus die bisher noch kein Virenscanner zu erkennen scheint , bis auf die JPG und GIF-Links das wird als Angriff geblockt.

http://www.virustotal.com/de/analisis/bb8c...91da649f7193636

http://www.virustotal.com/de/analisis/f673...746f018e9036101

ein paar Aussenseiter erkennen wieder irgendwas generisches (was unter Umständen auch oftmals Fehlalarme sein könnten) aber das wars dann auch schon.

[Rios]

Auch einer der unfeinen hier. Er killt mit Vorlieben sollte es funktionieren Firewalls, und mehr!
http://www.threatexpert.com/report.aspx?md...5aee17648d7aab2
Virustotal

[Rios]

Es tauchen wieder dunkle Gestalten aus dem nichts auf.
Virustotal
hxxp://.www.win-pc-defender.com

[Voyager]

Der Fake AV wird hier heimlich installiert , man sieht kein Downloadfenster oder ähnliches.

Antibot reagiert dementsprechend richtig.



Der Beitrag wurde von Voyager bearbeitet: 17.03.2009, 21:56

[Gast_Nightwatch_*]

Avira 9


Nach dem Klick auf den Download-Link.

[rolarocka]

Nod:

[chris30duew]

Gdata Erkennung: nix
Sicher ist Gdata von der Erkennung an sich eine Klasse für sich, leider hat sich jedoch mit der Verabschiedung der KAV Engine auch deutlich die Reaktionszeit auf auch solche Programme verlängert. leider. Denn weder bitdefender als auch Avast bieten eine solch schnelle Signaturauslieferung wie Kaspersky. Von daher würde es sicher sinnvoll sein, wenn Gdata endlich auch selber mal samples einpflegt die man ihnen zusendet oder einen server ala in the cloud erkennung anlegt.
An Artemis und Collective Intelligence sieht man ja das es funzt.

[Solution-Design]

Gdata Erkennung: nix
...wenn Gdata endlich auch selber mal samples einpflegt die man ihnen zusendet oder einen server ala in the cloud erkennung anlegt.
An Artemis und Collective Intelligence sieht man ja das es funzt.

Jetzt verlangst du aber was. G-Data ist ein GUI-Bastler. Mehr nicht. Und sie haben es ja immerhin geschafft, aus eigentlich unbrauchbaren Programmen etwas hübsches zu kreieren

[Rios]

Fake Alarm !! eigentlich schon bekannt, aber immer wieder für eine Überraschung gut.
Virustotal
hxxp://.renus2008.com
hxxp://.www.antivirus-xp-pro-2009.com

[Gast_kurz-pc_*]

Auf hxxp://world-tube.biz/ soll man eine ActiveXsetup.exe runterladen um das Video sehen zu können.



ActiveXsetup.exe Result: 2/39 (5.13%) http://www.virustotal.com/analisis/4ed1ad4...7a8d57fcc6d548f http://www.threatexpert.com/report.aspx?md...a52103a1d959783

PlayMe.exe Result: 4/39 (10.26%) http://www.virustotal.com/analisis/4a1af9e...af4a032fc15e7fa http://www.threatexpert.com/report.aspx?md...f3deca8a583772e

Der Beitrag wurde von kurz-pc bearbeitet: 18.03.2009, 20:34