Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

Mal bei VirScan scannen lassen

Antivir free kennt zwar die setup.exe noch nicht, reagiert aber auf die Homepage mit HTML/Fake.AntiSpy

[Voyager]

Doch ansonsten macht es doch kein Spass

Das geht aber auf deine Kappe , du kannst Rokop nicht verantwortlich machen nur weil du dir die Links eventuell von hier geladen hast und nicht vorsichtig warst

[Kenshiro]

Das geht aber auf deine Kappe , du kannst Rokop nicht verantwortlich machen nur weil du dir die Links eventuell von hier geladen hast und nicht vorsichtig warst

Ja, ich weiß Jens

[Voyager]

Mal was ganz neues mit Norton Antibot gesichtet was garnicht in den bekannten Regeln bisher vorkam, es wird wohl langsam Zeit nach den neuen Regeln zu suchen die NAB (und herstellerverwandte Programme) mittlerweile beherrscht.

da hätten wir dieses , 7 Leute erkennen irgendwas generisches
http://www.virustotal.com/de/analisis/054c...0b01b7b7527d18f

NAB meint dazu :
Schreibt ein ausführbares Übernahmeprogramm , die Regel wird in dem Ballontip erklärt.

http://www.abload.de/img/1krh0.jpg

Ausführbares Übernahmeprogramm , die Regel wird in dem Ballontip erklärt.

http://www.abload.de/img/2hsbk.jpg

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 15:52

[Julian]

Alter Hut, schlecht, wenn irgendein Programm das nicht erkennt.

[Voyager]

Was meinst du jetzt , die Signaturerkennung oder die verhaltensbasierte Erkennung die hier in dem Fall Ctfmon.exe mittels der Registryschlüssel ImageFile Execution Options ersetzt. Welches Programm konnte das hier schon immer erkennen ?
Du kannst das mit dem Programm auch gern mal vorführen feds-r-watching.us/load.php?id=0&spl=1.exedec

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 16:27

[Julian]

Was meinst du jetzt , die Signaturerkennung oder die verhaltensbasierte Erkennung die hier in dem Fall Ctfmon.exe mittels der Registryschlüssel ImageFile Execution Options ersetzt.

Letzteres. Diesen Registry-Bereich schützen viele HIPSe schon seit Jahren und es war auch nicht gerade gestern, dass mir mein HIPS (welches auch immer das zu dem Zeitpunkt war) bei einem Sample eine entsprechende Warnung ausspuckte
Vor einem 3/4 Jahr hatte ich diese Methode auch hier mal erwähnt, wahrscheinlich irgendwann sogar noch früher mit meinem alten Account.

Edit: Hier mault z.B. Comodo:

Und das bei so etwas nicht erst seit kurzem.

Aber thx für den Link.

Der Beitrag wurde von Julian bearbeitet: 20.04.2009, 16:58

[Voyager]

Ok du wirst gewarnt aber erlauben darfst du es trotzdem , naja wäre es nicht günstiger den User genau das Gegenteil zu empfehlen ? Was ist wen dem das nur Bahnhof sagt und er Ok drückt ? Schutzwirkung gering...

Ich hab das nochmal mit NIS direkt getestet , also Sonar springt an :

http://www.abload.de/img/3ubxm.jpg

Gleichzeitig während das Sonar aufpoppte hatte ich aber schon einen QuickScan laufen der noch paar interessante Sachen mehr erzählt.

Scanstatistik:
Scanzeit: 60 Sek.
Scanoptionen:
Scanziele:
Zähler:
Gescannte Elemente insgesamt: 3.115
– Dateien und Laufwerke: 999
– Registrierungseinträge: 138
– Prozesse und Elemente beim Start: 1.870
– Netzwerk und Browser-Elemente: 102
– Sonstiges: 4
– Vertrauenswürdige Dateien: 79
– Übersprungene Dateien: 1

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
SecurityRisk.URLRedir
Typ: Anomalie
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Sicherheitsrisiko
Status: Vollständig behoben
-----------
18 Host-Dateieinträge
customer.symantec.com - Gelöscht
download.mcafee.com - Gelöscht
liveupdate.symantec.com - Gelöscht
liveupdate.symantecliveupdate.com - Gelöscht
mast.mcafee.com - Gelöscht
securityresponse.symantec.com - Gelöscht
service1.symantec.com - Gelöscht
sophos.com - Gelöscht
update.symantec.com - Gelöscht
www.avp.com - Gelöscht
www.ca.com - Gelöscht
www.f-secure.com - Gelöscht
www.kaspersky.com - Gelöscht
www.mcafee.com - Gelöscht
www.sophos.com - Gelöscht
www.symantec.com - Gelöscht
www.trendmicro.com - Gelöscht
www.viruslist.com - Gelöscht


W32.IRCbot
Typ: Anomalie
Risiko: Hoch (Hoch Stealth, Hoch Entfernung, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Neustart erforderlich
-----------
19 Registrierungseinträge
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0 - Repariert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->AUOptions:3 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Security Center->FirewallDisableNotify:0 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Security Center->UpdatesDisableNotify:0 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Security Center->AntiVirusDisableNotify:0 - Repariert
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0 - Repariert
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0 - Repariert
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows->DisableSR:0 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UacDisableNotify:0 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\->SuperHidden:1 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusDisableNotify:0 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallDisableNotify:0 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->UpdatesDisableNotify:0 - Repariert
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa->restrictanonymous:0 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->AntiVirusOverride:0 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\->FirewallOverride:0 - Repariert
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced->ShowSuperHidden:1 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\->UncheckedValue:1 - Repariert
1 Datei
c:\windows\system32\avgvamsv.exe - Neustart erforderlich
1 Prozess
c:\windows\system32\avgvamsv.exe - Beendet
54 Host-Dateieinträge
127.0.0.1:www.Merijn.org - Gelöscht
127.0.0.1:www.spywareinfo.com - Gelöscht
127.0.0.1:www.spybot.info - Gelöscht
127.0.0.1:www.hijackthis.de - Gelöscht
127.0.0.1:majorgeeks.com - Gelöscht
127.0.0.1:www.virustotal.com - Gelöscht
127.0.0.1:www.trendsecure.com - Gelöscht
127.0.0.1:www.bleepingcomputer.com - Gelöscht
127.0.0.1:guru0.grisoft.cz - Gelöscht
127.0.0.1:guru1.grisoft.cz - Gelöscht
127.0.0.1:guru2.grisoft.cz - Gelöscht
127.0.0.1:guru3.grisoft.cz - Gelöscht
127.0.0.1:guru4.grisoft.cz - Gelöscht
127.0.0.1:guru5.grisoft.cz - Gelöscht
127.0.0.1:www.download.f-secure.com - Gelöscht
127.0.0.1:www.avg-antivirus.net - Gelöscht
127.0.0.1:www.free.grisoft.com - Gelöscht
127.0.0.1:www.free.avg.com - Gelöscht
127.0.0.1:www.avast.com - Gelöscht
127.0.0.1:www.onlinescan.avast.com - Gelöscht
127.0.0.1:housecall.trendmicro.com - Gelöscht
127.0.0.1:www.housecall.trendmicro.com - Gelöscht
127.0.0.1:www.bitdefender.com - Gelöscht
127.0.0.1:www.futurenow.bitdefender.com - Gelöscht
127.0.0.1:www.f-prot.com - Gelöscht
127.0.0.1:www.eset.com - Gelöscht
127.0.0.1:www.free-av.com - Gelöscht
127.0.0.1:www.avira.com - Gelöscht
127.0.0.1:www.antivir.es - Gelöscht
127.0.0.1:www.ikarus.net - Gelöscht
127.0.0.1:www.prevx.com - Gelöscht
127.0.0.1:www.2-spyware.com - Gelöscht
127.0.0.1:www.castlecops.com - Gelöscht
127.0.0.1:virusinfo.prevx.com - Gelöscht
127.0.0.1:www.forums.majorgeeks.com - Gelöscht
127.0.0.1:www.eradicatespyware.net - Gelöscht
127.0.0.1:www.fortinet.com - Gelöscht
127.0.0.1:www.fortiguardcenter.com - Gelöscht
127.0.0.1:www.safer-networking.org - Gelöscht
127.0.0.1:www.auditmypc.com - Gelöscht
127.0.0.1:www.pctools.com - Gelöscht
127.0.0.1:www.firewallguide.com - Gelöscht
127.0.0.1:www.spywaredb.com - Gelöscht
127.0.0.1:www.virusspy.com - Gelöscht
127.0.0.1:www.spywareterminator.com - Gelöscht
127.0.0.1:www.freespywareremoval.info - Gelöscht
127.0.0.1:www.antivirus.about.com - Gelöscht
127.0.0.1:www.antivirus.comodo.com - Gelöscht
127.0.0.1:www.clamav.net - Gelöscht
127.0.0.1:www.pandasecurity.com - Gelöscht
127.0.0.1:www.clamwin.com - Gelöscht
127.0.0.1:www.networkworld.com - Gelöscht
127.0.0.1:www.norman.com - Gelöscht
127.0.0.1:www.grisoft.com - Gelöscht
1 Browser-Cache

Nicht behobene Bedrohungen:
Keine nicht behobenen Risiken

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 17:12

[Julian]

Ok du wirst gewarnt aber erlauben darfst du es trotzdem , naja wäre es nicht günstiger den User genau das Gegenteil zu empfehlen ? Was ist wen dem das nur Bahnhof sagt und er Ok drückt ? Schutzwirkung gering...

Hab ich gesagt, du sollst deiner Omma Comodo installieren?

[Voyager]

Du bist wenigstens etwas besser dran , Gdata 2010 verabschiedet sich .... zumindestens verschwindet das Icon aus dem Tray , aufrufen lässt sich die Oberfläche noch. Einen Schutz gegen das Risiko nach der Ausführung gibt es bei Gdata leider nicht, ein Scan bringt auch nichts. Das Programm steht und fällt mit Signaturen ?


http://www.abload.de/img/4dgu8.jpg

Wie man auch sieht ist die Hosts-Infektion noch weit umfangreicher als das es ein Bereinigungsprotokoll erfassen kann , dabei werden offenbar nur sicherheitsrelevante URLs erfasst.

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 17:54

[Voyager]

Wer Software insbesondere Shareware aus wenig legalen Quellen nutzen will erlebt in aller Regel böse Überraschungen , die Software ist meistens neu verpackt in ausführbaren Archiven (rar-sfx, cab.sfx ect) inclusive Malware die im Hintergrund installiert wird.
Nein ich nutze das nicht , ich schau mir immer wieder nur die Methoden der Infektion dieser Software an.

Hier hätten wir ein frisches Beispiel einer Shareware dessen Name ich mal weglasse, die Verbreitung ist aber sehr hoch ... es ist eine deutsche Sicherheitssoftware.
Darin haben wir wieder wie zu erwarten eine eingebaute Malware die ich gesondert untersuche.

http://www.virscan.org/report/8d6f4d0d26c8...974ea91923.html


http://www.abload.de/img/511yjr.jpg

Wie man sieht hat sich der Virenschreiber große Mühe gegeben , Erkennung ist Null.

Schauen wir uns die verhaltensbasierte Erkennung an.

http://www.abload.de/img/589bb.jpg

Böse Überraschung Also seid sehr vorsichtig , die Masche ist sehr weit verbreitet.

edit : Virustotal war kurz Offline daher reiche ich den Scan nochmal nach.

http://www.virustotal.com/de/analisis/a993...a71f7013e724225

Null Erkennung.

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 19:31

[Julian]

Du bist wenigstens etwas besser dran

Genau, ich starte jede Malware und mein System ist immer noch nicht verseucht

Deine Ausführungen sind ja auch recht interessant. Ich glaub auch kaum, dass Gdata (viel) besser schützt als Norton, Sonar ist einfach eine nette Sache.

[markus17]

@ Voyager
Wäre es vielleicht möglich, dass du öfter ohne Antibot testest? Antibot ist ja ein "Auslaufprodukt" und gehört ja nicht zu NIS, deshalb gibt es ja Sonar. Mich würde es nämlich interessieren, wie die Suite ohne Zusatzprodukt reagiert und vor allem, ob eine Infektion verhindert werden kann oder nur ein Teil.

[Julian]

Was bedeutet "zum Teil"? Wenn der wirkliche Schaden abgewendet wird (Daten wegsenden, PC zum Botnet-Client machen usw...), kann man von einer Vereitelung der Infektion sprechen.

[markus17]

Was bedeutet "zum Teil"?

Wenn Malwarefiles nach der Desinfektion durch NIS oder von mir aus auch Antibot zurückbleiben und weiter automatisch laufen. Wenn der, wie du sagst, wirkliche Schaden abgewehrt wird, dann ist es ja gut.

[Gast_Xeon_*]

Du kannst das mit dem Programm auch gern mal vorführen feds-r-watching.us/load.php?id=0&spl=1.exedec

Kann es sein das das Teil unter Vista32 nicht läuft, bei mir passiert hier überhaupt nichts nach dem Ausführen.
Es werden keine Host-Dateieinträge erstellt noch ist eine avgvamsv.exe irgendwo zu finden.

[Voyager]

Erstaunlich , threatexpert bemerkt garnichts , entweder hat sich der Virenschreiber nur große Mühe gegeben oder threatexpert ist auf einem Auge blind.
http://www.threatexpert.com/report.aspx?md...7bed344889f4382

Norton erkennt leider garnichts , aber zumindestens werden die Aktivitäten gemeldet.


http://www.abload.de/img/52ndfw.jpg

Gdata schützt nur halbherzig wenn überhaupt , bei dieser Aktion hab ich ausdrücklich "verbieten" gedrückt .



Jetzt rebooten wir die VM und schauen nochmal nach was passiert ist ? Tja Pustekuchen , der Prozess läuft und beide Einträge (Autorun + Winlogon) sind aktiv vorhanden.


http://www.abload.de/img/54sg12.jpg

Edit:
jetzt könnte vll. jemand meinen gut der hat sich verklickt also wiederholen wir das nochmal:
Beim 2ten mal ist der Autorun weg , hier war ich wahrscheinlich nur schneller mit dem verbieten ?! Aber dafür ist der Userinit-Eintrag da und die Malware läuft trotzdem. Schutzwirkung Null.


http://www.abload.de/img/55bjso.jpg

Der Beitrag wurde von Voyager bearbeitet: 20.04.2009, 20:23

[chris30duew]

Hey Jens,

würde mich echt sehr interessieren, wenn du dir die mühe machen wolltest es mal mit panda zu probieren, dessen TruPrevent ja auch in die ecke sonar oder antibot gehört, wie sich dieses bei deinen Tests schlägt. Wenn dus mal testest wäre klasse, ansonten bin ich dir auch nicht böse

[Voyager]

Erstmal eine kurze Frage , ist das TruePrevent hier mit dabei ? http://www.computerbase.de/downloads/softw...anda_antivirus/

[chris30duew]

beim AV 2009 pro ist es dabei, bei der betaversion für windows7 weiss ichs nicht. wird zwar angegeben bei der installation aber ob das dann schon richtig funzt oder noch in der entwicklung steckt allgemein weiss ich nicht.
am besten den AV2009 pro nehmen