Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Ok , hab ich das Panda2009 mal drauf .

Trueprevent ist aktiv und geupdatet , also kanns losgehen.


http://www.abload.de/img/11288z.jpg

Da wurde etwas registriert nach Ausführung der Malware


http://www.abload.de/img/12s35w.jpg

Schauen wir uns das näher an , aber Halt ! das Objekt wurde 21.54 Uhr geblockt, wie kann das 21.56 Uhr noch im Taskmanager sein ?


http://www.abload.de/img/1367i2.jpg

Rebooten wir einfach mal und hoffen wir das Panda das Objekt auch wirklich geblockt hat ?
22.03 Uhr , alles beim Alten , die Malware ist noch fein Eingetragen und Aktiv , Panda schläft seinen Schönheitsschlaf....


http://www.abload.de/img/14r1nz.jpg

Sorry, Schutzwirkung mit Panda ist Null aber wenigstens hat es mir verboten das Hijackthis auf die Hosts-Datei zugreifen kann wie man als letzte Aktivität sieht

[chris30duew]

hm
erst mal danke für die mühe die du dir gemacht hast. etwas enttäuschend fällt das ergebnis allerdings schon aus, ich hätte truprevent für besser gehalten

[Gast_Nightwatch_*]

etwas enttäuschend fällt das ergebnis allerdings schon aus, ich hätte truprevent für besser gehalten

Hi
TruPrevent ist leider kein HIPS oder Malware-IDS im klassischen Sinne. Früher noch innovativ und ausreichend, heute nicht besser als die "Verhaltensüberwachung" von GData (soll nich böse klingen, aber momentan ist das halt noch nicht viel). TruPrevent setzt ganz einfache und wenige Hooks. Ich bezweifle überdessen, dass es sich hierbei um "richtige" Kernel-Hooks handelt.
Meine Tests mit Panda brachten die gleichen enttäuschenden Ergebnisse, wie die von @Voyager.
Da könnte man sicherlich noch vielmehr draus machen.

Gruß,
Nightwatch

[citro]

Per E-Mail

http://www.virustotal.com/de/analisis/7cbf...9985e4312175c3d

Symantec per Rechtsklick nichts

Avira:

[0] Archivtyp: ZIP
--> Foto-Susi-.jgp.com
[1] Archivtyp: ZIP SFX (self extracting)
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CY
--> Foto.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Mudrop.CZ
--> windows1.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.MAS
--> windows3.bat
[FUND] Enthält Erkennungsmuster des Batch-Virus BAT/KillAV.CK

Gute 4 Wochen lang hat es gedauert bis eine Signatur "Infostealer" von NAV bereit gestellt wurde ...

[Voyager]

Es kommt allgemein immer darauf an wie hoch der Verbreitungsgrad eines Risiko ist , wahrscheinlich war er hier eher sehr gering. Obwohl wenn einmal bei Symantec durch Submitting von Nutzern bekannt sollte man keine 4 Wochen dafür brauchen das Risiko einzupflegen , das hatte ich auch immer schon bei Symantec Mitarbeitern angemahnt.

Ich hatte das Risiko http://www.rokop-security.de/index.php?s=&...st&p=271527 gestern Abend noch bei verschiedenen Herstellern über Web-Submit Felder hochgeladen , hier interessiert sich anscheinend auch keiner dafür .
http://www.virustotal.com/de/analisis/924b...37e30d6c93f5d9e

Datei ANDREW_1.EXE empfangen 2009.04.21 16:55:01 (CET)
Ergebnis: 0/40 (0%)

Edit:
Vll. wird er deshalb nicht erkannt , Bild 2 ! http://www.rokop-security.de/index.php?s=&...st&p=271737

Der Beitrag wurde von Voyager bearbeitet: 21.04.2009, 21:58

[Voyager]

Dann nochmal ein Scan mit AVG 8.5 http://www.rokop-security.de/index.php?s=&...st&p=271751

Tja , ich denke ich muss dazu nicht viel erklären ? AV-Erkennung ist Null und Idenitity Protection- Erkennung ist hier entgegen anderer Erwartungen negativ....
Das einzige was AVG hier kann ist Netzwerk-Meldungen zu zeigen , das ist aber keine Kunst zumal AVG hier nichtmal WindowsProzesse im Netzwerk automatisch erkennt und mich am Anfang nach Generic Host Netzwerkaktivitäten fragt , ein User der von sowas sowieso nichts versteht wird auch das Stasi Light Version 1.0 http://www.abload.de/img/25nea.jpg hier im AVG freischalten.


http://www.abload.de/img/1j7xq.jpg

Der Bursche verbindet sich übrigens mit Moskau. http://www.ip-adress.com/ip_lokalisieren/92.241.165.110


Hier bin ich etwas verwundert weil Antibot schlägt hier an.

http://www.abload.de/img/283t4.jpg


http://www.abload.de/img/3y7fv.jpg

Der Beitrag wurde von Voyager bearbeitet: 21.04.2009, 23:47

[Voyager]

Diesmal hatts die Software eines tschechischen Herstellers von Sicherheitssoftware erwischt, wieder wie gehabt Software aus wenig vertrauenswürdigen Quellen wo das Installationspacket durch Malware ergänzt wurde.. wir schauen uns die Malware an.

http://www.virscan.org/report/8256cf90243f...ae1771a1b0.html
Erkennung bisher sehr mager , Norton Gdata (auch nach Ausführung) und auch Antibot bemängeln daran garnichts.

Explorer.exe baut laut Gdata eine Netzwerkverbindung nach Malaysia auf http://www.ip-adress.com/ip_lokalisieren/124.217.225.75 , schonmal sehr verdächtig ?
Um zu sehen welche Dateien die Malware überhaupt anlegt lasse ich das durch NAB mal bereinigen ...


http://www.abload.de/img/3s84j.jpg

Wir haben also 2 TMP Dateien, jetzt stelle ich NIS einfach mal auf Manuell um und kontrolliere mal wieso Explorer.exe ins Netzwerk geht !


http://www.abload.de/img/1w4ym.jpg

Ahja , eine der Tmp Dateien macht eine Bypass-Verbindung über den Explorer und trickst jede Firewall aus Böse Sache...Vertrauen ist gut Kontrolle ist besser , wer sich den AV installiert hätte wäre in Malaysischer Hand von Cyberkriminellen gelandet.

Der Beitrag wurde von Voyager bearbeitet: 22.04.2009, 01:43

[Voyager]

Und gleich noch einer , ein deutscher AV wo der vermeintliche Crack beiliegt , wahrscheinlich hatts der Virenschreiber dieses mal nur nicht geschafft die Malware in die MSI des AV-Installationspacket einzubauen.

http://www.virscan.org/report/d042c6dd2a97...a163064999.html
Erkennung fast nicht vorhanden .

Auf der VM mit NIS und auf der VM mit Gdata sieht alles normal aus, eine Oberfläche öffnet sich und gibt vor einen passenden Produktcrack einzuspielen, die AVs bleiben stumm. Im Netzwerkverkehr bei Gdata tauchen viele IE-Instanzen unter anderem mit einer Verbindung nach USA und Schweden auf http://www.ip-adress.com/ip_lokalisieren/81.231.180.28 , verdächtig
Testen wir es mit NAB , schon beim Anklicken des vermeintlichen Crack erfolgt die Infizierung.


http://www.abload.de/img/13k87.jpg

Der Beitrag wurde von Voyager bearbeitet: 22.04.2009, 02:32

[markus17]

>>Im Netzwerkverkehr bei Gdata tauchen viele IE-Instanzen unter anderem mit einer Verbindung nach USA und Schweden auf
Autopilot aktiviert oder deaktiviert? ... Wobei wenn die FW von NIS sich nicht meldet, dann wird sich auch die von G Data im manuellen Modus nicht melden. ^^

[Voyager]

Die Infektion erfolgt erstmal trotzdem...

Autopilot aktiviert oder deaktiviert?

Kein Unterschied wenn ich den Autopilot ausschalte , trotz das der IE geschlossen ist befindet sich eine Instanz im Taskmanager und im Gdata Firewall Protokoll sehe ich neben den Google-Startseiten die ich vorher angesurft hatte eine IE Verbindung zu der IP http://www.ip-adress.com/ip_lokalisieren/81.231.180.28 die laut der letzten Spalte noch nicht beendet ist.

Da wird übrigens ein Keylogger mitinstalliert der sich msnmgr=C:\Windows\filehost.exe schimpft , alle Eingaben die ich im IE mache werden in die Datei C:\Windows\filehost geschrieben. Keine Meldung von Gdata.

Der Beitrag wurde von Voyager bearbeitet: 22.04.2009, 17:25

[Solution-Design]

Ist marsufix nicht ein NOD32-Crack? Wenn der sonst nüscht macht, dann würd's mich auch nicht interessieren, als Konkurrent Jens, schick mir das Teil doch mal gezippt (virus) an meine Email-Adresse. Mal schaun was a2 da anstellt.

[Solution-Design]

Ist auf jedenfall ein nettes Ding http://www.virustotal.com/de/analisis/66a1...5a6c9aa2119946d

Den Keylogger finde ich unter Vista nicht.







Interessant ist vielleicht folgendes:

[Voyager]

Empfehlung : nicht verfügbar steht da , naja da könnte sich der A2 Programmierer schon etwas mehr Mühe geben , NAB hat das automatisch beendet und gelöscht wenn man NAB dementsprechend einstellt eigenständig zu reagieren.
diese host.exe hatte ich auch im Temp-Verzeichnis rausgeholt aber beim separaten Scan wurde Sie mit NIS nicht erkannt, hast du Vista dazu verwendet ?

Hier ist der Keylogger .


http://www.abload.de/img/1zojx.jpg

Der Beitrag wurde von Voyager bearbeitet: 22.04.2009, 21:10

[Solution-Design]

diese host.exe hatte ich auch im Temp-Verzeichnis rausgeholt aber beim separaten Scan wurde Sie mit NIS nicht erkannt, hast du Vista dazu verwendet ?

Ja, getestet mit Vista. C:\Users\Uwe Kraatz\AppData\Roaming\filehost.exe habe ich gefunden. Das LogFile dagegen nicht. Habe den Test gerade ohne asquared, mit NIS aggressive Heuristik wiederholt. Dann ist NAV blind und findet die Host.exe nicht. Nur in Kombination mit a². Was ist das?

Das, was mich an a² stört ist, dass dort trotz eindeutig erkannter CodeInjektion zu lesen steht: Regel erstellen. Einmal doof ok geklickt und...

OnlineArmor





Übrigens war a² obwohl es mitlief unter XP die ganze Zeit still. Seltsam das.

PS: Ich hatte das NAV-Autoprotect unter Vista deaktiviert (Kontext).

Der Beitrag wurde von Solution-Design bearbeitet: 22.04.2009, 21:52

[markus17]

Hier wieder ein Codec:
http://www.virustotal.com/analisis/cc17d8a...4db0e3f9dcd5c54

[Voyager]

Hier haben www.malwaredomainlist.com/update.php mit Objekt 1 eine Malware die es wieder in sich hat .
http://www.virustotal.com/de/analisis/b487...42cd25a85f98856
Nach der NAB Bereinigung startet die VM am Benutzerlogin nichtmehr. Das hatten wir schon, die userinit wurde durch Malware überschrieben.

Norton sieht zwar so aus als könnte es eine Infektion verhindern aber nach dem Reboot ist das Windows trotzdem Schrott ! Entweder läuft das NIS nicht oder beim 2ten Versuch startet der Benutzer nicht, Schade.

http://www.abload.de/img/18tyj.jpg

Bei Gdata siehts aber noch finsterer aus , das erkennt nur eine popelige temporäre Datei wenn man danach scannt , das System ist trotzdem vollinfiziert.

http://www.abload.de/img/22ru5.jpg
Der System-Prozess steht laut Firewall Log in Verbindung mit Latvia http://www.ip-adress.com/ip_lokalisieren/195.88.33.55 , der Service Host mit der Ukraine http://www.ip-adress.com/ip_lokalisieren/85.255.112.216

[markus17]

@ Voyager
Wie bist du an die exe gekommen? Ich habe heute morgen versucht sie downzuloaden, aber sie wollte nicht. Achja und hast du mit G Data auch mal einen Rootkitscan gestartet. Beim letzten Flashplayer-Rootkit wurde G Data über die spezielle Rootkitsuche fündig.

[Voyager]

@Markus

Das wäre schlecht gelöst wenn ich immer manuell danach suchen müsste und Nein, es wird nichts mit dem Rootkitscan gefunden hab das gerade nochmal wiederholt.


http://www.abload.de/img/3gr67.jpg

Der Beitrag wurde von Voyager bearbeitet: 27.04.2009, 12:41

[markus17]

Laut deinem Screenshot wurden 0 Dateien überprüft. Aber kann gut sein, dass nichts gefunden wird.

[Voyager]

Du siehst ja das die Rootkitprüfung überhaupt ausgeführt wurde nachdem ich die Malware nochmal gestartet hatte, welche sinnvollen Meldungen Gdata da beilegt weiss ich nicht , dafür sind die Betatester verantwortlich Das System ist schon infiziert wenn man die exe doppelklickt ohne das lustige Codec Fenster zu beachten, das ist nur reine Show.

Der Beitrag wurde von Voyager bearbeitet: 27.04.2009, 13:17