Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Solution-Design]

Flash-ActiveX habe ich auch mal getestet. Avira erkannte es, aquared auch... So langsam werden hier wohl alle PCs auf letzteres AV umgestellt... Ist schon interessant, was diese Site an Malware so bietet

[Kenshiro]

Welche Seite Uwe bitte?

[Voyager]

@Solution-Design

ich hab das mal übers community forum an symantec weiterleiten lassen damit das mit der erkennung besser vorwärts geht , antwort ist auch schon rein ... man will die Objekte im Response Team und Technik Team untersuchen.

[Solution-Design]

Flash-ActiveX

Welche Seite Uwe bitte?

http://www.malwaredomainlist.com/mdl.php?i...=100&page=0

So sieht das G-Data


und so asquared


Symantec sieht auch noch nix. Siehe Posting Voyager. Avira entfernt meine kleine 10 Malware-Files umfassende Liste bis auf den codec. Der macht dann aber nüscht. Ikarus löscht ihn aber mit.


Zum Keylogger http://www.rokop-security.de/index.php?s=&...st&p=271761 sagt G-Data auch noch nix

Der Beitrag wurde von Solution-Design bearbeitet: 27.04.2009, 20:42

[Kenshiro]

Danke Uwe :-)

[Solution-Design]

Hab gerade mal den adobeus.com/go/getflashplayer/flashplayer.exe installiert. G-Data meldet eine unerlaubte Handlung, welche ich statt wie vorgegeben "Erlauben" zweimal verboten habe... Aber genutzt hat es wohl nichts. Ding ist im Speicher.



Avira kennt das Teil auch nicht (mit den gestrigen Signaturen sah es auf oben genannter Malwarelist richtig böse aus)...

[Voyager]

NIS erkennt zwar auch Änderungen in der Überwachung aber bleibt ansonsten ruhig bei dem flashplayer , der einzige der den Tag retten kann ist wer ? ... Norton Antibot natürlich.


http://www.abload.de/img/1gnqr.jpg

[Solution-Design]

So langsam darf sich Symantec (und der Nutzer) aber darüber ärgern, dass AntiBot ein Auslaufmodell ist. Kenne bis dato keinen besseren/übersichtlicheren Behaviorblocker. Außer vielleich asquared (welches ich gleich mal ohne Signaturen testen werde). Irgendwie haben die gelben Jungs da mächtig gepennt. Erinnert mich stark an ShadowProtect.

Na ja....



Standardmäßig war "Erlauben-Regel erstellen" eingestellt.



Der Prozess musste mit ProcessExplorer gekillt werden. Erst dann ging es weiter. Also das, was AntiBot auch alleine kann (und sei es mittels Reboot).

Der Beitrag wurde von Solution-Design bearbeitet: 28.04.2009, 21:36

[Voyager]

Heute wurde mal alles bis auf einen auf Malwaredomainlist erkannt , Symantec scheint mit der Info auf die Webseite doch etwas nützliches anzufangen.

Der eine sieht mir aber danach aus als ob er regelmässig manipuliert wird und somit wieder aus der Erkennung rausfällt , Norton Save Web hat den Burschein eigentlich auf der Abschussliste http://safeweb.norton.com/report/show?url=...mediaplayer.com

NAB bestätigt das da nichts koscheres dabei rauskommt.

http://www.abload.de/img/1nahu.jpg

Erkennen tut den aber fast niemand
http://www.virustotal.com/de/analisis/533e...1c768139c780216

Der Beitrag wurde von Voyager bearbeitet: 29.04.2009, 19:08

[Rios]

Ein etwas verändertes Fake AV ist gerade aufgetaucht.
h??p://www.guardlab2009.net/downloads.html
Virustotal

[Voyager]

Das ist einer von der ganz witzigen Sorte , er ruft tatsätzlich den Norton Installer auf aber dort kann man glücklicherweise auf "abrechen" drücken


http://www.abload.de/img/1uimc.jpg

[markus17]

Lol, aber ich könnte mir vorstellen, dass diese Masche bei vielen Usern äußerst effektiv ist. :-/

[Solution-Design]

Spaß machen solche Dinger: http://www.virustotal.com/de/analisis/cadd...af087fa527242b7

In diesem Falle ist eine Firewall, welche ausgehend prüft, schon einigermaßen sinnvoll.

Quelle: h**p://kokc-softportal.com/softwarefortubeview.40006.exe
Ziel: C:\Users\ICH\Desktop\Malware\softwarefortubeview.40006.exe
Größe: 60 KB (61.440 Bytes)
Übertragen: 60 KB (61.440 Bytes)

OK, a-squared reicht auch


Der Beitrag wurde von Solution-Design bearbeitet: 29.04.2009, 21:52

[Gast_Xeon_*]

Quelle: h**p://kokc-softportal.com/softwarefortubeview.40006.exe

Wird von G Data als Win32Rootkit.gen erkannt.

[Voyager]

@Xeon

Ja aber nur im "ausgeführten Zustand" , dann ist auch schon alles zu spät . Irgendwas läuft noch weiter mit und versucht den PC 1min. später weiter mit Malware zu infizieren.
ps. der Coreguard2009 läuft auch noch fröhlich mit .


http://www.abload.de/img/193hv.jpg

[Solution-Design]

G-Data versagtan dieser Stelle. Lediglich die Firewall meldet ausgehende Daten. Aber noch besser ist Avira 9 Premium. Es meldet einen Trojaner mit "blockieren", dann urplötzlich verschwindet das Fenster, ohne das man noch eine Chance hat, irgendwas anzuklicken und das Teil ist im Taskmanager zu finden. Danach wird tonnenweise Malware geladen und das System ist platt. Happy Hour...

[Krond]

Das ist mir bei Avira schon öfters unter gekommen, dass zwar die Engine einen Fund meldet, irgendwie jedoch die GUI und der Rest der Software sowas von zweifelhaft ist, dass die Malware dann doch ausgeführt wird. Meine Konsequenz: wird einfach nicht mehr empfohlen und verwenden werde ich es - bis dies irgendwann behoben ist - auch nicht mehr.

Ich hatte nicht erst einen Rechner bei Bekannten und im Kundenkreis, der trotz Avira befallen war...

[Solution-Design]

ps. der Coreguard2009 läuft auch noch fröhlich mit .

Coreguard2009 wird außer von McAfee und Avira bisher von wenigen erkannt. Ist auch eine der wenigen Rogues, welche einen Uninstaller mitbringen.

@Krond
Ja, ich wunderte mich auch immer wieder über die vielen verseuchten Avira-PCs. Hatte auch selbst schon oft die Erfahrung machen müssen, das Avira bei jedem PC-Neustart rumpiepst, aber die Malware nicht löschen kann. G-Data scheint nach dem Wechsel weg von Kaspersky das selbe Problem zu haben. Bisher fallen mir nur Symantec, Kaspersky, McAfee und NOD32 bezüglich Malware-Beseitigung/Bereinigung positiv ins Auge.
a-squared hat eine Sonderstellung, ähnlich wie Norton AntiBot, wobei letzteres scheinbar noch stärker bereinigt, da alle im Task befindlichen Prozesse angezeigt werden und selbst wenn sie von den Regeln her nicht als böse deklariert werden, sich perfekt entfernen lassen. Sanasecurity hat da ein ganz tolles Produkt auf die Beine gestellt!

[olli]

Die hohe Zahl von infizierten Avira-PC´s wundert mich auch immer beim Stöbern im Avira-Forum. Gibt es da noch andere Kandidten, die bisher besonders aufgefallen sind?

Bis denne
Olli

[Voyager]

Apropo Avira


http://www.abload.de/img/2k9n2.jpg

ist vermutlich wieder ein Rootkit der ins PlattenBios reinwill , die VM rammelt sich dabei fest. Laut Hijackthis siehts aber bekannt aus mit twex.exe die bei Userinit Winlogin mitgeladen werden .

http://www.virustotal.com/de/analisis/7583...4df469253d09449
Erkennt bis jetzt keiner.