Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[markus17]

Was ist dann das von Rios, ne andere Variante

Nur ein Skript, das von der Avast Engine bemängelt wird, wenn der User die Website aufruft. Dadurch kann und wird jedoch ein Download des infizierten Setups verhindert.


Antibot fasziniert mich wirklich. Es ist ein kleines leichtes Programm und bei Fake-AVs und Fake-Codecs einfach unschlagbar, was deren Erkennung betrifft. Einen Nachteil gibt es jedoch, denn soweit ich das verstehe, wird ein System infiziert und danach macht bzw. versucht Antibot die Infektion wieder rückgängig zu machen. Nicht unbedingt die beste Methode, aber wirkungsvoll.

[Voyager]

bei Fake-AVs und Fake-Codecs einfach unschlagbar, was deren Erkennung betrifft

Das trifft vll. nicht den Punkt , ein Fake-AV hat kein verdächtiges Programmverhalten innerhalb des Betriebssystem , ein Fake-AV täuscht nur den User innerhalb der Programmoberfläche mit falschen Angaben und nötigt diesen Geld auszugeben.

Einen Nachteil gibt es jedoch, denn soweit ich das verstehe, wird ein System infiziert und danach macht bzw. versucht Antibot die Infektion wieder rückgängig zu machen.

Das andere würde sich Hellsehen schimpfen und das kann keine Software , das Vorgehen des Verhaltensblocker ist leider kaum anders machbar

[markus17]

Theoretisch könnte die Installation ja simuliert werden bzw. eine Simulation im Hintergrund ablaufen, wodurch das schädliche Verhalten erkannt wird. Das würde aber sicher zu viel Leistung vom System fordern.

das Vorgehen des Verhaltensblocker ist leider kaum anders machbar

Mir ist klar, dass alle Verhaltensblocker auf diese weise funktionieren. Man muss es aber leider als Nachteil anerkennen. Trotzdem ist das immer noch besser als eine Infektion, die am System verbleibt.

[Solution-Design]

Fake-Antivirus-Programme infizieren das System ja nicht. Auch wenn manche Antivirenprogramme eine Signatur anbieten, handelt es sich doch nur um Rogueware. AntiBot ist dementsprechend kein Tool gegen Rogue-, oder Cripple-/Adware. Erst wenn es zu seltsamen Verhalten kommt (mittlerweile >70 Parameter) wie z.B. Codeinjektion oder versteckte Installation, oder Serveraufrufe um Daten versteckt nachzuladen, oder oder oder... meldet sich AntiBot. Das besondere aber an diesem Tool ist die Bereinigung. Löschen und alles ist nach Systemreboot fott. Registry-Einträge, wie auch Pfade. In dieser Form beherrscht das kein anderes Tool. Auch wenn das behauptet wird. Threatfire nicht, auch a-squared nicht. Auch wenn Genannte die Registry-Einträge beobachten. AntiBot kann Software regelrecht deinstallieren. Aber wie ich schon mal erwähnte, dieses Programm ist Geschichte, denn für AVG interessiert sich kein Schwein.

[Voyager]

Aber wie ich schon mal erwähnte, dieses Programm ist Geschichte,

Tja , man könnte die Sache ja mal an die Öffentlichkeit bringen aber wer will schon Protest für Symantec machen ?
Ich hoffe inständig für Symantec das Sie aus dem Sonar noch etwas mehr machen in der Next Version.

angeblich gibt es hier im Forum ja so einen Norton Forums Assistent der für die Kommunikation (Benutzer <-> Hersteller) sich verantwortlich fühlen müsste... allerdings glaube ich das wir einem Hochstapler aufgesessen sind.

Der Beitrag wurde von Voyager bearbeitet: 10.05.2009, 16:08

[citro]

KAV sagt zu meinem eingesendten File: Live-Player setup.exe 228 kb

"No malicious code was found in this file."

[Voyager]

Schlimm das ganze mit den Sonntags Praktikaten bei KAV , soweit ich festgestellt hab lädt der kb große Downloader nur diese Show-Anwendung herunter , in dem Downloader selbst sollte aber der Virus enthalten sein.
Du kannst KAV gern diese Screenshots an der ReMail anhängen.

http://www.abload.de/img/1aqhy.jpg
http://www.abload.de/img/2lqt8.jpg
http://img2.abload.de/img/30rdw.jpg

Microsoft selbst bestätigt , das ist nee Böse Seite


http://www.abload.de/img/10l79.jpg

Der Beitrag wurde von Voyager bearbeitet: 10.05.2009, 18:02

[markus17]

Fake-Antivirus-Programme infizieren das System ja nicht.

Stimmt, die FakeAVs sind eigentlich keine wirkliche Infektion, aber vor den FakeCodecs sollte man sich doch in acht nehmen. ^^

[citro]

Das sind tatsächlich verschiedene setup.exen, immer ein paar kb Unterschied

[Voyager]

Also im Setup finde ich nichts was auf Virustotal bemängelt wird , die Malware wird doch erst inclusive der Show-Anwendung nachgeladen.

"No malicious code was found in this file." ist trotzdem falsch, es ist ein Malware-Downloader im klassischen Sinn.

Der Beitrag wurde von Voyager bearbeitet: 10.05.2009, 18:50

[Solution-Design]

Codeinjektion wird geblockt. Trotzdem befindet sich Malware auf dem PC. Ist eben eine Schwachstelle in OnExecution, dass DLLs eben übersehen werden. Kaputt ist das System dadurch aber nicht. Nur, so kompfortabel wie bei AntiBot lässt sich das System nicht bereinigen. Da muss schon der Revo-Uninstaller ran, welcher auch die Uninstall.exe aufruft. Habe gerade den Aufruf und das Deinstallieren getestet, funktioniert. a-squared blockt die Malware, Uninstall läuft aber weiter. Die Software ist fott.

http://www.virustotal.com/de/analisis/9775...23d42988aedf0b1

Die Datei "lang.dll" verbleibt nach Deinstallation in der temporären Datei AU_.exe

Der Beitrag wurde von Solution-Design bearbeitet: 10.05.2009, 19:58

[citro]

Also im Setup finde ich nichts was auf Virustotal bemängelt wird , die Malware wird doch erst inclusive der Show-Anwendung nachgeladen.

"No malicious code was found in this file." ist trotzdem falsch, es ist ein Malware-Downloader im klassischen Sinn.

Gestern hatte sich KAV und Avira mit einer Signatur not-a-virus:AdWare.Win32.Agent und AdSpy.Agent.nmc gemeldet, heute wurden sie für die Live-Player setup.exe wieder zurrückgezogen.

den Rest siehe VT:

http://www.virustotal.com/de/analisis/36d3...d0c1da14f433ddb

[Voyager]

Ich hab hier eine interessante Sache , ein Fund was sich als Rootkit entpuppt, ja soweit nichts neues.

http://www.virustotal.com/de/analisis/5314...e7cd8da6ddfdaa0
Die Erkennung des Fundes allein ist erstmal komplett negativ , keiner der bekannten AVs bemängelt oder beanstandet etwas .

Testen wir es als erstens über Verhaltensbasierung :

http://www.abload.de/img/35gaf.jpg

Ok das sieht blöd aus , es wird nichts beanstandet , Systemdienst, Windowsverzeichnis , offenbar macht das Ding nicht viel , lassen wir es mal von Hand bereinigen um zu sehen was die file.exe macht.


http://www.abload.de/img/4ckne.jpg

aha da haben wir noch eine ip_fw.sys welches das eigentliche Rootkit ist , siehe virscan.org

http://www.virscan.org/report/c95fc669030f...efa0942b14.html

Bei Gdata müssen wir wie üblich erstmal 15min geziehlt danach scannen ansonsten siehts finster aus mit einer erkannten Infektion.


http://www.abload.de/img/1ugje.jpg

Laut Virscan.org ist es eine Signaturbasierende Avast-Erkennung , Symantec hat hier keine Signatur auf der SYS-Datei. Testen wir es einfach mal mit NIS.


http://www.abload.de/img/27h4w.jpg

Die Sys-Datei wird ohne Signatur sofort erkannt , tja da lautet die Frage wie machen die das jetzt !?

O23 - Service: ipfw_helper (ipfw) - Unknown owner - C:\WINDOWS\system32\file.exe
Der Eintrag ist bei Norton sowie bei Gdata und allen anderen AVs noch vorhanden welche die File.exe nicht erkennen aber in der Norton-VM wird der Dienst nicht geladen , die Datei ist nach dem Reboot hinterher im System32 Ordner löschbar und nach erneuten Doppelklick nichtmehr funktionsfähig , keine erneute Infektion feststellbar. Lustige Sache ?

[Solution-Design]

Aber wenn man OK erlauben/beobachten geklickt hat, war es das. Das ist das a²-Problem, die nachträgliche Bereinigung. AntiBot rulez.

[Voyager]

@Solution-Design

Ich hatte das auch mit jemanden zusammen über Teamviewer bei ihm mittels A2 getestet , soweit ich weiss wird nur ! der Dienst
O23 - Service: ipfw_helper (ipfw) - Unknown owner - C:\WINDOWS\system32\file.exe
beanstandet, das Rootkit wiurde von A2 übersehen.
In den Infos oder Details innerhalb der A2 Meldung erscheint die Datei ip_fw.sys auch garnicht.

[Gast_Nightwatch_*]

In den Infos oder Details innerhalb der A2 Meldung erscheint die Datei ip_fw.sys auch garnicht.

Nicht schön

[Solution-Design]

Nicht schön

Wenn der anschließende Scan gestartet wird, sollte die Datei aber gelöscht werden. Der Scan nach Tracedirectorys sollte ebenso wirken.

[Gast_Nightwatch_*]

Wenn der anschließende Scan gestartet wird, sollte die Datei aber gelöscht werden. Der Scan nach Tracedirectorys sollte ebenso wirken.

Also wenn das Rootkit bereits im System sitzt, weiß ich nicht, wie das mit der nachträglichen Erkennung so aussieht. A-squared wäre mit Sicherheit nicht das einzige Prograam, was bei solchen Samples scheitern könnte.
Ich schau mir das Sample auch mal genauer an. Eine Rootkit-Installation sollte das IDS aber merken.

Gruß,
Nightwatch

[markus17]

Die sys Datei müsste doch eigentlich in die exe Datei integriert sein. Mich wundert es, dass beim Scannen dieser nichts von den AVs erkannt wird. Auch wird bei allen das integrieren der sys Datei ins System nicht bemerkt, obwohl eine Signatur für diese vorhanden ist. Einzig Verhaltensanalysen sind in der Lage, das Rootkit zu erkennen. :-/

[Solution-Design]

Aber wenn man OK erlauben/beobachten geklickt hat, war es das. Das ist das a²-Problem, die nachträgliche Bereinigung. AntiBot rulez.

Ich hatte das auch mit jemanden zusammen über Teamviewer bei ihm mittels A2 getestet , soweit ich weiss wird nur ! der Dienst
O23 - Service: ipfw_helper (ipfw) - Unknown owner - C:\WINDOWS\system32\file.exe
beanstandet, das Rootkit wiurde von A2 übersehen.
In den Infos oder Details innerhalb der A2 Meldung erscheint die Datei ip_fw.sys auch garnicht.

Das die Datei ip_fw.sys nicht erscheint, ist leider so. Sie wird erst bei einem anschließendem Scan erkannt und entfernt.

Die file.exe lässt sich bequem mit jedem Dateimanager löschen. Mir ist auch nicht klar, was das Ding da so anstellt. Irgendwie nüscht habe ich das Gefühl. Avira hat zu der sys-Datei auch nichts gesagt. Lief parallel.

Praktisch wird die Erstellung der Datei geblockt. Das eine Kopie der file.exe in System32 erstellt wird, erkennt a² nicht. Diese Kopie stellt aber nach einem Neustart nichts an.

Edit: MalwareBytes erkennt die Datei File.exe übrigens als Trojan.Dropper

Der Beitrag wurde von Solution-Design bearbeitet: 17.05.2009, 21:58