Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Hi Olli,
die haben den Hahn wieder abgedreht, geschieht in letzter Zeit leider öfter. Also machen wir in Zukunft wieder Bildchen. Die letzte Erkennung war mittlerweile 10/39
Bitdefender war auch dabei.

Link sollte wieder funktionieren.

Der Beitrag wurde von Rios bearbeitet: 02.06.2009, 09:40

[Gast_Nightwatch_*]

Kann sich das Teil mal jemand genauer ansehen?

Hi Rios!
Also Prevx schweigt auch nach der Ausführung (was mich etwas verwundert). F-Secure erkennt das Sample per Signatur.
Aber hübsch sieht das Fake-Programm schon aus

Gruß,
Nightwatch

[Gast_teddy247_*]

Aber hübsch sieht das Fake-Programm schon aus

Hallo Nightwatch

mach doch einen screenshot und verwende es als hintergrundbild

[Julian]

Die Malware-Fritzen schaffen es auch immer wieder
http://camas.comodo.com/cgi-bin/submit?fil...4b9b839ddcb67df
KIS erkennt es mit der On Execution-Heuristik.

[Rios]

Hier knabbert man sich auch Wund.
Vtt

h??p://club25plus.de/css/vv.exe Vorsicht!!

[Gast_Nightwatch_*]

h??p://club25plus.de/css/vv.exe Vorsicht!!

Hi!

Prevx Ergebnis:



Nicht wundern über die 21 Infektionen. Die stammen noch von meinem gerade getätigten Rootkit-Test. Hab das Samp0le einfach mal schnell mit in die gleiche VM genommen .

Gruß,
Nightwatch

[Voyager]

@Nightwatch
Das ist eine signaturbasierte Erkennung , was die vv.exe macht steht da leider nicht.

[Gast_Nightwatch_*]

Das ist eine signaturbasierte Erkennung , was die vv.exe macht steht da leider nicht.

Hi!
Richtig. Wird per Cloud-Signatur erkannt. Was die Datei macht, weiß ich nicht. War das gefragt? Kann sie in dieser VM nicht mehr ausführen.

Gruß,
Nightwatch

[Voyager]

War das gefragt?

Hätte ja sein können du demonstrierst da eine proaktive oder heuristische Erkennung , dazu geschrieben hast du ja nix weiter.

Wird per Cloud-Signatur erkannt

und wo steht das ?


Ich hab das hier mal getestet , die vv.exe startet nur kurz geht ins Netzwerk und beendet sich wieder . Offenbar ist am anderen Ende der Leitung niemand erreichbar.
Diese IP wird dabei angesurft http://www.ip-adress.com/ip_lokalisieren/94.232.248.61
Logischerweise vermelden NAB und Sonar nichts bei dem Objekt , in den NIS-Log Systemaktivitäten steht die vv.exe allerdings mit einem Netzwerkzugriff dabei , keine sonstigen Aktivitäten.
threatexpert findet sonst auch keine Aktivitäten. http://www.threatexpert.com/report.aspx?md...dcb70816989463a

Der Beitrag wurde von Voyager bearbeitet: 03.06.2009, 18:09

[Gast_Nightwatch_*]

Hätte ja sein können du demonstrierst da eine proaktive oder heuristische Erkennung , dazu geschrieben hast du ja nix weiter.

Schaffe ich leider nicht mehr. Wollte nur zeigen, dass das Sample trotz negativer Prevx-VT-Erkennung hier geblockt wird.

und wo steht das ?

Prevx ist ein reines Cloud-AV und installiert keinerlei Signaturen auf der Festplatte. Deswegen ist der Install-Ordner auch nur 1,2 MB groß. Die Betitlung "Medium Risk Malware" (s. Screenshot) bedeutet, dass ITC eine Erkennung vorliegt. Sonst würden die Heuristik-Module eine entsprechende Warnung herausgeben (und das im Warnfenster anzeigen).

Gruß,
Nightwatch

[citro]

Erkennt NAV es wirklich auch nicht per Signatur bei dir ?

Nach 7 Tagen erkennt Symantec die Datei als Infostealer.Tarno.B bei Virustotal, jedoch noch nicht mit NAV im PC.
Wahrscheinlich werden dort beta-updates verwendet.

Der Beitrag wurde von citro bearbeitet: 06.06.2009, 19:15

[Gast_Nightwatch_*]

Hi

Ein netter DNS-Changer mit Rootkit-Eigenschaften:

Datei FlashPlayer.exe empfangen 2009.06.08 20:36:29 (UTC)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.18 2009.06.08 Trojan.Win32.Tdss!IK
DrWeb 5.0.0.12182 2009.06.08 BackDoor.Tdss.119
Microsoft 1.4701 2009.06.08 Trojan:Win32/Alureon.gen!J
NOD32 4139 2009.06.08 a variant of Win32/Kryptik.SQ
Norman 6.01.09 2009.06.08 W32/DNSChanger.B!genr
Sunbelt 3.2.1858.2 2009.06.08 Trojan.DNSChanger.Gen


Ziemlich laue Erkennung. 6/39

Prevx erkennt die Datei on-demand nicht. Aber beim Ausführen wird die Datei durch das "Community-Heuristik-Modul" geblockt.


Gruß,
Nightwatch

[Voyager]

Hab ich auch da das Ding .
http://www.virustotal.com/de/analisis/9897...43dc-1244493389

Das ist immer wieder diesselbe Malware in den Fake-Objekten verpackt die dieses Desktop Icon tragen , nur die Verpackungen ändern sich .
Beim Ausführen werden tmp-Dateien hier häufig erkannt als Backdoor Tidserv , wie dieses mal auch.


http://www.abload.de/img/1pxpp.jpg

Nach dem Reboot ist der PC leider immernoch infiziert , hierbei handelt es sich um eine vergrabene Rootkit-Kombination die Norton (Icon und Oberfläche) und Combofix am Starten hindern . Indem man Combofix umbenennt läufts aber wieder , das entfernt die Rootkits recht zuverlässig, danach funktioniert auch Norton wieder.


http://www.abload.de/img/15lj6.jpg

Der Malware unterläuft aber ein wichtiger Fehler , indem Sie Norton blockiert sperrt Sie sich auch aus dem Internet aus , der PC ist somit für die Leute unbrauchbar.


http://www.abload.de/img/19i5j.jpg

Nach der Bereinigung geht Norton auch das Internet wieder .

Der Beitrag wurde von Voyager bearbeitet: 08.06.2009, 22:45

[Gast_Nightwatch_*]

Der Malware unterläuft aber ein wichtiger Fehler , indem Sie Norton blockiert sperrt Sie sich auch aus dem Internet aus , der PC ist somit für die Leute unbrauchbar.

Auch nicht schlecht .
Da steckt man so viele Ressourcen in eine Tarnung und Nicht-Erkennung...und dann passiert sowas. Naja, uns soll´s recht sein!

Gruß,
Nightwatch

[chris30duew]

schlimm genug das es ihm überhaupt gelingt Norton trotz prozess und manipulationsschutz und früh-lade-funktion am starten zu hindern

[Voyager]

Ich vermute das liegt daran wie die Rootkits eingebunden werden , die 2 Prozesse ccSvcHst.exe existieren schon im Taskmanager der Service ist sozusagen gestartet und nicht blockiert worden, es fehlt nur das Icon und es lässt sich keine Norton GUI starten , hier greifen die Rootkits ein.

Ich teste eben mal mit Gdata, genügend Awards haben Sie ja schliesslich schon.


edit: Es wird nur der verdächtige Windows Task wird erkannt.


http://www.abload.de/img/16gwl.jpg


http://www.abload.de/img/1xdc46.jpg

Nach dem Reboot startet die VM nicht mehr , ich muss das nochmal versuchen nachzustellen.

edit: beim 2ten Versuch gings dann wieder aber die Rootkiterkennung lässt bei Gdata auch zu wünschen übrig. Klar das der Windows Task möglicherweise angehalten wurde aber die Malware incl. der lustigen Rootkits waren erwartungsgemäß auf dem PC vorhanden. Das Gdata hier noch funktioniert ist eher Zufall und Glück , die Rootkits sind mittels ProzessnamenErkennung auf Norton und Combofix zugeschnitten gewesen .


http://www.abload.de/img/17vwz.jpg


http://www.abload.de/img/1gpr9.jpg
Combofix hatts wieder erkannt und gelöscht.
**Geschützt,Geschützer,Gdata.... ja dieses mal eben auch nicht**

Der Beitrag wurde von Voyager bearbeitet: 08.06.2009, 23:34

[chris30duew]

was mich mal interessieren würde, wie die neue panda beta 2010 abschneidet, falls du mal lust und zeit hast. immerhin sollen da grad die proaktiven erkennungen stark verbessert worden sein und zusätzlich über cloud erkennung verfügen, zu den verbesserungen.
wenn du mal lust und zeit hast....

gruss chris

[Gast_Nightwatch_*]

Das Gdata hier noch funktioniert ist eher Zufall und Glück , die Rootkits sind mittels ProzessnamenErkennung auf Norton und Combofix zugeschnitten gewesen .

Auch wenn es einige nicht gerne hören mögen, aber genau das ist der Grund, warum ich seit Jahren einen Bogen um die "Boliden" der Branche mache. Ok, F-Secure ist auch keine wirkliche Nische mehr, aber es existieren so viele Malware-Varianten, die speziell auf den Consumer-Markt ausgerichtet sind. Da hat das Programm XY bei gezielten Samples wenig Chancen, da sie gut geplant und organisiert werden. Man könnte fast überlegen, ob Lösungen wie AntiBot nicht in Zukunft auch stand-alone reichen könnten. Prevx ist für mich in allen Belangen das absolute Highlight momentan. So stelle ich mir die Innovation der Zukunft vor. Symantec wird Cloud-Technologien nachrüsten. Bald gibt´s nirgendwo mehr klassische Signaturen (meine pers. Einschätzung), sondern nur noch Cloud-based AV´s mit System-Monitoring.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 09.06.2009, 00:29

[Habakuck]

schlimm genug das es ihm überhaupt gelingt Norton trotz prozess und manipulationsschutz und früh-lade-funktion am starten zu hindern

Ist doch völlig klar. Wenn der Schädling einmal aktiv ist ist es sowieso egal ob du ein AV auf dem Rechner hast oder nicht.
Noch lächerlicher ist die Annahme, dass eine Firewall den Schädling daran hindern würde mit dem Internet zu kommunizieren. Alles Blödsinn. Wenn man zu dämlich ist und solche Dinge bei sich ausführt dann ist es eh zu spät. Man kann Glück haben und das AV bemerkt die Infektion wenigstens. Dann kann man wenigstens noch schnell sein LAN-Kabel ziehen, sich seine Windows CD krallen und den Rechner neu machen.
Absolut bescheuert finde ich allerdings, dass viele AVs den Eindruck vermitteln der Rechner wäre sauber oder bereinigt worden. Das stimmt in 99% der Fälle nämlich nicht. Aber trotzdem immer groß schreiben: Wir tun was gegen Botnetze. Wenn sie das wirklich wollen würden dann würden sie infizierten Usern sagen, dass diese bitte den Rechner neuaufsetzten sollen...

Btw.: Auch wenn CF die Treiber entfernt würde ich den Comp hinterher neu machen. Man hat absolut keine Möglichkeit nachzuprüfen was alles im System verändert wurde und ob evtl. irgendwo noch ein Schläfer sitzt.

[Voyager]

Die AV-Firmen sind aber auch nicht auf den Kopf gefalllen oder mit dem Klammerbeutel gepudert , so wie es nämlich bis jetzt aussieht kann NIS2010 dem Angriff dieses Objektes über das wir gerade reden stand halten.
http://www.rokop-security.de/index.php?s=&...st&p=276717

Offenkundig kam es hier zu keiner Rootkitinfektion während der Backdoor Tidserv Erkennung , nach dem Reboot läuft NIS und Combofix mit dem ursprünglichen Name Combofix.exe.