Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Hier macht sich offenbar ein FakeAV Schreiber einen Terminator Scherz

http://www.virustotal.com/de/analisis/e7c9...efe6-1244574588


http://www.abload.de/img/1xxw1k2.jpg

Wieder auf Norton zugeschnitten und der Taskmanager und Windows Defender geht nicht auf . (NIS2010 Sonar löscht den Downloader)

Der Beitrag wurde von Voyager bearbeitet: 09.06.2009, 20:57

[Rios]

Jeden Tag steht ein anderer von diesen Gaunern auf. Vtt
hxxp://.www.antivirus-doktor.com
Hier gibt es noch Info von Symantec darüber
http://www.symantec.com/business/security_...-99&tabid=2

Der Beitrag wurde von Rios bearbeitet: 09.06.2009, 21:06

[Rios]

Wer möchte nicht einen schnellen, flotten PC
Ergebnis 12/40
Vtt
h??p://.registrycleanerpro.org

[ABE]

Die beiden sind offentsichtlich das gleiche nur mit anderer Oberfläche, wobei der neuere ein Warnfenster bereits vor dem vermeintlichen Scan anzeigt.

[markusg]

Wer möchte nicht einen schnellen, flotten PC

ich, also schnell instalieren.

Der Beitrag wurde von markusg bearbeitet: 10.06.2009, 18:25

[Voyager]

Wer von hier des Englischen mächtig ist der kann gerne im Norton Forum ein Posting mit dazu schreiben das die Situation zwecks der demonstrierten Rootkits in FakeAV Software und Fakecodecs erst zu nehmen ist , ich hab bisher anhand der Antworten nicht gerade den Eindruck das man die Sache dort ernst nimmt das diese Rootkits sehr wohl in der Lage sind das Funktionieren von Norton 09 auf dem infizierten Test-PC zu unterbrechen.

http://community.norton.com/norton/board/m...thread.id=55753

[olli]

Wer möchte nicht einen schnellen, flotten PC
Ergebnis 12/40
Vtt
h??p://.registrycleanerpro.org

Avira blockt die Seite sofort.

Bis denne
Olli

[Solution-Design]

Avira blockt die Seite sofort.

Ja, aber eher wohl auf die folgende Art und Weise:

[olli]

Ja, aber eher wohl auf die folgende Art und Weise:

Yep, genau so.

Bis denne
Olli

[cruchot]

Ja, aber eher wohl auf die folgende Art und Weise:

Was übrigens nicht gemeldet wird, wenn der Browser (IE, FF) in Sandboxie läuft!!?
Läuft der Browser außerhalb der Sandbox, dann bekomm ich auch die von dir gepostete Meldung.

[markusg]

jep kann ich bestätigen.

[cruchot]

Hier eine erste Lösung:

http://forum.emsisoft.com/default.aspx?g=posts&t=5439

[olli]

Wir sind immer noch beim regestrycleanderpro:

KIS meldet nix. Bei virscan.org melden 7 von 38 Scanner was:

http://www.virscan.org/report/af57eff6bf2c...88b8e8a06e.html

Bis denne
Olli

[Voyager]

Hmm , Gdata hat bei ihrer Lösung auch nicht daran gedacht Spamversand im Hintergrund zu erkennen und zu unterbinden

http://www.virustotal.com/de/analisis/61c0...032c-1245022468


http://www.abload.de/img/1olza.jpg

[markus17]

Kam das Ding per Mail? Wenn ja, würde es mich interessieren, ob das Outbreakeshield das Ding geblockt hätte.

Der Beitrag wurde von markus17 bearbeitet: 15.06.2009, 15:09

[Voyager]

Hier ist eins dieser Rootkits , welches die AVs alle übersehen beim Anklicken von Fakecodecs ect. Mit Gmer www.gmer.net lässt sich das Rootkit leicht ausschalten und wird dann sichtbar.

Sys-Treiber
http://www.virustotal.com/de/analisis/f09e...b734-1245111056

DLL 1
http://www.virustotal.com/de/analisis/543b...2525-1245111133

DLL 2
http://www.virustotal.com/de/analisis/350b...b443-1245111324

[Voyager]

http://www.virustotal.com/de/analisis/ae27...3208-1245467262

Hier haben wir ein Objekt was versucht im Internet Schadcode nachzuladen mittels Codeinjection in die Datei SVCHOST.EXE , danach löscht sich der Downloader selbst.

Der Nachladeversuch wird über die Norton IPS abgewehrt , der PC wurde nicht infiziert. LogAuszug.
20.06.2009 04:55,Hoch,"Ein Eindringversuch von B-F3E7685D2F934 wurde blockiert.
Anwendungspfad <path>\DEVICE\HARDDISKVOLUME1\WINDOWS\SYSTEM32\SVCHOST.EXE</path>.",Blockiert,Keine Aktion erforderlich,
HTTP Nukesploit P4ck Activity
78.109.29.116/new/controller.php?action=bot&entity_list=&uid=1&first=1&guid=3102159212&rnd=981633

Bei Gdata kann das Objekt 3 Dateien nachladen, 2 davon werden als Virus erkannt , das dritte Objekt läuft weiter auf dem PC siehe VT-Link. LogAuszug.
Beim Öffnen der Datei "C:\WINDOWS\Temp\abcdefg.bat" wurde der Virus "Trojan.Spy.Agent.NVX (Engine A)" entdeckt. Zugriff verweigert.
Beim Öffnen der Datei "C:\WINDOWS\Temp\wpv741245059200.exe" wurde der Virus "Win32.Worm.Koobface.QT (Engine A)" entdeckt. Zugriff verweigert.
nichterkanntes Objekt http://www.virustotal.com/de/analisis/0905...5068-1245468125

Hier könnte man noch weitere Beispiele nennen wo ein IDS/IPS eine Schutzwirkung erreicht die nie in öffentlichen Tests auftaucht und meiner Meinung das Bild verzerrt wenn man nur auf signaturbasierende On Demand Erkennnungen schaut.
Vorgestern standen bei Malwaredomainlist.com eine ganze Reihe von Adressen wo über Exploits versucht wird Schadecode nachzuladen , darunter fanden wir folgende blockierte IPS Erkennungen
HTTP Adobe SWF Remote Code Exec
HTTP MS Unsafe ActiveX Obj Instantiation
HTTP MSIE Malformed XML BO
HTTP SnapShot Viewer ActiveX File Download
HTTP Microsoft IE Generic Heap Spray BO
Da war noch mehr aber das Log hat nur eine bestimmte Größe .
Das was nicht über blockierte Exploits nachgeladen wird müsste rein theoretisch auch nicht weiter vom AV erkannt werden.

[Gast_blueX_*]

Woher stammt die Datei?

[Voyager]

Autsch , Ad und Spyware scheint offenbar schon solange ausser Mode zu sein das keiner der AVs mehr sich verpflichtet fühlt das Zeug mit zu erkennen

http://www.virustotal.com/de/analisis/d8a8...f8e0-1245703293


http://www.abload.de/img/aufzeichnen100p.jpg

[Gast_blueX_*]

Autsch , Ad und Spyware scheint offenbar schon solange ausser Mode zu sein das keiner der AVs mehr sich verpflichtet fühlt das Zeug mit zu erkennen
....

Dazu sagen aber 2 von 2 Virenlabore, dass dies nichts sei.