Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

http://www.rokop-security.de/index.php?s=&...st&p=278760

5 Tage hat's gedauert bis Norton den "Backdoor.Trojan" jetzt als Signatur hat.

http://www.virustotal.com/de/analisis/1607...6ae3-1246993091

[Kenshiro]

Lieber später wie nie citro

[Voyager]

@citro

Bei Rootkit Treiber Dateien die ich eingesandt hatte , die Rootkits die per Prozess Blacklist das Norton und andere sicherheitsrelevanten Programme ausser Kraft setzen , hat das Einpflegen bis zur Signatur 2 Wochen und 4 Wochen gedauert . In der Zwischenzeit füllt sich das Norton Community Forum mit Usern die Rootkitinfektionen haben und ihr Norton nimmer geht.

Es müssen sich einfach nur mehr Leute in dem Forum dort darüber beschweren und Ja das soll auch direkt ein Aufruf sein.

[Solution-Design]

Ich beschreibe es mal ein wenig mit Zynismus: Ich frag mich, wofür Symantec PulseUpdates eingeführt hat. Nutzerberuhigung? Oder um PC-Fachzeitschriften glänzen zu dürfen?

Wobei, wir wissen, dass es bei G-Data, emsi, Avira auch nicht besser aussieht. Obwohl gerade die beiden zuletztgenannten, trotz Abfall beim Marx-Test, bei eigenen Malwaretests immer ganz gut abschneiden.


/OT

[Voyager]

I think the problem here is that you are submitting too many samples of low quality. Now that might sound a bit strange, but if a person submits a lot of samples that don't end up being real in-the-wild malware, they may end up being labelled a collector and their submissions may receive a lower priority. Many of the files in your collection are clean, and analyzing clean files wastes a lot of time.

Soso , der verbleibende Rest hier sind also die Clean Files ?!


http://www.abload.de/img/aufzeichnensokk.jpg

Das verschlägt einem schon die Sprache , verarschen kann ich mich selbst . Also auf der Ebene könnte man maximal die Lust verlieren dort weiter Malware einzusenden.

Der Beitrag wurde von Voyager bearbeitet: 09.07.2009, 10:35

[Rios]

Nach dem Motto'' was erlauben Voyager!! wir sind hier die King's

[Solution-Design]

Würde es im Norton-Forum einen Bescherde-Button geben, ich würde daraufklicken. Bei Ikarus, respektive emsisoft gibt es derlei Diskussionen nicht. Die eingesandten Samples werden (insofern lauffähig) eingepfegt. Und das zeitnah.

[Voyager]

Schreibt es doch einfach mal ins Forum Feedback , ich hab die jetzt schon lange genug damit genervt und hab dem auch geantwortet wie ich das sehe.

Das Problem ist vorallem , Norton hat die größte Verbreitung , die können sich das doch garnicht leisten wenig verbreitete Risiken ganz weit hinten anzustellen auf low Priorität weil irgendwo erwischts einem Norton User der die Software in Timbuktu betreibt .

Der Beitrag wurde von Voyager bearbeitet: 09.07.2009, 13:17

[Rios]

Dieser Cleaner ist mir soeben aufgefallen.
h??p://www.cleanmalwarefree.com/download.php
Vtt

[Solution-Design]

15/40 http://www.virustotal.com/de/analisis/478c...eff5-1247167463 ist schon was schmalbrüstig für die AVer

[Rios]

na ja, er fragt wenigstens.

[olli]

Ja, aber was sagt dir das? KIS ist da keine große Hilfe...

Und vor allem muss man erstmal daran denken das Programm in der Sandbox zu starten. Also har man Zweifel an der Sicherheit eines Programms, man startet es in der Sandbox und was sagt KIS: Das Programm ist sicher oder auch nicht.

Bis denne
Olli

[Voyager]

KIS meckert ja ganz schön viel wegen einem AutoRun Eintrag ? Da kommt der Laie sicher kaum mit.

[Julian]

Ja, aber was sagt dir das? KIS ist da keine große Hilfe...

Man kann sich ja noch die Details anzeigen lassen. Dann sieht man genau, was das Programm in der Registry machen möchte.

Und vor allem muss man erstmal daran denken das Programm in der Sandbox zu starten. Also har man Zweifel an der Sicherheit eines Programms, man startet es in der Sandbox und was sagt KIS: Das Programm ist sicher oder auch nicht.

Brain muss für die Sandbox schon an sein. Natürlich muss man dann aufgrund der Meldungen des HIPSes oder anhand des Auftretens des eventuell verdächtigen Programmes schon selber entscheiden, ob es Malware ist oder nicht.

Edit: KIS meckert bei so etwas nur im interaktiven Modus. In diesem Fall wäre es aber nicht schlimm, wenn in der Sandbox das Verändern von irgendwelchen Registrykeys oder Dateien zugelassen würde, das echte System wäre ja nicht betroffen.

Der Beitrag wurde von Julian bearbeitet: 09.07.2009, 21:02

[olli]

Edit: KIS meckert bei so etwas nur im interaktiven Modus. In diesem Fall wäre es aber nicht schlimm, wenn in der Sandbox das Verändern von irgendwelchen Registrykeys oder Dateien zugelassen würde, das echte System wäre ja nicht betroffen.

Hi Julian,

wie würde sich KIS denn im Automatikmodus verhalten? Die Ausführung direkt verhindern?


Bis dann
Olli

Edit:
Ich kann es zur Zeit leider nicht nachvollziehen da ich KIS gerade nicht installiert habe (der Key liegt aber schon bereit ;-) ). Aber ich bevorzuge den Automatikmodus.


Der Beitrag wurde von olli bearbeitet: 09.07.2009, 21:14

[Rios]

So bin wieder da, bekam soeben das 738KB Update. Olli es soll User geben, die fahren nur noch im Safe- Run Modus.

[Gast_Aymibien_*]

So bin wieder da, bekam soeben das 738KB Update. Olli es soll User geben, die fahren nur noch im Safe- Run Modus.

das halte ich aber für übertrieben, wenn man kein high-risk-suicide-surfer ist

ich habe noch die sandboxie zusätzlich installiert, und nutze diese für evtl kritische dinge.

Der Beitrag wurde von Aymibien bearbeitet: 09.07.2009, 21:29

[Julian]

Hi Julian,

wie würde sich KIS denn im Automatikmodus verhalten? Die Ausführung direkt verhindern?

Wahrscheinlich nicht, sonst hätte Rios bestimmt die entsprechende Warnmeldung gepostet (Die übrigens auch im interaktiven Modus kommt).
Vielleicht wäre es aber noch sonst wie am Verhalten erkannt worden.

Wenn man ein 32 Bit OS hat, sollte man IMO lieber Sandboxie der KIS-Sandbox vorziehen. Es ist bei der Prozessabschirmung sicherer, ist bei der Funktionalität komfortabler und bei der Anwendungskompatibilität besser.

[Rios]

Hier versucht man mit einer angeblichen Nod Lizenz, User hinter's Licht zu führen.
h??p://nod32soft.info/de
3/41 Virustotal

[Voyager]

Das Objekt lässt sich nur installieren wenn man eine SMS oder sowas verschickt , scheint eine Art Trickbetrügerei zu sein.

ps. der VT Link scheint abgelaufen.