Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Solution-Design]

Blinde gibt es unter den Großen immer wieder: http://www.virustotal.com/de/analisis/0b3b...6b51-1256033500

[toby]

Blinde gibt es unter den Großen immer wieder:

Das ist schon klar und auch verständlich.
Allerdings sind die Ergebnisse der von mir "aufgegabelten" Malware der letzten Tage verheerend.

Heute "gefunden":

Richtig garstiges Ding! Von McAfee wurde lediglich eine Veränderung der Registry festgestellt.

Datei 0.6895295373738984.exe empfangen 2009.10.20 10:44:03 (UTC)
Ergebnis: 5/41 (12.2%)


http://www.virustotal.com/de/analisis/2f23...aa24-1256035443


Wo wir doch schon mal dabei sind:


Datei 0.17841633371007382.exe empfangen 2009.10.20 10:52:38 (UTC)

Ergebnis: 6/41 (14.64%

http://www.virustotal.com/de/analisis/b353...0453-1256035958



Datei flash-HQ-plugin.40013.exe empfangen 2009.10.20 11:48:46 (UTC)

Ergebnis: 4/40 (10%)

http://www.virustotal.com/de/analisis/f7e4...1e0c-1256039326

Der Beitrag wurde von toby bearbeitet: 20.10.2009, 12:52

[false positive]

Hey toby !

Kannst du mir die "aufgegabelten" Malware der letzten Tage senden?

Möchte sie auch mal mit AVG und Malwarebytes testen.

gruss
false positive

[toby]

Sooo,

die Erkennung der o.g. Malware nach rd. 18 Stunden:

Datei 0.6895295373738984.exe empfangen 2009.10.21 07:09:14 (UTC)
Ergebnis: 16/41 (39.03%)

http://www.virustotal.com/de/analisis/2f23...aa24-1256108954


Datei 0.17841633371007382.exe empfangen 2009.10.21 07:13:28 (UTC)
Ergebnis: 6/41 (14.64%)

http://www.virustotal.com/de/analisis/b353...0453-1256109208


Datei flash-HQ-plugin.40013.exe empfangen 2009.10.21 07:13:55 (UTC)
Ergebnis: 11/41 (26.83%)

http://www.virustotal.com/de/analisis/f7e4...1e0c-1256109235


Da VT-Ergebnisse und Erkennung in der Praxis durchaus voneinander abweichen, habe ich die Samples mal in der VM mit installierter McAfee IS 2009 getestet.
Das Ergebnis hatte ich so nicht erwartet: Alle 3 Samples konnten gestartet werden. Bei der 0.6895295373738984.exe wurde eine Änderung der Registry angefragt. Bei "Zulassen" war McAfee nach einem Reboot tot, Das Internet war abgeklemmt und die in 60 Sec. runterfahren Geschichte beginnt.
Die beiden anderen Samples wurden ohne Gegenwehr installiert.
Bzgl. dem Flash-Plugin wurde im McAfee-Protokoll die Erstellung von a.exe und b.exe mit "Zulassen" protokolliert. Nach dem Reboot war ich stolzer Besitzer eines BHO, sowie einer b.exe im Autostart.

toby


Nachtrag:
Lt. Spyware Doctor wurde von McAfee nach vollständigem Scan (von McAfee) folgendes hinterlassen:

 MC.jpg ( 52.25KB ) Anzahl der Downloads: 23



Dieses Ergebnis sagt sicherlich nichts über die Qualität von McAfee, Spyware Doctor o.A. aus.
Bescheinigt mir allerdings mal wieder, dass Signaturerkennung nicht ausreichend und eine Heurestik ohne Brain.exe ebenfalls keine ausreichende Sicherheit bietet.

Der Beitrag wurde von toby bearbeitet: 21.10.2009, 11:16

[Julian]

Ist doch immer wieder lustig, was einem Rougeware so alles erzählt :
 rouge.png ( 19.89KB ) Anzahl der Downloads: 16
 rouge2.png ( 24.01KB ) Anzahl der Downloads: 22


Das ist der hier:
https://www.virustotal.com/de/analisis/ede8...974c-1256637040
 rouge3.png ( 114.66KB ) Anzahl der Downloads: 17


Und dann gibts noch den:
 rouge4.png ( 39.46KB ) Anzahl der Downloads: 21

Der ist leider ziemlich humorlos.
https://www.virustotal.com/de/analisis/8608...f6c7-1256636498

Edit: Obwohl...


Der Beitrag wurde von Julian bearbeitet: 27.10.2009, 11:00

[Gast_Aymibien_*]

man hat sich ja richtige mühe gegeben mit der übersetzung, ihr komputer wird miut irren äh virren infiziert , sekretariat, äh sekurität...oh mann

[Solution-Design]

So ungewöhnlich ist die verwendete Sprache ja nun mal nicht. In öffentlichen Verkehrsmitteln hört man nichts anderes

[Gast_Aymibien_*]

So ungewöhnlich ist die verwendete Sprache ja nun mal nicht. In öffentlichen Verkehrsmitteln hört man nichts anderes

haage jemand zehaage ??!

[Gast_Aymibien_*]

klappen wenigstens die updates bei diesem tollen antivirrenprogramm...

[markus17]

PDF Exploit!
hxxp://newsoff.net/1/pdf.php (Vorsicht!)

http://www.virustotal.com/analisis/3886acc...bb73-1257605113

[Gast_Nightwatch_*]

@markus17

Kann glücklicherweise auch umgangen werden, wenn im Reader JavaScript ausgeschaltet ist:



Gruß,
Nightwatch

[Solution-Design]

Passiert da bei dem PDF auch was? Sehe keinen Traffic.

[markus17]

Ich weiß leider nicht genau, was es macht und ich hab's auch noch nicht ausprobiert. Also wenn wer testen will, gerne.

[Solution-Design]

Deshalb frage ich. Habe es gestartet.

[rolarocka]

Der Traffic wird mit dem Network Shield in avast! 5 geblockt:
[attachment=5423:2009_11_07_184618.jpg]

Macht man den Network Shield aus kommt der Web Shield und es sieht so aus:
[attachment=5424:2009_11_07_184908.jpg]



Der Beitrag wurde von rolarocka bearbeitet: 07.11.2009, 18:54

[markus17]

Facebookspam:
hxxp://chromecoat.dk/286/ (VORSICHT!)

Als Flashplayer wird einem das hier untergejublet:
http://www.virustotal.com/analisis/02c55ad...c46b-1257789029
Bei dem File passiert in der VM überhaupt nichts. Eventuell ist es defekt, da man kurz drwatsn von Windows im Taskmanager aufblitzen sieht.

Dafür erkennt G Data die Website als:
Virus: JS:FakeCodec-G [Trj] (Engine B)

Beim Schließen der Website kommt man dann noch auf eine FakeAV Seite:
http://www.virustotal.com/analisis/02c55ad...c46b-1257789029
Selbst die Website, wo man den FakeAV downloaden kann, wird von fast keinem erkannt (Avast blockt die normalerweise recht zuverlässig):
http://www.virustotal.com/analisis/7b165ab...98b0-1257789293

Den Download vom FakeAV erkennt G Data nicht, jedoch wird die nachgeladene Datei durch den Verhaltensblocker unschädlich gemacht.

Der Beitrag wurde von markus17 bearbeitet: 09.11.2009, 19:02

[Gast_Xeon_*]

So Leute, da die Malware von markus17 nur von wenigen Scanner per Signatur erkannt wird, könnte man mal ein paar HIPS Funktionen testen.

[Voyager]

Norton sperrt die Seite , HTTP W32 Koobface File Download.

[Julian]

Norton sperrt die Seite

Avast auch

[Kenshiro]

nod ist blind