Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_blueX_*]

Wenn man sich die Samples anschaut, die bei der Malwaredomainlist gelistet sind, könnte einen Angst werden:
http://www.virustotal.com/de/analisis/f578...50a8-1262810293

[Gast_Solaris_*]

Wenn man sich die Samples anschaut, die bei der Malwaredomainlist gelistet sind, könnte einen Angst werden:

Ja, das ist leider recht häufig so. Schaue jeden Tag dort vorbei und sammle ein paar Samples auf.
Seitdem habe ich ein ganz anderes Gefühl für Erkennungsraten bekommen. Ich frage mich immer, woher diese ganzen 99%-Zahlen eigentlich stammen. Wenn ich meine Sammlung der letzten Tage scannen würde, käme kein Programm auf mehr als 20%

And so on....

Gruß,
Solaris

[Gast_blueX_*]

Sendest du denn die Dateien dann ein?

[Varock]

Sonst hätte er ja keine 20% mehr. xD

[Gast_Solaris_*]

Sendest du denn die Dateien dann ein?

Ja, aber nicht gleich. Meistens alle 3-4 Tage. Vorher teste ich ein wenig. Es gibt so viele neue Samples pro Tag, da wird eh nur nach Priorität eingepflegt.
Im letzten Monat bekam ich z.B. eine Antwort von Kaspersky, dass sie etwa 70 Samples von über 100, die ich eingeschickt hatte, nicht (oder erst irgendwann später) in die Datenbank aufnehmen werden. Oftmals hat man auch das Gefühl, dass das Senden von solchen Mengen nicht gerade gern gesehen wird. Besonders bei regelmäßigem Einschicken. Die haben alle genug Mengen pro Tag durch Honeypots, VT, anderen Vendors, eigenem Research, Testsets etc.

Gruß,
Solaris

[Voyager]

Die Verbreitung von dem Großteil der Samples auf MDL oder MBAM ect. ist immer recht gering , unter 10 Benutzer manchmal auch unter 100 Benutzer im großen Norton Netzwerk , vll. pflegen die das deshalb nicht ein.

Persönlich bin ich der Meinung sobald ein Virus beim Hersteller bekannt ist hat der die Verpflichtung auch diese 10 oder 100 Kunden zu schützen, das mit den Prioritäten halte ich für reine Ausreden.

Der Beitrag wurde von Voyager bearbeitet: 07.01.2010, 09:43

[Gast_Solaris_*]

Persönlich bin ich der Meinung sobald ein Virus beim Hersteller bekannt ist hat der die Verpflichtung auch diese 10 oder 100 Kunden zu schützen, das mit den Prioritäten halte ich für reine Ausreden.

Das sehe ich im Prinzip ganz genauso. Nur wenn ich immer aus den Labs lese, dass sie dort 20-30.000 neue Samples pro Tag erhalten, ist es schier unmöglich diese Menge unter Qualitätskontrolle (also ohne FP-Gefahren etc.) einzupflegen. Also bleibt ne Menge liegen, die am nächsten Tag natürlich noch größer wird.
Glaube, ohne Prioritätensetzung und Verbreitungsanalysen (wie Du schon sagtest), geht es einfach nicht mehr.

Gruß,
Solaris

Der Beitrag wurde von Solaris bearbeitet: 07.01.2010, 11:33

[Voyager]

Das ist nee Frage von Manpower... in der Analyse gibts zu wenig Leute und mehr einstellen ist wahrscheinlich nicht wirtschaftlich.

Back to Topic

Verfassungsrechtlich bedenkliche Malware !

"wermacht.net/13/l.exe"

http://www.virustotal.com/de/analisis/b698...b348-1262869959

Der Beitrag wurde von Voyager bearbeitet: 07.01.2010, 14:16

[maxos]

Poste das mal hier, weil wo soll es hin ?

Habe heute von einer Bekannten eine mail mit folgender Warnung erhalten:

"In den kommenden Tagen solltest Du aufmerksam sein und keine eMail öffnen
mit dem Betreff oder Anhang: Einladung, unabhängig davon wer sie Dir
geschickt hat. Es handelt sich um ein Virus, das eine Olympia-Fackel öffnet,
die die gesamte PC-Festplatte zerstört. Dieses Virus kann Dir von einem
Bekannten gesendet werden, in dessen Adressbuch Du stehst. Darum solltest Du
diese Information an alle Deine Kontakt-Adressen weiterleiten. Diese
Nachricht eventuell 25 Mal zu bekommen, sollte man bevorzugen, anstatt
einmal eine solche Virus-eMail zu erhalten und sie zu öffnen. Wenn dennoch
eine eMail mit dem Betreff Einladung bei Dir eintreffen sollte und sei es
von einem Freund -, öffne sie nicht und schalte Deinen Computer sofort aus!
Es handelt sich um das gefährlichste Virus, das je durch CNN angekündigt
wurde. Dieses neue Virus ist gerade - gestern Nachmittag - durch Mc Afee
entdeckt worden und von Microsoft als das zerstörerischste, das es je
gegeben hat, eingestuft worden. Noch gibt es keine Möglichkeit, diese
Virusart zu eliminieren. Sie zerstört einfach die Zone Zero (Zentrum) der
Festplatte, wo die lebenswichtigen Informationen abgespeichert sind. Schick
bitte diese eMail an alle, die Du kennst!"

Sie wies darauf hin, dass in ihrer Firma vom Systemadmin die Warnung verschickt wurde.


Ist das nun eine der üblichen "Scherzrundmails" die man möglichst oft verbreiten soll u. die von unbedarften dann emsig weitergeleitet werden od. ist da wirklich was im Anmarsch?

Kurz mal Suchmaschine angeworfen u. dabei nur einen thread aus 2005 !!! entdeckt.
http://forum.chip.de/viren-trojaner-wuerme...kel-813089.html

Also alter Hund oder nicht ?

Edit:

Ok, ist nur ein Hoax der in Österreich scheinbar wieder neu aufgewärmt wurde, soweit ich das nun eruieren konnte, also forget it

http://www.medienconsulting.at/vap/2/Nw/p5...pia-fackel.html

Der Beitrag wurde von maxos bearbeitet: 07.01.2010, 18:09

[raman]

Hoax-info.de ist immer eine gute Adresse fuer sowas...
http://hoax-info.tubit.tu-berlin.de/hoax/vcard.shtml

Ich wuerde mir gerne die Rechner der Firma ansehen, die dieser "Systemadmin" verwaltet....

[Solution-Design]

Ist das nun eine der üblichen "Scherzrundmails" die man möglichst oft verbreiten soll u. die von unbedarften dann emsig weitergeleitet werden od. ist da wirklich was im Anmarsch?

Date: Mon, 03 Jul 2000 23:32:43 +0200
From: Christian Lücker <Chris.Luecker(at)gmx.de>

KETTENBRIEFE

Hallo, mein Name ist Christian. Ich leide unter einigen sehr seltenen und natürlich tödlichen Krankheiten:

schlechte Klausur- und Examensergebnisse, extreme Jungfräulichkeit und Angst davor, entführt und durch einen rektalen Starkstromschock exekutiert zu werden, weil ich circa 50 Milliarden beschissene Kettenbriefe nicht weitergeleitet habe.

Kettenbriefe von Leutchen, die tatsächlich glauben, dass wenn man diese Briefe weiterleitet, dieses arme kleine Mädchen in Arkansas, das mit einer Brust auf der Stirn geboren wurde, genug Geld für den rettenden OP zusammenbekommt, gerade noch rechtzeitig, bevor die Eltern es an die "Freak Show" verkaufen.

Glaubst Du wirklich, dass Bill Gates Dir und jedem, der "seine" Mail weiterleitet 100 Dollar geben wird? Recht hast Du, das glaube ich nämlich auch...

Um es auf den Punkt zu bringen. Diese Mail ist ein großes FUCK YOU an all die Leutchen da draußen, die nichts Besseres zu tun haben. Vielleicht wird sich der böse Kettenbriefkobold in meine Wohnung schleichen und mich sodomieren während ich schlafe. Sodomieren, weil ich diese Kette unterbrochen habe, die im Jahre 5 begonnen hat, von irgendeinem dem Kerker entronnenen Kreuzritter nach Europa gebracht wurde, und die, wenn sie es ins Jahr 2800 schafft, einen Guinness-Buch Eintrag erhält.

Und hier die drei beliebtesten Typen:

KETTENBRIEF TYP 1:

Hallo.

scroll weiter nach unten

Wünsch Dir was.

scroll weiter nach unten

Nein, das nicht.

scroll weiter nach unten

Nein, das auch nicht - Du kleines Schwein

scroll weiter nach unten

scroll weiter nach unten

scroll weiter nach unten etc. Hahaha

Erst einmal, wenn Du diesen Brief nicht in den nächsten 5 Sekunden an 5096 Leute schickst, wirst Du von einer einbeinigen lesbischen Leichtmatrosin vergewaltigt und von einem Hochhaus in ein 1m breites Güllefass gestoßen.

Und das ist wahr! Weil, DIESER Brief hier ist nicht wie all die anderen.

DIESER hier ist WAHR!!

KETTENBRIEF TYP 2:

Hallo, und danke, dass Du Dir die Zeit nimmst, diesen Kettenbrief zu lesen. Es gibt da einen kleinen Jungen in Baklaliviatatlaglooshen, der keine Arme, keine Eltern, keine Eingeweide und zwei Ohren hat. Das Leben dieses armen Kindes könnte gerettet werden, weil jedes Mal, wenn diese Mail hier weitergeleitet wird, von AOL eine Deutsche Mark auf das Kleine hungernde, arm-, bein-, eingeweide-, elternlose, "Doppelohren-Jungen aus Baklaliviatatlaglooshen Spendenkonto" überwiesen wird.

Automatisch! Uneigennützig!

Ach ja, und vergiss nicht, wir haben absolut keine Mittel und Wege die versandten Emails zu zählen, selbst mit NSA und BND Unterstützung, und das hier alles ist ein großer Hirnfick.

Also, mach weiter! Sende dieses Mail zu 5 Personen innerhalb der nächsten 47 Sekunden.

KETTENBRIEF TYP 3:

Halloechen da draußen!
Dieser Kettenbrief existiert seit 1897. Das ist absolut unglaublich, weil es damals noch gar keine Emails gab. Und so funktioniert es: Schicke ihn innerhalb der nächsten 7 Minuten an 15,067 Leute weiter, von denen Du denkst, sie könnten ihn gebrauchen, sonst...:

*Bizarres Horror-Szenario Nr. 1*
*Noch bizarreres Horror-Szenario Nr. 2*
*Seeehr bizarres Horror Szenario Nr. 3*

=

War das verständlich? Wenn Du Kettenbriefe bekommst, die Dir androhen, ungepoppt und glücklos zu bleiben, lösche sie. Wenn sie wenigstens lustig sind, schick sie weiter an Leute, von denen Du denkst, sie teilen Deinen Humor.

Fick nicht anderen Leuten virtuell ins Knie, indem Du ihnen ein schlechtes Gewissen wegen eines Leprakranken in Botswana machst, der noch dazu keine Zähne hat und seit 27 Jahren auf dem Rücken eines toten Elefanten festgebunden ist und dessen einzige Chance jedes weitergeleitete Mail ist, weil andernfalls eine Mondrakete in Deinen Vorgarten stürzt.
Danke... ;-)

P.S. Leite dieses hier weiter und Lady Di und Tupac kommen zurück...
Gruß an alle Leser!

Der Beitrag wurde von Solution-Design bearbeitet: 07.01.2010, 18:38

[Gast_blueX_*]

Ja, aber nicht gleich. Meistens alle 3-4 Tage. Vorher teste ich ein wenig. Es gibt so viele neue Samples pro Tag, da wird eh nur nach Priorität eingepflegt.
Im letzten Monat bekam ich z.B. eine Antwort von Kaspersky, dass sie etwa 70 Samples von über 100, die ich eingeschickt hatte, nicht (oder erst irgendwann später) in die Datenbank aufnehmen werden. Oftmals hat man auch das Gefühl, dass das Senden von solchen Mengen nicht gerade gern gesehen wird. Besonders bei regelmäßigem Einschicken. Die haben alle genug Mengen pro Tag durch Honeypots, VT, anderen Vendors, eigenem Research, Testsets etc.

Bei größeren Mengen teile ich deine Erfahrung. Wenn man etwas Druck macht, werden die Samples aber schon noch eingepflegt.
Allerdings gibt es auch AV's, die sehen sich wirklich jedes Sample aus der Collection an und pflegen es sofort ein.

Am besten ist es natürlich wenn man höchstens 5 Files einsendet. Da wird eigentlich alles eingepflegt.

[xri12]

41% Erkennungsrate Oo

http://www.virustotal.com/de/analisis/37c5...169b-1263159821

Ist eine Fake-Flashplayerinstallation und die Typen haben sich anscheinend Mühe gegeben und die Tube8-Seite nachgebaut
Vorsicht hier der Link zur Seite: hxxp://akqh.com/Naked_Woman_Caught_By_Satellite?t=4102535

Achja eingeschickt hab ich sie an alle, die in der Mailliste hier im Forum stehen.

Der Beitrag wurde von xri12 bearbeitet: 10.01.2010, 23:19

[Solution-Design]

Kaspersky, Symantec, NOD32

[Voyager]

Symantec ist im Rennen obwohl Insight wieder eine grüne False Positive Meldung anzeigt (Download ist sicher) . Am Sonar kommts dann trotzdem nicht vorbei.


http://www.abload.de/img/2eded.jpg

Norton Antibot bemängelt selbst nix aber das wird durch die Malware installiert , Objekt von Hand in die Quarantäne geschoben.


http://www.abload.de/img/2_1d02u.jpg

Der Beitrag wurde von Voyager bearbeitet: 11.01.2010, 09:24

[xri12]

Wird da sicher nur die eine dll erstellt?
Wenn ich mit dem Sysinternals Process-Tool mir das anschaue erstellt der 10 oder 20 Dateien im System32-Ordner; wobei ich mich mit dem Tool auch nicht ganz so gut auskenne
Vll kann sich das jemand anschauen^^

[Voyager]

Wird da sicher nur die eine dll erstellt?

Ja laut NAB wird die oNER2010.dll über den Autorun gestartet mit der Bezeichnung systemxtemper , was auch immer sich die Virenschreiber da fürn Quatsch ausdenken. Möglicherweise habe ich auch zu schnell das Risikos manuell in die Quarantäne verfrachtet um dann hinterher die Einzelheiten im NAB sehen zu können .

[xri12]

Naja ist ja auch egal, trotz nicht Erkennung von Symantec wäre ich auf der sicheren Seite durch Sonar gewesen^^

[Gast_Solaris_*]

Naja ist ja auch egal, trotz nicht Erkennung von Symantec wäre ich auf der sicheren Seite durch Sonar gewesen^^

Ist das nun eine File Insight-Warnung, oder eine Sonar-Warnung? Oder ist das beides das gleiche Programm-Modul?
Mich erschreckt immer die Schlussfolgerung: Few Users / High Risk.

So arbeitet Prevx auch und ich denke, dass Norton einfach die bessere und umfangreichere Whitelist hat. Ansonsten ist das, wenn meine Vermutung richtig liegt, nicht ungefährlich.

Gruß,
Solaris

[Voyager]

Ist das nun eine File Insight-Warnung, oder eine Sonar-Warnung? Oder ist das beides das gleiche Programm-Modul?

Es gibt kein Fenster wo Sonar drüber steht , es ist eher eine Kombination .

Mich erschreckt immer die Schlussfolgerung: Few Users / High Risk.

Die Risikobewertung hängt nicht von der Benutzeranzahl der Datei ab sondern vom Verhalten, hier wurde das Verhalten bewertet und eingestuft , siehe die rote Schrift.