Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[markus17]

Hab noch einmal den aktuellen Patch aufgespielt und nachgetestet. Da ich mir allerdings aus versehen die aktuellen Signaturen (wird mittlerweile erkannt) in mein VM-Image eingespielt habe, musste ich noch einmal die letzte Built von mitte März/April verwenden und Updaten.

Es zeigt sich aber wieder das selbe Bild. Das Sample startet, der Wächter meldet sich kurz und dann geht das Spiel los. Wächter, BB und Webfilter melden sich immer wieder. Irgendwann beruhigt sich das ganze und ich habe mal neugestartet. Nach dem Neustart bleiben einige svchosty.exe hinten (laufen aktiv im Taskmanager). Diese Dinger laden immer wieder was ausm Netz nach. Hier meldet sich wiederum der BB und löscht einiges, bis noch 7-8 von diesen Teilen zurückbleiben. Ein erneuter Neustart bringt dann nichts neues mehr. Keine Meldungen, nichts.

Hier versagt G Data leider immer noch... es befinden sich aber 14 Files in der Quarantäne. xD

Ich werde jetzt mal die Reinigungsfunktion testen ... soll ja auch verbessert worden sein.

*edit*

Willst nichtmal langsam wechseln Markus tongue.gif

Das habe ich ja ganz überlesen -> Aber nein, ich bleibe bei G Data! :p Immerhin bin ich rundum zufrieden und normalerweise muss G Data bei mir nicht anschlagen, zumindest nicht am Produktivsystem. xD

Der Beitrag wurde von markus17 bearbeitet: 04.05.2010, 19:57

[markusg]

mach mal nen rootkit scan mit gmer

[markus17]

Nach einem manuellen Scan findet G Data einige Dateien (diverse Ableger von Rootkits usw.), kann allerdings nicht alle laufenden Prozesse beseitigen. Ein Scan mit GMER belegt ebenfalls, dass da noch etwas vorhanden ist. Nach so einem Schädling sollte man 100%ig neu aufsetzen. Was da alleine versucht wurde nachzuladen ...

Wie bereits gesagt, die exe wird seit ich zu Hause bin vom Wächter erkannt. Gestern war das noch nicht der Fall.

Der Beitrag wurde von markus17 bearbeitet: 04.05.2010, 20:27

[markusg]

ja das teil ist echt nett. vor allemwenn mans ne weile laufen lässt hatt man nen schönen porno sound in den boxen.

[Solution-Design]

Mich wundert, wie gut AntiBot da doch noch abschneidet, auch wenn es eine Infektion des PCs nicht wirklich stoppen kann. a-squared 5 ß will da nicht so recht. Nach Ausführen kommt es zum Reboot des PCs und dann geht die Post ab.

[Voyager]

@markus17

Es zeigt sich aber wieder das selbe Bild.

Wo ist denn da jetzt die angekündigte Verbesserung ?

[markus17]

Keine Ahnung. ^^ Aber ich weiß auch nicht was verbessert bzw. optimiert wurde. Entweder die Verbesserungen machen sich bei diesem Sample nicht bemerkbar oder es wurde einfach nur an Fehlalarmen oder sonstigem gewerkelt.

[markusg]

naja norton hat ja auch noch das tdss zurückgelassen also war das ja auch nicht sonderlich erfolgreich :-)
morgen mal mit avira proactiv testen

[Solution-Design]

Habe das Gefühl, dass bisher sämtliche BehaviorBlocker an dieser Datei verzeifeln. Erkennen tut es zwar jetzt wohl jeder Scanner, aber wenn das AV abgeschaltet wird, dann gibt es Klump.

[markus17]

Also wenn ich mir die Testversion von NAV 2010 hole und ohne Updates teste, dann blockt Sonar die gbc43...exe nicht, sondern nur diverse Ableger der Datei. Mit aktuellen Updates wird die Datei mittlerweile über die Signatur erkannt. (war bei G Data na nach einem halben Tag auch so). Steht bei der Erkennung des Malwarefiles etwas genaueres dabei, wieso das Ding geblockt wurde?

[Voyager]

Also wenn ich mir die Testversion von NAV 2010 hole und ohne Updates teste, dann blockt Sonar die gbc43...exe nicht

Es reicht ja aus wenn das Objekt noch am selben Tag noch in derselben Stunde des Erscheinens von Sonar mit dem derzeitigen Regelsatz geblockt wurde und genau das passierte ja auch.

[Julian]

naja norton hat ja auch noch das tdss zurückgelassen also war das ja auch nicht sonderlich erfolgreich :-)

Könntest du das bitte präzisieren?
Ist TDSS weiterhin aktiv?

Auf Windows x64 kann das z.B. gar nicht sein. Hier hat Sonar also alles wie es soll geblockt?

Edit: Wow, so viel hat noch kein Sample bei mir in Sandboxie gedropt und nachgeladen.
Selbst mit eingeschränkten Rechten ist das Teil ziemlich hyperaktiv.

Der Beitrag wurde von Julian bearbeitet: 05.05.2010, 20:43

[Voyager]

naja norton hat ja auch noch das tdss zurückgelassen also war das ja auch nicht sonderlich erfolgreich :-)

Nur das Antibot, nicht das Sonar.

[Solution-Design]

Habe mit http://www.rokop-security.de/index.php?s=&...st&p=307405 jetzt einige Behaviorblocker ausprobiert, jeweils unter XP. Bisher haben alle versagt. Hatt das mal einer mit HIPSen ausprobiert? Denn, wenn ich solch funktionelle Malware sehe, da kann einem schon übel werden.

[Rios]

Will sich das jemand mal in der VM ansehen? es stellt sich natürlich die Frage Fehlalarm oder nicht.
Die Web Reputationen haben bei dieser Seite nichts zu beanstanden.

h??p://files.uberdownloads.com/unrar.html

Virustotal: 1/41
http://www.virustotal.com/de/analisis/667e...06d6-1273173677

[markus17]

Ich habe noch einmal so ein ähnliches Sample, wo wieder alles mögliche nachgeladen wird:
hxxp://www.multiupload.com/C56OV8MOKK (VORSICHT!)
http://www.virustotal.com/de/analisis/b383...03ab-1273335654 (16/41)

Dieses Mal macht der Wächter die Datei natürlich unschädlich.

[ABE]

Will sich das jemand mal in der VM ansehen? es stellt sich natürlich die Frage Fehlalarm oder nicht.
Die Web Reputationen haben bei dieser Seite nichts zu beanstanden.

Ganz koscher ist das Ding nicht... Der Download wird über ein Programm InstallQ durchgeführt, was auf meiner VM mit einer Fehlermeldung abgebrochen wird.

Dann passiert erstmal nichts, aber meine Meinung ist da reicht geteilt...

[markus17]

Will sich das jemand mal in der VM ansehen? es stellt sich natürlich die Frage Fehlalarm oder nicht.
Die Web Reputationen haben bei dieser Seite nichts zu beanstanden.

h??p://files.uberdownloads.com/unrar.html

Virustotal: 1/41
http://www.virustotal.com/de/analisis/667e...06d6-1273173677

Also der BB von G Data schreit gleich beim Starten der Datei. Wieso sie gemeldet wird, steht allerdings nicht im Log.

[Voyager]

@Rios

Das sieht nach Dreck aus, ein 7zip Downloader der aber eine Menge Adware und Dreck mitinstalliert... zumal man 7zip jederzeit kostenlos haben kann

http://www.abload.de/img/aufzeichnenc0nf.jpg

[Voyager]

@markus17

Die Datei hast du wohl schon vor dem Post bei Gdata eingesandt ?