Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[markus17]

... vielleicht beobachten die mich. xD

Keine Ahnung. Die Datei wird bemängelt und es wird die Aktion "anhalten und in Quarantäne verschieben" angeboten. Schlussendlich beendet er den fraglichen Prozess, löscht den Installer aber nicht! Im Log steht dann unter verdächtige Aktionen nichts und bei "Dateien in Quarantäne geschoben" auch nichts. Wenn man jetzt lustig ist, dann kann man diesen Vorgang 100mal wiederholen. ^^

Der Beitrag wurde von markus17 bearbeitet: 08.05.2010, 21:11

[Voyager]

Ach der Drooper wird nicht erkannt ? Laut Virustotal aber schon.

[Till 88]

Ich habe noch einmal so ein ähnliches Sample, wo wieder alles mögliche nachgeladen wird:
hxxp://www.multiupload.com/C56OV8MOKK (VORSICHT!)
http://www.virustotal.com/de/analisis/b383...03ab-1273335654 (16/41)

Dieses Mal macht der Wächter die Datei natürlich unschädlich.

TrustPort fängt den Schädling gleich ab.

 TrustPort1.jpg ( 21.57KB ) Anzahl der Downloads: 29

[markus17]

Ach der Drooper wird nicht erkannt ? Laut Virustotal aber schon.

Ich sprach von der Datei von Rios:
http://www.virustotal.com/de/analisis/667e...06d6-1273173677
... und die wurde zum Testzeitpunkt noch nicht über eine Signatur erkannt. Das Kann sich jetzt natürlich geändert haben. Das von mir gepostete Sample wird sofort vom Wächter erkannt.

[Rios]

Hier auch einer aus DE. Vorsicht!!

Hier erst mal zur Info.
http://forum.malekal.com/www-ola-foto-kilu...php-t25493.html

[Till 88]

Hier auch einer aus DE. Vorsicht!!

TrustPorts DR.Web engine im Einsatz.

Angehängte Datei(en)

 TrustPort.jpg ( 44.48KB ) Anzahl der Downloads: 19

 

[markus17]

Kann es sein, dass V-Total down ist?
http://downforeveryoneorjustme.com/www.virustotal.com -> sagt auch, dass die Seite down ist.

*edit*
Hmm, geht wieder...

*edit2*
Was ich vergessen habe anzufügen:

Die Verhaltensüberwachung von G Data löscht das Teil von hxxp://ola-foto.kilu.de/images.php?=.

Der Beitrag wurde von markus17 bearbeitet: 09.05.2010, 14:41

[Rios]

Also es gibt schon eine Menge Mist im Web. Video
Also hier ist das Teil. Erst kommt die Fehlermeldung, dann verlangt man ein Update, das es in sich hat. Achtung, der Klick auf Update bedeutet!!

h??p://www.zeltweb.000a.de/hot.html Vorsicht!!

Norton zeigt mir daraufhin die gelbe Karte. ( Hier war bei mir Ende.)

Hier Vtt http://www.virustotal.com/de/analisis/59ac...8426-1273422262
Jotti's http://virusscan.jotti.org/de/scanresult/7...118d7b768f1708c

[Voyager]

Norton zeigt mir daraufhin die gelbe Karte. ( Hier war bei mir Ende.)

Eher die rote Karte.

http://www.abload.de/img/aufzeichnens1es.jpg

[Till 88]

Wieder ist es die engine von DR.Web die zum Einsatz kommt.

Angehängte Datei(en)

 TrustPort.jpg ( 45KB ) Anzahl der Downloads: 22

 

[Solution-Design]

Die Verhaltensüberwachung von G Data löscht das Teil von hxxp://ola-foto.kilu.de/images.php?=.

Verhaltensüberwachung? Ohne, dass die Datei ausgeführt wurde?

http://www.virustotal.com/de/analisis/3748...1465-1273435688

[markus17]

Zum Testzeitpunkt wurde die Datei noch nicht von Avast erkannt. Nächstes mal hänge ich wieder einen V-Total Link an, sry. Mittlerweile sind ein paar Stunden vergangen und da kann sich bei den signaturenbasierenden Erkennungen einiges ändern.

*edit*
Im Link von Rios findet man ein älteres Ergebnis:
http://www.virustotal.com/analisis/374875f...1465-1273394514
Als Beweis kann ich dir aber auch noch einmal die Datei mit alten Signaturen ausführen.

Der Beitrag wurde von markus17 bearbeitet: 09.05.2010, 21:21

[Solution-Design]

Zum Testzeitpunkt wurde die Datei noch nicht von Avast erkannt. Nächstes mal hänge ich wieder einen V-Total Link an, sry. Mittlerweile sind ein paar Stunden vergangen und da kann sich bei den signaturenbasierenden Erkennungen einiges ändern.
Als Beweis kann ich dir aber auch noch einmal die Datei mit alten Signaturen ausführen.

Es geht mir nicht ums Beweisen. Frage mich nur, wie die Verhaltensüberwachung (der Behaviorblocker?) funktioniert. Du hast die Datei nicht ausgeführt(?), G-Data enthält keine Sandbox (in welcher Malware heuristisch beackert wird), also was reagiert da wie? Mir geht es also ums Verstehen.

[markus17]

Ich habe die Datei ausgeführt und sie fängt an zu Arbeiten. G Data wird das irgendwie im Hintergrund mitloggen und wenn gewisse Verhaltensmuster aufgezeigt werden, dann blockiert der BB von G Data alle betroffenen Prozesse und fragt um die Löschung der Malware. Du kannst den BB von G Data mit z.B. Antibot vergleichen. Der Nachteil von dem ganzen ist natürlich, dass Malware erst einmal aktiv werden muss, bis sie erkannt und gelöscht wird. Je nach Sample kann das auch sofort nach dem Ausführen der Malware geschehen. (kannst du z.B. mit den "Zeus" Teilen testen)

Hier der Logeintrag:

*** Prozess ***

Prozess: 3860
Dateiname: image123.jpg.exe
Pfad: c:\documents and settings\ietest\desktop\09mai10\image123.jpg.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 05/09/10 21:03:12
Änderungsdatum: 05/09/10 13:32:00

Gestartet von: image123.jpg.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Die Programmdatei ist auf irreführende Art benannt um den Benutzer zu täuschen. (z.B. 'Bild.jpg.exe') (-> lol xD)
Der Header der Programmdatei enthält Fehler.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.
Das Programm wurde im Speicher modifiziert.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\documents and settings\ietest\desktop\09mai10\image123.jpg.exe
c:\windows\secfil.exe

Folgende Registry Einträge wurden gelöscht:

[Voyager]

Das Log sieht sehr interessant aus (hat wohl einer von NAB abgeschaut) , ist die Frage wurde denn alles erkannt oder etwas übersehen ?

ps. das NAB Knowhow liegt ja nun bei AVG , wenn die Geld brauchen wissen sie ja wem sie verklagen könn

Der Beitrag wurde von Voyager bearbeitet: 09.05.2010, 22:31

[markus17]

Leider läuft das Sample nicht in der Sandbox, sonst könnte ich es schnell nachprüfen. :-/ Das System macht aber einen sauberen Eindruck, auch nach einem Neustart.

[markus17]

Hier mal ein Downloader:
http://www.virustotal.com/de/analisis/b5cd...680e-1273517255

Der BB von G Data killt das Teil wieder (unter anderem auf Grund des verwendeten Packers). Lässt man es durch, dann passiert aber auch nicht viel... leider habe ich kein reales Testsystem... wäre schon manchmal interessant. Hat jemand eine Ahnung, was das Ding macht?

Anbei das File:
http://www.multiupload.com/BX482BXUEZ (pwd per pm oder raten )

[citro]

@markus17

Lade die Datei doch mal bei http://www.threatexpert.com/submit.aspx hoch

[Voyager]

@markus17

Hat jemand eine Ahnung, was das Ding macht?

die exe.exe schleusst Code in den Speicherbereich aller laufenden Prozesse ein

http://www.abload.de/img/aufzeichnenbclk.jpg

und gefährdet den Prozessspeicher dieser Prozesse

http://www.abload.de/img/aufzeichnen3te5p.jpg

die darauf hin natürlich alle beendet werden müssen (24 beendete Prozesse)

http://www.abload.de/img/aufzeichnen2bdbm.jpg

als residente Infection wird noch dieser Fake-Prozess installiert welcher ebenfalls über Codeeinschleussung verfügt , damit die Hütte infiziert bleibt.

http://www.abload.de/img/aufzeichnen1qezr.jpg

Der Beitrag wurde von Voyager bearbeitet: 10.05.2010, 20:19

[markus17]

G Data mein folgendes:

*** Prozess ***

Prozess: 3424
Dateiname: exe.exe
Pfad: c:\documents and settings\ietest\desktop\10mai10\exe.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 05/10/10 20:10:51
Änderungsdatum: 05/10/10 18:05:40

Gestartet von: exe.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.
Ein Packer wurde auf die Programmdatei angewandt. Möglicherweise um schädliche Inhalte zu verbergen.
Das Programm wurde im Speicher modifiziert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\documents and settings\ietest\desktop\10mai10\exe.exe

In der VM scheint es so, als ob der BB von G Data alles geblockt hat. Auch ein nachfolgender Scan mit Avira (erkennt das Ding ja laut V-Total) bringt kein böses erwachen. Ich muss meine Schwester zu einem neuen Notebook überreden ... dann krall ich mir das alte als Testsystem.