Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Solution-Design]

Die Seite, zu der Sie navigiert haben, ist nicht vorhanden.

[Voyager]

Das Objekt ist hier bereits als nicht vertrauenswürdig deklariert , Sonar löscht es.

[scu]

Link per Email erhalten:
hxxp://rapidshare.com/files/396352618/YAHOO.exe

Erkennung sieht aktuell recht mager aus:
http://www.virustotal.com/analisis/d39ce34...631b-1275972250

[ciacomo]

Das sagt NIS 2010 dazu:

Ist immer wieder erstaunlich, wie Norton Malware erkennt, auch wenn noch keine Signatur vorhanden ist.





VG

Der Beitrag wurde von ciacomo bearbeitet: 08.06.2010, 13:43

Angehängte Datei(en)

 1.JPG ( 70.18KB ) Anzahl der Downloads: 44
 2.JPG ( 66.28KB ) Anzahl der Downloads: 49

 

[Varock]

Seit wann fragt denn NIS 2010 ob ich die Datei löschen möchte oder nicht.

[Voyager]

@Varock

Seit Norton Abstufungen in der Verhaltenserkennung hat und das heisst schon immer. Wenn man die Datei abseits von Firefox und IE auf die Platte holt dann wird Sie von Sonar2 in einer abgestuften Form erkannt und weil dort in der Verhaltenserkennungs-Stufe Fehlalarme auftreten können wirst du gefragt. Meistens wirst du bei Malware aber nicht gefragt ob du die Datei behalten möchtest.

Ciacomo war aber recht mutig gewesen die Datei auf seinem PC zu öffnen, die yahoo.exe hat eine VM Erkennung und löscht sich in der VM nur nach dem Doppelklick.

Der Beitrag wurde von Voyager bearbeitet: 08.06.2010, 16:44

[Varock]

Ach so, also wenn Sonar2 die Datei ohne dich zu fragen löscht, dann handelt es sich zu einer sehr hohen Wahrscheinlichkeit um eine Malware und wenn NIS einen fragt, dann heißt es das er sich nicht sicher ist.

Oder habe ich es jetzt falsch verstanden?

[Voyager]

Bei Gdata musst du noch nee ganze Ecke mehr mitdenken weil dort musst du alle Entscheidungen erst abnicken , traust du dich das zu ?

[Varock]

Ich denke schon und wenn was schief geht weiss ich ja wer es war.

[Julian]

Dieses Sample hab ich aus dem Comodo-Forum.

Comodo (proaktive Konfiguration, Sandbox aus): Malware telefoniert ohne Pop Up seitens Comodo ins Netz.

Online Armor: Mein Lieblings-Schrottprogramm warnt und blockt korrekt, die Malware kommt nicht ins Netz.

KIS 11: Die Malware kann auch im Interaktivmodus ohne Pop Ups ins Netz. Wenn man die Config tweakt, dass es auch für Programme in schwach beschränkt fragt, wenn diese andere Prozesse starten wollen, sieht man nur ein Pop up, in dem gefragt wird, ob der Explorer gestartet werden darf. Wenn man dies blockt, kommt die Malware nicht ins Netz. KIS besteht aber trotzdem nicht, weil die von der Malware gestartete Explorer-Instanz eigentlich durch die von der Malware geerbten Beschränkungen nicht in der Lage sein sollte, irgendetwas ungefragt anzustellen. Stattdessen ruft sie vermutlich die svchost.exe mit entsprechenden Parametern auf und die Prozessmodifikationen von csrs.exe und System meldet KIS auch nicht. Doppelt schwach.

Outpost 7 Pro: Auf x32 wird sofort das GUI gekillt, was bei Outpost bedeutet, dass der Schutz futsch ist. Outpost ist also kompletet tot und die Malware kommt ins Netz.
Auf Seven x64 sieht es hingegen gut aus: Outpost meldet, wie die Malware die svchost.exe starten und den Explorer im Speicher verändern will. 100% bestanden.

Sandboxie: Alles abgeschottet und virtualisiert, am echten System wird nichts verändert.

Norton 2011 Beta: Sonar steckt das Teil in Quarantäne, bevor es ins Netz kommt.

Das zweitinteressanteste Sample, das ich je hatte.

[Voyager]

Muschd du noch mit Gdata testen Julian
Wenn du´s mir gibst kann ich das auch machen.

Der Beitrag wurde von Voyager bearbeitet: 09.06.2010, 21:32

[Julian]

Der Gdata-BB bleibt stumm.

[SLE]

Das zweitinteressanteste Sample, das ich je hatte.

Haben will Mich würde mal interessieren was da genau abgeht...

[Julian]

Das Problem scheint nur auf XP x32 zu bestehen, auf Seven x32 und x64 nicht.

[SLE]

Danke!

Das Problem scheint nur auf XP x32 zu bestehen, auf Seven x32 und x64 nicht.

Wollte ich gerade sagen :-)

Weil auf Win7x86 (keine VM!) ist KIS (interaktiver Modus, angepasst - nur bestimmte Leserechte) ganz zuverlässig:

Es beginnt zwar mit einem KIS-Spasspopup


wird aber dann doch irgendwann recht eindeutig. Hier die wesentlichen Meldungen:


Malware Defender bekommt vom Netzwerkzugriff nichts mehr mit - sonst OK.

[Julian]

Es beginnt zwar mit einem KIS-Spasspopup

Wurden die mit 11 eingeführt? So einen Mist hab ich zuvor noch nicht gesehen.

Kannst du bestätigen, dass unter XP KIS sich nicht so verhält, wie es soll?

[SLE]

Wurden die mit 11 eingeführt? So einen Mist hab ich zuvor noch nicht gesehen.

Das gab es hin und wieder schon. Von daher verwunderlich das "unbekanntes Programm" im KSN nicht bekannt ist

Kannst du bestätigen, dass unter XP KIS sich nicht so verhält, wie es soll?

Kann es nicht testen. Bin derzeit wieder komplett auf Vbox und habe nur da noch XP. Aber auf dem Notebook bekomme ich die KIS da nicht vernünftig zum laufen. Aber ich glaube dir.

Der Beitrag wurde von SebastianLE bearbeitet: 09.06.2010, 23:05

[Voyager]

Gdata meldet zumindestens einen WebZugriff (heimlichen Download) und blockiert ihn , diese debot.exe scheint nur eine Art Downloader zu sein der dieses Objekt aufruft was ich hier auf dem Host per Hand nachgeladen hab. Für den neuen BB im Gdata2011 ist das allerdings kein Ruhmesblatt.


http://www.abload.de/img/aufzeichnen1l6b3.jpg

Aber mal ganz erlich, Kaspersky ist dort nee Katastrophe , das soll den User schützen und nicht mit 10 Meldungen beschäftigen..

Der Beitrag wurde von Voyager bearbeitet: 09.06.2010, 23:11

[SLE]

Aber mal ganz erlich, Kaspersky ist dort nee Katastrophe , das soll den User schützen und nicht mit 10 Meldungen beschäftigen..

Ich will Meldungen - ohne Popups habe ich doch Angst. Wenn ich eine Automatik will würde ich den Automodus nutzen, der sollte hier auch irgendwann greifen.

[Julian]

diese debot.exe scheint nur eine Art Downloader zu sein der dieses Objekt aufruft was ich hier auf dem Host per Hand nachgeladen hab.

Die Frage ist aber, warum viele HIPSe auf XP x32 bei dem Ding versagen. Das darf eigentlich nicht sein. Wieder irgendeine Design-Schwäche/Lücke im XP-Kernel?
XP ist mittlerweile echt für die Tonne...