Anti Spy Storm, alias "Microsoft Antispyware Center"... Einstellungen

[Gast_rock_*]

Die Internetseite mit dem Titel "Microsoft AntiSpyware Center" gibt vor, ein Online-Virenscanner zu sein und den Rechner kostenlos nach Schädlingen zu durchsuchen. Nimmt der User das Angebot an, wird ihm nach einem Scan eine Liste von Trojanern und Spyware angezeigt. Diese befinden sich angeblich auf dem PC. Die Webseite fordert den Anwender auf, ein ActiveX Control im Internet Explorer zu installieren, um die Schädlinge zu entfernen. Tut er dies, infiziert er den PC tatsächlich.

Gleichzeitig bietet die Malware an, die Vollversion von AntiSpyStorm zu kaufen, um die angeblichen Viren, Würmer und Trojaner zu beseitigen. So gelangen die Entwickler von AntiSpyStorm an die Kreditkartendaten des Opfers.

http://www.chip.de/news/c1_news_29103252.html



edit:
h..p://antispystorm.com/
norton blockt den download vor abschluss!


Der Beitrag wurde von rock bearbeitet: 12.10.2007, 13:49

[Voyager]

Ist nur einer von den vielen Fakern mit den Erschreckungsmeldungen , die nur auf Betrug aus sind.

[chris30duew]

laut Virustotal findet Kaspersky dieses Sample noch nicht, aber Avast. Ein klassisches Beispiel auch finde ich, das zeigt, das Gdata anschlagen dürfte anhand der Avast Erkennung. Bei Bitdefender (der früheren 2. Engine) wird ebenfalls nichts angezeigt an Erkennung.......

gruss

Der Beitrag wurde von chris30duew bearbeitet: 12.10.2007, 14:51

[Rios]

laut Virustotal findet Kaspersky dieses Sample noch nicht

Kaspersky sieht auch keinen Grund den zu erkennen. Sie sagen das Tool hat nichts ernsthaftes, das erkannt werden müsste. Er liefert halt wieder falsche Ergebnisse, und annonciert zum Kauf. Dieses tun, legt halt jeder Av Hersteller anders aus.

[chris30duew]

naja also bitte so einfach kann man das nicht abtun finde ich. immerhin steckt hinter dem tool eine betrügerische absicht, nämlich den unbedarften user zu erschrecken und zum kauf zu animieren, da hat bond vollkommen recht. wenn du jetzt sagst jeder normale user lädt sich sowas ja nicht runter, oder fällt darauf nicht rein, dann sage ich ok, dann braucht kaspersky auch keinen phishing schutz mehr. darauf fallen user auch nicht mehr rein. und so könnte man das fortühren. da setzt Kaspersky meiner meinung nach die latte falsch an, denn es ist zum schutze da, auch unbedarfter user, oder neuen usern im internet oder solchen die kinder haben die vll sowas dann downloaden etc.
dein aussage das Kaspersky nichts böses dahinter sieht und daher keinen handlungsbedarf sieht halte ich, auch wenn das schadenpotenzial gering ist schlicht für fahrlässig und einer Kaspersky eigentlich unwürdigen einstellung

gruss

[Rios]

Ja , nur es ist eben Fakt, und deshalb wird es auch nicht in die Erkennung aufgenommen. Das können weder du noch ich ändern.

[maxos]

Und für was gibt es brain ?

Warum sollte ich mir ein mir gänzlich unbekanntes Programm installieren ohne mich vorher zu informieren.
Und wenn es eben keinen Schadcode mitbringt wie sollte man es erfassen.
Diese Herausgeber dieser Proggis wechseln im Wochentakt Namen u. Kleinigkeiten aus.
So gesehen vielleicht ähnlich wie mit den Codecs die teilweise noch schneller wechseln.

Und wer prüft bei einem unbekannten Proggi, dass Schädlinge meldet nicht ob es nicht false positives sind, immer soferne er solch Sachen sich überhaupt installiert, siehe wiederum brain.

Ist noch immer jeder User selbstverantwortlich für seinen PC.

[Solution-Design]

Ob AntispyStorm, oder Spyware-Hunter oder AntiSpyware.com, viele schalten WebSites unter der Prämisse: Testen -> Erschrecken -> Kaufen. Ob da was böses dran ist... diverse oft genannte Politiker arbeiten ähnlich, zumindest was das Erschrecken angeht.

@rock Was hat dich dazu veranlasst, dieses nicht im Sammelthread zu posten. Weil Chip.de jetzt auch mal etwas dazu verfasst hat?



AntispyStorm funktioniert in der VM scheinbar glänzend, ohne jegliche false positive Meldung. Lediglich wer das Online-Modul nutzen möchte, wird dezent auf einen möglichen Kauf hingewiesen.

Zur Erkennung:
Symantec verhindert den Download, Avira Premium die Installation einer Datei mit dem Namen clsReg.dll, welche Symantec wiederum als irreführende Anwendung bezeichnet, also als eine Anwendung, welche Infizierungen meldet, obwohl nicht vorhanden. eScan mit aktuellen Kaspersky-Signaturen meldet gar nichts. Wer nun letztendlich Recht hat… Immerhin funktioniert der Storm auch ohne diese Datei. Tatsache ist, es gibt sehr viele schwarze Schafe unter den Antimalware/Antispyware-Programmieren/Geschäftemachern, so dass es die wenigen guten schwierig haben, nicht übersehen bzw. übergangen zu werden.

Edit: Link

Der Beitrag wurde von Solution-Design bearbeitet: 12.10.2007, 18:55

[Voyager]

welche Symantec wiederum als irreführende Anwendung bezeichnet

welche Symantec wiederum als in die irre führende Anwendung bezeichnet

[Solution-Design]

Ich war und bin für die innerhalb der Symantec-Software-Produkte vorhandenen Schlechtschreibung nicht verantwortlich. Hier der traurige Screenshot:

[Gast_Xeon_*]

....das zeigt, das Gdata anschlagen dürfte anhand der Avast Erkennung.

Nein,G DATA bleibt still!

[chris30duew]

überraschend, da ja gdata die avast engine verwendet. wobei avast seit gestern nicht mehr geupdatet wurde, vll kommt das update für gdata mit der nächstsen avast update oder man hat bei gdata sich entschlossen es nicht in die erkennung aufzunehmen..

und was die irre angeht, so hätte ich mal gern den unterschied gewusst zwischen irreführende und in die irre führende. also das sind ja wohl wortspiele die, entschuldigung, n witz sind.

falls doch nicht, hätte ich mal gern den unterschied gewusst...

denn ich gehe davon aus, das eine "irreführende Anwendung" eine Anwendung ist, die jemanden in die "irre führt". oder gings rein um die Rechtschreibung???

bitdefender schlägt übrigens bei dem teil auch net an, habs grad versucht

[der allgäuer]

irreführend ist, wenn jemand behauptet, norton wäre das beste avprogramm.
in die irre führend ist ein falsch aufgestellter wegweiser.
alles nur beispiele

[Solution-Design]

denn ich gehe davon aus, das eine "irreführende Anwendung" eine Anwendung ist, die jemanden in die "irre führt". oder gings rein um die Rechtschreibung???

Natürlich kann ich mich durch eine irreführende Anwendung in die Irre führen lassen. Wird somit je nach Satzaufbau dementsprechend verwendet. Hase wird das für uns analysieren und Aufschluss in dieser eventuell unklaren Lage zu geben versuchen Eingerahmt war das Wörtchen übrigens für Bond7. Die Schlechtschreibung findest du im Screenshot rechts unten im Bereich Risikomanagement.

irreführend ist, wenn jemand behauptet, norton wäre das beste avprogramm.

Dann wurde ich wohl in die Irre geführt. Oder möchtest du behaupten, dass das nicht stimme...

Es gibt zwei interessante Dateien in diesem Antispyware-Programm: Die von mir schon erwähnte clsReg.dll und die im Screenshot zu sehende as_ie_monitor.dll. Falls jemand dieses Programm installiert, könnte er/sie diese Dateien bei zum Beispiel virscan.org hochladen. Wie schon beschrieben: AV-Programme können oftmals mit der Installationsdatei nichts anfangen, sperren aber dennoch gefährliche Dateien (bzw. Dateien, welche sie per Signatur für gefährlich halten).

Der Beitrag wurde von Solution-Design bearbeitet: 12.10.2007, 22:24

[citro]

überraschend, da ja gdata die avast engine verwendet. wobei avast seit gestern nicht mehr geupdatet wurde, vll kommt das update für gdata mit der nächstsen avast update oder man hat bei gdata sich entschlossen es nicht in die erkennung aufzunehmen..

Ich habe schon so einige Fake/Fraud-Tools bei VT etc . hochgeladen und Avast erkannte sie z.T. generisch eben dort als (xyz.gen).
GData verwendet wahrscheinlich keine heuristische Erkennung mit Avast.

[Gast_rock_*]

@rock Was hat dich dazu veranlasst, dieses nicht im Sammelthread zu posten. Weil Chip.de jetzt auch mal etwas dazu verfasst hat?

guten morgen

weil das thema uploadergebnisse schon seit langem in ein eigenes thema "Suspekte Software" abgewandert ist, wo man schon längst ein thema machen konnte, bzw. die hausherren es längst splitten hätten können,....und diesmal gabs eben auch bericht/e das es versucht an kreditkarten daten zu kommen.... das hatten wir ja noch nicht in der sache.