Infizierte Webseiten Einstellungen

[Voyager]

@Aasblume

Also gestern griff ein Quickscan des Systems um diese contact.exe als Waladec zu erkennen und zu löschen, egal wie oft die Downloaddatei verändert wurde. (Beitrag #313)
Heute greift Sonar bei der Waladec Infection. Wie das angehen kann mit Gestern nicht und Heute doch? Auch Sonar wird mit Regelsätzen gefüttert.

[chris30duew]

@ tpro

ja davon gehe ich aus. Da die Engine von 8.5 in einigen Punkten verbessert und verschärft wurde. Immerhin sieht man n Ergebnis :-D
die aktuelle "contact.exe" wird übrigens als W32/Krap erkannt

[Julian]

Hab gerade mal wieder in diesem Thread gestöbert und muss etwas korrigieren.
G DATA blockt nicht anhand der URL sondern anhand der Malware. Ein ändern der URL würde also rein garnichts an der Erkennung ändern.

Zum damaligen Zeitpunkt hat Gdata eben nicht das Sample, sondern nur die URL erkannt.

[scu]

Wäre mir neu, dass G DATA anhand von URLs blockt.

[markus17]

Es wurde ein I-Frame geblockt.
-----
Virus: HTML:Iframe-inf (Engine B)

Der Beitrag wurde von markus17 bearbeitet: 17.03.2009, 18:11

[Aasblume]

Zur Waladec Infection:

Hab's grade nochmal aufgerufen und gedownloaded. Kein Mucks von Norton. Auch nicht SONAR. Anschließend bei VirusTotal hochgeladen. Scheint ja echt übel zu sein.
[attachment=4632:Aufzeichnen.JPG]

http://www.virustotal.com/de/analisis/89dd...eaa8c44a64c671b
http://www.virustotal.com/de/analisis/2ca2...efa4504292b6629

Gruß, Aasblume

[Voyager]

Kein Mucks von Norton. Auch nicht SONAR.

Sieht aber nicht so aus als ob du das auch wirklich getestet hättest , was ist das denn sonst auf dem Bild ?



Und nein das Bild kein altes, das ist von gerade eben.

Der Beitrag wurde von Voyager bearbeitet: 17.03.2009, 18:42

[Rios]

Der Geo-Location-Code, funktioniert auch.

[Aasblume]

Sieht aber nicht so aus als ob du das auch wirklich getestet hättest , was ist das denn sonst auf dem Bild ?

Dadrauf habe ich natürlich gewartet= selber Tatsache ist und bleibt: Bei mir wird nix erkannt oder geblockt, laut VirusTotal erkennt es Symantec zumindest nicht durch Signa.
Und vielleicht habe ich mich auch zu früh über SONAR unter 64bit gefreut.

[Voyager]

Und vielleicht habe ich mich auch zu früh über SONAR unter 64bit gefreut.

Und das sollen wir jetzt glauben das du den Waledac oder wie der heisst auf einem Produktivsystem nur zum Spass gestartet hast ?

Bei mir wird nix erkannt oder geblockt, laut VirusTotal erkennt es Symantec zumindest nicht durch Signa.

Du hast das gelesen mit dem Quickscan nach Ausführen des Trojaner ? Selbst wenn dein Sonar hier auf dem x64 nicht gänge (was Denny ja mal gegentesten könnte) greift der Quickscan.

Der Beitrag wurde von Voyager bearbeitet: 17.03.2009, 18:59

[Gast_kurz-pc_*]

Dadrauf habe ich natürlich gewartet= selber Tatsache ist und bleibt: Bei mir wird nix erkannt oder geblockt, laut VirusTotal erkennt es Symantec zumindest nicht durch Signa.
Und vielleicht habe ich mich auch zu früh über SONAR unter 64bit gefreut.

Hast du die Datei nur heruntergeladen und gescannt, oder auch ausgeführt?

Eventuell läuft Waladec nicht unter 64bit

[chris30duew]

Nun mal langsam.
die Datei die bei Voyager gelblock wurde ist die news.exe
bei Aasblume war es einmal bei VT die main.exe und die contact.exe

da wie ich selber auch gemerkt habe, die datei fast minütlich sich ändert, kann es doch sein, das daher einmal die erkennung und einmal das nicht erkennen resultiert.
Denn: AVG erkennt auch einmal W32/Krap, dann n paar Minuten später wenn die datei wieder anders heisst erkennt es nix, dann wieder "injector.CD"

Vll liegts daran, durch das dauerende sich verändern der datei

[Voyager]

da wie ich selber auch gemerkt habe, die datei fast minütlich sich ändert, kann es doch sein, das daher einmal die erkennung und einmal das nicht erkennen resultiert.

Bei Sonar sollte das egal sein.

------

Ich hab dann mal mein Vista64 auf der Testpartition bemüht und folgendes heraus gefunden, Kurz-PC lag goldrichtig mit seiner Annahme das das Teil nicht auf Vista64 läuft . Aasblume hat den Part wohl nicht mitbekommen wo der Trojaner abstürzt und eine Fenstermeldung auf dem Desktop hinterlässt Zeigt sich wohl wiedermal das die Jungs nie lesen was in den Popups steht ...



achja Sonar und Tamperprotection läuft unter x64 mit der neuen NIS16.5 , der Selbstschutz greift auch beim Test.

Der Beitrag wurde von Voyager bearbeitet: 17.03.2009, 20:00

[Caimbeul]

Braucht die Webseite eigentlich Scripte dafür oder läuft das einfach durch sich selbst. Sprich inwiefern schützt hier "NoScript" im FF oder eine Sandboxie Instanz des Browsers.

[Gast_kurz-pc_*]

Braucht die Webseite eigentlich Scripte dafür oder läuft das einfach durch sich selbst. Sprich inwiefern schützt hier "NoScript" im FF oder eine Sandboxie Instanz des Browsers.

NoScript schützt da garnicht da man ja selbst die exe starten muss. Wen die exe in der Sandboxie Instanz gestartet wird ist der PC zwar nicht infiziert, aber der Trojaner kann trotzdem ihgewelche Passwörter auslesen und diese nach hause schicken.

[rolarocka]

Aber nicht wenn man Sandboxie so einstellt daß nur die .exe vom Browser in der jeweiligen Sandbox laufen darf.

[Caimbeul]

Ah, ok. Warum auch immer hatte ich gerade irgendwie im Kopf das ginge auch ohne manuelles Ausführen der .exe und war schon überrascht.

[Aasblume]

@Voyager

Sieht aber nicht so aus als ob du das auch wirklich getestet hättest , was ist das denn sonst auf dem Bild ?

Und das sollen wir jetzt glauben das du den Waledac oder wie der heisst auf einem Produktivsystem nur zum Spass gestartet hast ?

Ich hab dann mal mein Vista64 auf der Testpartition bemüht und folgendes heraus gefunden, Kurz-PC lag goldrichtig mit seiner Annahme das das Teil nicht auf Vista64 läuft .

Aasblume hat den Part wohl nicht mitbekommen wo der Trojaner abstürzt und eine Fenstermeldung auf dem Desktop hinterlässt wink.gif Zeigt sich wohl wiedermal das die Jungs nie lesen was in den Popups steht ...

Und was soll uns das jetzt sagen, Voyager? Erst unterstellst Du mir ich hätte den Trojaner gar nicht getestet, so nach dem Motto: "Seiner Heiligkeit von NORTON und seinem Kardinal SONAR könnte so was niiiiie durch die Lappen gehen". Nachdem Kurz-PC dann richtig vermutet, das Ding läuft nicht auf Vista64, bestätigst Du das ganze und wiegelst hier ala Papa ab der meint: "naja, die Jungs haben Tomaten auf den Augen".

Komm doch einfach mal runter von Deiner aggro-Schiene wenn jemand ein Problem mit NORTON hat! So angegriffen wie Du Dich manchmal gibst, könnte man meinen...denk Dir den Rest, ich würde mir ja dann Deinen Schuh anziehen und Dir was unterstellen was ich weder halten noch beweisen kann.

Gruß, Aasblume

[Denny]

Also beim reinen scannen einer main.exe von dieser Seite habe ich hier wie erwartet auch keine Erkennung. Ändern ja laufend die Datei:



http://www.virustotal.com/analisis/9863863...0be8a84d7c08c0f

Ausführen und SONAR testen mache ich aber nicht :-p

@bond
Reagiert eigentlich UAC auf das ausführen dieser Datei?

Der Beitrag wurde von Denny bearbeitet: 18.03.2009, 14:03

[Voyager]

@Aasblume

Bist du jetzt sauer weil dir nur ein Fehler unterlaufen ist und du vorher Felsenfest behauptet hast das es keine Erkennung gibt trotz meiner Bilder ?
Was sollte ich dir dafür jetzt entgegenhalten ? Ich erspars mir aber weil ich tick nicht so aus wie du... ist echt peinlich.

Nö Denny , das stürzt gleich ab.