Infizierte Webseiten Einstellungen

[Gast_Xeon_*]

Ein Verhaltensblocker hat ein ganz anderen Aufgabenbereich. Schreckware hat kein verdächtiges Verhalten weil der AV nicht sehen kann das die Software nur in der Oberfläche lügen erzählt.

Anscheindend gibt es auch Verhaltensblocker die da sehr "sensibel" eingestellt sind, ist ja bestimmt nicht verkehrt.

Der Beitrag wurde von Xeon bearbeitet: 04.04.2009, 22:39

[Voyager]

Das glaubste doch selber nicht

[Gast_Xeon_*]

Das glaubste doch selber nicht

Ne, glauben tu ich das nicht...ich habs selbst gesehen, also weiss ich es.

[Voyager]

Ich habs mir mit NAB angesehen , das Teil macht was nicht ganz koscheres :
Winlogon-Shell Eintrag (für was auch immer das gut ist) und BHO-Eintrag (ist hier meist Werbung eiblenden oder Suchtreffer verbiegen) , der Autostart-Eintrag des residenten Moduls agent.exe ist hier allerdings das "ungefährlichste" daran und da erzählt Gdata Blödsinn von wegen Verhaltenserkennung.

[Solution-Design]

Ich habe meinen Beitrag mal editiert: http://www.rokop-security.de/index.php?s=&...st&p=269818

Jetzt wird gezeigt, was das Programm "Word jumble solver.avi.exe" anstellt. Wenn G-Data in den Regeln seines Blockers dieses Verhalten als "Schlimm" einprogrammiert hat, dann ist es eben so. Aber auch ebenso seltsam.


Diesmal habe ich alle installierten Programmteile in eine ZIP gepackt und bei VirusTotal prüfen lassen. Avira erkennt da was bei VT. Real auf dem Rechner ist aber zumindest Avira Free 9.0 absolut still. http://www.virustotal.com/de/analisis/46c3...6363f631f8d7553

ZIP
C:\Dokumente und Einstellungen\user\Desktop\test\agent.exe
C:\Dokumente und Einstellungen\user\Desktop\test\ca.crt
C:\Dokumente und Einstellungen\user\Desktop\test\libeay32.dll
C:\Dokumente und Einstellungen\user\Desktop\test\libssl32.dll
C:\Dokumente und Einstellungen\user\Desktop\test\OemWin2k.inf
C:\Dokumente und Einstellungen\user\Desktop\test\openvpn.exe
C:\Dokumente und Einstellungen\user\Desktop\test\pc.exe
C:\Dokumente und Einstellungen\user\Desktop\test\spbho.dll
C:\Dokumente und Einstellungen\user\Desktop\test\tap0801.sys
C:\Dokumente und Einstellungen\user\Desktop\test\tapinstall.exe
C:\Dokumente und Einstellungen\user\Desktop\test\uninstall.exe

Hat man geglaubt, dass ab nun die Avira Free durch den Ad-/Spyware-Schutz reichen würde, so zeigt sich nun, dass es nicht so ist. Die Free ist blind, die Personal-Kaufversion erkennt die Dateien:
Beginne mit der Suche in 'C:\Dokumente und Einstellungen\user\Desktop\Word jumble solver'
C:\Dokumente und Einstellungen\user\Desktop\Word jumble solver\agent.exe
[FUND] Enthält Erkennungsmuster des SPR/Fraud.PrivC.2-Programmes
C:\Dokumente und Einstellungen\user\Desktop\Word jumble solver\pc.exe
[FUND] Enthält Erkennungsmuster des SPR/Fraud.PrivC.1-Programmes

Des weiteren ist folgendes interessant: Die obig in eine ZIP-Datei neu gespeicheten Dateien werden von Symantecs AV mit deaktiviertem Antispyware beim OnDemand-Scan nicht erkannt. So soll es sein, Rogue passt ja auch in Adware/Spyware. Die Erkennung ist somit rein signaturbasieend. Wenn diese Funktion aber aktiviert wird, bleiben nur noch folgende Dateien übrig:

libeay32.dll
libssl32.dll
OemWin2k.inf
openvpn.exe
tap0801.sys
tapinstall.exe

Bei Avira Premium bleiben folgende Dateien übrig
libeay32.dll
libssl32.dll
OemWin2k.inf
openvpn.exe
spbho.dll
tap0801.sys
tapinstall.exe
uninstall.exe

Hier eine der von Avira Premium vergessenen Dateien: http://www.virustotal.com/de/analisis/2fe4...5a2fa88fc246369

Der Beitrag wurde von Solution-Design bearbeitet: 05.04.2009, 09:57

[citro]

Hat man geglaubt, dass ab nun die Avira Free durch den Ad-/Spyware-Schutz reichen würde, so zeigt sich nun, dass es nicht so ist. Die Free ist blind, die Personal-Kaufversion erkennt die Dateien:

Man kann auch unter den erweiterten Gefahrenkategorien "SPR" aktivieren, vielleicht erkennt dann die Free-Version was.

[Solution-Design]

Ich muss meine Aussage revidieren. Avira hat die Signaturdatenbank erweitert, deshalb wurde es erkannt. Ist aber trotzdem wohl bei der Free was anders, da das Update manuell angestoßen werden muss. Dennoch stimmt meine obig getätigte Aussage bezüglich Unterschiede zwischen Free und Kauf so nicht.

[Gast_Mike62_*]

Diese Seite scheint auch nicht ganz ohne zu sein. Beim anklicken rate ich zur Vorsicht.

h**p://www.dein-witz.de

Der Beitrag wurde von Mike62 bearbeitet: 05.04.2009, 21:06

[Voyager]

ist ja ganz was lustiges



http://safeweb.norton.com/report/show?url=dein-witz.de

ändere den Link lieber in nicht klickbar .

Der Beitrag wurde von Voyager bearbeitet: 05.04.2009, 20:51

[Rios]

Aber schon richtig

[Solution-Design]

h**p://www.dein-witz.de

Keine Ahnung. Opera zeigt alles normal an. IE8 möchte ein ActiveX installieren, man sieht die Witze nüscht, ob mit der Installation habe ih noch nicht ausprobiert. Werde ich gleich testen.

Norton meldet jede Menge Bösigkeiten http://safeweb.norton.com/report/show?url=...x.php%3Fid=45T0

Der Beitrag wurde von Solution-Design bearbeitet: 05.04.2009, 21:08

[Rios]

die haben noch nichts mitbekommen hier

[Gast_teddy247_*]

die haben noch nichts mitbekommen hier

Hallo


Wot meldet auch noch grün

[Voyager]

ist ja auch kein Wunder , die URL mit dem Exploit taucht in dem Verbindungsnetz bei siteadvisor.com garnicht auf...

[Gast_Nightwatch_*]

GData IS 2010 sagt dazu:



Gruß,
Nightwatch

[Rios]

G-Data, Html Iframe!!
Nightwatch war etwas schneller.

Der Beitrag wurde von Rios bearbeitet: 05.04.2009, 21:09

[Gast_Mike62_*]

In der Tat! Hier läßt sich auch AntiVir nicht mehr beruhigen.

[Gast_teddy247_*]

Hallo

cool, bei mir blockiert bluecoat k9 web protection schon und verweigert den zugriff, da braucht kaspersky gar nicht erst einzugreifen

[citro]

Mit NAV tut sich dort gar nichts, auch nichts im Verlauf zu erkennen.

[Voyager]

@teddy247

Könntest du das mal näher beschreiben wer da was mit welcher Begründung blockiert ? würde mich mal interessieren.

@citro
Mit einem reinen AV Scanner kommt man heute auch nichtmehr weit