Infizierte Webseiten Einstellungen

[chris30duew]

Bei KIS schlägt sofort die Heurisitk an und blockt die Seite
HEUR:Exploit.Script.Generic


edit:

Avira blockt die Seite komplett mit dem Webguard da diese in die Kategorie Malware fällt. Was ohne passiert, Signaturbasiert, habe ich nicht probiert


Gruss

Der Beitrag wurde von chris30duew bearbeitet: 28.04.2009, 23:37

[Solution-Design]

Exploit 1 wird geblockt


Bei Exploit 2 passiert nichts.

Habe auf diesem PC auber auch kein Adobe installiert. Wäre das eine Voraussetzung? Bei Opera schaut man in den Quellcode.

[markus17]

Bei der Exploitbeschreibung steht:

Reader 8.1.4 and 9.1 for Linux are vulnerable; other versions or platforms may also be affected.

Ich hab's extra mit einer veralteten Version des Readers probiert (9.0) und auf meinem Windowssystem passiert nichts. Der Reader wird beim öffnen des Scriptes nicht gestartet. Man öffnet das Script lediglich und sieht den Code.

Und ich sehe gerade: Das Script lag gestern noch im Format JS vor und heute nur mehr als txt Datei.

Der Beitrag wurde von markus17 bearbeitet: 29.04.2009, 17:32

[Voyager]

Das Script lag gestern noch im Format JS vor und heute nur mehr als txt Datei.

So isses und die AVs meckern nichtmehr.

[Gast_Mike62_*]

Antivir 9 Free meckert sehr wohl. Und zwar bei beiden.

In der Datei 'C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PEXFI05\34736[1].txt'
wurde ein Virus oder unerwünschtes Programm 'HTML/Shellcode.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Der Beitrag wurde von Mike62 bearbeitet: 29.04.2009, 18:27

[Voyager]

Nur dumm das eine txt kein ausführbares Format ist und kein zwingender Grund besteht die Textdatei zu blockieren , ich vermute mal deshalb haben sie es von js in txt geändert.

[Gast_Mike62_*]

...und kein zwingender Grund besteht die Textdatei zu blockieren..

AntiVir macht's dennoch.

[markus17]

Einigen AVs ist die Dateiendung glaube ich egal und sie erkennen es trotzdem noch. Das Exploit scheint aber mal zur Abwechslung wirklich nicht für Windows zu sein.

[Gast_Mike62_*]

...denn laut Secunia besteht diese Lücke lediglich für
den Adobe Reader für Linux.
http://secunia.com/advisories/34924/

Denke ich auch.

[Gast_teddy247_*]

Hallo

folgende seite ist auch nicht ganz astrein:

spyware-killer.findmysoft.com

Wot= rot
NSW=
Bedrohungsbericht

Gesamtzahl gefundener Bedrohungen Spyware (Was ist das?)

Gefundene Bedrohungen: 1
Hier ist eine vollständige Liste:
Name der Bedrohung: Spyware.ActiveKeylog
Dateiname: C:\Temp\akl[2].exe
Adresse: hxxp://www.findmysoft.com/download-Active_Keylogger_Home/akl.exe


oder jene seite:

Norton safe Web:
Bedrohungsbericht

Gesamtzahl gefundener Bedrohungen: 2

Small-whitebg-red Viren (Was ist das?)

Gefundene Bedrohungen: 2
Hier ist eine vollständige Liste:
Name der Bedrohung: Downloader
Adresse: http://www.gold-software.com/61775.zip


Direkter Link zu: hxxp://72.41.129.206/downloads/Anniversary_Gifts.exe
Adresse: hxxp://www.gold-software.com/61775.zip




Der Beitrag wurde von teddy247 bearbeitet: 04.05.2009, 16:37

[Solution-Design]

[Voyager]

Unter den infizierten Webseiten haben wir Heute wieder Neuzugänge die eine Untersuchung (speziell Malware Verhaltensweisen) interessant machen.

w?w.sex-like.com/gif.exe
http://www.virustotal.com/de/analisis/2a02...e4c5a913c3f8cec
Hier hätten wir ein Objekt mit einer Form der Codeinjektion wo Norton Antibot eine neue Verhaltensweise ausgibt die mir bisher aus den NAB-Unterlagen noch nicht bekannt war.


http://www.abload.de/img/1tg02.jpg
Sonar reagiert hier nicht.

------------------------------------------------
74.52.164.210/pk/bb021908.exe
http://www.virustotal.com/de/analisis/24c3...3df5a467afc1903
Hier hätten wir ein Objekt was verschiede Malware (9 Dateien) als Treiber im System erstellt , erst nachdem versucht wird aus dem Netz eine BIN Datei nachzuladen reagiert NAB und löscht alle Aktivitäten der bb021908.exe .


http://www.abload.de/img/3ffkp.jpg

Dieses mal reagiert auch Sonar auf denselben Prozess .


http://www.abload.de/img/4zkl0.jpg
In dem bb021908.exe RAR SFX Archiv wird schon eine Datei als Downloader vom AV bemängelt (siehe Virustotal) trotzdem scheint der Rest darin noch lauffähig zu sein sodas Sonar anschlägt.

------------------------------------------
94.75.234.35/update/002/media_player_update.exe
http://www.virustotal.com/de/analisis/fed4...de2892a38ad0cae
Ziehmlich auffälliges Verhalten ? Leider reagiert Sonar hier bei 3 auffälligen Verhaltensweisen nicht, es wird nur eine TMP im Systemverzeichnis als Trojan.Horse vom Autoprotect erkannt.


http://www.abload.de/img/2jce7.jpg

Angesichts der Tatsachen das NAB hier immernoch die offensichtlich besseren Erkennungen hat ist Sonar kein gleichwertiger Ersatz.

Wer sich nicht geeignet fühlt derartige Tests zu verstehen dem rate ich von dem Downloaden der Malware ab !

Der Beitrag wurde von Voyager bearbeitet: 21.05.2009, 18:58

[wizard]

Ich bitte die Teilnehmer doch bitte wieder auf ein etwas erwachseneres Diskussionsniveau zurück zukehren.

wizard

[markus17]

Anscheinend hat sich die Mediaplayer Exe verändert:
http://www.virustotal.com/analisis/9e4b823...d07ff96f69baed6

*edit*
Die Gif.exe kann ich in Virtual PC nicht starten, sie löscht sich von selbst. :-o
Alle anderen Dateien werden von G Data nicht erkannt. (nur per Signatur bzw. ein Autostarteintrag)

Der Beitrag wurde von markus17 bearbeitet: 21.05.2009, 20:07

[Voyager]

@markus17

Die Gif.exe kann ich in Virtual PC nicht starten, sie löscht sich von selbst

Das ist weit verbreitet das die Malware sich nach der Ausführung selbst löscht . Laut Antibot wurde die Gif.exe aber trotzdem ausgeführt wie man an den Verhaltensweisen sieht das ins Windows Verzeichnis geschrieben wurde.


Der Beitrag wurde von Manu bearbeitet: 21.05.2009, 21:18

[markus17]

Bei mir sah es so aus, als ob die gif.exe sich einfach nicht in einer VM ausführen lässt -> gibts ja auch immer wieder mal und in der Sandbox wollte das Ding auch nicht. Aber du hast recht. Irgendetwas muss passiert sein, denn wenn man die Datei ein zweites mal ausführen will, löscht sie sich nicht mehr selbst.

[fenriz]

Nicht alle patchen ihre Adobe Reader.

Dazu passt dieser Beitrag recht aktuell.
Gruß feni

[Rios]

Habe es mal hier reingestellt.
h??p://check-viruses.com
Bei euch irgendwelche Reaktionen?

Bitte um Vorsicht!!

[Voyager]

Bei euch irgendwelche Reaktionen?

Nein, URL down.

[Rios]

Sorry, bekam vor dem aufrufen eine Html:IFrame Anzeige.
Danke