Infizierte Webseiten Einstellungen

[Voyager]

wer weiss, vorhins bekam ich keine Verbindung , jetzt schon.


http://www.abload.de/img/1pe3d.jpg

Eine Meldung von dem nicht vorhandenen Browserschutz laut der Kaspersky Fans

[markusg]

die seite ist nciht tot

[markusg]

hi, das programm wird von kaum einem scanner erkannt (nur einer)
McAfee-GW-Edition
6.7.6
2009.06.04
Trojan.LooksLike.ATRAPS
das einzige was avira dann erkennt ist:
In der Datei 'C:\Sandbox\nutzer\DefaultBox\drive\C\WINDOWS\system32\iehelper.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben
ach ja und eine 124 und 125.tmp werden auch gestartet

Der Beitrag wurde von markusg bearbeitet: 04.06.2009, 20:07

[Voyager]

Die Malware auf der Seite check-viruses selbst installiert einen FakeAV ins Windowsverzeichnis und ändert die Hosts Datei laut Norton Antibot.


http://www.abload.de/img/1wnll.jpg

[markusg]

jap und es werden noch einige tempfiles erstellt und files in windows. alle noch recht unbekannt.

[Voyager]

Ich habs nochmal mit NIS getestet , es wird hier neben dem iehelper.dll auch noch die sysguard.exe (der FakeAV) erkannt , die Hosts-Einträge sind aber noch da wie auf dem Avira PC vermutlich auch .

209.44.111.57 security.microsoft.com
209.44.111.57 inetavirus.com
209.44.111.57 www.inetavirus.com

http://www.ip-adress.com/ip_lokalisieren/209.44.111.57 die Fake-Webseiten sind in Kanada gehostet , dort kommt man bei der Eingabe von security.microsoft.com auf eine FakeAV Seite.


http://www.abload.de/img/1ayo2.jpg

Der Beitrag wurde von Voyager bearbeitet: 04.06.2009, 20:39

[markusg]

sysguard.exe hatte null bytes bei mir.

[Gast_Nightwatch_*]

hi, das programm wird von kaum einem scanner erkannt (nur einer)

Hi
Prevx erkennt und blockt die Datei beim ausführen:



Gruß,
Nightwatch

[Voyager]

@Nightwatch

Die Meldung auf dem Bild ist so nicht gerade aussagekräftig , gibt es da ein Logbuch wo etwas mehr drin steht aus welchem Grund die Datei als Malware eingestuft wurde ? zb. Malwareklassifizierungen , Infektionspfade ect. Irgendwelche Informationen zum Fund braucht man ja um beispielweise False Positives zu erkennen.
Du kannst das auch gern mit mehr als 1 Bild verdeutlichen.

[Gast_Nightwatch_*]

Die Meldung auf dem Bild ist so nicht gerade aussagekräftig , gibt es da ein Logbuch wo etwas mehr drin steht aus welchem Grund die Datei als Malware eingestuft wurde ? zb. Malwareklassifizierungen , Infektionspfade ect.

Hey
Mit ganz detaillierten Info´s kann ich leider nicht dienen. Prevx funktioniert komplett anders, als die meisten anderen AV´s. Hier gibt es keine genauen Klassifizierungen oder Bezeichnungen für Malware, weil auch keine Signaturen im klassischen Sinne existieren.
Prevx greift auf eine große Cloud-Datenbank zurück, die bei Funden nur wenige Info´s anzeigt. Bezeichnungen wie "Medium Risk Malware", "High Risk Worm Infection", "Rootkit Infection" und "Backdoor Malware" sind hier gängig.

Hinzu (zu dieser Datenbank) kommen diese drei Heuristik-Emulatoren, die jeweils unterschiedlich konfiguriert werden können:


Der erste Emulator entspricht einer rein technologischen Heuristikstufe. Meldungen von diesem Modul werden als "Heuristic Infection" gekennzeichnet.
Der zweite Emulator prüft, wie alt die Datei ist und ob sie einen verdächtigen Aufbau hat. Meldungen von diesem Modul werden meistens als "Age Infection" gekennzeichnet. Diese Stufe schützt besonders gut vor Zero-Day-Attacken.
Der letzte und dritte Emulator betrifft die Community-based-Daten, die Prevx sammelt. Hier werden die Programme geblockt, die a) auch andere User geblockt haben oder b) niemand auf dem PC hat.

Alle drei lassen sich in ihrer Aggressivität und Erkennung einstellen. Die Maximal-Stufen produzieren schon den ein oder anderen Fehlalarm. Die empfohlenen Einstellungen sind: 1.Emulator=Mitte, 2.Emulator=2/5, 3.Emulator=2/5.

Um zum oben aufgeführten Sample zurückzukommen: Hierbei handelt es sich um eine "Community.Outer-Edge-Infection". Das bedeutet, dass dieses Sample geblockt wurde, weil es a) von den meisten Usern auch geblockt wurde oder b) weil die Mehrzahl aller User dieses Programm nicht auf dem PC hat.

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 05.06.2009, 01:15

[Voyager]

Welche Informationen hast du denn bei einem False Positive im Ganzen zur Verfügung und wie vermeidest du das eine Programminstallation nicht während einer Installation fehlschlägt und das System dann nur versaut ?

Also bist du bei Funden im Großen und Ganzen darauf angewiesen das die Anderen sich nicht irren wenn das PrevX Programm irgend etwas blind löscht .

Der Beitrag wurde von Voyager bearbeitet: 05.06.2009, 01:45

[Rios]

Wieder so ein Kotzbrocken.
G-Data:Trojan Generic / Trojan-gen.

h??p://tommti-systems.de
Vorsicht!! dieser Link ist nur für Test-User!!!

h??p://tommti-systems.de/main-Dateien/TOOLS/rus_npatch.rar

[Gast_blueX_*]

@Rios

Das dürfte ein False Positive (Fehlalarm) sein.

[markusg]

avira meckert auch, sieht aber aus wie ein crack oder änliches.

[Gast_Nightwatch_*]

[...] wie vermeidest du das eine Programminstallation nicht während einer Installation fehlschlägt und das System dann nur versaut ?

Prevx bietet einen Install-Mode an. In diesem werden alle drei Heuristikstufen für eine bestimmte Zeit abgeschaltet. Es erkennt dann also nur noch Schädlinge, die sich auch auf der Cloud-Bank befinden.

Also bist du bei Funden im Großen und Ganzen darauf angewiesen das die Anderen sich nicht irren wenn das PrevX Programm irgend etwas blind löscht .

Nein. Wenn ich ein Sample ausführe (Prevx besitzt keinen on-access-Guard), durchläuft es quasi 4 Säulen. Die Community-Daten sind nur eine davon (und können auch abgewählt werden). Die Heuristik-Stufen laufen nur on-execution und nicht on-demand. Daher gibt es nach Scans sehr wenig FP´s. On-execution sind bei default-Einstellungen ebenfalls wenig Fehlalarme zu erwarten. In maximaler Konfiguration schon.

Nachtrag:
Hier der Blog-Eintrag vom Sample von gestern Abend:

QUELLTEXT

[5/6/2009 01:15] The file [C:\Users\Security Labs\Desktop\scan_now.exe] has been automatically blocked because it contains a threat of type [Community.OuterEdge]  -  Identity: A2DFE3E410A7104F1AD704850711BE008209A3D4

Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 05.06.2009, 13:06

[Rios]

@Rios

Das dürfte ein False Positive (Fehlalarm) sein.

Hi bluex,
bin mir da nicht so sicher. Also hier wird er auch angezeigt.

[Gast_blueX_*]

@Rios

Es ist ein Fehlalarm, glaub mir.
Schick's doch mal an ein Virenlabor.

[Rios]

Kann ich mir sparen, hast du wahrscheinlich schon gemacht. Mich hat nur die pure Angst überwältigt, als ich das gelesen habe.

[Gast_blueX_*]

Die meisten AV's werden den False Positive eh nicht fixen .... lassen wir es hier gut sein.

[Voyager]

Es ist ein FP , keine heimlichen Schreibaktivitäten und keine heimlichen Netzwerkaktivitäten laut Antibot . Die AV-Hersteller stufen in der Regel solche Crack/Patch und Keygen Tools aber trotzdem als Malware ein , man könnte da nur spekulieren und bei illegalen Zeug werden die auch ein Teufel tun das zu bereinigen.