Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

3 Seiten V  < 1 2 3 >  
Closed TopicStart new topic
> TDL-4
Schattenfang
Beitrag 11.07.2011, 21:51
Beitrag #21



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ich kenne eine seite auf der tdl4-samples sind, die zumindest nach dem damaligen stand nicht alle erkannt worden sind. ist aber schon im april gewesen, überprüfen kann ichs nicht. darf ich den link eigentlich hier reinstellen?

oder ich machs lieber mit md5:

MD5 : 3edd490066ea4a312e6fa6dc420af6c6
MD5 : 8b0b9acea732b91bc2305162c06ed8fc
MD5 : f4cbf6bef6df44213cff3332422a0b78 (geringste erkennung)
MD5 : f7e79b727d9eb24eb522204182d47fdd

alle von kis (und einigen anderen) damals nicht erkannt.

Der Beitrag wurde von Schattenfang bearbeitet: 11.07.2011, 21:53
Go to the top of the page
 
+Quote Post
SLE
Beitrag 11.07.2011, 22:11
Beitrag #22



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Sind keine Samples in dem Sinne, sondern alles nur entpackte Teilkomponenten (einzeln nicht lauffähig) eines älteren TDL4 Samples (TDL4 0.03). Mittlerweile werden auch diese Teile von vielen erkannt. Hier keine Quellen nennen ist Ok.

ZITAT(Schattenfang @ 11.07.2011, 22:50) *
MD5 : 3edd490066ea4a312e6fa6dc420af6c6

VT
ldr64: x64 Version des Treibers der den eigentlichen Rootkittreiber lädt
ZITAT
MD5 : 8b0b9acea732b91bc2305162c06ed8fc

VT
ldr32: x86 Version des Treibers der den eigentlichen Rootkittreiber lädt
ZITAT
MD5 : f4cbf6bef6df44213cff3332422a0b78 (geringste erkennung)

VT
ldr16: Teil des Loaders im Zsh. mit einem infizierten MBR "wirksam"
ZITAT
MD5 : f7e79b727d9eb24eb522204182d47fdd

VT
Haupttreiber von TDL4 für x64

Der Beitrag wurde von SebastianLE bearbeitet: 11.07.2011, 22:21


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 12.07.2011, 18:52
Beitrag #23



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



danke für den test sebastian. ich hatte mit den dingern nie berührungspunkte. interessant dass das treiber für die tdltreiber sind.
welche av´s (außer den reinen hipslösungen) schützen denn deiner meinung nach sehr gut vor tdl4? oder sehen alle schlecht aus?
und wie ist eigentlich so die rootkiterkennung von gdata? die haben doch einige fortschritte gemacht (auch in sachen bb), oder?
Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.07.2011, 20:31
Beitrag #24



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(Schattenfang @ 12.07.2011, 19:51) *
interessant dass das treiber für die tdltreiber sind.

Nicht wirklich, systemnahe Software braucht halt Treiber. wink.gif Alle decrypteten TDL4 Samples bestehen aus diesen Dateien - oft in denselben Versionen. Nur die wechselnde "Verpackung" (Dropper) lässt Signaturlösungen immer hinterhecheln und ist mal eins durchgerutscht und installiert fällt vielen durch die verwendeten Rootkittechniken eine Erkennung des aktiven Rootkits schwer. Obwohl es auch hier derzeit herstellerübergreifend Besserungen gibt. Spannend wird es IMO v.a. beim nächsten größeren TDL Update wieder.

ZITAT
welche av´s (außer den reinen hipslösungen) schützen denn deiner meinung nach sehr gut vor tdl4? oder sehen alle schlecht aus?
und wie ist eigentlich so die rootkiterkennung von gdata? die haben doch einige fortschritte gemacht (auch in sachen bb), oder?

Meinung, egal. Beobachtung: Wenn ich mir die VT-Erkennungen für die verschiedenen Dropper der letzten Monate anschaue, rutscht jedem AV mal eins durch, bei relativ neuen Samples ist die Erkennung oft irgendwo bei 1-7/42. Generelle Aussagen sind unmöglich, wenn dann nur in der Form, dass v.a. die großen vendors schneller entsprechende Erkennungen einpflegen.

Gescheite HIPS-Lösungen, und Anwender die damit umgehen können, sind derzeit sicher am effektivsten, auch der Verhaltensblocker von EAM(Mamutu) gibt recht eindeutige Meldungen aus. Von GDatas Blöckerchen kam verhaltensbasiert nichts - da war man auf die Signaturen angewiesen. (Ganz aufregende Diskussion dazu hatten wir HIER)


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 12.07.2011, 20:55
Beitrag #25



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



danke, habs geahnt. die meisten kommerziellen programme sind mal wieder nicht zu gebrauchen, wenns um das eingemachte geht.
interessant finde ich auch den kleinen disput zwischen kaspersky und microsoft bezüglich der einschätzung, wie unzerstörbar das tdl4-botnetz wirklich ist: http://winfuture.de/news,64217.html

ich weiß nicht so recht. zurzeit schwanke ich in sachen tdl4 ein wenig zwischen panikmache und sorge. es sind immer wieder die gleichen, die sowas so hoch pushen. viele hersteller nehmen das teil nicht mal richtig ernst und schreiben nichts darüber in ihre blogs. bei stuxnet hatten wenigstens alle mitgezogen ph34r.gif
Go to the top of the page
 
+Quote Post
SLE
Beitrag 12.07.2011, 21:18
Beitrag #26



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Es ist viel Panikmache dabei, wobei man bei TDSS/TDL folgende Punkte hervorheben sollte:
- professionelle Pflege und Updates des Rootkits (seit 2008!)
- wie war das vor TDL3 an ITW Rootkits die auf x64 funktionieren? wink.gif

Zur Debatte:
Da kommt ein Artikel auf Securelist, nicht der erste nicht der interessanteste zu TDL - aber er wird medial groß aufgegriffen und aufbereitet.
Unterschieden zwischen der Malware und dem daraus aufgebauten Botnetz wird in den oberflächlichen und effekthascherischen Folgeartikeln der Portale nicht mehr und ONV gewinnt den Eindruck hier ist etwas ganz neues und gefährliches im Anmarsch. ... man lese diverse Foren.

Die Fehlinterpretation von "unzerstörbar" rief dabei besonderes Echo hervor. So gibt es sogar eine Richtigstellung eines KL-Analysten. Die Autoren von TDL hätten gern ein unzerstörbares Botnetz (wer nicht?). Das sagte/meinte der Ursprungsartikel - nichts anderes. De facto sind TDL/TDSS aufspür und entfernbar...

Zum "hab's geahnt":
Ob es nun TDL ist oder irgendwas anderes - Signaturlösungen hinken immer hinterher, fertig. Und das manche viel Geschrei um ihren Verhaltensblocker machen, der nicht mal in der Lage ist die bekannten Verhaltensweisen des derzeit verbreitetesten Rootkis zu erkennen - naja unser "König" eben.

Zu "immer die gleichen":
Eher nicht, wobei es z.T. verständlich ist damit auch zu "werben". Aber gerade auf securelist gibt es schon seit geraumer Zeit interessante Artikel zum Thema... Wenn ich dagegen lesen was z.B. ESET teilweise zum Thema ablässt...die tun wirklich so, als läge etwas ganz neues vor und SIE hätten es aufgedeckt. Und auch der TDSS-Killer von KL existiert schon lange und wird fortwährend geupdatet. In letzter Zeit kommen TDSS-Entfernungstools auf einmal aus allen Ecken: Wachen andere auf - oder Marketing?


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 12.07.2011, 21:32
Beitrag #27



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



Ja, es scheint so, als bräuchten einige wieder ein wenig mehr rummel in der branche. Damit meine ich nicht nur die it-unternehmen selbst. Trotzdem: prevx ist neben eset auch immer so ein kandidat dafür. Die schreiben sich quasi schon das wort tdl allein in die fahnen.
Neu ist das ganze nicht wirklich und ich sehe es ebenfalls so, dass genau dieser umstand zu denken geben sollte, wenn man sich die ergebnisse der verbreiteten sicherheitslösungen nach versionswechseln anschaut.
Andererseits war tdl über lange zeit ein „nicht kommerzielles“ projekt. Vielleicht ist es auch deswegen weniger beachtet worden. Doch das soll sich ja im quartal 4/2010 geändert haben, wobei mich die niedrigen preise pro 1000 erfolgreichen infektionen schon wundern.
Macht auf mich den anschein, dass da mehr tüftler am werk sind, als leute, die es wirklich wie storm oder rustock darauf anlegen, in kurzer zeit so viele botuser wie möglich zu schaffen.

Und noch eine andere sichtweise: tdl hat nie die große beachtung auf der dunklen seite gefunden. Oder – und das könnte die angst wieder drastisch schüren – wir wissen davon einfach nichts. Ganz und frei nach dem motto: stille wasser sind tief!
Go to the top of the page
 
+Quote Post
Julian
Beitrag 12.07.2011, 23:02
Beitrag #28



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.794
Mitglied seit: 28.06.2007
Mitglieds-Nr.: 6.287

Betriebssystem:
Windows 7 x64
Virenscanner:
Sandboxie
Firewall:
NAT|Comodo (HIPS)



ZITAT(Schattenfang @ 12.07.2011, 22:31) *
Ja, es scheint so, als bräuchten einige wieder ein wenig mehr rummel in der branche.

Dass man das Botnet Dank P2P-Funktionen nur schwer abschalten kann, weil durch das Killen der zentralen CnC-Server auf diese ausgewichen wird, sollte man aber schon nicht vergessen.
Darum ging es ja in der Kontroverse. Man darf gespannt sein, was dann wirklich gegen das Botnet unternommen wird, aber bei dezentraler CnC-Struktur kann man sicherlich nicht so einfach mit einem Mal den großen Wurf landen, wie das bei früheren Botnets der Fall war.


--------------------
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 13.07.2011, 14:10
Beitrag #29



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



Die sollen doch froh sein das es Botnets gibt , so lässt sich die Sicherheitssoftware marketingträchtig verkaufen.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
markusg
Beitrag 13.07.2011, 16:40
Beitrag #30



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



ZITAT(Schattenfang @ 12.07.2011, 23:31) *
Ja, es scheint so, als bräuchten einige wieder ein wenig mehr rummel in der branche. Damit meine ich nicht nur die it-unternehmen selbst. Trotzdem: prevx ist neben eset auch immer so ein kandidat dafür. Die schreiben sich quasi schon das wort tdl allein in die fahnen.
Neu ist das ganze nicht wirklich und ich sehe es ebenfalls so, dass genau dieser umstand zu denken geben sollte, wenn man sich die ergebnisse der verbreiteten sicherheitslösungen nach versionswechseln anschaut.
Andererseits war tdl über lange zeit ein „nicht kommerzielles“ projekt. Vielleicht ist es auch deswegen weniger beachtet worden. Doch das soll sich ja im quartal 4/2010 geändert haben, wobei mich die niedrigen preise pro 1000 erfolgreichen infektionen schon wundern.
Macht auf mich den anschein, dass da mehr tüftler am werk sind, als leute, die es wirklich wie storm oder rustock darauf anlegen, in kurzer zeit so viele botuser wie möglich zu schaffen.

Und noch eine andere sichtweise: tdl hat nie die große beachtung auf der dunklen seite gefunden. Oder – und das könnte die angst wieder drastisch schüren – wir wissen davon einfach nichts. Ganz und frei nach dem motto: stille wasser sind tief!


wie kommst du darauf das tdss eine eher untergeordnete rollte gespielt hatt?
an den diversen foren haben wir schon seit 2,5 jahren mehr oder weniger stark damit zu tun.
letztes jahr war es laut microsoff die am häufigsten vorkommende malware auf deutschen pcs.
wenn man liest, das in dem botnetz 4,5 mio pcs eingebunden sind, würd ich jetzt mal behaupten das es das größte botnetz im moment ist, man möge mich koregieren.
naja, und zu den artikeln, wenn einer einen artikel schreibt, wo superlative wie "unzerstörbar" etc vorkommen, muss jeder hinterher hächeln.
das andere hersteller nichts im blog schreiben kann auch verschiedene gründe haben.
1. sie denken es ist schon alles gesagt :-)
2. sie wollen davon ablenken, dass ihre software dieses rootkit im aktieven zustand nicht erkennen kann.
zu den sicherheitsmaßnamen hatten wir ja schon einiges gesagt hier.
aus meiner sicht kommts nicht auf die schutz software an, sondern erst mal auf ein vernünftig konfiguriertes system (sandbox) etc
backup und dann die schutz software.
die signaturen kannst du sowieso meist vergessen, generiken werden schnell durchbrochen und wenn tdl nen größeres update erhällt werden evtl. auch noch verhaltensanalysen ausgetrickst.
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 13.07.2011, 17:24
Beitrag #31



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(markusg @ 13.07.2011, 17:39) *
wie kommst du darauf das tdss eine eher untergeordnete rollte gespielt hatt?

ja in security-foren wurde das vielleicht diskutiert. in der breiten öffentlichkeit kennt das teil keiner. storm oder zumindest conficker/stuxnet gingen richtig durch die medien. waren auch wesentlich größer mit viel mehr infizierten rechnern. von den wurmepidemien von früher brauch ich gar nicht mehr sprechen. da ist tdl doch eher überschaubar.
ich meine aber nicht nur die beachtung von der weißen seite, sondern auch von der schwarzen. tdl ist technologisch betrachtet ein geeignetes instrument für spionage. hat sich aber kaum einer dafür interessiert. stattdessen wird es "verscherbelt". wobei über 3 jahre gar kein kommerzielles interesse bestand
außer - wie ich schon sagte - stille wasser sind tief.

Der Beitrag wurde von Schattenfang bearbeitet: 13.07.2011, 17:26
Go to the top of the page
 
+Quote Post
SLE
Beitrag 13.07.2011, 17:35
Beitrag #32



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Bitte jetzt nicht noch Verschwörungstheorien...


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 13.07.2011, 17:41
Beitrag #33



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(SebastianLE @ 13.07.2011, 18:34) *
Bitte jetzt nicht noch Verschwörungstheorien...

confused.gif
das was ich sagen wollte ist nur, dass nach außen hin tdl uninteressant für die schwarze seite scheint. aber es könnte ja dennoch sein, dass wir das einfach nicht mitkriegen. keine verschwörungstheorie. nur differenzierung.
Go to the top of the page
 
+Quote Post
markusg
Beitrag 13.07.2011, 18:33
Beitrag #34



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



das wollte ich doch damit sagen, tdl wird schon lange genutzt. ich kann jetzt nur von den foren ausgehen, wo wir malware entfernen, tdl ist nichts neues, damit haben wir schon seit 2009 zu kämpfen.

ich wage zu bezweifeln, ohne es wirklich belegen zu können, das stuxnet weiter verbreitet ist als tdss. stuxnet hatt nur mehr aufmerksamkeit bekommen, da der "druck" dazu etwas zu schreiben enorm groß ist, wenn 10 zeitschriften /magazine was machen, müssen die andern auch drann.
und wenn das wort "waffe" bzw "cyber waffe" fällt, müssen die breiten medien auch rann, denn ein bericht mit dem begriff "waffe" lässt sich meist gut verkaufen :-)
siehst du ja jetzt auch, bei dem "unzerstörbaren botnetz" wo auch alle deutschen und bestimmt auch anders sprachige magazine aufspringen und ohne zu hinterfragen den artikel abschreiben und mit weiteren superlativen ausschmücken.
nehmen wir zb spyeye, hatt auch keine hohe medienpräsenz, ist aber trotzdem sehr häufig anzutreffen und kann, je nach ausstattung vielseitig eingesetzt werden, auch zur spionage.
ich denke da insbesondere ans abgreifen von zertifikaten, was natürlich nur interessant ist, wenn man nen software entwickler ausspäht.
und bankdaten natürlich

Der Beitrag wurde von markusg bearbeitet: 13.07.2011, 18:42
Go to the top of the page
 
+Quote Post
markusg
Beitrag 13.07.2011, 18:35
Beitrag #35



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



ZITAT(Schattenfang @ 13.07.2011, 19:23) *
ja in security-foren wurde das vielleicht diskutiert. in der breiten öffentlichkeit kennt das teil keiner. storm oder zumindest conficker/stuxnet gingen richtig durch die medien. waren auch wesentlich größer mit viel mehr infizierten rechnern. von den wurmepidemien von früher brauch ich gar nicht mehr sprechen. da ist tdl doch eher überschaubar.
ich meine aber nicht nur die beachtung von der weißen seite, sondern auch von der schwarzen. tdl ist technologisch betrachtet ein geeignetes instrument für spionage. hat sich aber kaum einer dafür interessiert. stattdessen wird es "verscherbelt". wobei über 3 jahre gar kein kommerzielles interesse bestand
außer - wie ich schon sagte - stille wasser sind tief.

ob tdl jetzt mehr zur spionage geeignet ist als andere rootkits kann ich dir nicht so genau beantworten.
aber ich denke eher nicht das das rootkit von regierungen in auftrag gegeben wurde.
man kann ja in einschlägigen foren alle möglichen dienstleistungen erwerben, die mit tdss bzw dem botnetz zu tun haben.
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 13.07.2011, 18:50
Beitrag #36



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(markusg @ 13.07.2011, 19:34) *
aber ich denke eher nicht das das rootkit von regierungen in auftrag gegeben wurde.

nein auf keinen fall. ich formuliere es mal andersherum: stell dir vor, ich entwickle ein rootkit, dass so fortschrittlich und technologisch hochversiert ist, dass es mit sämtlichen it-security-solutions kaum probleme hat. und das entwickle ich laufend weiter, optimiere und pflege es. doch niemand (von der schwarzen seite) scheint sich für dieses rootkit so recht zu interessieren, obwohl es doch so gut geeignet ist. letztendlich setze ich preise an, die für dieses business eher gering sind, damit ich damit wenigstens etwas anfangen kann.

wer findet den fehler? irgendetwas stimmt in der geschichte nicht. und daher könnte es sein, dass es sich bei eventuellen auftraggebern nicht um leute handelt, bei denen es gleich bekannt wird. ich spreche aber nicht von behörden oder regierungen. oder ich bin eine person, die gar nicht das ziel hat, das zu vermarkten. wäre doch beides möglich.
Go to the top of the page
 
+Quote Post
markusg
Beitrag 13.07.2011, 18:57
Beitrag #37



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



ich verstehe aber leider immernoch nicht, was dich auf die idee bringt.
dieses pdf zb:
http://www.damballa.com/downloads/r_pubs/D...nets_Report.pdf
sagt aus, das tdss das am weitest verbreitete botnetz ist.
obwohl du recht hast, das richtige wachstum gabs in 2010, aber gesehen wurde es vorher eig schon recht häufig.
über den preis kann ich dir nichts genaues sagen, aber es ist je nach ausstattung, so weit ich mich erinnere ähnlich teuer wie andere malware.
meistens wird ja noch rogue etc instaliert, um den gewinn zu maximieren.
ich denke auch die meisten av lösungen kommen einiger maßen zurecht mit tdss, wenn sie nen verhaltensschutz anbieten.
aber da sich noch viele mit dem teil infizieren, ist vllt keine größere entwicklung nötig im moment :-)

Der Beitrag wurde von markusg bearbeitet: 13.07.2011, 18:58
Go to the top of the page
 
+Quote Post
Schattenfang
Beitrag 13.07.2011, 19:03
Beitrag #38



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.701
Mitglied seit: 25.10.2010
Mitglieds-Nr.: 8.227

Betriebssystem:
Windows 10 Pro | x64
Virenscanner:
F-Secure
Firewall:
F-Secure



ZITAT(markusg @ 13.07.2011, 19:56) *
über den preis kann ich dir nichts genaues sagen, aber es ist je nach ausstattung, so weit ich mich erinnere ähnlich teuer wie andere malware.

für das, was tdl wert wäre, ist er gering. daher macht es auf mich den anschein, dass

a) jemand sich nicht bewusst ist, wieviel das ding wirklich wert ist oder
b) jemand andere lukrative auftraggeber hat, die wir nicht kennen oder
c) es dem erschaffer egal ist, weil er selbst andere ziele verfolgt oder
d) weil es konkurrenzkämpfe gibt.

microsoft wird das botnetz bald abstellen. wenn es einer kann dann die. waren bisher auch die einzigen.
Go to the top of the page
 
+Quote Post
markusg
Beitrag 13.07.2011, 19:18
Beitrag #39



Wohnt schon fast hier
*****

Gruppe: Mitglieder
Beiträge: 1.300
Mitglied seit: 11.02.2009
Mitglieds-Nr.: 7.357



na allein kann ms die server nicht offline bringen, da müssen lokale behörden mitarbeiten.
bei tdl scheint das schwieriger zu sein.
1. sind die cc server wohl sehr verteilt.
2. durch die p2p komponennte könnte das netzwerk auch ohne cc server laufen.
wegen der preise:
klar sind diese leute auch dem selben wirtschaftlichen regeln unterworfen wie ein normales unternehmen in der freiehen marktwirtschaft. das malware-geschäft macht sicher auch milliarden umsätze.
man versucht ja auch bei den meisten angriffen, soviel geld wie möglich raus zu hohlen.
also werbung, fake avs, datenklau und evtl. abhebungen vom konto, und dann halt noch vermietung des botnetzes für angriffe.
naja und wofür man fremde pcs sonst noch so nutzen kann, tdss ist da ja vielseitig
Go to the top of the page
 
+Quote Post
SLE
Beitrag 13.07.2011, 20:30
Beitrag #40



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.995
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Na aber hallo:
Sehen wir mal von der Verbreitung ab. Was soll an Stuxnet nicht berichtenswert gewesen sein??
Da treten große gefälschte Zertifikate auf, in Atomanlagen wird die Steuerung beeinflusst - zum Glück nicht in die falsche Richtung, höchstwahrscheinlich steckten Regierungskreise dahinter, wie die Verbreitung gelang wird immer noch gerätselt (die Theorien und Aussagen führender Sicherheitsunternehmen und -experten dazu sind sehr abenteuerlich). Auch wenn ich sonst ein großer Zahlenfreund bin: Das ist weitaus tragischer als ein paar Millionen infizierter PrivatPCs und verdammt nochmal gehört sowas berichtet.

__

Zurück zu TDL:
Was ist spannend daran? Die Ausdauer, die Qualität, der Sprung auf x64, die Anpassungsfähigkeit und Entwicklung... alles irgendwo. Man wartet doch im Prinzip nur darauf ob und was als nächstes kommt...

Wer dahintersteckt weiß niemand, sicher auch ein Grundstein für den Erfolg. Spekulieren ala "Es könnte sein..." bringt hier jedoch NULL.
Die Preise und Verkaufsstrategie: Es gibt genug Leute die sich damit auskennen und die eher nicht davon ausgehen das diese Angebote von den Machern kommen...

Von daher @Schattenfang: Was ist TDL denn "wert"? - aktuell nicht mehr viel, spannend ist was kommt!


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

3 Seiten V  < 1 2 3 >
Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 09:17
Impressum