Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[simracer]

Irrtum SLE, die Testfiles hab ich nicht mehr, die wurden von mir mit TuneUP Schredder gelöscht. Wenn, dann müsste ich die mir erst wieder runterladen und sorry im Moment hab ich dazu keine Lust mein System absichtlich damit auseinderzusetzen. Vielleicht erinnerst du dich auch daran was markusg dazu schrieb: http://www.rokop-security.de/index.php?s=&...st&p=363520 und ich habe nur einen PC hier stehen und keinen Testrechner da.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 22:50

[SLE]

Na dann, hoffentlich kommen nicht mal ähnliche vorgehende, besser getarnte Schädlinge auf deinen PC.

[simracer]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren? wieder solche Files auf meinem Arbeitsrechner auszuführen um zu sehen wie meine Schutzsoftware darauf reagieren würde wenn ich bei dieser Einstellungen ändere.

[Xeon]

Uwe, jetzt lass dich doch hier von dem Unfug nicht verrückt machen.

[simracer]

Lasse ich mich auch nicht Xeon

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 23:59

[DarkProjekt]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren?

Er bemüht sich, dir ausführlich zu erklären, was du da auf deinem Rechner veranstaltest.

Auch Wenn du vor lauter Langeweile und üppig vorhandener Tagesfreizeit keine andere Beschäftigung findest als deinen Hauptrechner zu infizieren um "interessante" Foreneinträge generieren zu können, empfehle ich dir die Installation von Virtual Box.
Kostenlos, leicht zu konfigurieren und die ideale Plattform, halbwegs sicher Erfahrungen verschiedener Security Lösungen in deinen 4-5 favorisierten Foren in Form von täglichen Berichten bereitzustellen und dabei trotzdem nicht zur Virenschleuder zu mutieren, der sich u.a. ahnungslos seine Passwörter klauen lässt.

[markusg]

Hi, Malware auf dem Produktiv System laufen zu lassen, ist aus meiner Sicht, keine gute idee. Nen Vorwurf war das nicht, nur ne Feststellung

Der Beitrag wurde von markusg bearbeitet: 30.11.2012, 00:06

[SLE]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren? wieder solche Files auf meinem Arbeitsrechner auszuführen um zu sehen wie meine Schutzsoftware darauf reagieren würde wenn ich bei dieser Einstellungen ändere.

Natürlich ist das leichtsinnig hoch x. Weil auch in der Zeit bis dein Image zurückgespielt wurde genug passieren kann. Nur du machst es ja trotzdem und hast uns so hier allen gezeigt, dass dein Schutzkonzept sehr anfällig ist - du musst nur irgendwie an den richtigen Dropper kommen. Du bist aber schon zufrieden wenn irgendwelche Spiele laufen und nicht wenn dein PC geschützt ist. Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.

Der Beitrag wurde von SLE bearbeitet: 30.11.2012, 00:13

[simracer]

Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.

Punkt 1: Wenn bei Avast die Autosandbox und auch die Comodo Sandbox aktiviert ist und das File aus Link 1 ausgeführt wird, wird das File automatisch in der Avast Autosandbox ausgeführt und analysiert und dann von Avast in dessen Quarantäne verschoben.
Punkt 2: das fast gleiche Szenario mit dem File aus Link 2 nur mit dem Unterschied das nun die Comodo Sandbox deaktiviert war. Ergebnis: siehe Punkt 1 das File wird automatisch in der Avast Autosandbox ausgeführt und analysiert und dann ebenfalls in die Quratäne verschoben.
Punkt 3: Die Comodo Sandbox ist noch deaktiviert aber die Avast Autosandbox steht nun auf Nachfragen: Beim ausführen des Files aus Link 2 geht ein Fenster der Avast Autosandbox auf in dem empfohlen wird das File in der Avast Autosandbox auszuführen und wenn ich das bestätigt habe sehe ich das der Prozess AvastServive exe wohl abschmiert und das Fake Antivirus aktiv werden kann und da Avast(und Comodo)versagen. Falls du es nicht glaubst SLE, hol dir die 2 Files aus den Links, installiere dir Avast Free und teste es selbst(du hast bestimmt einen Testrechner oder ein virtuelles System wo du das machen könntest wenn du wolltest)

Avast ist zu schwach dafür

Ich behaupte nein Avast ist nicht zu schwach dafür und habe mittlerweile eingesehen das die Avast Autosandbox eine effektive Verrteidigungsfunktion sein kann und werde diese künftig aktiviert lassen mit der Einstellung Auto.

Der Beitrag wurde von simracer bearbeitet: 30.11.2012, 01:53

[Gast_Scrapie_*]

Hat einer mal die versch. Generationen miteinander im Hex verglichen?


Scrapie

[SLE]

@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.

File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.

@Scrapie
Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht.

Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten.

[Gast_Scrapie_*]

@SLE:
Cheers !
Hatte es so verstanden, dass immer leicht veränderte Varianten hochgeladen werden. Vor ein paar Jahren (Ende 2008) war das der Fall unter 218.93.205.xxx (blueX weiß es bestimmt noch ). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.
Die Erkennung war immer gegen Null und wenn die Hersteller dann innerhalb der Woche ne generische Erkennung gebastelt hatten, dann kam die nächste Welle. War ganz lustig das "Hamster-Rad" aka Signaturerkennung über einen so langen Zeitraum hin zu verfolgen ...

Scrapie

[Schattenfang]

Uwe, Prozesse einfach so auf eine Whitelist zu schieben bringt Dir keine Sicherheit. Ich kenne Comodo nicht, aber wenn sie damit komplett aus der Überwachung raus sind, dann hast Du selbst das zusätzliche Schutzlevel durchbrochen. Von daher würde ich an Deiner Stelle die Konfiguration überprüfen und mich in die Materie einlesen. Ein Hips (oder ähnliche Systeme) zu verwalten und einzustellen dauert, das ist ganz normal. Ich habe bei Appguard ca. sechs Stunden dafür gebraucht und selbst da sind mir noch immer wieder kleine Sicherheitslücken aufgefallen, die ich nachbessern musste.
Aber im Allgemeinen gilt: Personen, die das Wissen haben brauchen kein Hips. Personen, die das Wissen (noch) nicht besitzen, hilft ein Hips nicht. Es gibt andere kostenlose Programme, die einfacher zu bedienen sind und Dir mehr als Scheinsicherheit bieten. Dein Vorgehen in diesem Fall ist fahrlässig. Wenn Dir das egal ist, dann kannst Du gleich die zusätzlichen Computerressourcen freigeben und Comodo deinstallieren - kommt auf das selbe raus.

[SLE]

@SLE: Hatte es so verstanden, dass immer leicht veränderte Varianten hochgeladen werden. Vor ein paar Jahren (Ende 2008) war das der Fall unter 218.93.205.xxx (blueX weiß es bestimmt noch ). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.

Jepp, dachte auch erst hier ist es sowas. Hatten hier dieses Jahr (muss hier bei Rokop in irgensonen Sammelthread stehen - VT Thread oder infizierte Webseiten) auch so einen Fall wo je Download ein individueller Dropper generiert wurde, leichteste Variationen im HEX aber die AVs hatten enorm zu kämpfen.

[simracer]

@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.

File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.

Ein paar Fragen hätte ich dazu noch SLE: kann es daran gelegen haben das Avast scheiterte weil bei den ersten Tests bei mir zum einem die Autosandbox zuerst nicht aktiviert war und beim nächsten Testversuch die Autosandbox auf Nachfragen stand und nicht auf Auto? Denn komischerweise reagierte Avast ja gestern bei den letzten 2 Tests mit den 2 Files mit eingeschalteter Autosandbox im Auto Modus so das die Files gleich in der Sandbox landeten, dort analysiert wurden und dann in Quarantäne verschoben wurden. Die nächste Frage betrifft Comodo: kann der Spiele-Modus daran Anteil haben das das Comodo HIPS Defense+ nicht reagiert und/oder die Einstellungen für die Firewall und Defense+ die beide auf Sicherer Modus stehen? wäre es besser wenn ich jeweils Trainings oder Paranoid Modus wählen würde?

[Gast_claudia_*]

bin zwar nicht Sebastian kann aber auch deine Fragen zum Teil beantworten.
1. dein erster und entschiedener Fehler mit der Autosandbox von Avast war, nicht nach dem aktivieren neu zu booten.
2. es macht keinen Unterschied ob Auto oder Nachfragen

In der Standardeinstellung wird ein zu startendes Programm, das avast! als verdächtig einstuft, automatisch in dieser Sandbox ausgeführt. In den Einstellungen der AutoSandbox kann dies geändert werden, so dass Avast! zuerst nachfragt. Wenn Sie dabei "In Sandbox ausführen" wählen, wird das Programm in der Sandbox gestartet und kann dort Ihrem System keinerlei Schaden zufügen.

( mit Heuristik auf Hoch und PUP Erkennung an, ist die Erkennung deutlich besser ohne fehleranfällig zu sein )

zu Comodo
die Firewall Einstellung würde ich auf Eigene Richtlinie stellen um mehr Kontrolle zu haben
die Autosandbox erhöht nicht zwangsläufig die Sicherheit aber deutlich den Komfort
Ohne Sandbox kommen halt die HIPS Abfragen recht häufig und dann hängt es halt von deinem Wissen ab, die richtige Entscheidung zu treffen
Mit Sandbox den Grad der Einstellung der Ausführungskontrolle was ein Programm innerhalb der Sandbox so darf und was nicht. 5 Stufen stehen zur Auswahl.

• Partially Limited (Default) - The application is allowed to access all the Operating system files and resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged operations like loading drivers or debugging other applications are also not allowed.

• Limited - Only selected operating system resources can be accessed by the application. The application is not allowed to execute more than 10 processes at a time and is run with out Administrator account privileges.

• Restricted - The application is allowed to access very few operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.

• Untrusted - The application is not allowed to access any of the Operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.

• Blocked – The application is not allowed to run at all.

Der Beitrag wurde von claudia bearbeitet: 30.11.2012, 15:14

[simracer]

Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus.

[SLE]

2. es macht keinen Unterschied ob Auto oder Nachfragen

Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte.
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.

Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus.

Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen?

Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.

[simracer]

Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte.
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.

SLE, es kann aber auch daran gelegen haben was claudia schrieb: nämlich das das System hätte rebootet gehört nachdem ich die Autosandbox aktiviert hatte und ich hatte ja nicht das System rebootet.

Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen?

Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.

Ich schaue mir jetzt mal den Trainings-Modus an, das scheint ein guter Kompromiss zu sein zwischen Paranoider Modus und Sicherer Modus und ich will mich ja mit dem HIPS der Comodo auseindersetzen, will sehen wenn Abfragefenster kommen und dann darauf reagieren wenn ich sehe was für eine Anwendung/Aktion in den Fenstern gemeldet wird.

[Gast_claudia_*]

D+ ist der Sichere Modus die richtige Einstellung! Trainingsmodus wie der Name schon sagt trainierst du dein HIPS (alles wird erlaubt und Regeln erstellt)

@Sebastian Uwe hätte neu booten müssen, damit die Sandbox auch richtig funktioniert.