Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> GVU-Trojaner - Neu Varianten
Kaeras
Beitrag 18.07.2013, 09:01
Beitrag #1



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 177
Mitglied seit: 08.01.2011
Mitglieds-Nr.: 8.320

Betriebssystem:
Win10 Pro x64
Virenscanner:
ESET IS + HMP.A
Firewall:
ESET IS



AKTUELL:
Neuer Erpressungs-Trojaner dreht seine Runden
http://www.heise.de/newsticker/meldung/Neu...en-1919498.html

VORHERIGE NACHRICHT DAZU:
GVU-Trojaner bittet Raubkopierer zur Kasse
http://www.heise.de/newsticker/meldung/GVU...se-1476093.html


Virustotal-Link (von Heise) mit den Ergebnissen:
https://www.virustotal.com/de/file/e293278b...sis/1374069504/

Zitat von Heise.de
ZITAT
Tatsächlich erkannten auf VirusTotal gestern nur 5 von 45 Scan-Engines die hochgeladene Malware als Trojaner. Heute sind es immerhin schon 15; Symantec gehörte um 16 Uhr noch nicht dazu.


Erkennungsrate 18.07.2013: 15 / 45
McAfee
Malwarebytes
TrendMicro-HouseCall
Avast
Kaspersky
DrWeb
VIPRE
AntiVir
McAfee-GW-Edition
Sophos
Kingsoft
VBA32
ESET-NOD32
Fortinet
AVG


Erkennungsrate 17.07.2013: 05 / 45
?????



1. Weiß jemand wer die 5 waren die direkt geschützt hatten?

2. Dass Norton/Symantec, GDATA, Agnitum, Emsisoft, Comodo, F-Secure, TrendMicro, Panda und selbst Bitdefender (also im Prinzip ALLE Großen ausser Kaserpsky!) 1 Tag später o.g. Trojaner immer noch nicht erkennen macht mich ehrlich gesagt etwas sprachlos. Die Bitdefender-Engine scheint auch komplett zu "versagen".

3. EDIT: Beim Vergleich der Erkennung der ALTEN und der NEUEN Variante fällt mir auf das weder die ALTE noch die NEUE Variante von Agnitum, Norton/Symantec, Emsisoft, F-Secure, TrendMicro und Panda erkannt werden, selbst die ALTE Variante wurde nur von 11 / 46 Scannern erkannt. Kann man davon ausgehen, dass heute wenigstens schon die ALTE Variante von allen erkannt wird? Ehrlich gesagt schockt mit das ein wenig *g* Zumal ich gerade von Emsisoft da mehr erwartet hätte. Oder hätte in dem Falle der Infektion bei Emsisoft ein anderer Programmteil alarmiert bzw. ein Infektion verhindert?


EDIT: Sorry, gerade erst gesehen das es einen veralteten Thread (von der ersten Variante) gab ...
http://www.rokop-security.de/index.php?showtopic=22891

Virustotal-Auswertung der alten Variante 11 / 46:
https://www.virustotal.com/file/9c16a65b3ee...83fa3/analysis/

Der Beitrag wurde von Kaeras bearbeitet: 18.07.2013, 09:26
Go to the top of the page
 
+Quote Post
SLE
Beitrag 18.07.2013, 09:59
Beitrag #2



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Ich würde mich von dem journalistischen Hype nicht verrückt machen lassen...
Von den Dingern kann man mindestens wöchentlich mal mehr mal weniger neue Varianten zeigen und unterschiedlichste VT Ergebnisse, wo mal der, mal der und mal gar keiner was erkennt.

Das sagt nicht so viel aus, da
(1) du ganz leicht an eine Modifikation geraten kannst, bei der auch die aktuellen VT Erkenner versagen
(2) VT Ergebnisse nie zum Vergleich taugen (unterschiedliche Updatestände, verschiedene Einstellungen etc.) Steht auch klar bei VT auf der Seite.
(3) Zahlreiche Produkte das was die Dinger anstellen mittlerweile verhaltensbasiert erkennen
(4) Wenige Produkte (bsp. KIS 2014) auch Mechanismen mitbringen um das System dennoch leicht zu booten und die Dinger zu entfernen.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Kaeras
Beitrag 18.07.2013, 11:08
Beitrag #3


Threadersteller

Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 177
Mitglied seit: 08.01.2011
Mitglieds-Nr.: 8.320

Betriebssystem:
Win10 Pro x64
Virenscanner:
ESET IS + HMP.A
Firewall:
ESET IS



Danke SLE.

Gerade KIS / Kaspersky fällt ja oft positiv bei der Erkennung solcher Malware auf. Allerdings hat dies meiner Meinung nach auch einen Preis in Form von Inkompatibilität. Ich hatte bisher mit keiner AV-Software so viele Probleme (Ich spiele oft MMOs / MMORPGs gerade dort gab es mit Kaspersky bei mir sehr viele Probleme) wie mit Kaspersky. Kann es sein das Kaspersky da oft einen Schritt zu tief ins System eingreift, zwar zum Wohle des Schutzlevels aber zu Lasten der Kompatiblität?
Go to the top of the page
 
+Quote Post
Kenshiro
Beitrag 19.07.2013, 04:02
Beitrag #4



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 5.312
Mitglied seit: 02.04.2005
Wohnort: Localhost
Mitglieds-Nr.: 2.320

Betriebssystem:
W7 Home[x32]
Virenscanner:
KTS v19.0.x
Firewall:
KTS v19.0.x



VT Erkennung 18.07.13 14:10 h = 27/46


--------------------
Dr. Web live
Dr. Web´s History

"Kenshi" sagt sayonara
Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort]


Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden."
[Jewgenij Kaspersky]

Ubuntu Beryl Matrix 3D Desktop
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 19.07.2013, 09:56
Beitrag #5






Gäste






Symantec immer noch nicht. thumbdown.gif
Go to the top of the page
 
+Quote Post
SLE
Beitrag 19.07.2013, 13:42
Beitrag #6



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



ZITAT(florian5248 @ 19.07.2013, 10:55) *
Symantec immer noch nicht. thumbdown.gif

Irrelevant, mal die FAQs von VT lesen.

Außerdem: Trojan.Gen
Angehängte Datei  2013_07_19_143854.png ( 1.06KB ) Anzahl der Downloads: 41


Und von Anfang an gibt es das:
Angehängte Datei  2013_07_19_143914.png ( 3.87KB ) Anzahl der Downloads: 67


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 19.07.2013, 17:20
Beitrag #7






Gäste






Oh danke SLE. thumbup.gif

In Zukunft werde ich das näher sichten. wink.gif
Go to the top of the page
 
+Quote Post
brommer1
Beitrag 20.07.2013, 09:08
Beitrag #8



Kennt sich hier aus
***

Gruppe: Mitglieder
Beiträge: 180
Mitglied seit: 04.09.2007
Wohnort: Niederlande
Mitglieds-Nr.: 6.400

Betriebssystem:
Windows 8.1



Symantec: https://www.symantec.com/security_response/...ions/certified/



Der Beitrag wurde von brommer1 bearbeitet: 20.07.2013, 16:47
Go to the top of the page
 
+Quote Post
Gast_florian5248_*
Beitrag 20.07.2013, 15:59
Beitrag #9






Gäste






@brommer1,

magst du mal den Beitrag #6 von SLE anschauen. rolleyes.gif Fällt dir jetzt was auf. Genau das was du geschrieben hast. Kann bei dem Wetter aber vorkommen. wink.gif
Go to the top of the page
 
+Quote Post
simracer
Beitrag 29.10.2013, 20:51
Beitrag #10



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



Aufruf bzw Benutzung des Links auf eigene Gefahr: hier: hxxp://5.254.101.58/40/movie1080p.mkv.exe werden wieder GVU, BKA Ransoms hochgeladen und wohl alle paar Tage(oder noch öfter)jeweils andere Varianten/Files dieser Ransoms dort "eingestellt".


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 10.11.2013, 13:59
Beitrag #11



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



Edit

Der Beitrag wurde von simracer bearbeitet: 10.11.2013, 13:59


--------------------
Go to the top of the page
 
+Quote Post
Sasser
Beitrag 11.11.2013, 09:07
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.764
Mitglied seit: 31.07.2006
Wohnort: Hamburg
Mitglieds-Nr.: 5.175

Betriebssystem:
W7 Prof. /Linux div.
Virenscanner:
F-Secure / Eset
Firewall:
Router



whistling.gif @Kaeras

Man muss nur lang genug warten und immer mal wieder probieren...jetzt wo die 2014 mit allem aneckt, läuft die 2013 KAV mit Outpost Pro und Emisoft Antimaleware 8.1 wunderbar harmonisch...sofern du KAV zuerst instalierst und dann erst Outpost und Emisoft...diesen dann aber ohne Verhaltensschutz laufen läßt, denn das erledigt ja Kaspersky wie wir lasen sehr schön !

Um zu dem Thema noch was zu sagen...mit Comodo oder bei meiner Konstellation mit Bitbox oder Sandboxie...kann dieser Trojaner nicht raushüpfen...grins.

Der Beitrag wurde von Sasser bearbeitet: 11.11.2013, 09:10


--------------------
Sicherheit ist kein Zustand sondern ein stetiger Prozess.

Das Leben ist ein Stirb und Werde.










Go to the top of the page
 
+Quote Post
Solution-Design
Beitrag 13.11.2013, 04:57
Beitrag #13



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 11.168
Mitglied seit: 28.11.2004
Mitglieds-Nr.: 1.621

Betriebssystem:
Windows 10 pro x64
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Sandboxie | cFos



ZITAT(Sasser @ 11.11.2013, 09:06) *
...wie wir lasen sehr schön !


Sorry biggrin.gif

Plusquamperfekt
ich hatte gelesen
du hattest gelesen
er hatte gelesen
wir hatten gelesen
ihr hattet gelesen
sie hatten gelesen


--------------------
Yours sincerely

Uwe Kraatz
Go to the top of the page
 
+Quote Post
simracer
Beitrag 16.11.2013, 10:07
Beitrag #14



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



ZITAT
I know. Die "Tests" die ich von dir dazu für OA kenne, zählen aber schon das Popup "kenne das File nicht" als Schutz und das HIPS wird somit gar nicht getestet... whistling.gif

ZITAT

Um dir auf die Aussage in dem Thread dort(wo es ja um Norton gehen sollte und nicht um Ransoms, deshalb meine Antwort hier)zu antorten SLE: ich habe die letzten Tage wieder mal Ransoms von der von olli verlinkten Webseite runtergeladen und ausgeführt um zu sehen ob und wie Avast Free und/oder OA Free reagieren. Gleich vorweg: OA Free reagierte und brachte bei den Files der letzten Tage keine Abfragefenster. Als ich die Files ausführen wollte(das letzte vor 10 Mnuten, von dem sind auch die Screenshots und der VT Link)reagierte OA Free jedes Mal so wie auf den Bildern zu sehen ist und verbot automatisch ohne das ich hätte eingreifen können/müssen das Ausführen der Ransom Files:

Anbei noch der VT Link des "jüngsten" Ransom Files: https://www.virustotal.com/de/file/29d79791...sis/1384591416/

Der Beitrag wurde von simracer bearbeitet: 16.11.2013, 10:09


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 17.11.2013, 14:15
Beitrag #15



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



@simracer: Also hast du nicht die HIPS Funktion getestet, dass automatische verbieten erfolgt ja weil das File bekannt ist. Also reaktives testen.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 17.11.2013, 15:01
Beitrag #16



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



Ich hab einfach das runtergeladene File Ausführen wollen SLE und Online Armor reagierte bei den letzten 3 oder 4 Files so wie bei dem jetzigen. Bei anderen vorherigen Files kamen manchmal die Unknown Abfragefenster(die du ja angesprochen hattest), manchmal aber auch ein rotes Abfragefenster mit einem wie ich finde deutlichesn Hnweis auf einen Virus darin. Was genau muss ich jetzt aber unter reaktiv verstehen confused.gif welche Komponente von Online Armor ist für die reaktive Reaktion verantwortlich?

Der Beitrag wurde von simracer bearbeitet: 17.11.2013, 15:04


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 17.11.2013, 15:10
Beitrag #17



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Das Anti-Malware Network von Emsisoft, wird ja beim Programmstart abgefragt.

unbekanntes Programm >> Meldung "kenne das Programm nicht"
bekanntes bösartiges Programm >> Blockierung (das ist reaktiv).

In beiden Fällen testet man keinerlei proaktive HIPS Funktionalitäten.


--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post
simracer
Beitrag 17.11.2013, 15:13
Beitrag #18



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



Wieder was gelernt. Danke SLE thumbup.gif


--------------------
Go to the top of the page
 
+Quote Post
simracer
Beitrag 17.11.2013, 15:53
Beitrag #19



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 3.091
Mitglied seit: 17.03.2012
Mitglieds-Nr.: 9.353

Betriebssystem:
Windows 7 64 bzw. 10 64
Virenscanner:
Avast Antivirus Free
Firewall:
Comodo Firewall 11



ZITAT
unbekanntes Programm >> Meldung "kenne das Programm nicht"
bekanntes bösartiges Programm >> Blockierung (das ist reaktiv).

Gehört das dann nicht zum Programmschutz von Online Armor?


--------------------
Go to the top of the page
 
+Quote Post
SLE
Beitrag 17.11.2013, 16:13
Beitrag #20



Gehört zum Inventar
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 3.994
Mitglied seit: 30.08.2009
Wohnort: Leipzig
Mitglieds-Nr.: 7.705

Betriebssystem:
Win10 Pro (x64)
Virenscanner:
none | Sandboxie
Firewall:
WinFW



Ja aber hat nichts mit HIPS zu tun, sondern nur um das HIPS ruhiger zu gestalten. Das eine ist Reputation, das andere Blacklisting..




--------------------
Don't believe the hype!
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 23.10.2018, 09:38
Impressum