Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Wurm und Erkennung
Rokop Security > Security > Trojaner, Viren und Würmer
fenriz
Also ich hab da mal eine Verständnissfrage. Ich bezeichen mich keineswegs als Profi aber denke das ich durchaus mit der Materie Malware und PC vertraut bin.
Jetzt GDATA auf einem USB Stick den Virus "Backdoor.Bot.77168 (Engine A)" entdeckt. Hab bei Virustotal& Co. nachgeschaut und war überrascht was in meinen Augen eigentlich zuverlässige Kandidaten wie zBsp. Kaspersky dazu hatten -> NIX.
LINK
Jetz hab ich auf einem meiner Testsysteme (derzeit NIS2010) mal den Wurm machen lassen und dann geschaut was Norton meint. Und da gibt es ja jetzt dieses Feature bei dem ersichtlich wird was der Schädling so alles in der Registry und in den Dateien veranstaltet. Schon erschreckend/estaunlich.
Für Leute wie mich ( für die meisten von Euch natürlich auch)jedoch nichts außergewöhliches, Malware eben. ph34r.gif
Aber erschreckender finde ich das oben genannte "Gute Programme" diesen gar nicht erkennen bzw nicht in ihrer List haben.
Was den Leuten passiert die sich in Sicherheit wähnen und dann, wie auch immer zu dieser Malware gelangen und somit infiziert sind finde ich jedoch absolut Krass. stirnklatsch.gif
Ja ich weiß Brain.exe und ein halbwegs gutes System+AV usw.
Aber wohin soll der Trend gehen? Braucht man einen großen Hersteller der eine Superengine verbaut oder wie soll das weitergehen??ß ph34r.gif

gruß feni
wink.gif
Voyager
Bei dem Dateiname als ausführbare Datei "3500_genuine_Serials_Of_Microsoft" wäre ich schonmal mißtrauisch das da NICHT das rauskommt was draufsteht.
Nightwatch
ZITAT(fenriz @ 17.08.2009, 15:11) *
Aber erschreckender finde ich das oben genannte "Gute Programme" diesen gar nicht erkennen bzw nicht in ihrer List haben.
Was den Leuten passiert die sich in Sicherheit wähnen und dann, wie auch immer zu dieser Malware gelangen und somit infiziert sind finde ich jedoch absolut Krass. stirnklatsch.gif


Hi smile.gif
Also ich finde die VT-Erkennung insgesamt doch in Ordnung. Von den großen "Namen" zeigen nur Kaspersky, NOD und Panda keinen Fund an, wobei man damit immer sehr vorsichtig sein muss. Die alte Leier von VT...oftmals sieht die Erkennung am Home-PC komplett anders aus.
Des Weiteren verfügen die genannten Programme über eine Advanced Heuristik bei der Dateiausführung und haben eine Programmkontrolle (bis auf Eset). Beide Features sind in der Lage, so eine Datei auch nachträglich abzufangen.

Natürlich gibt´s keine 100%ige Sicherheit. Malware-Samples, die durch sämtliche AV´s durchrasseln, hab ich aktuell zur Genüge. Ein ganzer Ordner mit über 600 Dateien. Alle ohne jegliche VT-Erkennung. Da helfen dann nur HIPS und Verhaltensblocker weiter.

Ansonsten stimme ich @Voyager zu. Ohne Brain.exe wird´s eh immer gefährlich.


Gruß,
Nightwatch
Habakuck
Kann meinen Vorrednern nur zustimmen.

Ohne Brain geht es nicht. (Das soll hier aber nicht das Thema sein)

Und die VT Auswertung ist 1. sogar noch recht positiv und 2. entspricht sie nicht immer dem was das AV auf dem Host erkennen würde. (sagte Nightwatch ja beides schon)
Außerdem ist das bei Vundo Derivaten eh immer so eine Sache. Da hast du Glück, dass G-DATA überhaupt was erkennt. Scheinbar ist die Datei nicht mehr ganz neu.
Jeden Tag entstehen so viele neue Vundo Versionen und Ableger das da keine Sau hinterher kommt.

Da hilft nur Verhaltensbasierte Analyse und Cloud Tech. PrevX beispielsweise hat als einziges AV alle Conficker Varianten erkannt ohne die Dateien bei sich im Labor analysieren zu müssen. Das ist schon eine Leistung.

Btw.: Hat jemand Lust das Sample mal gegen Mamutu zu schmeißen?
Rene-gad
ZITAT(fenriz @ 17.08.2009, 15:11) *
ich hab da mal eine Verständnissfrage.

Ich auch: Wo ist der Sinn der Sache? biggrin.gif Du postest am 17.08.2009 die VT-Ergebnisse vom 03.04.2009

BTT:
- Die verdächtige Datei scheint (dem Namen nach) ein Crack zu sein.
- Ist sie wirklich eine Bedrohung der Sicherheit oder lediglich der Urheberrechten ist für einen Roboter (in dem Fall- VT) nicht so leicht zu beurteilen, insbesondere wenn man die ganz unterschiedlichen Einstellungen der bei VT-teilnehmenden AVs in Betracht zieht.
- Kaspersky 7.0.0.125 war schon am 03.04.2009 obsolet.

Fazit: Schicke die Datei nach Avira, ESET, KL - dann wissen wir vllt. mehr smile.gif
fenriz
ZITAT(Rene-gad @ 28.08.2009, 15:45) *
Ich auch: Wo ist der Sinn der Sache? biggrin.gif Du postest am 17.08.2009 die VT-Ergebnisse vom 03.04.2009


Haha...haha. Ich hab die Datei bei VT hochgeladen und dann kam die Meldung wurde bereits analysiert (03.04,2009) usw. usofort.
Klugschwätzer thumbdown.gif
markusg
Und dann musst du auf erneut analysieren klicken, so erhälltst du das aktuelle Ergebniss.
Rene-gad
ZITAT(markusg @ 02.09.2009, 12:54) *
Und dann musst du auf erneut analysieren klicken

Die Betonung geht hier nämlich auf das Wort musst smile.gif.
In 4 Monaten wurden vllt. 4000 neuen Schädlinge entdeckt, Du Klugschwätzer thumbdown.gif
markusg
Was willst du denn jetzt von mir ich glaub ich spinne. Das ist ja echt lächerlich...
Rene-gad
ZITAT(markusg @ 02.09.2009, 16:57) *
Was willst du denn jetzt von mir ich glaub ich spinne. Das ist ja echt lächerlich...
Von Dir? Gar nix! Ich habe NUR Deinen Beitrag für TO zitiert... Wieso nimmst Du das auf Deine Kappe???
markusg
Sorry kam so rüber. Nichts für ungut!
Rene-gad
ZITAT(markusg @ 02.09.2009, 17:19) *
Sorry kam so rüber.

Peace markusg cheers.gif
fenriz
Ich hatte das natürlich am selben Tag dann auch noch hochgeladen und es kam das exakt selbe Ergebniss.
Das bewegte mich ja dann auch zu meinem Posting/Thread. Hatte ich das nicht geschrieben ->SORRY

Was wäre den nun die Folgerung bezgl der Malware ??
Rene-gad
ZITAT(fenriz @ 03.09.2009, 00:21) *
Was wäre den nun die Folgerung bezgl der Malware ??

Ich zitiere mich selbst sehr ungerne, aber:
ZITAT
Schicke die Datei nach Avira, ESET, KL - dann wissen wir vllt. mehr
Hast Du's getan?
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.