Hilfe - Suche - Mitglieder - Kalender
Vollansicht: neue Messenger Virus
Rokop Security > Security > Trojaner, Viren und Würmer
markus17
Hab ich gerade vor ein paar Minuten von einem Kollegen zugesand bekommen:
QUELLTEXT
u'r foto?? haha :Phxxp://myspace-photos.info/viewimage.php?=mailadresse


Das ganze kam ungefähr 8 mal mit allen möglichen E-Mailadressen aus seinen Messengerkontakten. Ich wollte den Link eigentlich kopieren, bin dann aber aus versehen drauf gekommen. Jetzt hoffe ich mal, dass da noch nix geladen wurde, denn im Firefox kam nur "Seite konnte nicht angezeigt werden". xD

In der VM gab es auf jeden Fall unter den Links folgendes File: (Erkennung: sehr bescheiden)
http://www.virustotal.com/analisis/bf8cc16...b290-1250531993

*edit*
G Data löscht das Ding beim Ausführen durch den "Verhaltensblocker".
chris30duew
Hut ab, Kaspersky erkennt es mit seiner guten Heuristik als:

HEUR:Trojan.Win32.Generic

die Seite wird gar nicht erst geladen thumbup.gif
Voyager
Das ist eine Cab Sfx , drinn ist eine Reptile.exe

mal in der VM testen
chris30duew
kannst du es wenns dir spass und laune macht auch mal mit panda 2010 testen wenn du dabei bist? da ich selber nur produktivsystem habe und keine VM drauf. nur wenn du magst

gruss chris
Voyager
Sehr nett ... trägt irgend so ein stinkiges Fake in den Autorun ein , öffnet die Myspace Webseite und verbreitet sich laut Beschreibungen dann auch noch wie ein Wurm über Instant Messenger weiter.


http://www.abload.de/img/2gtfd.jpg

Sonar2 kann die Infektion auch aufhalten, laut Hijackthis gab es keine Infection im Autorun.
markus17
Antibot meldet sich auch, wobei ich jetzt nicht kontrolliert habe, ob es auch alles entfernt.
ZITAT
Das ist eine Cab Sfx , drinn ist eine Reptile.exe

Jep und die oben gepostet Seite verweist dann auf diese: hxxp://www.sycamorecanyonschool.com/calendar/images/lol/viewimage.php?= und hier bekommt man dann auch das infizierte File. Von alleine startet sich bei mir aber zum Glück nix. xD
Voyager
ZITAT
wobei ich jetzt nicht kontrolliert habe, ob es auch alles entfernt.


kontrolliere mal ob du die Sachen aus dem Bild noch auf dem PC findest.
Nightwatch
Deepguard bleibt im Automatikmodus mal wieder stumm und erlaubt fleißig no.gif :

Voyager
Da ist das türkische GüData besser dran wink.gif




Hier muss der User allerdings lesen und interagieren , bei NIS2010 müsste der User nichts machen.
Xeon
Symantec's Sonar (Version 2009) bleibt hier still, aber der hier immer wieder "belächelte" Verhaltensblocker von G Data erkennt hier korrekt eine Bedrohung.
Da scheint G Data mit ihrem Verhaltensblocker wohl doch nicht so schlecht zu liegen.... whistling.gif
markus17
ZITAT(Voyager @ 17.08.2009, 21:10) *
Da ist das türkische GüData besser dran wink.gif




Hier muss der User allerdings lesen und interagieren , bei NIS2010 müsste der User nichts machen.

Auch wenn sich der Verhaltensblocker von G Data größten Teils nur bei speziellen Autostartkonstellationen meldet, wird in diesem Fall zumindest nichts installiert und es werden hoffentlich alle User das File in Quarantäne stecken. Hier hat der User nämlich noch keine Vorstellung, was sich in der Datei befinden soll.

Bei Rogueprogrammen wird dem User ja bereits vorher vorgegaukelt, dass er infiziert ist und deshalb AntivirusXP braucht. Hier ist die Gefahr sicher größer, dass Meldungen vom AV ignoriert werden.
Voyager
@Xeon

Das sind aber nur vereinzelte Ausnahmen bei Gdata wo rechts diese Meldung kommt , genau wie bei Sonar2009 welches auch nur bei bestimmten Regelverstössen reagiert.
Mit der neuen SonarVersion wirst du aber passen müssen ... aber vll. fällt Gdata ja auch nochmal etwas neues ein.

http://www.abload.de/img/sonar2010tytw.jpg
http://www.abload.de/img/sonar2010._1az7x.jpg
http://www.abload.de/img/sonar2010._2ll7q.jpg
http://www.abload.de/img/sonar2010._3nl5p.jpg
http://www.abload.de/img/sonar2010._4hyql.jpg
Habakuck
Jens, kannst du das file mal gegen Mamutu testen? Das würde mich sehr interessieren.

Nur leider scheint Mamutu in der Sandbox nicht zu funktionieren daher kann ich das (Mangels einer VM) hier nicht testen...
chris30duew
Bitdefender 2010 blockiert das Ausführen des Files übrigens via Verhaltenserkennung da es ja nicht per Signatur erkannt wird.
markus17
Bitdefender 2010? Wie sieht so eine Meldung bei Bitdefender aus? ... ich habs noch gar nicht getestet. smile.gif
Voyager
Genau , wir wollen doch alle was sehen wink.gif Eine kurze Erklärung zu dem Bild wäre dann auch nicht schlecht.
blubber
NOD32 sagt absolut nix dazu. rolleyes.gif
chris30duew
Aber bitte wird gern nachgeliefert rolleyes.gif

Wie gesagt das File an sich wird beim runterladen nicht beanstandet da es nicht in den Signaturen ist, aber sofort nach dem doppelklick zum Ausführen kommt die Meldung von Bitdefender die ich nun im Anhang habe.

Gruss Chris

PS nicht über die Zeit wundern die im Bild zu sehn ist in der Taskleiste, irgendwie geht die ne Stunde nach whistling.gif
Hab ich grad korrigiert.
markus17
Erstens finde ich es mal gut, dass der Verhaltensblocker von Bitdefender das File beanstandet. Leider fehlt es dem Popup etwas an Information.

Danke für den Screenshot. thumbup.gif
Habakuck
Mag jemand Mamutu testen?

Ich kann hier leider nicht weil es scheinbar in der Sandkiste nicht anspringt...
markus17
Ich hab hier leider kein A-Squared/Mamutu... Morgen kann ich einen kleinen Test nachreichen. -> Ich hau mich jetzt aber hin, muss morgen schließlich wieder früh auf. biggrin.gif
Habakuck
Danke schonmal! smile.gif Und gute Nacht.

Das ist mal ein Sample an dem wirklich Zero Day Arbeit gezeigt werden kann...
Solution-Design
Mamutu meldet zuerst einen Autostart, wenn man das Verhalten beobachtet kommt igrendwas mit Lan Bypass Backdoor. Alles schön und gut, aber erstens gibt es keine Regel wie zum Beispiel bei AntiBot oder Sonar 2, welche das Teil selbstständig blockiert und zweitens wird "Verhalten erlauben, Regel erstellen" vorgegeben. Eine echte Schwachstelle, welche so langsam wirklich bereinigt werden sollte.
Habakuck
Vielen Dank für den Test!

Was für ein Autostart? Das das Programm versucht einen Autostart Eintrag zu schreiben oder das es sich automatisch startet?
LAN Bypass Backdoor hört sich doch gut an. thumbup.gif
Voyager
ZITAT
Was für ein Autostart? Das das Programm versucht einen Autostart Eintrag zu schreiben oder das es sich automatisch startet?


http://www.rokop-security.de/index.php?s=&...st&p=282702
vermutlich den auf dem Bild.
Habakuck
Jo das denke ich auch. Wollte nur nochmal genau nachfragen. Man hat selten das Glück wirklich so richtig richtig frische Samples zu bekommen.

Erstes Auftreten in der PrevX Community war um 17:45. Um 19:57 wurde es vom System als schädlich eingestuft. Auch von der ersten Sekunde an hätte man auf Maximalen Settings vollen Schutz gehabt. Mit Default Einstellungen wahrscheinlich auch aber das kann man nicht mit letzter Sicherheit sagen.
Mitlerweile breitet sich das Ding übrigens übelst aus. Ein paar Dutzend neue Infektionen innerhalb der letzten 3 Stunden.
Till 88
Vipre blockiert fleißig.

Voyager
Vipre hat eine Signatur auf dem CAB SFX Archiv , das zu blockieren ist ja nichtmal zwangsweise notwendig weil das nur ein reines Archiv ist , wichtiger ist wenn die Sicherheitsprogramme das ausgepackte "reptile.exe" aufhalten. Da würde mich interessieren ob das Vipre noch erkennt.

PrevX arbeitet unsauber wink.gif
eingepackt erkannt http://www.virustotal.com/de/analisis/bf8c...b290-1250553554
ausgepackt nicht erkannt http://www.virustotal.com/de/analisis/dbba...b91d-1250553301
Voyager
ZITAT(Xeon @ 17.08.2009, 21:15) *
Symantec's Sonar (Version 2009) bleibt hier still, aber der hier immer wieder "belächelte" Verhaltensblocker von G Data erkennt hier korrekt eine Bedrohung.
Da scheint G Data mit ihrem Verhaltensblocker wohl doch nicht so schlecht zu liegen.... whistling.gif


Hää ? Sonar 1 erkennts doch ähnlich Antibot und haut auch den Regschlüssel mit runter, ich wollte das direkt nochmal mit NIS09 testen.


http://www.abload.de/img/2ivsj.jpg


http://www.abload.de/img/29v0d.jpg

Natürlich erst mit Sonar 2 kommt es erst garnicht soweit.


http://www.abload.de/img/24nmi.jpg

somit sind auch NIS09 User mehr oder weniger schon geschützt.
dragonmale
ZITAT(Voyager @ 18.08.2009, 01:43) *

Mit den VirusTotal-Ergebnissen ist es (wie) immer so eine Sache -> McAfee erkennt hier (gleiche Prüfsummen, wie deine Dateien)z.B. lokal schon seit Stunden beide Files via Artemis ... wobei hier auch die Bezeichnung, für die Funde, eine andere ist -> nennt sich hier Artemis!29D3EFD0800F und es wird auch beim gepackten File direkt die reptile.exe angemeckert
QUELLTEXT
~\IMG0006529877321151882-JPG.EXE\IMG0006529877321151882-JPG.EXE\REPTILE.EXE    Artemis!29D3EFD0800F (Trojanisches Pferd)

entpackt:
QUELLTEXT
~\IMG0006529877321151882-JPG\reptile.exe    Artemis!29D3EFD0800F (Trojanisches Pferd)


... insofern wäre es dann schon interessanter, was auch PrevX lokal dazu sagt wink.gif ...
Habakuck
ZITAT(Voyager @ 18.08.2009, 01:43) *
Vipre hat eine Signatur auf dem CAB SFX Archiv , das zu blockieren ist ja nichtmal zwangsweise notwendig weil das nur ein reines Archiv ist , wichtiger ist wenn die Sicherheitsprogramme das ausgepackte "reptile.exe" aufhalten. Da würde mich interessieren ob das Vipre noch erkennt.

PrevX arbeitet unsauber wink.gif
eingepackt erkannt http://www.virustotal.com/de/analisis/bf8c...b290-1250553554
ausgepackt nicht erkannt http://www.virustotal.com/de/analisis/dbba...b91d-1250553301



ZITAT(dragonmale @ 18.08.2009, 03:16) *
Mit den VirusTotal-Ergebnissen ist es (wie) immer so eine Sache -> McAfee erkennt hier (gleiche Prüfsummen, wie deine Dateien)z.B. lokal schon seit Stunden beide Files via Artemis ... wobei hier auch die Bezeichnung, für die Funde, eine andere ist -> nennt sich hier Artemis!29D3EFD0800F und es wird auch beim gepackten File direkt die reptile.exe angemeckert
QUELLTEXT
~\IMG0006529877321151882-JPG.EXE\IMG0006529877321151882-JPG.EXE\REPTILE.EXE    Artemis!29D3EFD0800F (Trojanisches Pferd)

entpackt:
QUELLTEXT
~\IMG0006529877321151882-JPG\reptile.exe    Artemis!29D3EFD0800F (Trojanisches Pferd)


... insofern wäre es dann schon interessanter, was auch PrevX lokal dazu sagt wink.gif ...


Jo, das was bei VT eingebunden ist ist nur ein simpler Kommandozeilen Scanner der die Px5s untersucht. Nicht mehr. PrevX ist on demand nicht wirklich gut. (Also auch bei VT nicht) Richtig gut ist es erst on execution.
Ich habe gestern Nacht um genau das zu testen die erste .jpg.exe Datei erlaubt. Danach wird die reptile.exe sofort erkannt und geblockt.
PrevX arbeitet nie unsauber. Wenn die was machen dann richtig.


PS: Gute Leistung vom Sonar2! Sie scheinen langsam bessere Präventiv Maßnahmen mit an Bord zu holen. Das ist gut. Denn meiner Meinung nach bringt es nichts die Malware erstmal laufen zu lassen. Die Verhaltensanalyse muss vorher erfolgen. Oder noch besser: garnicht erst auf dem Host.
Solution-Design
ZITAT(Habakuck @ 18.08.2009, 09:51) *
PS: Gute Leistung vom Sonar2! Sie scheinen langsam bessere Präventiv Maßnahmen mit an Bord zu holen. Das ist gut. Denn meiner Meinung nach bringt es nichts die Malware erstmal laufen zu lassen. Die Verhaltensanalyse muss vorher erfolgen. Oder noch besser: garnicht erst auf dem Host.


OnExecution-Scanner oder Behavior-Blocker oder HIPSen oder eben auch Sonar2 arbeiten aber nun mal nicht durch Hellseherei, sondern leben vom Ausführen der Malware auf dem Host.
markus17
Avast und Bitdefender haben auf meine Einsendung auf jeden Fall noch nicht reagiert. :-/

*edit*
Kann bitte ein Mod den Threadtitel in die deutsche Sprache übersetzen. xD
Nightwatch
F-Secure erkennt das Sample schon seit heute Morgen:


Was das Einsenden und Einpflegen von Malware anbelangt...da sind die Finnen wirklich vorbildlich.

Gruß,
Nightwatch
Xeon
ZITAT(Voyager @ 18.08.2009, 02:10) *
Hää ? Sonar 1 erkennts doch ähnlich Antibot und haut auch den Regschlüssel mit runter, ich wollte das direkt nochmal mit NIS09 testen.

Ich habs mit NAV getestet und der bleibt still, gibt es den da so große Unterschiede zwischen NAV und NIS ?
markus17
Anscheinend interessiert das Ding viele AV Hersteller nicht: :-/
http://www.virustotal.com/analisis/bf8cc16...b290-1251045331
Julian
ZITAT(markus17 @ 23.08.2009, 18:26) *
Anscheinend interessiert das Ding viele AV Hersteller nicht: :-/
http://www.virustotal.com/analisis/bf8cc16...b290-1251045331

confused.gif
Bis auf Avast und Bitdefender erkennt doch fast alles, was Rang und Namen hat, das Teil.
markus17
Stimmt eigentlich. xD Aber es könnten trotzdem mehr sein. smile.gif
Habakuck
Der gehört auch in die Sektion hier:

VORSICHT!
ZITAT
h**p://62.212.74.194/vid886/vid9911/vidg.php


a-squared hat ihn schon sehe ich grade:

Trojan-Dropper.Win32.Agent.alxk!A2
Rios
Meldung KIS ph34r.gif

markusg
Ihren browser kann nicht diesen video Datei spielen.
Update ihren Flash Player zum spielen diesen video Datei.
und da fallen leute drauf rein.....
Aymibien
ZITAT(markusg @ 24.08.2009, 13:09) *
Ihren browser kann nicht diesen video Datei spielen.
Update ihren Flash Player zum spielen diesen video Datei.
und da fallen leute drauf rein.....



Tolles deutsch smile.gif clap.gif
markusg
eben, und wenn man das schon sieht, wer downloadet da schon etwas...
Aymibien
ZITAT(markusg @ 24.08.2009, 13:31) *
eben, und wenn man das schon sieht, wer downloadet da schon etwas...



wollen rose, äh flash player download kaufen lmfao.gif , verstehe ich auch nicht das manche aber auch zu naiv sind... smile.gif
markusg
Naja, zu mindest die Erkennung ist hoch
markus17
In diesem Fall meldet sich auch G Data:
Virus: JS:Agent-CK [Trj] (Engine B)

ZITAT
Naja, zu mindest die Erkennung ist hoch

Hast du eventuell einen V-Total Link bei der Hand?
markus17
Danke. Bei mir schreibt er leider Datei nicht gefunden. xD

Hier noch mal der Scan der Website:
http://www.virustotal.com/analisis/84fd265...bcad-1251140701

Und hier das Setup:
http://www.virustotal.com/analisis/64b75b7...c309-1251140757
Habakuck
Öhm, bei mir sagt VT jedes mal es würde keine Datei finden... lmfao.gif
markus17
Lol, habe das Phänomen jetzt schon öfters beobachtet. Haben die bei V-Total Probleme? :-/

Selbst ich kann meine Links nicht mehr öffnen. Oo ph34r.gif
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.