Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Rogue Software
Rokop Security > Security > Trojaner, Viren und Würmer
Seiten: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12
rock
25.09.2008, 09:08
Ist zwar irgendwie alt, aber aufgrund der massiven immer neu erscheinenden fake softwaren ein aktueller bericht. Vorallem mit Popups kenn ich es noch nicht so...bisjetzt musste man ja meistens das programm selber runterladen und selber installieren.

Wie eine solche Bedrohung konkret aussehen kann, beschreibt Kalkuhl:
"Beim Besuch einer Website erscheint auf einmal ein Pop-Up, das den Nutzer davor warnt, sein Computer wäre infiziert",
so der Virenexperte. Mit einem bestätigenden Klick handelt sich der User in solchen Fällen ein vermeintliches Antiviren-Tool ein,
das aber nichts bringt. "Das Programm 'scannt' den Rechner und 'findet' etliche Schädlinge, die aber gar nicht auf der Festplatte vorhanden sind",
erklärt Kalkuhl.
Zum Desinfizieren werde dem Nutzer dann eine eigentlich nutzlose Software angeboten,
wobei Käufer um 20 bis 30 Euro erleichtert werden.

Quelle:
http://www.krone.at/krone/S22/object_id__1...xcms/index.html

weiters kann man bei jedem ad aware update immer wieder viele namen von diesen dubiosen programmen ablesen!

ph34r.gif

edit: wäre ein passendes thema um hier die ständigen ROGUE! Programme zu posten! smile.gif

edit2: EingangsÜberschrift geändert.
rock
26.09.2008, 15:34
hier ist man/bin ich auch nicht sicher...aussehen tuts wie die üblichen rogues, aber beim upload meckert nur IKARUS einen tr agent an...

http://www.regcurepremium.com/

ph34r.gif

Voyager
26.09.2008, 16:13
Da wir schon 2 Threats zu Rogue Software haben brauchen wir eigentlich nicht nochmehr. Ausserdem passt der Titel immer noch nicht, Rogue Software ist eine Software die mit Fakemeldungen zu einem Kauf drängelt und oftmals selbst Malware mit einschleusst . http://de.wikipedia.org/wiki/Rogue-Software

Das Programm auf dem Link hat keine schädlichen Funktionen und drängt den User auch nicht mit FalsePositives zu einem Kauf, das Programm funktioniert nur erst vollständig im angeblich registrierten Zustand das ist alles. (keine Rogue Software)
Dafür will man das der User auf der Seite seine Email ect. hinterlegt , das könnte Dummfang für Spammer sein. So ein eher nutzloses Programm dürfte allerdings niemand brauchen.
rock
26.09.2008, 16:19
sagte ja ich war nicht sicher....im nachhinein kann man ja editieren...

aber wenns jetzt in dem fall so is...dann möge mann das posting wieder löschen... kanns ja selbst nicht... aber das eingangsposting könnte bleiben, weil ich es übersichtlicher finde wenn die ganzen immer wieder sich vermehrenden rogue programme die ja auch in massen gepostet werden/wurden, einen eigenen sektor hätten wo wirklich nur diese software drinnen wäre, und hier fortgesetzt wird. denn a end nimmts mit den programmen nie, daher is auch schad, wenn im uploadthema immer dazwischen ein bild und manchmal ein ergebnis davon kommt....und somit irgendwie untergeht...oder würdest du ausgerechnet 134 seiten abklappern um antivirus xp oder 2008 oder zam oder ausseinandergeschriebn suchen?

ph34r.gif

Voyager
26.09.2008, 16:29
Es ist echt schwer dich überhaupt verstehen zu können , du musst dir echt mehr Mühe in der Satzbildung geben.
Sicher klappern die Leute keine 134 Seiten durch um etwas über ein Fake xyz zu erfahren , das ganze wird prinzipiell aber auch nicht besser wenn du die Seiten extra noch mit informationslosen Jotti Scanlogs füllst dessen Inhalt deiner Scan man so ohne Beschreibung nicht nachvollziehen kann , du weisst ja darauf wurdest du nicht nur von mir darauf hingewiesen.

Ich würde vorschlagen man benennt diesen Threat einfach in "Nutzlose Software" um , Software welche einfach keinen nennenswerten Mehrwert besitzen (wie aus deinem Link) ohne den PC zu infizieren oder den User finanziell zu betrügen. Für Malware/Betrügersoftware haben wir die anderen.
rock
26.09.2008, 16:51
steht ja schon nutzlose software in der überschrift...

Rios
28.09.2008, 08:37
Ein neues Duo ist unterwegs. Bis jetzt sagen dazu wenige AV's etwas. ph34r.gif




hxxp://antispyware-review.biz
Solution-Design
28.09.2008, 09:01
ZITAT(Rios @ 28.09.2008, 09:36) *
Ein neues Duo ist unterwegs. Bis jetzt sagen dazu wenige AV's etwas. ph34r.gif
hxxp://antispyware-review.biz


Tja, die VT-Erkennung. Symantec 2009 erkennt beide als PCClean über AutoProtect.
Rios
28.09.2008, 10:28
Hier scheint es sich um Drive Cleaner Tools bzw. Winfixer zu handeln. Es gibt natürlich auch hier wieder X Varianten.

hxxp://www.winnanny.com Der Link funktioniert wahrscheinlich nicht, wegen Zeitüberschreitung!!


Hier eine davon.

http://www.siteadvisor.com/sites/drivecleaner.com
240670
28.09.2008, 10:31
Norton hat es auch erkannt!
Julian
28.09.2008, 12:20
ZITAT(Solution-Design @ 28.09.2008, 10:00) *
Tja, die VT-Erkennung. Symantec 2009 erkennt beide als PCClean über AutoProtect.

KIS meckert ebenfalls bei beiden, allerdings anders:
Klicken um den Anhang anzusehen
hypnosekroete
28.09.2008, 13:25
Da wünsch ich der Administration schonmal viel Spaß beim Durchforsten der 135-VT&Jotti-Thread-Seiten.

*Kaffeehinstell*
*Keksgeb*

ciao.gif
Nightwatch
28.09.2008, 13:42
GData 2009 meckert auch:



hypnosekroete
30.09.2008, 14:51
Microsoft verklagt Anbieter der Rougeware "Registry-Cleaner XP"

Sicher ein Zeichen, aber Nützen wird es imho nicht viel....
Rios
30.09.2008, 19:51
Hier bei Sunbelt taucht wieder so ein Neuling in Sachen Rogue auf.


hxxp://ekerberos.com/company
rock
30.09.2008, 20:09
ZITAT(Rios @ 30.09.2008, 20:50) *
hxxp://ekerberos.com/company


avg meckert generic xxxxx

ph34r.gif
Nightwatch
30.09.2008, 20:23
F-Secure sagt nichts zum Sample. Hab´s mal eingeschickt.
Rios
30.09.2008, 20:35
Test Avira ph34r.gif

Nightwatch
30.09.2008, 21:09
Passt gerade zum Thema:

F-Secure-Weblog von heute:
http://www.f-secure.com/weblog/archives/00001508.html

ZITAT
Here's a tip: If they claim to be REALiable — they're probably FAKE.


Netter Spruch smile.gif
Voyager
30.09.2008, 21:24
So´n Mist , kann man nichtmal testen die wuschlige himmelblaue Software h??p://win-defender.com/

lmfao.gif

Jav.SEC.21
30.09.2008, 22:17
@Nightwatch: Bei mir erkennt G DATA die Gefahr nicht.

eKerberos scheint G DATA nicht zu stören.
Wurde an Avast und Bitdefener übermittelt.

PCAntispy & PCCleanPro von SmartSoft ist ebenfalls nicht bekannt.
Wurde an Avast und Bitdefener übermittelt.

RegCure wird nicht erkannt.
Wurde an Avast und Bitdefener übermittelt.
Sicherheit
30.09.2008, 22:50
Danke für die Info,

bin ich ja schon wieder entäuscht. Schlägt den NIS2009, FSEC2009 oder KIS2009 an. ph34r.gif
citro
30.09.2008, 23:02
NAV 2009 reagiert auf die .exe ohne Ausführen nicht
Voyager
30.09.2008, 23:06
Nein noch nicht . Der Fake AV drängt nur zum Kauif ohne dem User weiter mit Falschmeldungen zu verunsichern, das heisst auch wenn er nicht gleich erkannt wird richtet er keinen besonders großen Schaden an.

@citro

und nach dem Ausführen ?
Nightwatch
30.09.2008, 23:08
ZITAT(Sicherheit @ 30.09.2008, 23:49) *
Danke für die Info,

bin ich ja schon wieder entäuscht. Schlägt den NIS2009, FSEC2009 oder KIS2009 an. ph34r.gif


F-Secure:

eKerberos = nein (eingereicht)
PC AntiSpy = ja
RegCure = nein (eingereicht)


Ich würde die Erkennung von Rogue-Software im Allgemeinen bei allen AV´s nicht zu hoch bewerten.
citro
30.09.2008, 23:09
ZITAT(bond7 @ 01.10.2008, 00:05) *
@citro

und nach dem Ausführen ?


eKerberos nur gescannt, da ich keine VM habe nicht ausgeführt

in Quarantäne steht nur "verarbeiten", hochgeladen zur community ist die Datei noch nicht, obwohl getan
Voyager
30.09.2008, 23:12
@Nightwatch

Man muss da differenzieren , einige Rogue Objekte bringen echte Malware mit oder machen den PC erst recht zur Backdoor.
Es gibt da betrügerischer Müll wie das eKerberos , es gibt aber auch hochgefährliches Zeug was man für eine (echte) AV-Erkennung nicht hoch genug bewerten kann.

@citro

das verstehe ich noch nicht, durch Scannen landet doch nichts in der Quarantäne ?
Nightwatch
30.09.2008, 23:13
ZITAT(bond7 @ 01.10.2008, 00:11) *
Man muss da differenzieren , einige Rogue Objekte bringen echte Malware mit oder machen den PC erst recht zur Backdoor.
Es gibt da betrügerischer Müll wie das eKerberos , es gibt aber auch hochgefährliches Zeug was man für eine (echte) AV-Erkennung nicht hoch genug bewerten kann.


Du hast recht. Habe ein wenig zu sehr pauschalisiert und nur diese drei Fälle betrachtet.
Sicherheit
30.09.2008, 23:14
ZITAT(Nightwatch @ 01.10.2008, 00:07) *
F-Secure:

eKerberos = nein (eingereicht)
PC AntiSpy = ja
RegCure = nein (eingereicht)


Ich würde die Erkennung von Rogue-Software im Allgemeinen bei allen AV´s nicht zu hoch bewerten.


Ok, habe es jetzt geschnallt und finde es gut, das durch unsere, eure Aktivitäten, die Erkennung feinkörniger wird.

citro
30.09.2008, 23:16
ZITAT(bond7 @ 01.10.2008, 00:11) *
@Nightwatch



@citro

das verstehe ich noch nicht, durch Scannen landet doch nichts in der Quarantäne ?



Habe sie in Quarantäne gesteckt und dann versucht einzusenden.

Status: Verarbeitung.

In meinem DSL Manager konnte ich keinen Upload bemerken, kommt vielleicht später ?
Voyager
30.09.2008, 23:21
@citro

Du musst den PC ab und zu streicheln und gut zureden, dann machters biggrin.gif

citro
30.09.2008, 23:24
@bond7

Ausstehende Versuche habe ich teilweise über 24h im Verlauf.

Wo liegt der Unterschied zur "Verarbeitung" ?
Voyager
30.09.2008, 23:28
Ich denke es gibt da keinen Unterschied , gesendet wird irgendwann alles. Die Übertraguingen passieren nur im PC-Leerlauf , ich glaub aller 4 Stunden dürfte der etwas übertragen. Wenn du den PC gerade im Benutzung hast (die Maus rumschieben reicht da schon) dann versucht der die Übertragungen erst wieder nach 1 Stunde .
Ich finde das auch schlecht gelöst das die Beispielübertragungen manchmal einen halben Tag Verzug haben , das ist nicht gerade förderlich für eine rasche Malwareerkennung , auf der anderen Seite pflegt Symantec sowieso nur das ein wozu Sie Lust haben. Aus dem Grund übertrage ich die Objekte meistens auch gleichzeitig über NAB im virtuellen PC , dort ist man da etwas interessierter an den Objekten welche von der hauseigenen Verhaltens-Engine reinkommen.
citro
30.09.2008, 23:31
Also, ich melde mich dann wieder - ich muss jetzt in die Falle
citro
01.10.2008, 09:07
Hat funktioniert thumbup.gif
citro
01.10.2008, 10:12
eKerberosinstaller.exe wurde von Avira als "clean" eingestuft.

so ganz einig ist man sich noch nicht

http://www.virustotal.com/de/analisis/efa1...aeef923cd9d273c
Nightwatch
01.10.2008, 11:53
Sooo....F-Secure hat sich gemeldet:

Regcure:

This application is still under debate, the application is intended for advance users who have broad knowledge and understanding on the registry.
At the moment we are classifying this application as clean.


eKerberos:

File was found to be a riskware, detection for the main application and installer will be added on the extended database.
Voyager
01.10.2008, 12:27
Die Antworten von Fsecure finde ich gut.
rock
01.10.2008, 15:45
hier werden einige rogue programme (die man sich nicht installieren soll smile.gif ) bebildert erwähnt:

http://www.411-spyware.com/

ph34r.gif
Nightwatch
01.10.2008, 20:52
Heute im Weblog: Rogue-Spezial von F-Secure.

Zwei von uns entdeckte und eingeschickte Programme sind dabei: u.a. eKerberos thumbup.gif

http://www.f-secure.com/weblog/archives/00001509.html

Btw. nimmt ein wenig Zeit in Anspruch alles zu lesen. Aber ich finde, dass es sich lohnt!


Gruß,
Nightwatch
Voyager
02.10.2008, 01:17
Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20081001.023\

ach und das eine Dreckstool wurde jetzt erkannt.

ZITAT
Scanstatistik:
Scanzeit: 111 Sek.
Scanoptionen:
Scanziele: F:\40\1
Zähler:
Gescannte Elemente insgesamt: 2.504
– Dateien und Laufwerke: 2.504
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 1
Behobene Elemente insgesamt: 1
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
XPAntivirus
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Irreführende Anwendung
Status: Vollständig behoben
-----------
10 Registrierungseinträge
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesResolve:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->Favorites:... - Repariert
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesChanges:1 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center->AntiVirusOverride:0 - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
1 Datei
f:\40\1\ekerberosinstaller.exe - Gelöscht
Nightwatch
02.10.2008, 03:05
ZITAT(bond7 @ 02.10.2008, 02:16) *
Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..

ach und das eine Dreckstool wurde jetzt erkannt.


Sauber thumbup.gif
Ging doch auch schnell!
rock
02.10.2008, 07:58
die aktuellen (wahrscheinlich eh bald wieder abgeknipsten) rogues bereits hier:

http://www.411-spyware.com/

dürft sich auch schneller aktuallisieren,....die letzte zeit wars noch anders... heute wieder neue an den ersten stellen.

ph34r.gif

Solution-Design
02.10.2008, 08:23
Ich bin beruhigt, dass wir im deutschsprachigen Raum leben und somit aufgrund fehlender Akzeptanz dieser Malware einigermaßen geschützt sind wink.gif
citro
02.10.2008, 10:12
ZITAT(bond7 @ 02.10.2008, 02:16) *
Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..



HI, habe ein paar Bildchen dazu:




die Einträge in der Registry und sonstigen Ordnern sind bei mir nicht vorhanden, da ich das Teil nicht installiert habe, Norton zeigt trotzdem diese Pfade an - wahrscheinlich würde sich bei einer Installation diese ekerberosinstaller.exe dort überall eintragen.
Voyager
02.10.2008, 10:18
Genau das ist eine vordefinierte Reinigungsroutine für jedes Element .
markus17
02.10.2008, 19:09
Hier mal wieder 3 Fakeprogramme:
http://www.virustotal.com/analisis/8dd3603...7f19793b6b85ef3

http://www.virustotal.com/analisis/d51ffe6...082471a62c25795

http://www.virustotal.com/analisis/4990273...f15cf04a0c1d75d

*edit*
Die ersten Beiden erzeugen so eine Windows Security Center Fehlermeldung und das 3. täuscht vor ein Antivirus zu sein.
blueX
02.10.2008, 22:33
Ich hoff' du sendest die Dateien an alle anderen Virenschutzhersteller? Die Erkennung sieht nämlich hier ziemlich mau aus.


markus17
02.10.2008, 22:46
Klar, von Kaspersky bekam ich auch schon eine Antwort (zu den ersten beiden Files).
rock
03.10.2008, 08:27
ZITAT(blueX @ 02.10.2008, 23:32) *
Ich hoff' du sendest die Dateien an alle anderen Virenschutzhersteller?


ich glaub diesen und ähnlichen satz hast du bereits 333x gepostet!

whistling.gif
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2024 Invision Power Services, Inc.