Ist zwar irgendwie alt, aber aufgrund der massiven immer neu erscheinenden fake softwaren ein aktueller bericht. Vorallem mit Popups kenn ich es noch nicht so...bisjetzt musste man ja meistens das programm selber runterladen und selber installieren.
Wie eine solche Bedrohung konkret aussehen kann, beschreibt Kalkuhl:
"Beim Besuch einer Website erscheint auf einmal ein Pop-Up, das den Nutzer davor warnt, sein Computer wäre infiziert",
so der Virenexperte. Mit einem bestätigenden Klick handelt sich der User in solchen Fällen ein vermeintliches Antiviren-Tool ein,
das aber nichts bringt. "Das Programm 'scannt' den Rechner und 'findet' etliche Schädlinge, die aber gar nicht auf der Festplatte vorhanden sind",
erklärt Kalkuhl.
Zum Desinfizieren werde dem Nutzer dann eine eigentlich nutzlose Software angeboten,
wobei Käufer um 20 bis 30 Euro erleichtert werden.
Quelle:
http://www.krone.at/krone/S22/object_id__115586/hxcms/index.html
weiters kann man bei jedem ad aware update immer wieder viele namen von diesen dubiosen programmen ablesen!
edit: wäre ein passendes thema um hier die ständigen ROGUE! Programme zu posten!
edit2: EingangsÜberschrift geändert.
hier ist man/bin ich auch nicht sicher...aussehen tuts wie die üblichen rogues, aber beim upload meckert nur IKARUS einen tr agent an...
http://www.regcurepremium.com/
Da wir schon 2 Threats zu Rogue Software haben brauchen wir eigentlich nicht nochmehr. Ausserdem passt der Titel immer noch nicht, Rogue Software ist eine Software die mit Fakemeldungen zu einem Kauf drängelt und oftmals selbst Malware mit einschleusst . http://de.wikipedia.org/wiki/Rogue-Software
Das Programm auf dem Link hat keine schädlichen Funktionen und drängt den User auch nicht mit FalsePositives zu einem Kauf, das Programm funktioniert nur erst vollständig im angeblich registrierten Zustand das ist alles. (keine Rogue Software)
Dafür will man das der User auf der Seite seine Email ect. hinterlegt , das könnte Dummfang für Spammer sein. So ein eher nutzloses Programm dürfte allerdings niemand brauchen.
sagte ja ich war nicht sicher....im nachhinein kann man ja editieren...
aber wenns jetzt in dem fall so is...dann möge mann das posting wieder löschen... kanns ja selbst nicht... aber das eingangsposting könnte bleiben, weil ich es übersichtlicher finde wenn die ganzen immer wieder sich vermehrenden rogue programme die ja auch in massen gepostet werden/wurden, einen eigenen sektor hätten wo wirklich nur diese software drinnen wäre, und hier fortgesetzt wird. denn a end nimmts mit den programmen nie, daher is auch schad, wenn im uploadthema immer dazwischen ein bild und manchmal ein ergebnis davon kommt....und somit irgendwie untergeht...oder würdest du ausgerechnet 134 seiten abklappern um antivirus xp oder 2008 oder zam oder ausseinandergeschriebn suchen?
Es ist echt schwer dich überhaupt verstehen zu können , du musst dir echt mehr Mühe in der Satzbildung geben.
Sicher klappern die Leute keine 134 Seiten durch um etwas über ein Fake xyz zu erfahren , das ganze wird prinzipiell aber auch nicht besser wenn du die Seiten extra noch mit informationslosen Jotti Scanlogs füllst dessen Inhalt deiner Scan man so ohne Beschreibung nicht nachvollziehen kann , du weisst ja darauf wurdest du nicht nur von mir darauf hingewiesen.
Ich würde vorschlagen man benennt diesen Threat einfach in "Nutzlose Software" um , Software welche einfach keinen nennenswerten Mehrwert besitzen (wie aus deinem Link) ohne den PC zu infizieren oder den User finanziell zu betrügen. Für Malware/Betrügersoftware haben wir die anderen.
steht ja schon nutzlose software in der überschrift...
Ein neues Duo ist unterwegs. Bis jetzt sagen dazu wenige AV's etwas.
http://www.abload.de/image.php?img=magicalsnap-2008.09.8yo.png
http://www.abload.de/image.php?img=magicalsnap-2008.09.c3t.png
http://www.abload.de/image.php?img=magicalsnap-2008.09.ea8.png
hxxp://antispyware-review.biz
Hier scheint es sich um Drive Cleaner Tools bzw. Winfixer zu handeln. Es gibt natürlich auch hier wieder X Varianten.
http://www.abload.de/image.php?img=magicalsnap-2008.09.9kv.png
hxxp://www.winnanny.com Der Link funktioniert wahrscheinlich nicht, wegen Zeitüberschreitung!!
http://www.abload.de/image.php?img=magicalsnap-2008.09.h02.png
Hier eine davon.
http://www.abload.de/image.php?img=magicalsnap-2008.09.0xw.png
http://www.siteadvisor.com/sites/drivecleaner.com
Norton hat es auch erkannt!
Da wünsch ich der Administration schonmal viel Spaß beim Durchforsten der 135-VT&Jotti-Thread-Seiten.
*Kaffeehinstell*
*Keksgeb*
GData 2009 meckert auch:
http://imageshack.us
http://www.heise.de/newsticker/Microsoft-verklagt-Anbieter-von-falscher-Anti-Spyware--/meldung/116725
Sicher ein Zeichen, aber Nützen wird es imho nicht viel....
Hier bei http://sunbeltblog.blogspot.com/ taucht wieder so ein Neuling in Sachen Rogue auf.
http://www.abload.de/image.php?img=magicalsnap-2008.09.2zx.png
hxxp://ekerberos.com/company
F-Secure sagt nichts zum Sample. Hab´s mal eingeschickt.
Test Avira
http://www.abload.de/image.php?img=magicalsnap-2008.09.kfx.png
Passt gerade zum Thema:
F-Secure-Weblog von heute:
http://www.f-secure.com/weblog/archives/00001508.html
So´n Mist , kann man nichtmal testen die wuschlige himmelblaue Software h??p://win-defender.com/
@Nightwatch: Bei mir erkennt G DATA die Gefahr nicht.
eKerberos scheint G DATA nicht zu stören.
Wurde an Avast und Bitdefener übermittelt.
PCAntispy & PCCleanPro von SmartSoft ist ebenfalls nicht bekannt.
Wurde an Avast und Bitdefener übermittelt.
RegCure wird nicht erkannt.
Wurde an Avast und Bitdefener übermittelt.
Danke für die Info,
bin ich ja schon wieder entäuscht. Schlägt den NIS2009, FSEC2009 oder KIS2009 an.
NAV 2009 reagiert auf die .exe ohne Ausführen nicht
Nein noch nicht . Der Fake AV drängt nur zum Kauif ohne dem User weiter mit Falschmeldungen zu verunsichern, das heisst auch wenn er nicht gleich erkannt wird richtet er keinen besonders großen Schaden an.
@citro
und nach dem Ausführen ?
@Nightwatch
Man muss da differenzieren , einige Rogue Objekte bringen echte Malware mit oder machen den PC erst recht zur Backdoor.
Es gibt da betrügerischer Müll wie das eKerberos , es gibt aber auch hochgefährliches Zeug was man für eine (echte) AV-Erkennung nicht hoch genug bewerten kann.
@citro
das verstehe ich noch nicht, durch Scannen landet doch nichts in der Quarantäne ?
@citro
Du musst den PC ab und zu streicheln und gut zureden, dann machters
http://www.abload.de/image.php?img=aufzeichnen10j.jpg
@bond7
Ausstehende Versuche habe ich teilweise über 24h im Verlauf.
Wo liegt der Unterschied zur "Verarbeitung" ?
Ich denke es gibt da keinen Unterschied , gesendet wird irgendwann alles. Die Übertraguingen passieren nur im PC-Leerlauf , ich glaub aller 4 Stunden dürfte der etwas übertragen. Wenn du den PC gerade im Benutzung hast (die Maus rumschieben reicht da schon) dann versucht der die Übertragungen erst wieder nach 1 Stunde .
Ich finde das auch schlecht gelöst das die Beispielübertragungen manchmal einen halben Tag Verzug haben , das ist nicht gerade förderlich für eine rasche Malwareerkennung , auf der anderen Seite pflegt Symantec sowieso nur das ein wozu Sie Lust haben. Aus dem Grund übertrage ich die Objekte meistens auch gleichzeitig über NAB im virtuellen PC , dort ist man da etwas interessierter an den Objekten welche von der hauseigenen Verhaltens-Engine reinkommen.
Also, ich melde mich dann wieder - ich muss jetzt in die Falle
Hat funktioniert
eKerberosinstaller.exe wurde von Avira als "clean" eingestuft.
so ganz einig ist man sich noch nicht
http://www.virustotal.com/de/analisis/efa1eae9114a5efb9aeef923cd9d273c
Sooo....F-Secure hat sich gemeldet:
Regcure:
This application is still under debate, the application is intended for advance users who have broad knowledge and understanding on the registry.
At the moment we are classifying this application as clean.
eKerberos:
File was found to be a riskware, detection for the main application and installer will be added on the extended database.
Die Antworten von Fsecure finde ich gut.
hier werden einige rogue programme (die man sich nicht installieren soll ) bebildert erwähnt:
http://www.411-spyware.com/
Heute im Weblog: Rogue-Spezial von F-Secure.
Zwei von uns entdeckte und eingeschickte Programme sind dabei: u.a. eKerberos
http://www.f-secure.com/weblog/archives/00001509.html
Btw. nimmt ein wenig Zeit in Anspruch alles zu lesen. Aber ich finde, dass es sich lohnt!
Gruß,
Nightwatch
Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20081001.023\
ach und das eine Dreckstool wurde jetzt erkannt.
die aktuellen (wahrscheinlich eh bald wieder abgeknipsten) rogues bereits hier:
http://www.411-spyware.com/
dürft sich auch schneller aktuallisieren,....die letzte zeit wars noch anders... heute wieder neue an den ersten stellen.
Ich bin beruhigt, dass wir im deutschsprachigen Raum leben und somit aufgrund fehlender Akzeptanz dieser Malware einigermaßen geschützt sind
Genau das ist eine vordefinierte Reinigungsroutine für jedes Element .
Hier mal wieder 3 Fakeprogramme:
http://www.virustotal.com/analisis/8dd36034ec842a0097f19793b6b85ef3
http://www.virustotal.com/analisis/d51ffe63e8239fbd3082471a62c25795
http://www.virustotal.com/analisis/49902731cf67ea6b8f15cf04a0c1d75d
*edit*
Die ersten Beiden erzeugen so eine Windows Security Center Fehlermeldung und das 3. täuscht vor ein Antivirus zu sein.
Ich hoff' du sendest die Dateien an alle anderen Virenschutzhersteller? Die Erkennung sieht nämlich hier ziemlich mau aus.
Klar, von Kaspersky bekam ich auch schon eine Antwort (zu den ersten beiden Files).
@bond
mich wundert grad, woher du ein 23MB grosses update hast? ich habe eben mein vista neu aufgesetzt, und NIS2009 neu installiert (da vista neu installiert sind auch keine vorreste von NIS mehr da) und habe dann das update manuell ausgeführt. das war grad mal 5,73MB gross (angezeigt wurde das das letzte update vor 35 Tage war) klar weil ich NIS ja neu installiert habe.
woher kommt dann dein 23MB update mit neuen engines etc?
Scheint wieder einer zu sein. Bisher total unauffällig bei Vtt, und Jotti's
http://www.abload.de/image.php?img=magicalsnap-2008.10.rsk.png
hxxp://www.ultimatespykiller.com
http://www.411-spyware.com/remove-rogue-anti-spyware
da kann man ja richtige winterabende verbringen....
(Edit Joerg: Liste siehe obigen Link)
Version 2009
http://www.abload.de/image.php?img=magicalsnap-2008.10.tgb.png auf dieser Seite.
hxxp://www.xp-as-2009.com/
Wird wieder heftig gestreut. Mittlerweile auf weiteren 10 Seiten aufgetaucht.
Ein Spiel mit neuen Karten
http://www.siteadvisor.com/sites/search-and-destroy.com/downloads/12697396/
http://www.abload.de/image.php?img=magicalsnap-2008.10.asi.png
Auf Vtt keine Beanstandung der Zeit. ( haben wohl wieder etwas gebastelt)
Beim Aufruf dieser Seite bietet aber A2 Anti-Malware die Blockierung an. Bei Erlaubnis, und anschl. Scan momentan noch Stille. Der einzige der hier winkt, ist momentan Superantispyware.
http://www.abload.de/image.php?img=magicalsnap-2008.10.x68.png
Moderativer Hinweis: Die Liste von Rock habe ich mal entfernt, steht ja alles hinter seinem Link.
Die Off-Topic-Beiträge (=gegenseitige Liebesbekundungen) wurden in den http://www.rokop-security.de/index.php?showtopic=16508 verschoben.
Hier mal was witziges ein gefaker Blue Screen
Antivirus 2010
http://s8b.directupload.net/file/d/1579/a82hpahf_jpg.htm http://s6b.directupload.net/file/d/1579/u8fgiwrn_jpg.htm
Dann nach einiger zeit:
http://s4b.directupload.net/file/d/1579/ketu27x8_jpg.htm
Einige Sekunden später:
http://s2b.directupload.net/file/d/1579/k22kd2zl_jpg.htm
http://www.virustotal.com/analisis/c3803e52441eefc81d8c3f554ba033d0
hxxp://av2010.net/
Normalerweiße kommt es sogar im Vollbild. Und je nach XP oder Vista der passende Bootscreen.
Haha , ist ja nee richtige Terrorsoftware , 2010 klingt Superneu und verlockt natürlich.. ist halt die übliche Masche den Blutdruck des unbedarften User so stark zu erhöhen bis er zähneknirschend bezahlt damit das Ding dann (vermeintlich) Ruhe gibt. Gerade die Leute wissen dann auch nicht wie man den Müll runter bekommt.
Hier wer es mal auch Testen will:
Ist die Fake Datei für den Bluescreen/Bootscreen.
hxxp://rapidshare.com/files/153085345/svchost_1_.exe
http://www.virustotal.com/analisis/0cef5344567169e4adf8771c1138873c
http://www.threatexpert.com/report.aspx?md5=f529fb497387a7d500656745d21969c1
http://www.cwsandbox.org/?page=report&analysisid=488860&password=wqimu
Er möchte seine Dienste anbieten, um an Kohle zu kommen.
http://www.abload.de/image.php?img=magicalsnap-2008.10.g8n.png
hxxp://pcvirusremover2008.com/
ps. könnt ihr die Seite von Vtt aufrufen??
http://www.abload.de/image.php?img=aufzeichneni5c.jpg
Virustotal ist aus unbekannten Gründen überlastet und lädt nur träge , möglicherweise wird die Webseite auch angegriffen um User davon abzuhalten Risiken zu scannen.
Nachtrag: ich habs nochmal gescannt da Virscan.org keine Erkennung bei Symantec anzeigt , hier wirds aber schon erkannt.
http://www.abload.de/image.php?img=aufzeichnen1n39.jpg
VT geht wider.
http://www.virustotal.com/de/analisis/c575eecbdbd5ab1f45274f93f2184d34
Es scheint so, als verdienen die Rogue Produzenten im Moment wieder ganz kräftig. Zumindest besteht die Möglichkeit. http://www.pcwelt.de/start/sicherheit/antivirus/news/184892/betruegerische_schutzprogramme_boomen/
Das scheint nur eine Frage des Manpower zu sein um diese "Luftprogramme" möglichst oft am Tag so zu verändern das AV-Hersteller nichtmehr hinterher kommen.
Klar das wieder einige den Finger strecken und sagen "Haha , was für Versager, AV-Programme nützen nichts" aber die Jungs haben doch auch keine Alternativen gegen diese kriminelle Energien im Netz.
Ich hoffe immer noch das Microsoft durch seine Klage etwas dagegen erreicht.
Der Kandidat, arbeitet im Moment auch noch verdeckt. Auch wenn hier nicht angezeigt, Avira pipst.
http://www.abload.de/image.php?img=magicalsnap-2008.10.4b9.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.8yl.png
hxxp://antivirusplasma.com
Und der hier zeigt sofort wo es lang geht.
http://www.abload.de/image.php?img=magicalsnap-2008.10.q92.png
und ab zur kasse
http://www.abload.de/image.php?img=magicalsnap-2008.10.ye1.png
GDATA meldet sich auch:
Trojan.FakeAV.CG (Engine A)
Win32:Trojan-gen {Other} (Engine B)
Original und Klon
http://www.abload.de/image.php?img=magicalsnap-2008.10.7xm.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.638.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.9tc.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.32m.png
hxxp://winiguard.com
Update!!
http://www.abload.de/image.php?img=magicalsnap-2008.10.ngh.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.tlu.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.vq5.png
Wird von NAB gleich erkannt und gekillt wegen typisch verbotenen Aktionen , Downloader kopiert ins Windowsverzeichnis und startet den Müll incl. verdächtigen Netzwerkaktionen.
http://www.abload.de/image.php?img=aufzeichnene8o.jpg
Update Rogue
http://www.abload.de/image.php?img=magicalsnap-2008.10.v6s.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.kj9.png
hxxp://www.pcdefender2008.com
Hab mir xpas2009.com eingefangen, wird vom Virenscanner zwar immer geblockt, aber nicht gelöscht. Wer kann helfen?
Nimm das Tool http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=79423dc9056128a46b2fc70216e1780b&lop=link&tag=tdw_dltext<ype=dl_dlnow&pid=10896905&mfgId=6290020&merId=6290020&pguid=etkbcwoPjAYAAAfmx04AAADp&destUrl=http%3A%2F%2Fwww.download.com%2F3001-8022_4-10896905.html%3Fspi%3D79423dc9056128a46b2fc70216e1780b%26part%3Ddl-10804572
Anleitung http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
Hat geholfen, besten Dank!
Update
http://www.abload.de/image.php?img=magicalsnap-2008.10.foo.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.cpm.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.d5f.png
Veränderung, ehemals IE Antivirus ect.
http://www.abload.de/image.php?img=magicalsnap-2008.10.7pi.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.9sc.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.b63.png
hxxp://total-secure2009.com
Wird von Norton auch erkannt, zwar etwas anders aber Aufgabe wurde erfüllt.
http://www.abload.de/image.php?img=aufzeichnenttq.jpg
Um mal Panda ins Spiel zu bringen und um mal wieder zu zeigen das nicht nicht immer der Signaturschutz benötigt wird
Scheint inzwischen ganz gut zu funzen der Web Browser Schutz
Ist zwar keine PhishingSeite aber Aufgabe ist auch erfüllt.
Er hier wird seit neuesten mit Sidebar http://sunbeltblog.blogspot.com/2008/10/windefender-2008-with-sidebar.html
mir is aufgefallen das gdata auch desöfteren weil sie wohl keine signaturen einpflegen einfach eine phishing seite aus gefährlichen seiten machen.
ausserdem isses schon irgendwie phishing. der user der unbedarfte wird ja zum kauf "überredet"
wie du schon sagst. Auftag erfüllt
Mit Opera kann man bekanntlich auch über "Fraud Protection" Seiten melden (Alt + Enter), welche dann nach Überprüfung mit einer Warnung versehen werden
http://www.opera.com/docs/fraudprotection/
WOT mit FireFox stuft die Webseite als gefärlich ein.
Ahoi!!
http://www.abload.de/image.php?img=magicalsnap-2008.10.al6.png
http://www.virustotal.com/de/analisis/974eddac09303ca5641ddd2fc6b6916d
Super Antispyware
http://www.abload.de/image.php?img=magicalsnap-2008.10.hp1.png
Auch wenn das nur 2 erkennen scheint die Gefahr so oder so gebannt zu sein , auf h??p://real-av.info/ ist das Download Zip Archiv zerstört und man kanns unmöglich aufspielen und auf das Fake herein fallen
Nur ist die richtige adresse (zumindest die dann das zeigt was Rios abgebildet hat):
hmhmhm://real-antivirus.com
und da ist es ne exe die lauffähig sein dürfte. kannst ja mal ausprobieren ob SONAR anschlägt oder Antibot
Bei einem reinen Verarschungsfake was nur den Nutzer mit Dummmeldungen zum Kauf lockt dürfte kein Verhaltensblocker anspringen, die können ja nicht sehen das die Viren-Meldungen in der Oberfläche nur reiner Blödsinn sind. So ein Programm kann man nur Signaturbasierend erkennen.
ps. in dem Fall ist es auch nur ein Verarschungsfake was Blödsinn erzählt sonst nichts. .
Ja wie oft bei den Banditen, er will in erster Linie Geld. Das Teil ist in der Aufmachung jetzt ca. 4 Wochen unterwegs.
Up's, alles mögliche dabei. Bei VTT gab es nue eine Anzeige. Eigentlich nichts besonderes.
http://www.siteadvisor.com/sites/ascentive.com
http://www.mywot.com/de/scorecard/ascentive.com
Ein neues aber bekanntes Rogue Tool
http://www.abload.de/image.php?img=magicalsnap-2008.10.uyq.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.qrf.png
Windefender-2009. com
Update: man hat wieder einmal an der Stellschraube gedreht. Ergebnis siehe VTT
http://www.abload.de/image.php?img=magicalsnap-2008.11.rk9.png
http://www.virustotal.com/de/analisis/b0968c863a077aa0351600e27bc39559
Wie gelangt man auf die Seite, ich will das Ding auch submiten.
@bond
xxx.antispyware2008.com
Fraud Tool
http://www.abload.de/image.php?img=magicalsnap-2008.11.4kq.png
http://www.virustotal.com/de/analisis/9e218855283cbd8727bddacb6d4f4006
Der Grund ist eher das. Habe es mal Übersetzt.
http://www.abload.de/image.php?img=magicalsnap-2008.11.hnz.png
http://www.lavasoft.com/support/securitycenter/blog/?p=303
@Nightwatch
typisch Praktikanten , die scheints in jeder AV-Firma zu geben ... ob Kaspersky Symantec oder F-Secure , alle finden mal das Malware richtig toll schmeckt
Da braucht man dann ein Insider in der Firma der die Praktikantenarbeit gegenprüft und die Malware dann doch auf die Liste setzt .
Antiviruspro 2009
Da haben heute aber einige den Turbo gezündet. So sah es heute Morgen aus. http://www.virustotal.com/de/analisis/be048c3a6c76685771b08e78a1f6af29
So jetzt http://www.virustotal.com/de/analisis/80dd131148a29222a4b6df65e895795c
Rogue
http://www.abload.de/image.php?img=magicalsnap-2008.11.xey.png
http://www.virustotal.com/de/analisis/93496022004f7e7720b2789e3c691c74
Rogue Software, einer der frischen
http://www.abload.de/image.php?img=magicalsnap-2008.11.qgi.png
http://www.virustotal.com/de/analisis/160c1438ea6dc9221887be827d27d398
*edit*
Ups, kann gelöscht werden. xD
Update Rogue !!
http://www.abload.de/image.php?img=magicalsnap-2008.11.07quz0.png
http://www.virustotal.com/de/analisis/6d57d3f4991bfc941284407fb393c4a1
Das sah gestern noch nicht so gut aus.
Wundert mich, das Ikarus da bei VirusTotal nichts erkennen soll: Trojan.Win32.FakeSecSen!IK
http://img127.imageshack.us/my.php?image=asquaredss8.jpghttp://g.imageshack.us/thpix.php
Symantec greift wieder in die Vollen und killt ungefragt das Vista-Startmenü:
http://img205.imageshack.us/my.php?image=symantechi2.jpghttp://g.imageshack.us/thpix.php
Versuchen kann man es ja mal
http://www.abload.de/image.php?img=magicalsnap-2008.11.08l1bd.png
Bei klick auf Download
http://www.abload.de/image.php?img=magicalsnap-2008.11.0817n0.png
Weblog http://www.f-secure.com/weblog/ Trojan Helsinki
Neu Rogue!! http://sunbeltblog.blogspot.com/2008/11/new-rogue-virus-trigger.html
http://www.abload.de/image.php?img=magicalsnap-2008.11.12o8si.png
hxxp://www.adwarealert.com/
hxxp://adwarealertreview.info/
hxxp://antispyware2008.com/
Tun sich alle noch etwas schwer mit :-(
Fake Scanner
http://www.abload.de/image.php?img=magicalsnap-2008.11.241e6u.png
http://www.virustotal.com/de/analisis/2476174157187fa093c57a513c8eca8f
http://www.abload.de/image.php?img=magicalsnap-2008.11.24x6un.png
Gestern waren es nur 4 die ihn kannten
http://img401.imageshack.us/my.php?image=roguewarewv3.pnghttp://g.imageshack.us/thpix.php
Seltsam. Laut VT erkennen das Teil Ikarus und Symantec. Bei mir unter Vista und XP nüscht.
http://www.virustotal.com/analisis/38e2f2bc89e9803b8d313424f21957cd
microav2009.com [bewußt verschrieben bei der Adresse]
Update: Sie haben natürlich wieder modifiziert!!
http://www.abload.de/image.php?img=magicalsnap-2008.11.26bcrk.png
Allerdings wird hier doch angezeigt.
http://www.abload.de/image.php?img=magicalsnap-2008.11.26pfk3.png
http://www.virustotal.com/de/analisis/d3cce06c6214b7b0047c03d871b1f631
http://www.viruschief.com/report.html?report_id=691e7660b778cf50c62dd606959a4d46196b8a51
Ahoi, Rogue!!
http://www.abload.de/image.php?img=magicalsnap-2008.11.272emi.png
http://www.abload.de/image.php?img=magicalsnap-2008.11.27r5fr.png
http://www.abload.de/image.php?img=magicalsnap-2008.11.27fsv7.png
der ist von gestern.
http://www.abload.de/image.php?img=magicalsnap-2008.11.26ir4n.png
ThreatFire Schlägt bei WinWebSecurity an
http://img140.imageshack.us/my.php?image=2008112720h27m05sqx6.jpg
Und mal wieder ein PowerAntiVirus....
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.28.2 2008.11.28 -
AntiVir 7.9.0.36 2008.11.28 TR/Fakealert.HS.2
Authentium 5.1.0.4 2008.11.28 -
Avast 4.8.1281.0 2008.11.28 Win32:FraudTool-GL
AVG 8.0.0.199 2008.11.28 FakeAlert.BW
BitDefender 7.2 2008.11.28 -
CAT-QuickHeal 10.00 2008.11.28 -
ClamAV 0.94.1 2008.11.28 -
DrWeb 4.44.0.09170 2008.11.28 Trojan.Fakealert.origin
eSafe 7.0.17.0 2008.11.27 Suspicious File
eTrust-Vet 31.6.6234 2008.11.28 Win32/FakeAV!generic
Ewido 4.0 2008.11.28 -
F-Prot 4.4.4.56 2008.11.27 -
F-Secure 8.0.14332.0 2008.11.28 TXT/Antivirus2008.B.dropper
Fortinet 3.117.0.0 2008.11.28 PossibleThreat
GData 19 2008.11.28 Win32:FraudTool-GL
Ikarus T3.1.1.45.0 2008.11.28 Generic.Win32.Malware.Antivirus2009
K7AntiVirus 7.10.537 2008.11.28 -
Kaspersky 7.0.0.125 2008.11.28 not-a-virus:FraudTool.Win32.PowerAntivirus2009.ce
McAfee 5447 2008.11.27 -
McAfee+Artemis 5447 2008.11.27 potentially unwanted program Generic!Artemis
Microsoft 1.4104 2008.11.28 Trojan:Win32/FakePowav
NOD32 3649 2008.11.28 a variant of Win32/Adware.PowerAntivirus
Norman 5.80.02 2008.11.28 W32/TXT_Antivirus2008.B.dropper
Panda 9.0.0.4 2008.11.28 Generic Trojan
PCTools 4.4.2.0 2008.11.28 -
Prevx1 V2 2008.11.28 -
Rising 21.05.42.00 2008.11.28 -
SecureWeb-Gateway 6.7.6 2008.11.28 Trojan.Fakealert.HS.2
Sophos 4.36.0 2008.11.28 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.28 -
TheHacker 6.3.1.1.166 2008.11.28 -
TrendMicro 8.700.0.1004 2008.11.28 -
VBA32 3.12.8.9 2008.11.28 suspected of Embedded.OScope.Hoax.Win32.AntiAV.9
ViRobot 2008.11.28.1491 2008.11.28 Adware.PowerAntivirus2009.R.710920.C
VirusBuster 4.5.11.0 2008.11.28 -
Bis denne
Olli
Rogue!!!
http://www.abload.de/image.php?img=magicalsnap-2008.11.2913gh.png
http://www.virustotal.com/de/analisis/2b63ebe252b5e1b35df1a1cd5c04c7cb
Update!!
http://www.abload.de/image.php?img=magicalsnap-2008.11.30hw7p.png
http://www.virustotal.com/de/analisis/f91161e92760720265a255c973d7822b
http://www.abload.de/image.php?img=magicalsnap-2008.11.30gjrn.png
Nano Antivirus, aus der AV/ Anti-Spy 2008/9 Familie.
http://sunbeltblog.blogspot.com/2008/12/nano-antivirus-now-making-rounds.html
http://www.virustotal.com/de/analisis/9a3147695ba0d207add3c1b932b6487d
http://www.abload.de/image.php?img=magicalsnap-2008.12.026bf7.png
Wenn ich die Seite aufrufe, die bei Sunbelt im Screenshot ersichtlich ist, dann warnt mich GData schon mit 3 bis 4 Meldungen:
1. Trojan.Vundo.GAT (Engine A), Win32:Downloader-CBY [Trj] (Engine B)
2. Adware.FakeAntiVirus.N (Engine A)
und 3. Adware.FakeAntiVirus.N (Engine A)
Die Setupdatei, die man dann allerdings als Download bekommt wird nicht erkannt -> siehe deinen VTotal Scrennshot.
Sieht bei Symantec ähnlich aus:
http://img88.imageshack.us/my.php?image=anticheckov7.jpg
Scheint wieder ein linker Hund zu sein. Noch nicht viel los bei http://www.virustotal.com/de/analisis/6d9926e6f31bc9f72bd1d1b1e45e1c73
http://www.abload.de/image.php?img=magicalsnap-2008.12.03nfcm.png
http://safeweb.norton.com/report/show?url=www.defender-review.com&x=0&y=0
PrevxEdge:
http://img529.imageshack.us/my.php?image=70471606wd6.jpg
ThreatFire: -.-
Virus-Trigger
hxxp://www.virus-trigger.com/
Setup: Result: 3/38 (7.9%)
http://www.virustotal.com/analisis/783cc5f7a74d28bda9b335d0c56e8ed8
Installiert folgende dateien:
AnvTrgr.exe: Result: 7/38 (18.43%)
http://www.virustotal.com/analisis/10f2b40dc359a5aae46cfd229063b516
AnvTrgrWarning.dll: Result: 5/38 (13.16%)
http://www.virustotal.com/analisis/c066b4f5bc3f5a876b666eb8db6f7d32
http://s9.directupload.net/file/u/19580/koxyzx2s_png.htm
Also hier wird die Setup erkannt .
http://www.abload.de/image.php?img=aufzeichnena9eo.jpg
Nein , das ist die temporäre Endung eines Download-Job vom Flashget Downloadmanager .
Hatte das Teil schon etwas früher gescannt!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.05p15s.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.06xdnr.png
hxxp://worldwidewebsecurity.com/ws/index.php?affid=06100
http://www.virustotal.com/de/analisis/7b4e74e67b0efa1a114f30f27ecf0e12
Zur Zeit gibt es bei vielen Usern ein Problem mit http://www.rokop-security.de/index.php?s=&showtopic=17479&view=findpost&p=256467 Banditen!! scheint sich beim Besuch diverser Seiten einzuklinken. Perfect Defender in Verbindung mit einen Zlob Trojaner.
Sie manipulieren das teil in kurzen Abständen, somit ist die Erkennung sehr gering. Nach dem Motto, gestern erkannt, jetzt nicht mehr von vielen.
http://www.abload.de/image.php?img=magicalsnap-2008.12.07l2kg.png
Im Moment geht es nur mit ihm, sollte es anderweitig nicht weitergehen!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.07jh6j.png
WOT ist schon ne feine Sache. Ist leider nicht für Opera verfügbar. Schade...
Das stimmt, nun probiere ich den FF mal aus, mal sehen, wie er sich im Alltag schlägt. *Schnief* mein Opera
Achtung Abzocker-Seite!!!!!
http://xxx.opendownload.de
Davor wurde schon in News-Meldungen gewarnt
http://www.google.com/search?hl=de&ie=UTF-8&q=Opendownload.de
Der Abzocker geht jetzt vorallem bevorzugt über Werbeeinblendungen für Freeware in Webseiten auf Dummfang .
Ich liebe diesen Mailverkehr
http://forum.computerbetrug.de/allgemeines/46796-absurd-kafkaesker-mailverkehr-mit-den-betreibern-von-lebensprognose-test.html
/OT
War das nicht die Sache wo AbzockerSeiten über angesurfte IP-Adressen auf die Webseite Blindrechnungen an die Surfer verschickt wurden ?
Hier wieder einer aus der Gang!
http://www.abload.de/image.php?img=magicalsnap-2008.12.09zqfs.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.09okix.png
hxxp://.ia-scanner-pro.com Vorsicht!!
Japp,
http://www.abload.de/image.php?img=ia-scanner-pro_comcwk7.jpg wie BD anschlägt
Antivirus 360
http://www.virustotal.com/analisis/6d7f30f9bf1911cfed45abc085bec2ff
http://s11.directupload.net/file/u/19580/p3kp6qsq_png.htm
http://www.heise.de/security/US-Gericht-stoppt-Verkauf-von-Scareware--/news/meldung/120266
Domino
Fake AV !!! Er will Geld haben.
http://www.abload.de/image.php?img=magicalsnap-2008.12.111siy.png
http://www.virustotal.com/de/analisis/b2ed036afce5588bbaef716c48cf2b7d
Nr.2
http://www.abload.de/image.php?img=magicalsnap-2008.12.11dyzo.png
Rogue Update!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.13wn4d.png
man wird bei Klick nochmals weitergeleitet.
http://www.virustotal.com/de/analisis/1527d9573168d7997b38ea889f4f89d6
hxxp://www..antispywerepro.com
Fraud Banditen!!
hxxp://.easy-pc-tools.com Vorsicht!!
z.B. Privacy Control
http://www.virustotal.com/de/analisis/0815cf79e3ab79b9374aa2af3139e0c1
Beim Entpacken / der Installation wird das Programm auch von Ikarus erkannt.
http://www.virustotal.com/de/analisis/0f63f1752b4186d85ef07a5ad0952f7e
http://www.virustotal.com/de/analisis/9eee3e9c75953f48ecec3565fc417762
Nächst. Kandidat:
hxxp://www.powerfulvirusremover2008.com
http://www.virustotal.com/analisis/f26a6ee6abf1ed9c1e8828a69ae439be
Ein neuer
hxxp://.scanner-antivirus360.com
http://www.abload.de/image.php?img=magicalsnap-2008.12.21e61f.png
Ein alter Bekannter
http://www.virustotal.com/de/analisis/19ec82b69f5a794241c1936d13685d72
Ich darf auf den Thread hinweisen, indem erklärt wird, wie man mit nur einer E-Mail viele wichtige Virenschutzhersteller erreicht.
-> http://www.rokop-security.de/index.php?showtopic=17635
Es können Textfiles gedownloadet werden; den Inhalt der Textfiles (die Adressen der Virenschutzhersteller) kann man dann bequem in das E-Mail-Programm kopieren.
Man sollte allen Virenschutzherstellern die Möglichkeit geben, für die Schädlinge eine Signatur einzubauen. Dies geht natürlich nur, wenn sie unterstützt werden - egal welches AV man persönlich favorisiert.
Ich bitte daher nochmals, allen AV's die Dateien zur Verfügung zu stellen.
Win Web Security neue Variante.
http://www.virustotal.com/de/analisis/1f5388a5f3ce399f42d0984523652222
Es war anzunehmen, das die Rogue Bande über die Feiertage versucht, ihre Aktivitäten zu erhöhen. Neue bzw. veränderte Varianten tauchen wieder in kürzeren Abständen auf.
http://www.abload.de/image.php?img=magicalsnap-2008.12.25fv4o.png
Rogue der nächste!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.2545bs.png
hxxp://.intelinet-global.com Vorsicht!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.25fitq.png
PrevxEdge:
http://img117.imageshack.us/my.php?image=2008122519h13m10sko7.jpg
Sonar und AntiBot tun nüscht. Alles signiert, Programm stellt nichts an. Deinstallation funktioniert auch.
Hier ein paar Beschreibungen im http://www.superantispyware.com/blog/
Fraud, Virusremover der nächste!!
http://www.virustotal.com/de/analisis/e7c302e62b0ddcf83637eb3ff7085073
http://www.abload.de/image.php?img=magicalsnap-2008.12.273axo.png
Avira erkannt mit dem heutigen Update.
Rogue Perfect Defender
http://www.abload.de/image.php?img=magicalsnap-2008.12.28ajyn.png
http://www.virustotal.com/de/analisis/8eb9a973921799e89815b41d99967592
hxxp://.personaldefender2009.com Vorsicht!!
Die Sandbox von Norman sollte man nicht unterschätzen, sie erkannte das Teil auch gestern schon ohne Erkennung bei VTT
http://www.abload.de/image.php?img=magicalsnap-2008.12.28ba1r.png
Noch nicht von allen erkannt, der Zauberer!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.30icie.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.304253.png
gesehen wie bei VTT
http://www.abload.de/image.php?img=magicalsnap-2008.12.30u39x.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.30w98n.png
Nod3 nach ausführen:
http://img176.imageshack.us/my.php?image=2008123014h12m02sja5.jpg
Mit winrar entpackt:
http://img397.imageshack.us/my.php?image=2008123014h24m40sjv6.jpg
PrevxEdge: -.-
Also man muss sagen, die Jungs strengen sich echt an.
man beachte die Zeiten der Erkennung bei Vtt
1
http://www.abload.de/image.php?img=magicalsnap-2008.12.3005zh.png
2
http://www.abload.de/image.php?img=magicalsnap-2008.12.308bdi.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.302cbn.png
http://www.abload.de/image.php?img=magicalsnap-2008.12.30d6nt.png
Mein erster Fund 2009!! Habe den mal hier positioniert.
http://www.abload.de/image.php?img=magicalsnap-2009.01.01dcee.png
Diesen verlangt er eher selten.
http://www.abload.de/image.php?img=magicalsnap-2009.01.01yeyr.png
Der nächste Fake AV
http://www.abload.de/image.php?img=magicalsnap-2009.01.01x7ab.png
http://www.abload.de/image.php?img=magicalsnap-2009.01.0162ew.png
Ich denke, das es auf VTT in Abständen mal den einen oder anderen Hänger gibt. Hier Symantec zu einen früheren Zeitpunkt.
http://www.abload.de/image.php?img=magicalsnap-2009.01.01k369.png
Die AV,s haben momentan genug Arbeit, mit dem einpflegen von diesen Fake Mist.
http://safeweb.norton.com/report/show?name=astrumavrpro.com
Es gibt neues
http://www.abload.de/image.php?img=magicalsnap-2009.01.030yaj.png
hxxp://.xpprivacypro.com
auf VTT ist nicht viel los, diesbezüglich.
Avira meldet das als Trojaner von h..p://www.totalprotect2009.com/download.php?aid=
Und zwar genau als TR/Dropper.Gen' und das sagt Virustotal: http://www.virustotal.com/de/analisis/c5db30e5bf909d4dd6463cd2606a6aa6
Kaspersky erkennt es auch als Gefunden: not-a-virus:FraudTool.Win32.Agent.gf
Der Uninstaller bzw. Installer hat es in sich http://sunbeltblog.blogspot.com/2009/01/new-rogue-total-protect-2009.html
Dieses mal nicht Englisch
http://www.abload.de/image.php?img=magicalsnap-2009.01.079ctd.png
http://www.virustotal.com/de/analisis/823aaa1e89d1a1e163a49b34f744fcb7
http://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.aswpro.com%2F&x=9&y=7
Überraschung gelungen!! Fake
http://www.abload.de/image.php?img=magicalsnap-2009.01.087nf8.png
http://www.abload.de/image.php?img=magicalsnap-2009.01.08toii.png
hxxp://www.total-defender:com
Fake AV !!!
http://www.abload.de/image.php?img=magicalsnap-2009.01.10r8dt.png
http://www.abload.de/image.php?img=magicalsnap-2009.01.1014kc.png
Und die dazu passende VT
http://www.virustotal.com/de/analisis/e61fc88ccacb649778c1204fe79404c5
Welche kurz mit drei AVs getestet, auch so stimmt.
Die gemeldeten Dateien gibt es so nicht:
http://img339.imageshack.us/my.php?image=realantiviruszc6.jpg
Installation unter Vista nicht ganz erfolgreich, reicht aber um die Lizenzierung zu zerstören.
XP Police Rogue!"!
http://www.virustotal.com/de/analisis/e74e97331fd957de476e96b3eacb1c4c
hxxp://.xp-police.com Vorsicht!!
http://www.abload.de/image.php?img=magicalsnap-2009.01.28sgf8.png
NIS2009 während des downloads:
AVG 8.0
http://www.abload.de/image.php?img=avguv00.jpg
Rogue AV!!
http://www.abload.de/image.php?img=magicalsnap-2009.01.274kfb.png
http://www.virustotal.com/de/analisis/f0d5dd02a73433091b88e15ff4883fca
gestern sah es noch nicht so gut aus bei VTT.
hxxp://.ie-security.com
Falsche Ergebnisse:
hxxp://.xpyburnerpro.com
hxxp://.www.hdrivesweeper.com beide gleiches Ergebnis hier.
http://www.virustotal.com/de/analisis/baff5e866e025246c26e7bfd31ece5e4
Kommt einen doch bekannt vor!!
hxxp://.virus-doctor.com
Alles derselbe Dreck
http://www.abload.de/image.php?img=aufzeichnen109x.jpg
Antivir:
VT 18/39
http://www.virustotal.com/analisis/410c1abffba1938018ee92cfef13428f
Fake AV
http://www.virustotal.com/de/analisis/ba80b063566a470693d55a8440fabdae
hxxp://.www.anti-virus-2010.info
ist wieder die übliche sogenannte Schreckware die Trojaner vortäuscht um eine Lizenz für ein Stück nutzlose Software zu kaufen , der Fake-AV trägt sich als Monitorcalibrator in den AutoRun ein und er biegt einige Webseiten über die Hostdatei um
Antivir (nach ausführen):
privacytoolpack ....
mit norton 2009 av problemloser downlaod....
Datei install.exe empfangen 2009.02.20 15:32:54 (CET)
Ergebnis: 15/38 (39.48%)
a-squared 4.0.0.93 2009.02.20 -
AhnLab-V3 2009.2.20.1 2009.02.20 -
AntiVir 7.9.0.85 2009.02.20 -
Authentium 5.1.0.4 2009.02.20 -
Avast 4.8.1335.0 2009.02.19 Win32:Adware-gen
AVG 8.0.0.237 2009.02.20 Fake_AntiSpyware.BHY
BitDefender 7.2 2009.02.20 Spyware.3618
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.20 -
Comodo 983 2009.02.19 -
DrWeb 4.44.0.09170 2009.02.20 -
eSafe 7.0.17.0 2009.02.19 Win32.FraudTool.xlgu
eTrust-Vet 31.6.6367 2009.02.20 -
F-Prot 4.4.4.56 2009.02.19 -
F-Secure 8.0.14470.0 2009.02.20 FraudTool.Win32.XLGuarder.bs
Fortinet 3.117.0.0 2009.02.20 Misc/XLGuarder
GData 19 2009.02.20 Spyware.3618
Ikarus T3.1.1.45.0 2009.02.20 -
K7AntiVirus 7.10.638 2009.02.20 not-a-virus:FraudTool.Win32.XLGuarder.bs
Kaspersky 7.0.0.125 2009.02.20 not-a-virus:FraudTool.Win32.XLGuarder.bs
McAfee 5530 2009.02.19 -
McAfee+Artemis 5530 2009.02.19 -
Microsoft 1.4306 2009.02.20 -
NOD32 3873 2009.02.20 Win32/Adware.XLGuarder.J
Norman 6.00.06 2009.02.20 -
nProtect 2009.1.8.0 2009.02.20 -
Panda 10.0.0.10 2009.02.20 Application/XLGuarder
Prevx1 V2 2009.02.20 -
Rising 21.17.42.00 2009.02.20 AdWare.Win32.Agent.cda
SecureWeb-Gateway 6.7.6 2009.02.20 -
Sophos 4.39.0 2009.02.20 Sus/Behav-113
Sunbelt 3.2.1855.2 2009.02.17 Email-Worm.Win32.LovGate.w ...is wohl eine verwechslung (?)!
Symantec 10 2009.02.20 -
TheHacker 6.3.2.3.261 2009.02.20 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.20 -
ViRobot 2009.2.20.1617 2009.02.20 Adware.XLGuarder.R.2203364
VirusBuster 4.5.11.0 2009.02.19 -
Ein falscher Hund!! also falsche Ergebnisse.
hxxp://.www.avagentpro.com/download
http://www.virustotal.com/de/analisis/1da461ca7cf2f6b1308fd663de570e46
Der nächste bitte:
hxxp://w.w.w.antispywarepro.net
http://www.abload.de/image.php?img=antispyware_pro_2009nsm5.jpg
Avira meint dazu:
http://www.abload.de/image.php?img=avira_antispyware_pro_tqws.jpg
http://www.virustotal.com/de/analisis/a0dff0feb58bf3d1079f38cd2c7fdc8d
und dazu noch passend das VT Log.
Dazu war ich zu faul
Wie sehr sich das Zeugs doch wieder ähnelt.
hxxp://.www.winflashmedia.com
http://www.virustotal.com/de/analisis/fcb12696603f7bcaf1d1253d81bae4da
http://www.siteadvisor.com/sites/winflashmedia.com
Erkennungsrate unterirdisch: 3/39
https://safeweb.norton.com/report/show?url=www.winflashmedia.com&x=0&y=0 sagt sauber
das liegt an dem automatischen Analyse-System , auf der Webseite alleine ist erstmal auch nichts verwerfliches auffindbar für Norton/Symantec. Das kann sich aber jederzeit ändern wenn der Winwebmedia_installer erkannt wird.
Ich danke Dir Voyager
Der nächste aus der Gattung
http://www.virustotal.com/de/analisis/409991d7c6c71c54418a0d9676e5bf09
Vor ein paar Stunden waren es nur zwei. Panda kam hinzu.
hxxp://.www.syscleanerpro.com
Da meint Norton Safe Web dazu:
http://www.abload.de/image.php?img=screenshot832806894228xrck.jpg
http://antivir2009.free4ail.info/
http://www.abload.de/image.php?img=http_antivir2009.free4jy7i.jpg
Etliche sind http://forum.avira.com/wbb/index.php?page=Thread&threadID=26293 zu finden
sieht nach Abo-Fallen aus , ich konnte noch kein Fake-Avira Rogue finden.
Ok, dann Abofalle, auf jeden Fall nix gut
Hallo
kennt jemand die Ascentive software? ich glaube die ist auch nicht astrein , u.a kostenlos scan, habe ich letztes jahr mal ausprobiert, angebliche x hunderte probleme auf meinem computer. der aber makellos läuft....., ich denke wenn man die software dann kauft/testet hat man keine x- hunderte probleme mehr... sondern tausende
Komisch, sobald ich es installieren möchte, kackt das Progz ab
als weiterprobieren, wo ein malwarewille ist ist auch ein weg ... die bewertung durch wot und mcafee spricht auch bände wenn man ascentive software angibt....
https://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.ascentive.com%2F&x=0&y=0 meint auch "Sicher"
Fake Sonderangebot!!
http://www.abload.de/image.php?img=magicalsnap-2009.03.12muqh.png
wer auf Try now klickt, bekommt keinen Download, sondern das!!
http://www.abload.de/image.php?img=magicalsnap-2009.03.12wul9.png
Ahahah:
Fake, momentan kein Download!! bin sicher, der wird in kürze im Net auftauchen.
http://www.abload.de/image.php?img=magicalsnap-2009.03.13srr9.png
Jepp Rios, hast Recht Dl ist [noch] down
Nächster Fake AV falsche Ergebnisse!! auf Vtt zur Zeit ein glatter Nuller.
hxxp://.www.personal-antivirus.com
Ich befürchte der Fake-AV ist ungefährlich , zur Installation will dieser ein Passwort haben aber auf der Seite sehe ich kein Passwort und ohne Installation kann der User nicht "erschreckt" werden
Alles noch nicht aktiv,aber nur eine Frage der Zeit.
hxxp://.www.virusmeltpro.com
hxxp://.www.virusdoctor-pro.com
Ein Teil davon geht zumindestens schonmal.
http://www.abload.de/image.php?img=1uda6.jpg
ThreatNuker
http://s11b.directupload.net/file/u/19580/rs786ots_png.htm http://s10.directupload.net/file/u/19580/n2qkh4cr_png.htm
ThreatNukerSetup.exe Result: 7/39 (17.95%) http://www.virustotal.com/analisis/f4120a348a96355010934b6a340fca7e
ThreatNuker.exe Result: 5/39 (12.83%) http://www.virustotal.com/analisis/d249227c6df4fade3167a255d90ae048
hxxp://www.threatnuker.com/
Avira ist anscheinend mal wider unentschlossen was ThreatNuker angeht.
Erster versuch per Upload Formular http://analysis.avira.com
http://s11.directupload.net/file/u/19580/zrflru5e_png.htm
Aha Clean also gleich mal per Mail noch mal einschicken.
http://s11.directupload.net/file/u/19580/nu8flc9q_png.htm
Also doch schädlich TR/FakeAV.Threatnuker.A.
Das ist aber auch schwer zu erkennen das ThreatNuker eine Rogue Software ist.
http://s10.directupload.net/file/u/19580/n2qkh4cr_png.htm
Fälschung von Spyware Doctor!!
http://www.abload.de/image.php?img=magicalsnap-2009.03.301jm0.png
http://www.abload.de/image.php?img=magicalsnap-2009.03.30qiis.png
http://www.virustotal.com/de/analisis/dc3d2c1d825b68a0ec74d2b80c4a0957
h??p://.www.newspywaredoctor.com
Ein echter Rogue, versucht den User mit Falschmeldungen zu verunsichern, und zum Kauf zu bewegen.
hxxp://.www.mysuperviser.com
http://www.abload.de/image.php?img=magicalsnap-2009.04.17q9g2.png
Der weigert sich beharrlich mich zu "erschrecken" , das läuft einfach nicht
http://www.abload.de/image.php?img=1udgw.jpg
http://www.abload.de/img/1udgw.jpg
Du wirst Ihn erschreckt haben
MAB mault [Ausführung in der Sandboxie]
http://www.abload.de/image.php?img=mysupervisor_mab9y4g.jpg
Mistding:
http://www.abload.de/image.php?img=mysupervisor24nbg.jpg
Da könnte man Verschwörungstheorien nähren wie MBAM immerso schnell an die Malware kommt , vll. selbst verbreitet das Zeug ?
Wer weiß, wer weiß
Ich pack mein Post einfach mal mit hier rein um kein neues aufzumachen.
http://www.pcwelt.de/start/sicherheit/virenticker/news/197982/koobface_wurm_installiert_scareware_und_umgekehrt/
Pcwelt berichtete hier vor ein paar Tagen von einer Scareware die nicht nur ein paar Prozesse blockiert sondern nur ein paar Ausnahmen freigibt um den User zum Kauf der Scareware besser nötigen zu können . Ich konnte dies in einem Test perfekt nachstellen , auf dem PC funktionierte nurnoch der Explorer und der IE . Alle anderen Prozesse wurden abgeschossen , auch alle Prozesse von Gdata2010 , der vorhandene Selbstschutz greift hier nicht weil man die meisten der Gdata Prozesse abschiessen kann
http://www.abload.de/image.php?img=1uc5j.jpg
http://www.abload.de/img/1uc5j.jpg
Diese virtuelle Maschine war völlig unbrauchbar geworden und konnte keine der anderen ausgeführten Infektionen auf dem Desktop abwehren . Mehrere Malware Services und Prozesse installiert , DNS verbogen ect.
Jetzt hab ich auf einer NIS VM das Szenario noch einmal nachgestellt.
http://www.abload.de/image.php?img=2rge5.jpg
http://www.abload.de/img/2rge5.jpg
http://www.abload.de/image.php?img=3sjb1.jpg
http://www.abload.de/img/3sjb1.jpg
Kuck an , die Scareware schafft es nicht den Norton Selbsschutz überwinden zu können da es nur 1 Prozess gibt den es zu schützen gilt .
Auch konnten hier zumindestens teilweise Infektionen abgewehrt werden wie zb. Rootkit und IPS Angriffe. Mit der rechtzeitigen Erkennung der Risiken wäre der PC hier noch brauchbar.
Achso das hab ich vergessen, ich hab ALLE Objekte auf dem Desktop ausgeführt und nach den anschliessenden Reboots der virtuellen Maschinen hat die Scareware die Kontrolle über den PC übernommen.
Du hast ausserdem etwas anderes.
Ist nicht schlimm, einfach die VM schliessen und Änderungen verwerfen. Dazu muss an die Rückgängig Datenträger Option in den Einstellungen aktivieren vor dem Starten der VM .
Kannst du mir das Ding auch mal zukommen lassen? Danke.
*edit*
Auf malwaredomainlist habe ich eine AV.exe (Trojan.Win32.Winwebsec) gefunden, die von der G Data Verhaltensüberwachung geblockt und gelöscht wird. Eine zweite ak1.exe wird nicht bemängelt (außer ein Autostarteintrag). Ich weiß jetzt nicht welches Sample Voyager genommen hast, aber Prozesse wurden bei mir jetzt keine beendet.
*edit*
Laut Virustotal erkennt Symantec beide Dateien bereits, also muss ich andere Samples verwendet haben.
0scan.us/download.php
versuche mal das , die türkisfarbene Install.exe stimmt mit dem System Security 2009 Icon überein.
dl1.adioro.com/distribs/5/registryoptimizer.exe
installiere auch das mit , das ist auch nur eine reine Scareware.
Danach die Gdata VM rebooten und schon kannst du nichtsmehr ausser dem Explorer und dem IE aufrufen , auch kein Gdata.
Die install.exe wird derzeit nur von 3 Programmen erkannt:
Ikarus (und somit auch von a-squared)
AntiVir
Mc Afee (alle 3 Produkte)
Prevx erkennt das Sample per On-demand-Scan nicht:
http://www.abload.de/image.php?img=prevxinstallexeiiy69o.jpg
Aber jetzt kommt der Mist. Ich krieg das Teil nicht auf den PC, denn nach dem Ausführen passiert immer das:
http://www.abload.de/image.php?img=prevxinstallexem77j.jpg
Die Heuristik beim Ausführen scheint wunderbar zu funktionieren. Auch dann, wenn man es nicht will
Nach einem Neustart passiert nichts mit dem Prozess von Prevx. Aber auch mit keinem anderen, weil es auch inaktiv geblockt wird. Ich müsste das nochmal testen (was aber dauern könnte), wenn ich das Programm gar nicht drauf habe. Denn so, geht es jedenfalls nicht. Ganz schön biestig
Gruß,
Nightwatch
@Nightwatch
verstehst du deinen eigenen PrevX Meldungen nicht ? Die Sicherheitssoftware scheint über eine Form der Clouderkennung zu verfügen , die install.exe wird beim Ausführen gesperrt mit der Meldung unten im Tray .
Aus dem Grund meldet Vista ein Zugriffs-Rechte Problem .
Sodele. ich hab´s nun hinbekommen. Das nette Teil vollständig installiert und neugestartet:
http://www.abload.de/image.php?img=prevxsurv0f5w2.jpg
Was passiert nach dem Reboot?
Prevx lebt!
http://www.abload.de/image.php?img=prevxsurv76rq.jpg
Und es meldet auch gleich eine Infektion:
http://www.abload.de/image.php?img=prevxsurvik577.jpg
http://www.abload.de/image.php?img=prevxsurviiz0jd.jpg
Well done
Gruß,
Nightwatch
@Nightwatch
Laut deinem zweiten Bild läuft die Fake AV Software aber garnicht mit, diese müsste zumindestens das gelbe Icon da killen was Sandboxie sein dürfte wenn PrevX schon ein wirksamen Selbstschutz hat , von daher kann ich nicht erkennen ob du das auch richtig getestet hast.
Also die Install.exe wird von G Data nach dem Ausführen geblockt und man kann sie in Quarantäne schieben. -> Die Infektion wurde geblockt.
Den Registry Optimizer erkennt G Data nicht. Man kann allerdings beim Installieren den Autostarteintrag vom Programm blocken. Nach einem Neustart sieht das System sauber aus, zumindest macht sich nichts bemerkbar und im Taskmanager sieht man auch nichts. (das Ding wurde natürlich trotzdem installiert ^^)
@markus17
Ich dachte du wolltest meinen Test verifizieren , warum hast du die install.exe auf der VM nicht erlaubt zu starten ?
Ich die Install.exe jetzt mal installiert und neugestartet. Es wurden alle Prozesse gekillt und G Data macht nichts mehr. Wenn man den Taskmanager auf iexplore.exe umbenennt, dann kann man ihn starten und sehen, dass so gut wie alle unnötigen Prozesse/Dienste von der Malware beendet wurden.
Mir ist aufgefallen, dass man von vielen AVs die Prozesse killen kann, bevor das Programm sich komplett initialisiert hat. Das geht bei G Data als auch bei NAV. Einfach Taskmanager auf und Prozess beenden.
*edit*
@ voyager
Hast du die Verhaltensüberwachung aktiviert? Es gibt zwar keine Signatur, aber das muss es auch nicht.
Ich habe jetzt mal meine NAV VM angeworfen und wenn ich die install.exe installiere und einen Neustart durchführe, dann läuft nach dem Neustart kein NAV mehr. Ich muss aber dazu sagen, dass NAV bei mir in der VM sehr lange braucht, bis es einsatzbereit ist. Vielleicht ist mein Notebook einfach nur zu langsam.
Bei mir sieht es so aus:
- deaktiviertes G Data + Neustart = System infiziert, AV nicht einsatzbereit
- aktiviertes G Data = Installation kann unterbunden werden, durch die Verhaltensüberwachung
- deaktiviertes NAV + Neustart = System infiziert, AV nicht einsatzbereit
@markus17
Hier ein Screenshot vom Dialog, der beim Ausführen der install.exe kommt:
@ voyager
Die Verhaltensüberwachung sollte per default aktiviert sein. Du findest sie in den Optionen des Wächters.
@markus17
Also ich möchte hier mal etwas klarstellen. Das ganze soll kein Angriff auf Nortonprodukte sein und auch keine Heiligsprechung von G Data. Ich finde beide Programme gut. Ich hätte gerne eine Kombination von beiden Programmen, aber das gibt es ja nicht.
bezüglich der Verhaltensüberwachung:
Sorry, in den Optionen steht "Systemschutz und Autostartüberwachung", bei den Meldungen allerdings "Verhaltensüberwachung".
Dann nochmal zu meinem System:
1,7 GHz Pentium M
1024MB Ram
XP SP3
-> VM (XP SP3) bekommt 512MB Ram, AVs wurden installiert und an den Einstellungen wurde nichts verändert.
Installiert man die Scareware bei deaktiviertem AV versagen bei mir sowohl G Data als auch NAV.
Aktiviert man G Data, wird die Installation unterbunden, außer der User erlaubt es explizit. NAV habe ich jetzt nicht mehr getestet, was passiert, wenn es aktiviert ist. Bei mir braucht NAV in der VM nämlich 5-10min zum starten. -.- (hab ich schon mal in einem anderen Thread erwähnt)
*edit*
@ voyager
Ich glaube dir ja, dass sich NAV bei dir nicht beenden lässt. Vielleicht startet es bei dir einfach schnell genug, um sich selbst zu schützen.
Ich würde nicht mit deaktiviertem Schutz testen, wenn voyager nicht gewollt hätte, dass ich das Sample starten lassen soll. Bei einem BB bzw. Hips muss man eine Datei sowieso zuerst ausführen, bis sie aufgrund von einem gewissen Verhalten erkannt wird. Bei G Data doppelklickt man die Datei und im nächsten Moment kommt auch schon das Warnfenster (siehe Screenshot oben). Was bei NAV passiert, sieht man ja bei voyagers Screenshots.
Lasse ich die Installation des Samples zu, haben auf meiner sehr langsamen VM beide AVs keine Chance. G Data muss sich erst ein paar Sekunden initialisieren (vorher geht wahrscheinlich nix) und bei NAV rennt bei mir nur die ccSvcHst.exe (lastet das System auch ziemlich aus). Erst nach ein paar Minuten folgen weitere Prozesse von NAV. Ich gehe also davon aus, dass auch hier erst der Selbstschutz greift, wenn das Programm sich gestartet hat.
@ voyager
Bei deinem Screenshot sieht man z.B. schon den gelben Kreis von NAV bzw. NIS im Systray. Bei mir kommt dieser nicht sofort. Wahrscheinlich startet bei dir das ganze einfach um einiges schneller.
@J4U
Ich vermute du hast das nicht verstanden warum es hier ging ? Man kanns dir gern auch nochmal erklären, extra für dich zum mitschreiben.
Es ging hier darum aufzuzeigen das Scareware zusätzliche Funktionalitäten mitbringt wie Sie im PC Welt Artikel beschrieben wurden .
Du wirst beim nächsten mal Nicht immer in der glücklichen Verfassung sein das irgend jemand die Webseite als Böse deklariert oder die Seiteninhalte bemängelt , dann stehst du vor der Situation ob dir die Scareware deinen PC sperrt und du nichts machen kannst.
Das ist doch nett wenn du deine Bude sauber halten kannst , aber deshalb musst du nicht versuchen die Unterhaltungen zu stören, das ist ja auch nicht das erste mal gelle.
Ich bezweifle das es zu Win311 Zeiten schon Scareware gab die den PC solange unbrauchbar macht bis der Betroffene aus Frust zahlt , incl. der Überwindung von aktuell nicht ausreichenden Selbstschutztechniken von Sicherheitssoftware.
Wenn du schon versuchen willst mitzureden empfehle ich dir schreibe einfach auch mal was zu Thema. http://www.rokop-security.de/index.php?s=&showtopic=17479&view=findpost&p=274930 versuchst du nur zu stören und vom eigentlichen Thema abzulenken.
Ich hätte da mal ein Thema für die ganzen Software Fachleute im Forum .
Und zwar geht es um Malware wie man sie allerorts auf Webseiten im Netz findet wo man beispielsweise auf einen fehlenden Codec hingewiesen wird (Youtube Fakes) .
Wenn man diese Malware jetzt aufspielt tauchen Temporär Dateien als Prozesse im Taskmanager auf die den eigentlichen Downloader darstellen und weitere Malware aus dem Netz fleissig nachladen , siehe Bild.
http://www.abload.de/image.php?img=1wzi0.jpg
http://www.abload.de/img/1wzi0.jpg
Hier hätten wir sowas , ein Flashfake was ein nichtvorhandenes Showplugin installieren will aber im Hintergrund schon fleissig mittels dieser markierten Prozesse Malware aus dem Netz nachlädt.
Jetzt meine eigentliche Frage , wie machen die das Temp-Dateien als Prozesse einzusetzen da man erfahrungsgemäss weiss ein Prozess endet mit EXE oder COM ect. . Wo liegt der Unterschied oder der Vorteil jetzt im Gegensatz zum herkömmlichen EXE Prozess hier diese Temp-Dateien als Prozesse einzusetzen . Wenn das jemand genau weis würde mich das freuen zu erfahren.
http://de.wikipedia.org/wiki/Portable_Executable fällt wohl in den Zusammenhang.
Ich vermute einfach mal, dass, sofern es sich um PE-Programme mit entsprechendem Header handelt, diese einfach mittels Parameter über einen Systemprozess (wohl meist rundll32.exe) gestartet werden können.
Ist auch häufig bei Spielen mit Kopierschutz so. Wenn man z.B. ein HIPS am laufen hat, sieht man, dass die *.tmp-Prozesse des Kopierschutzes von der rundll32.exe gestartet werden.
Wäre eine Erklärung aber ich schätze wenn ausführbare Bibliotheken DLL gestartet werden sieht man auch nur den Prozess rundll32.exe im Taskmanager , hier könnte das etwas anders sein.
Mal schauen ob sich noch einer zu Wort meldet.
Es gibt bei Windows mehrere Mechanismen um Dateien auszuführen. Ich würde die mal grob in Shell- und Systemmechanismen unterteilen.
Shellmechanismen (z.B. http://msdn.microsoft.com/en-us/library/bb762153(VS.85).aspx) greifen dabei auf die Dateiendung zurück, um aus der Registry auszulesen, wie mit der Datei umzugehen ist (direkt ausführbar, mit anderer Anwendung öffnen etc.). Wenn kein Eintrag vorhanden ist, gilt der Dateityp als unbekannt und es wird folglich auch nichts gemacht.
Systemmechanismen zum Starten von Prozessen (z.B. http://msdn.microsoft.com/en-us/library/ms682425.aspx) ist es dagegen völlig egal was für eine Endung die Datei hat. Dadurch, daß ich die API benutze, teile ich dem System quasi explizit mit, daß die Datei ausführbar ist. Vorraussetzung ist natürlich, daß die Dateien wirklich ausführbar sind (also z.B. valide PE Header besitzen etc.).
Die in Deinem Screenshot sichtbaren *.tmp Dateien sind also offensichtlich direkt via http://msdn.microsoft.com/en-us/library/ms682425.aspx oder ähnlichem gestartet worden.
Danke Anar , könntest du dir noch erklären mit welcher Absicht die Malwareschreiber das so machen, das Vorgehen scheint sehr weit verbreitet zu sein .
Klar: Damit kann man unintelligente OnAccess Scanner austricksen. Einige OnAccess Scanner arbeiten immer noch mit Extension Lists der Performance wegen. Bedeutet es werden nur Dateien mit bestimmten Erweiterungen gescannt, weil alle anderen Dateien sind ja "nicht ausführbar" .
Profis unter sich.
Ja, korrekt. Ist ein Kompromis aus Sicherheit und Performance und meiner Ansicht nach die zu empfehlende Einstellung. Ist glaube ich bei Kaspersky auch Standard so eingestellt.
Danke, Anar, und genau
Allerdings macht das HIPS bei jedem Programmstart einen On Execution-Scan, weshalb es wohl nicht schlimm ist, wenn man bei Datei-AV nach Erweiterungen entscheiden lässt, ob gescant wird.
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)