Innerhalb weniger Minuten ist die Malware wieder undetected Einstellungen

[Gast_blueX_*]

Hallo,

ich beobachte seit einigen Wochen zwei interessante URL Adressen:
hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e
hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e

Über diese Adressen wird Malware massenhaft verbreitet.
So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen.

Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird.

Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen.
Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt.

Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen.

Habt ihr sowas schon mal gesehen?
Wie denkt ihr darüber?


Viele Grüße
bluex

[Gast_blueX_*]

Was ich noch vergessen habe, aber auch recht interessant ist.
Einige AVs haben mir mitgeteilt, dass der Server scheinbar einen IP-Filter besitzt. Sie können nicht auf die URLs zugreifen.

Es werden daher scheinbar bestimmte Regionen oder bestimmte IPs herausgefiltert, so dass der Server und somit der Download der Dateien für manche nicht verfügbar ist.

[Catweazle]

Nun Ja; https://www.virustotal.com/url/73a97c50d691...sis/1354126840/ https://www.virustotal.com/url/b2c1c3e24d6b...sis/1354126948/ immer hin was ....

Catweazle

[simracer]

@blueX
Mit Avast Free hab ich keine Chance die 2 Seiten aufzurufen:

[Gast_blueX_*]

Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.

[Gast_J4U_*]

Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.

Uwelis Screenshot nach werden die Echsen durch Avast erkannt, Norton blockt die Domain. 2x erkannt, 2x Aufgaben erfüllt, wo ist das Problem?

J4U

[simracer]

Problem gibt es da keines J4U blueX wollte nur zum Ausdruck bringen: gelangt man auf die Webseite und läd sich die Dateien runter und führt die aus, dann werden die von nur sehr wenigen Scannern erkannt und das Fake-AV dazu kann sich "entfalten" bzw in Aktion treten. Das sagte aber auch mal SLE das die Virenschutz Hersteller Probleme damit hätten wenn es um Ransomsoftware geht.

[SLE]

Uwelis Screenshot nach werden die Echsen durch Avast erkannt,...

Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil:
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.
btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint.

Die Meldung und der Test von Uwe hat nichts mit dem von BlueX beobachteten Phänomen zu tun.

Zur Frage: Sowas habe ich schon recht oft gesehen, so selten ist das nicht. Die 14 Tage sind eher selten: Es sind meist dieselben 3-5 Anbieter die es schaffen recht schnell generische Signaturen zu erstellen - was aber auch auf den Umfang ankommt. Andere Anbieter können das kaum.

OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 22:02

[simracer]

btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint.

Na hoffentlich reibst du dich daran nicht auf SLE an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.

Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil:
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft.

Warum ist in deinen Augen eine Blacklist keine Erkennung? es wurde doch durch eine Schutzfunktion(Netzwerkschutz)verhindert, das Webseiten aufgerufen werden können, auf denen sich Infizierungen bzw infizierte Dateien/Files befinden. In meinen Augen ist das auch eine Art von Erkennung.

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 22:15

[markus17]

G Data blockt die URL nicht, jedoch wird die Malware vom BB unschädlich gemacht. Da gibt es aber einige Seiten von der Sorte, die einem Bilder oder Video exe-Dateien andrehen wollen. Gibt sicher genug, bei denen das AV noch nicht anschlägt oder einfach kein aktueller Virenschutz drauf ist. (sehe immer wieder die abgelaufenen Testversionen auf diversen PCs/Notebooks)

[Gast_J4U_*]

URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt.

OK, da hätte ich wohl noch eine Zeile weiter lesen sollen... Als Erkennung sehe ich das trotzdem an, eine Schicht des Schutzprogrammes hat den Zugriff zuverlässig verhindert. Ob das nun über Signaturen, Verhaltensanalyse, Blacklist oder wie auch immer erfolgt ist für das Verhindern von Infektionen erst mal Nebensache.

J4U

[SLE]

Na hoffentlich reibst du dich daran nicht auf SLE an anderer Stelle wurde auch hier bei Rokop schon darauf verwiesen das man infizierte Webseiten in Bildern deren Adresse unkenntlich machen solle. Das machte ich obwohl auch blueX die Adressen der Webseiten postete und die Adressen nur mit 2 X veränderte.

Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht

Warum ist in deinen Augen eine Blacklist keine Erkennung? es wurde doch durch eine Schutzfunktion(Netzwerkschutz)verhindert, das Webseiten aufgerufen werden können, auf denen sich Infizierungen bzw infizierte Dateien/Files befinden. In meinen Augen ist das auch eine Art von Erkennung.

Weil eine Blacklist eben nicht nur Seiten beinhaltet auf den sich infizierte Dateien befinden, sondern auch welche die mal infiziert waren. Es werden einfach Seiten als risikoreich eingestuft, ob sie es sind/nicht mehr sind etc. ist irrelevant. Erkannt wird nichts - Seiten werden komplett gesperrt auch die harmlosen Inhalte. Wer hier von Erkennung spricht müsste auch gleichzeitig von massenhaft FPs sprechen. Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 22:35

[Gast_J4U_*]

Seiten werden komplett gesperrt auch die harmlosen Inhalte.

Kollateralschaden

sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Der übliche Wettlauf zwischen Hase und Igel. Wenn eine Webseite als Malwareschleuder auftritt, dann sperren und fertig, erspart einen Haufen Arbeit. Natürlich sollte die Blacklist auch gepflegt, sprich ab und an bereinigt, werden.

J4U

[simracer]

Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht

Das war ja klar das dir das nicht entgeht Schwamm drüber ich möchte kein AR werden

Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte.

Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, das Fake-AV wird ausgeführt und dann hat man den Ärger damit weil man entweder das System bereinigen muss oder ein Systembackup einspielen muss.

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Hab ich doch auch nicht geschrieben das ich Avast mit Ransomsoftware von blueX Seiten getestet hätte aber: Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten.

OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen

Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 22:49

[simracer]

OK, da hätte ich wohl noch eine Zeile weiter lesen sollen... Als Erkennung sehe ich das trotzdem an, eine Schicht des Schutzprogrammes hat den Zugriff zuverlässig verhindert. Ob das nun über Signaturen, Verhaltensanalyse, Blacklist oder wie auch immer erfolgt ist für das Verhindern von Infektionen erst mal Nebensache.

J4U

Das unterschreibe ich dir J4U denn ein Schutzmechanismus des AV's hat den Zugriff auf eine Webseite verhindert, auf der es Malware(Ransomsoftware)gibt. Das zählt für mich in erster Linie und ist daher meiner Meinung nach auch eine Erkennung.

[Xeon]

NOD32 erkennt beim ersten Link die .exe Datei als schädlich und blockt diese.
Beim zweiten Link wird die URL blockiert und der Zugriff auf die Datei verweigert.

[simracer]

Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen.

Ich war mal wieder zu langsam wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.

Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 23:41

[SLE]

Der übliche Wettlauf zwischen Hase und Igel. Wenn eine Webseite als Malwareschleuder auftritt, dann sperren und fertig, ...

Nein, hier ist der Fall etwas anders. Die Malware an sich sollte erkannt werden um zukünftig zu schützen. Wenn nämlich diesselbe Malware nicht über die gesperrte Webseite kommt zählt die Blacklist nichts. Die Blacklist ist eher nützlich um proaktiv bekannte Einfallstore zu schließen.

Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, ...

Hier ist es komplexer, denn es ist quasi immer dasselbe nur eben pro Download wird es schnell leicht modifiziert. Also nichts komplett neues. Das AV kennt es, nur leicht veränderte Dropper eben nicht. Und eine gute Signatur sollte alles fassen tut es hier aber nicht. Das einige AVs die Webseite blockieren oder sonstwie spielt da nicht die Rolle. (s.o.)

Ebenso einen Thread hatten wir hier doch schon vor knapp einem Jahr, wo ich das auch gut an ein paar Beispielen und HEX-Vergleichen zeigte. Und man sah recht schnell, wer in der Lage ist gute Signaturen zu bauen.

Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten.

Erkennung = eindeutige Identifikation von Schadsoftware. Hier wurde alles geblockt, auch harmlose Seitenelemente, Grafiken etc. All das sind in der Logik gleichzeitig auftretende FP's - geblockte harmlose Elemente

Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens

Das war auch eher ein Insiderwitz: xxx-porn-movie.avi; doggy-style-sex.avi.exe etc. Fast immer ist das ZeroAccess

Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 23:57

[SLE]

Ich war mal wieder zu langsam wenn ich bei Avast die Schutzsteuerung deaktiviere und versuche die Seiten von blueX aufzurufen, sind die nicht mehr verfügbar Ergo kann ich mir auch keine Files dort runterladen zum testen.

Dann deaktiviere dein Avast vernünftig, leere den Browser Cache etc. Die Seiten sind noch aktiv und funktionsfähig.

[simracer]

Ich hatte den FF Browser Cache geleert und bei Avast alle Schutzmodule für 10 Minuten deaktiviert okay ich probier es nochmal.
Edit: jetzt hat es gekappt, ich hab die 2 Dateien.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 00:02

[simracer]

Beim Ausführen der Datei(die ich vorher aufs Desktop kopierte)reagierte Avast so: und dann wurden Dateien(laut Avast Rootkit)in den Container verschoben:

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 00:14

[simracer]

Malwarebytes alias Chica PC-Shield Free fand per Schnellüberprüfung auch 4 Files:

ChicaPC-Shield 1.65.1.1000
www.chicalogic.com

Datenbank Version: v2012.11.28.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxxxxxx :: xxxxxxxxxxxxxxx [Administrator]

29.11.2012 00:14:49
cpcs-log-2012-11-29 (00-14-49).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 234237
Laufzeit: 4 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-117609710-1532298954-1801674531-1004\$f473824e5d2371ca45ef49b673e3180a\n (Trojan.0Access) -> Löschen bei Neustart.

(Ende)

[Gast_J4U_*]

Wenn nämlich diesselbe Malware nicht über die gesperrte Webseite kommt zählt die Blacklist nichts.

Das ist nicht unwahr, wenn der nette Zeitgenosse mit dem USB-Stick... Trotzdem kann diese Datei wegen der Blacklist gar nicht erst auf den USB-Stick gelangen (theoretisch). Falls doch, Norton erkennt das Zeug zum aktuellen Zeitpunkt als Heuristikvirus, so schlecht kann die Signatur nicht sein. Ob die Verhaltensanalyse anschlägt, mag ausprobieren wer will.

J4U

[simracer]

Ergänzend: ich hab natürlich meine Systempartition C nicht so gelassen und ein Backup/Image der Systempartition C mit der Paragon Rettungs/Boot-CD eingespielt.

[SLE]

Das ist nicht unwahr, wenn der nette Zeitgenosse mit dem USB-Stick... Trotzdem kann diese Datei wegen der Blacklist gar nicht erst auf den USB-Stick gelangen (theoretisch).

Wenn alle dasselbe AV nutzen. Derzeit wird ja nur eine gängige ZeroAccess Variante verteilt, die sollte zumindest jeder vernünftige Verhaltensschutz mittlerweile erkennen.
Die Avast Meldung von Uwe macht in meinen Augen keinen Sinn, wenn ein Netzwerkschutz beim Ausführen anschlägt...

[simracer]

Was ich dir bildlich nicht festhalten konnte SLE: nachdem ich die Datei ja ausgeführt hatte und da zuerst abermals der Avast Netzwerkschutz anschlug, kamen danach alle paar Minuten ein Meldefenster von Avast, in dem stand das Avast ein Rootkit gestoppt hätte das in Recycler hätte aktiv werden wollen. Ein Bild davon was dann in Container/Quarantäne verschoben wurde zeigte ich ja schon aber nachdem alle paar Minuten lang eine solche Aktion stattfand, entschloss ich mich das System mit Chica PC-Shield Free zu scannen(dessen Ergebnis postete ich ja schon)und als nach dessen Bereinigung nochmal Meldefenster von Avast kamen, scannte ich mit Malwarebytes Anti-Rootkit das System und da kam zu Anfang noch bevor der Anti-Rootkit Scanner gestartet war auch ne Meldung wegen eines Rootkits ob man das bereinigen wolle oder so ähnlich. Danach startete der Malwarebytes Anti-Rootkit Scanner und noch während dessen Scans entschloss ich mich, danach sofort ein Backup/Image der Systempartition C einzuspielen.

[SLE]

Klingt so als hätte Avast mal wieder versagt und nur die Hälfte gestoppt....Comodo auch stumm geblieben?

[simracer]

Klingt so als hätte Avast mal wieder versagt und nur die Hälfte gestoppt....Comodo auch stumm geblieben?

Hast du wohl richtig eingeschätzt SLE ja Comodo blieb stumm(wieder ne Bestätigung für dich)und was mich an Avast etwas stört ist warum Avast nicht die Registry mit überprüft
Andererseits: müsste man auch mal von anderen Usern mit deren Virenschutzlösungen lesen können, wie deren Programme reagieren wenn besagte schädliche Datei auf deren System ausgeführt wird. Ich glaube, Avast ist nicht das einzige Virenschutz Programm das da ins straucheln gerät.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 12:05

[SLE]

...nicht die Registry mit überprüft

Warum sollte man? Bei Bereinigungen sinnvoll wenn dort irgendwas an Systemeinstellungen verbogen wurde. Der Rest ist irrelevant, wenn dort ein paar Verweise von Malware ins nichts stehen ist das ohne jegliche Auswirkungen.

€: Jedere gescheite Verhaltensblocker erkennt ZeroAccess. Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 12:07

[simracer]

Das mein ich doch SLE: Avast überprüft bei den OnDemand Scans nicht die Registry und wie Malwarebytes und andere Scanner aufzeigen, macht sich Malware auch in der Registry breit und verändert dort Einstellungen bzw setzt eigene ich nenn es mal Befehle rein.

€: Jedere gescheite Verhaltensblocker erkennt ZeroAccess. Da sind eigentlich alle Tests der letzten 1,5 Jahre heranziehbar. Wenn nicht, braucht man gute Signaturen.

Mich würde mal interessieren wie Programme wie Kaspersky, BitDefender, G-Data, Avira Premium usw auf das File, das ich ausführte, reagieren würde bei Usern die besagte Programme im Einsatz haben.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 12:16

[SLE]

Das mein ich doch SLE: Avast überprüft bei den OnDemand Scans nicht die Registry und wie Malwarebytes und andere Scanner aufzeigen, macht sich Malware auch in der Registry breit und verändert dort Einstellungen bzw setzt eigene ich nenn es mal Befehle rein.

Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht.

Mich würde mal interessieren wie Programme wie Kaspersky, BitDefender, G-Data, Avira Premium usw auf das File, das ich ausführte, reagieren würde bei Usern die besagte Programme im Einsatz haben.

GData: BB erkennt ZA, Kaspersky sollte es mittlerweile (2013) auch in den Standardeinstellungen proaktiv stoppen, auf mehreren Wegen; BD: keine Ahnung; Avira hat bei sowas oft schnell Signaturen. Ein unkastriertes Avast mit Sandbox sollte hier auch geholfen haben.

[Gast_J4U_*]

ein paar Traces in der Registry ..., schlimm ist es nicht.

Doch, das ist schlimm weil, das tut die Registry so aufblähen. Und dann muss die geputzt werden, und die muss defragmentiert werden, und


Sorry, kurz vor der Spätschicht ist mir manchmal so komisch...

[simracer]

Wenn aber die entsprechenden files fehlen ist das i.d.R. völlig irrelevant. Sieht toll aus wenn Scanner XY noch ein paar Traces in der Registry findet, schlimm ist es nicht.

Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge?

[SLE]

Dann hab ich jetzt mal als Beispiel folgende Frage an dich SLE weil du dich ja damit sehr gut auskennst: Angenommen man hat sich eine Ransomsoftware Infektion eingefangen und ein Fake AV ist demnach auf betreffendem System aktiv. Nun entschliesst sich der User(in dem Fall ich als Beispiel), das System mit dem installiertem Malwarebytes Free im Abgesicherten Modus bereinigen zu lassen. Nachdem der Scan fertig ist und man würde die Infektionen von der Säuberung/Bereinigung ausschliessen die die Registry betreffen, könnte dann Malwarebytes Free(als Beispiel)überhaupt eine Säuberung durchführen die das Fake AV richtig "wegputzt" oder blieben weiterhin Störungen des Systems und dessen Sicherheit zu befürchten durch die nicht bereinigten Registry Einträge?

Durch die nicht bereinigten Registry Einträge bleiben keine Störungen, wohl aber durch gerade bei Ransoms gern genutzte verstellte Standard-Registry Einträge. Da ist dann eben bei der Winlogon der Explorer nicht eingetragen und zuzsätzlich werden noch ein paar Programme (Regediit, Taskmanger) an der Ausführung gehindert. Folglich bereinigt man das System samt Registry, aber es funktioniert trotzdem nicht. Hinzu kommen oft manipulierte und ausgetauschte Systemdateien - auch da versagen viele Bereinigungen, weil löschen allein nicht hilft. Hatte gerade diese Woche wieder so einen Fall. (der hatte sogar Avast) Und hier liegt gerade auch bei Malwarebytes - einem der besseren Bereiniger - eine große Schwäche. Es gibt sehr wenige Programme, die hier intelligenter desinfizieren, z.B. Kaspersky aber auch MSE.

Bereinigt man die Registry nicht hat man vielleicht einen toten Eintrag zum Start suspekter Files, die aber eh nicht mehr existieren. Folglich irrrelevant.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 12:58

[simracer]

Also SLE, ist es doch nicht so verkehrt wenn nicht sogar nützlich bei bestimmten Infektionen wie zum Beispiel Ransomsoftware wenn man einen Scanner einsetzt, der auch die Registry bereinigt und manipulierte Standard-Registry Einträge wieder korrigiert indem die Manipulationen die von der Infektion erstellt wurden gelöscht werden.

[SLE]

Also SLE, ist es doch nicht so verkehrt wenn nicht sogar nützlich bei bestimmten Infektionen wie zum Beispiel Ransomsoftware wenn man einen Scanner einsetzt, der auch die Registry bereinigt und manipulierte Standard-Registry Einträge wieder korrigiert indem die Manipulationen die von der Infektion erstellt wurden gelöscht werden.

Ja, aber die allerallerallermeisten machen das eben nicht. Sie scannen nur die Registry und löschen - das ist oft überflüssig und reicht eben nicht. Sie verschlimmbessern oft sogar und erschweren eine manuelle Bereinigung, wobei hier die Eräuterung jetzt zu weit gehen würde.

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 13:10

[markusg]

is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)

[simracer]

is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n
und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-)

So weit richtig deine Aussage markusg, aber auch doch nur teilweise denn ich hatte ja ganz bewusst die Avast Schutzsteuerung deaktiviert gehabt um überhaupt das tdss File runterladen und danach ausführen zu können. Ein normaler User der nicht mit Malware spielt bzw. testet, hätte auf die Reaktion des Avast Netzwerkschutz richtig reagiert und den gesperrten Zugriff auf die Seite mit der Infizierung hingenommen. Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen.

[markusg]

Aber da alle zero access variannten im grunde gleich sind, währe bei einer nicht auf der blacklist stehenen seite die infektion warscheinlich erfolgreich gewesen, ich neme an, du hattest den netzwerk schutz dafür deaktviert, um das file zu laden.

[simracer]

Ich hatte die komplette Avast Schutzsteuerung deaktiviert um das File laden zu können. Ausserdem ist bei mir wie es SLE schon richtig andeutete, Avast etwas "kastriert" weil die Autosandbox deaktiviert ist die nach SLE's Meinung das TDSS gestoppt hätte.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 13:52

[SLE]

Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen.

Avast versagt hier insofern völlig, da nicht alle Einfallstore auf die Blacklist kommen können. Wollen wir hoffen, dass es wenigsten in den Standardeinstellungen mit Sandbox mittlerweile hier greift (sollte aber), denn mit Signaturen sind sie auch nicht bei den schnellsten dabei. Das TDL und ZeroAccess Verhalten ist seit über einem Jahr im Grunde dasselbe und Avast wurden die proaktiven Schwächen dazu oftmals aufgezeigt. Das dein (ebenfalls kastriertes) Comodo hier schweigt wundert mich fast noch mehr, den hier kann und sollte man das HIPS doch recht präzise einstellen, wenn man die Autosandbox deaktiviert.

Insofern: Auch wenn du im gewählten Falle etwas deaktiviert hast um an das File zu kommen, zeigt das Beispiel das dein momentanes Setup nicht effektiv gegen eine der weitverbreitesten Gefahren schützt. Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc.

[simracer]

Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc.

SLE, glaubst du etwa, ich erstelle Backups von der Systempartition C ohne MBR? nein die Option MBR und auch die Option Erste Spur der Festplatte(Sektor 0)sind immer aktiviert wenn ich ein solches Backup erstelle. Ausserdem bin ich jetzt mal über "meinen eigenen Schatten gesprungen" und habe die Avast Autosandbox aktiviert mit der Einstellung auf Nachfragen.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 14:17

[SLE]

Ausserdem bin ich jetzt mal über "meinen eigenen Schatten gesprungen" und habe die Avast Autosandbox aktiviert mit der Einstellung auf Nachfragen.

Na dann, erneut ausführen und schauen ob's hilft.

[Gregor]

Habe momentan leider keinen Testrechner mehr übrig, würde mich interessieren wie EAM darauf reagiren würde.
Denke aber das der Verhaltensschutz greifen sollte.

Der Beitrag wurde von Gregor bearbeitet: 29.11.2012, 15:54

[markusg]

Ja, aber diese Variannten scheinen den MBR nicht anzufassen.
Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen...

[simracer]

Na dann, erneut ausführen und schauen ob's hilft.

So SLE, wie schon erwähnt hatte ich die Avast Autosandbox aktiviert und auf Nachfragen gestellt, dann wieder die Avast Schutzsteuerung komplett deaktiviert, die Datei im ersten Link von blueX runtergeladen, auf dem Desktop gespeichert und dann die Avast Schutzsteuerung wieder komplett aktiviert und geschaut ob die Autosandbox auch wirklich an ist. So weit so gut, also führte ich die Datei aus und die Avast Autosandbox meldete sich das ich die Datei in der Autsandbox ausführen sollte und ich bestätigte das mit OK. Und was passierte dann? Ein Fake Antivirus konnte sich aktivieren trotz Autosandbox und ich hätte mir laut dem Fake eine Kaufversion von denen runterladen und kaufen sollen weil das Fake angeblich Infektionen auf meinem System fand Konsequenz: Paragon Boot-CD ins CD-Fach gelegt, den PC resetet und das neueste Systembackup von heute vormittag aufgespielt.
Noch eine Anmerkung zu der Aussage von markusg:

is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev
C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Trotzdem schon mutig, auf seinem arbeits pc malware mutwillig auszuführen, würd ich persönlich nicht machen...

Ist definitiv jetzt Schluss damit bei mir, nochmal hole ich mir keines der Files.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 16:04

[SLE]

Habe momentan leider keinen Testrechner mehr übrig, würde mich interessieren wie EAM darauf reagiren würde.
Denke aber das der Verhaltensschutz greifen sollte.

No prob. Es kommen Meldungen bei fast allen Aktionen.

[SLE]

@uweli
Interessant und schlecht für Avast. So mies hätte ich es nicht vermutet. Und Comodo bleibt wieder stumm? Ist ja fast unglaublich, dann würde ich beides verbannen, da es hier nicht um irgendwelche Exoten Malware geht.

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen?

Der Beitrag wurde von SLE bearbeitet: 29.11.2012, 16:04

[simracer]

Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen?

Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb:

Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe?

Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin und mir bis jetzt noch nicht ungewollt eine böswillige Infektion damit eingefangen habe. Wenn der Fall doch mal bei mir eintreten sollte, dann kann ich mir überlegen ob ich Avast und Comodo den Rücken kehre oder nicht und noch immer ist es so das der grösste Risikofaktor vor dem Monitor sitzt. Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte.

[simracer]

Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Das: passiert jedes Mal wenn die Comodo Sandbox aktiviert ist und ich die Rennsimulationen starten/spielen will

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 16:58

[SLE]

Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.

Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich.

Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb: Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin

Zufriedenheit schützt nicht. Du hast eindrucksvoll gezeigt, dass deine Schutzssoftware in der von dir verwendeten Konfiguration gegen weitverbreitete Bedrohungen bei dir stumm bleibt. Die Gründe auf das Argument "bis jetzt bliebt ich sauber" habe ich oben erläutert. Dies sprechen nicht für die Software sondern für andere Faktoren. Ich bin zufrieden ohne klassische Schutzssoftware und habe mir nie was eingefangen. Bedeutet das im Umkehrschluss, dass diese Software komplett sinnlos ist??

Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte.

Hilft auch nichts, da Updates immer nach der Sicherheitslücke kommen und sich zero-day Attacken gerade dadurch auszeichen zu arbeiten wenn noch kein Update existiert. Wozu brauchst du eigentlich Java?

[simracer]

Selbst wenn ich das ganze Steam Verzeichnis das auf der Partition D ist, in Comodo bei Defense+ Einstellungen/Einschleusen von Shellcode erkennen/Ausnahmen hinzufüge: und das übernehme damit das als Ausnahme definiert ist, kommt die Fehlermeldung die man in dem Bild des vorherigen Postings sieht

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:11

[simracer]

Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich.

Und du wüsstest, was ich in Comodo für eine Einstellung machen müsste damit das nicht passiert?

[SLE]

Und du wüsstest, was ich in Comodo für eine Einstellung machen müsste damit das nicht passiert?

Nein, es nicht mein PC und nicht meine gewählte Software. Wenn man sein Programm jedoch versteht sollte man das i.d.R. hinbekommen und wenn es über Ausnahmen ist, bei einer wirklichen Inkompatibilität muss das Programm weg.

[simracer]

Du hast ja schon gelesen das ich das komplette Steam Verzeichnis als Ausnahme für Comodo Defense+ definiert habe so wie ich das im vorherigen Posting schrieb? Auch das zusätzliche hinzufügen von Steam.exe als aktiver Prozess hilft nicht, die Fehlermeldung kommt trotzdem.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:24

[SLE]

Du hast ja schon gelesen das ich das komplette Steam Verzeichnis als Ausnahme für Comodo Defense+ definiert habe so wie ich das im vorherigen Posting schrieb? Auch das zusätzliche hinzufügen von Steam.exe als aktiver Prozess hilft nicht, die Fehlermeldung kommt trotzdem.

Steam ist ja sicher nicht der einzige Prozess des Spiels...

[simracer]

Das stimmt schon SLE, aber das gesamte Steam Verzeichnis von der Partition D war als Ausnahme definiert und da sind doch alle Anwendungen und Prozess drin die unter Steam laufen wie Race07, GTRevo, RaceON usw. Ohne installierten Steam Client würden die allesamt nicht laufen.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 17:31

[Gast_claudia_*]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)

[SLE]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.

Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen?

[simracer]

Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen)
(und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft)

Nehme ich gerne an claudia ich hätte nichts dagegen wenn ich auch die Comodo Sandbox als weitere Schutzebene nutzen könnte ohne das diese meine rennsimulationen "abwürgt"

Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen?

Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia.

[SLE]

Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia.

Das ist ja auch supi. Aber dann hilft es dir vielleicht im konkreten Fall - aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen.

[Gregor]

No prob. Es kommen Meldungen bei fast allen Aktionen.

Ok, danke...

[markusg]

Hi
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.
Windows firewall, kann ausreichend, Extra FW ist nicht nötig.
Sandboxie fürs browsen.
Vernünftiges AV wie emsisoft (nur als beispiel)
Da sind die Meldungen doch recht einfach gehalten, und aktuelle Malware wird, meiner Erfahrung nach auch geblockt, wenn es angezeigt wird. :-)

[Schattenfang]

@simracer

Ich möchte Dir wirklich Sandboxie ans Herz legen, wenn du Dich mit diesen Technologien beschäftigen möchtest. Erstens lernst Du bei der Konfiguration und Einstellung schon ziemlich viel und zweitens ist Comdo im Vergleich zu Sandboxie eine Nullnummer. Nicht böse gemeint, aber auf Avast würde ich mich allein nie verlassen. Comodo ist zwar durchaus ein Zusatz, aber es gibt bessere. Warum nicht diese nutzen?

[Gast_claudia_*]

Comodo ist mehr als nur eine Firewall.
Ab Win 7 ist zwar die Firewall von Windows (hinter einem Router) völlig ausreichend, aber D+ ist schon ein mächtiges Werkzeug gegen Malware.

Eigentlich reichen die Bordmittel ab Windows 7 insgesamt aus (FW, AV, Benutzerkonto, EMET und ein paar Anpassungen) (+ Brain.exe)

[Gast_blueX_*]

Ich sehe es auch so wie Sebastian, dass die URL-Blockierung keinen wirklichen Schutz bietet. Was ist, wenn die Malware aus anderen Quellen stammt (Einschleußung über USB-Stick oder durch einen Exploit).

Übrigens werden seit heute keine Backdoors mehr verteilt, sondern wieder Trojan.FakeAV. Fast stündlich sind neue Varianten zu finden.
Wie schlecht, dass die AVs sind, erkennt man bei einem Scan einer Datei: https://www.virustotal.com/file/cc653bf2455...d34bd/analysis/

Die Signatur von Kaspersky wurde übrigens erst durch eine Einsendung von mir hinzugefügt. Auch Kaspersky erkennt derzeit die Files nicht.
Nicht mal heuristisch besteht eine Erkennung der AVs.


Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen.


EDIT: Das Sample habe ich übrigens an alle gelisteten AVs bei Virustotal eingesandt. Das nächste in einer Stunde ist aber wieder sicher undetected.




Der Beitrag wurde von blueX bearbeitet: 29.11.2012, 20:18

[Schattenfang]

ber D+ ist schon ein mächtiges Werkzeug gegen Malware.

Da bin ich anderer Meinung. D+ ist ein Hips und in diesem Sektor gibt es imo bessere Lösungen.

[markus17]

Genau so ein FakeAV habe ich letztens von einem Notebook einer bekannten entfernt. Wenn ich das aktuelle Sample aus dem ersten Link in der VM mit G Data teste, dann wird dieses ebenfalls über die Verhaltensüberwachung gelöscht. Mittlerweile schlagen auch beim URL Scan von V-Total weitere Hersteller Alarm: https://www.virustotal.com/url/12d64186c69f...sis/1354217227/

*edit*
Wenn ich die doppelte Dateiendung entferne, dann wird die Malware immer noch von G Data gelöscht.

Der Beitrag wurde von markus17 bearbeitet: 29.11.2012, 20:34

[simracer]

Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen.

Bei der Avast Autosandbox heute stand etwas drin von Generischer Erkennung und das man die Anwendung in der Autosandbox ausführen solle(war vorgegeben, hätte man aber auch ändern können auf Abbrechen oder normal ausführen). Trotzdem konnte sich das Fake AV aktivieren und mein System "infizieren".

[simracer]

Hi
hab eh die Erfahrung, das viele Nutzer mit den Comodo Meldungen nicht zurande kommen.
Man sollte es sich dann einfacher machen denke ich.

markusg, dann erlaube mir mal die Gegenfrage was Comodo Meldungen die von Usern nicht verstanden werden, damit zu tun haben das die aktivierte Comodo Sandbox meine Rennsimulationen nicht starten lässt. Die Comodo bringt nämlich keine Meldung wenn ihre Sandbox aktiviert ist, was ich machen will/soll wenn ich meine Rennsimulationen starten will. Zu Anfang wenn die Comodo frisch installiert ist(und die Sandbox noch deaktiviert ist von mir), kommen 1 oder 2 Abfragen vom Defense+ und von der Firewall wenn Steam und Race07 gestartet werden.

[Gast_claudia_*]

Da bin ich anderer Meinung. D+ ist ein Hips und in diesem Sektor gibt es imo bessere Lösungen.

besser vielleicht, aber sicherlich nicht preiswerter

[Gast_claudia_*]

markusg, dann erlaube mir mal die Gegenfrage was Comodo Meldungen die von Usern nicht verstanden werden, damit zu tun haben das die aktivierte Comodo Sandbox meine Rennsimulationen nicht starten lässt. Die Comodo bringt nämlich keine Meldung wenn ihre Sandbox aktiviert ist, was ich machen will/soll wenn ich meine Rennsimulationen starten will. Zu Anfang wenn die Comodo frisch installiert ist(und die Sandbox noch deaktiviert ist von mir), kommen 1 oder 2 Abfragen vom Defense+ und von der Firewall wenn Steam und Race07 gestartet werden.

bist du sicher, das die Benachrichtigung für Prozesse die automatisch in der Sandbox ausgeführt werden, aktiv ist?

Der Beitrag wurde von claudia bearbeitet: 29.11.2012, 20:46

[simracer]

Meinst du das claudia: ? Ich hab gerade Comodo komplett neu installiert, die Sandbox aktiviert gelassen, das System rebootet nachdem ich die Konfiguration auf Proactive Security geändert habe und nun bin ich gespannt was passiert wenn ich die Rennsimulationen starten will.
Edit/Update: es kam keinerlei Abfragefenster und die Fehlermeldung kam erneut. In der Liste der aktiver Prozesse steht die Steam Anwendung als vertrauenswürdig drin: und was mich etwas stutzig macht: warum steht in der ganzen Liste bei den Prozessen Sandbox Level aus? Comodo hatte ich doch deinstalliert gehabt und dann neu installiert gehabt mit dieses Mal aktiver Sandbox.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:10

[simracer]

Nachdem ich nun meine Rennsimulationen mit deaktivierter Comodo Sandbox starten konnte, stehen nun bei Comodo Defense+ unter Liste Aktiver Prozesse 3 Pozesse drin wenn die Rennsimulation läuft: und nur der Prozess Steam.exe wurde als Vertrauenswürdig beurteilt. Die beiden anderen nicht sondern Unbekannt und wenn ich bei denen hergehe und die einstelle das das Vertrauenswürdige Dateien wären, ändert das nichts und die werden weiterhin als Unbekannt von Comodo geführt.
PS: Alle 3 Prozesse wurden schon von mir an Comodo übermittelt, das hab ich vorhin auch nochmal gecheckt
Weiteres Edit: Endlich klappt es: Alle 3 Prozesse von Steam und Race07 werden nun als Vertrauenswürdig aufgeführt: und die Rennsimulation startet mit aktivierter Comodo Sandbox
Ein ganz dickes Danke an claudia

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:43

[Gast_claudia_*]

bei vertrauenswürdigen Prozesse ist der Level auf aus und so wie im Bild zwei richtig. (Ausnahme wenn du bewusst Prozesse in der Sandbox starten willst wie Browser z.B.)

Starte mal bei den zwei unbekannten Prozessen mit rechter Maustaste online suche und setze sie danach als Trust.
Danach Programm (Rennspiel) neustarten.

[simracer]

claudia, lese nochmal den letzten Abschnitt meines letzten Postings Was mir gerade einfällt: Steam.exe das schon als Vertrauenswürdig geführt wurde, wurde nochmal übermittelt. Meinst du das könnte der "Knackpunkt" gewesen sein? Die 2 anderen Prozesse waren schon übermittelt und bis vorhin aber noch als Unbekannt geführt.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 21:50

[Gast_claudia_*]

ja hatte ich überlesen.
Schön das es es klappt.

[simracer]

Bin ich jetzt was von froh und vor allem Dir dankbar claudia

[simracer]

aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen.

SLE, wie du siehst, bin ich gewillt mich damit zu beschäftigen und habe Dank der Mithilfe von claudia es nun endlich geschafft das meine Rennsimulationen auch mit aktivierter Comodo Sandbox starten/laufen.

[SLE]

SLE, wie du siehst, bin ich gewillt mich damit zu beschäftigen und habe Dank der Mithilfe von claudia es nun endlich geschafft das meine Rennsimulationen auch mit aktivierter Comodo Sandbox starten/laufen.

Und, kennst du die wahre Ursache? Das Problem ist einerseits natürlich die Verschachtelung von Comodo, andererseits aber auch die Herangehensweise. Da werden HIPS Ausnahmen gesetzt, wenn es Probleme mit der Sandbox gibt etc.
Hoffentlich bleiben die Steam-Sachen sauber... Leider ist die Hilfe ja in englisch, so dass dir das das Einarbeiten zusätzlich erschwert.

Aber zurück zum Ursprungsproblem: Probiere doch mal dein Comodo so zu konfigurieren, dass es dich vor echten Bedrohungen (Testfile hast du ja) auch warnt und somit als Schutz einen Sinn macht und nicht nur als Rennspielblocker.

[simracer]

Irrtum SLE, die Testfiles hab ich nicht mehr, die wurden von mir mit TuneUP Schredder gelöscht. Wenn, dann müsste ich die mir erst wieder runterladen und sorry im Moment hab ich dazu keine Lust mein System absichtlich damit auseinderzusetzen. Vielleicht erinnerst du dich auch daran was markusg dazu schrieb: http://www.rokop-security.de/index.php?s=&...st&p=363520 und ich habe nur einen PC hier stehen und keinen Testrechner da.

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 22:50

[SLE]

Na dann, hoffentlich kommen nicht mal ähnliche vorgehende, besser getarnte Schädlinge auf deinen PC.

[simracer]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren? wieder solche Files auf meinem Arbeitsrechner auszuführen um zu sehen wie meine Schutzsoftware darauf reagieren würde wenn ich bei dieser Einstellungen ändere.

[Xeon]

Uwe, jetzt lass dich doch hier von dem Unfug nicht verrückt machen.

[simracer]

Lasse ich mich auch nicht Xeon

Der Beitrag wurde von simracer bearbeitet: 29.11.2012, 23:59

[DarkProjekt]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren?

Er bemüht sich, dir ausführlich zu erklären, was du da auf deinem Rechner veranstaltest.

Auch Wenn du vor lauter Langeweile und üppig vorhandener Tagesfreizeit keine andere Beschäftigung findest als deinen Hauptrechner zu infizieren um "interessante" Foreneinträge generieren zu können, empfehle ich dir die Installation von Virtual Box.
Kostenlos, leicht zu konfigurieren und die ideale Plattform, halbwegs sicher Erfahrungen verschiedener Security Lösungen in deinen 4-5 favorisierten Foren in Form von täglichen Berichten bereitzustellen und dabei trotzdem nicht zur Virenschleuder zu mutieren, der sich u.a. ahnungslos seine Passwörter klauen lässt.

[markusg]

Hi, Malware auf dem Produktiv System laufen zu lassen, ist aus meiner Sicht, keine gute idee. Nen Vorwurf war das nicht, nur ne Feststellung

Der Beitrag wurde von markusg bearbeitet: 30.11.2012, 00:06

[SLE]

Schon komisch SLE, erst lese ich von markusg das ich leichtsinnig sei auf meinem Arbeitsrechner mit TDSS Files zu arbeiten und dann willst du mich dazu animieren? wieder solche Files auf meinem Arbeitsrechner auszuführen um zu sehen wie meine Schutzsoftware darauf reagieren würde wenn ich bei dieser Einstellungen ändere.

Natürlich ist das leichtsinnig hoch x. Weil auch in der Zeit bis dein Image zurückgespielt wurde genug passieren kann. Nur du machst es ja trotzdem und hast uns so hier allen gezeigt, dass dein Schutzkonzept sehr anfällig ist - du musst nur irgendwie an den richtigen Dropper kommen. Du bist aber schon zufrieden wenn irgendwelche Spiele laufen und nicht wenn dein PC geschützt ist. Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.

Der Beitrag wurde von SLE bearbeitet: 30.11.2012, 00:13

[simracer]

Nämlich Comodo richtig eingestellt sollte schützen, Avast ist zu schwach dafür. Dfür ist es umsonst, oder sagen wir lieber kostenlos.

Punkt 1: Wenn bei Avast die Autosandbox und auch die Comodo Sandbox aktiviert ist und das File aus Link 1 ausgeführt wird, wird das File automatisch in der Avast Autosandbox ausgeführt und analysiert und dann von Avast in dessen Quarantäne verschoben.
Punkt 2: das fast gleiche Szenario mit dem File aus Link 2 nur mit dem Unterschied das nun die Comodo Sandbox deaktiviert war. Ergebnis: siehe Punkt 1 das File wird automatisch in der Avast Autosandbox ausgeführt und analysiert und dann ebenfalls in die Quratäne verschoben.
Punkt 3: Die Comodo Sandbox ist noch deaktiviert aber die Avast Autosandbox steht nun auf Nachfragen: Beim ausführen des Files aus Link 2 geht ein Fenster der Avast Autosandbox auf in dem empfohlen wird das File in der Avast Autosandbox auszuführen und wenn ich das bestätigt habe sehe ich das der Prozess AvastServive exe wohl abschmiert und das Fake Antivirus aktiv werden kann und da Avast(und Comodo)versagen. Falls du es nicht glaubst SLE, hol dir die 2 Files aus den Links, installiere dir Avast Free und teste es selbst(du hast bestimmt einen Testrechner oder ein virtuelles System wo du das machen könntest wenn du wolltest)

Avast ist zu schwach dafür

Ich behaupte nein Avast ist nicht zu schwach dafür und habe mittlerweile eingesehen das die Avast Autosandbox eine effektive Verrteidigungsfunktion sein kann und werde diese künftig aktiviert lassen mit der Einstellung Auto.

Der Beitrag wurde von simracer bearbeitet: 30.11.2012, 01:53

[Gast_Scrapie_*]

Hat einer mal die versch. Generationen miteinander im Hex verglichen?


Scrapie

[SLE]

@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.

File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.

@Scrapie
Es ist hier nicht so ein Fall, wo es pro Download leicht variierte Samples gibt, sondern in einem gewissen Zeitabstand werden die Samples gegen frische aber doch total andere Malware ausgetauscht. Nur der Name der Files bleibt gleich, beim Rest gibt es so viele Unterschiede da lohnt sich ein Detailvergelich nicht wirklich. Bsp.: Vorgestern hatte ich immer die identischen ZA-Varianten, gestern (und eben) identische Lameshield Fakes. Da lohnt sich der HEX Vergleich, dann nicht.

Die leichten Variationen von denen BlueX berichtete konnte ich an den 2 Tagen nicht beobachten.

[Gast_Scrapie_*]

@SLE:
Cheers !
Hatte es so verstanden, dass immer leicht veränderte Varianten hochgeladen werden. Vor ein paar Jahren (Ende 2008) war das der Fall unter 218.93.205.xxx (blueX weiß es bestimmt noch ). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.
Die Erkennung war immer gegen Null und wenn die Hersteller dann innerhalb der Woche ne generische Erkennung gebastelt hatten, dann kam die nächste Welle. War ganz lustig das "Hamster-Rad" aka Signaturerkennung über einen so langen Zeitraum hin zu verfolgen ...

Scrapie

[Schattenfang]

Uwe, Prozesse einfach so auf eine Whitelist zu schieben bringt Dir keine Sicherheit. Ich kenne Comodo nicht, aber wenn sie damit komplett aus der Überwachung raus sind, dann hast Du selbst das zusätzliche Schutzlevel durchbrochen. Von daher würde ich an Deiner Stelle die Konfiguration überprüfen und mich in die Materie einlesen. Ein Hips (oder ähnliche Systeme) zu verwalten und einzustellen dauert, das ist ganz normal. Ich habe bei Appguard ca. sechs Stunden dafür gebraucht und selbst da sind mir noch immer wieder kleine Sicherheitslücken aufgefallen, die ich nachbessern musste.
Aber im Allgemeinen gilt: Personen, die das Wissen haben brauchen kein Hips. Personen, die das Wissen (noch) nicht besitzen, hilft ein Hips nicht. Es gibt andere kostenlose Programme, die einfacher zu bedienen sind und Dir mehr als Scheinsicherheit bieten. Dein Vorgehen in diesem Fall ist fahrlässig. Wenn Dir das egal ist, dann kannst Du gleich die zusätzlichen Computerressourcen freigeben und Comodo deinstallieren - kommt auf das selbe raus.

[SLE]

@SLE: Hatte es so verstanden, dass immer leicht veränderte Varianten hochgeladen werden. Vor ein paar Jahren (Ende 2008) war das der Fall unter 218.93.205.xxx (blueX weiß es bestimmt noch ). Dort konnte man über Monate hinweg jeden Montag einhundert neue, leicht veränderte Varianten ernten. Eine Woche später gab es dann eine neue Generation mit wieder einhundert individuellen Varianten.

Jepp, dachte auch erst hier ist es sowas. Hatten hier dieses Jahr (muss hier bei Rokop in irgensonen Sammelthread stehen - VT Thread oder infizierte Webseiten) auch so einen Fall wo je Download ein individueller Dropper generiert wurde, leichteste Variationen im HEX aber die AVs hatten enorm zu kämpfen.

[simracer]

@Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es.

File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden.
Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen.
Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert.

Ein paar Fragen hätte ich dazu noch SLE: kann es daran gelegen haben das Avast scheiterte weil bei den ersten Tests bei mir zum einem die Autosandbox zuerst nicht aktiviert war und beim nächsten Testversuch die Autosandbox auf Nachfragen stand und nicht auf Auto? Denn komischerweise reagierte Avast ja gestern bei den letzten 2 Tests mit den 2 Files mit eingeschalteter Autosandbox im Auto Modus so das die Files gleich in der Sandbox landeten, dort analysiert wurden und dann in Quarantäne verschoben wurden. Die nächste Frage betrifft Comodo: kann der Spiele-Modus daran Anteil haben das das Comodo HIPS Defense+ nicht reagiert und/oder die Einstellungen für die Firewall und Defense+ die beide auf Sicherer Modus stehen? wäre es besser wenn ich jeweils Trainings oder Paranoid Modus wählen würde?

[Gast_claudia_*]

bin zwar nicht Sebastian kann aber auch deine Fragen zum Teil beantworten.
1. dein erster und entschiedener Fehler mit der Autosandbox von Avast war, nicht nach dem aktivieren neu zu booten.
2. es macht keinen Unterschied ob Auto oder Nachfragen

In der Standardeinstellung wird ein zu startendes Programm, das avast! als verdächtig einstuft, automatisch in dieser Sandbox ausgeführt. In den Einstellungen der AutoSandbox kann dies geändert werden, so dass Avast! zuerst nachfragt. Wenn Sie dabei "In Sandbox ausführen" wählen, wird das Programm in der Sandbox gestartet und kann dort Ihrem System keinerlei Schaden zufügen.

( mit Heuristik auf Hoch und PUP Erkennung an, ist die Erkennung deutlich besser ohne fehleranfällig zu sein )

zu Comodo
die Firewall Einstellung würde ich auf Eigene Richtlinie stellen um mehr Kontrolle zu haben
die Autosandbox erhöht nicht zwangsläufig die Sicherheit aber deutlich den Komfort
Ohne Sandbox kommen halt die HIPS Abfragen recht häufig und dann hängt es halt von deinem Wissen ab, die richtige Entscheidung zu treffen
Mit Sandbox den Grad der Einstellung der Ausführungskontrolle was ein Programm innerhalb der Sandbox so darf und was nicht. 5 Stufen stehen zur Auswahl.

• Partially Limited (Default) - The application is allowed to access all the Operating system files and resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged operations like loading drivers or debugging other applications are also not allowed.

• Limited - Only selected operating system resources can be accessed by the application. The application is not allowed to execute more than 10 processes at a time and is run with out Administrator account privileges.

• Restricted - The application is allowed to access very few operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.

• Untrusted - The application is not allowed to access any of the Operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.

• Blocked – The application is not allowed to run at all.

Der Beitrag wurde von claudia bearbeitet: 30.11.2012, 15:14

[simracer]

Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus.

[SLE]

2. es macht keinen Unterschied ob Auto oder Nachfragen

Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte.
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.

Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus.

Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen?

Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.

[simracer]

Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte.
Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten.

SLE, es kann aber auch daran gelegen haben was claudia schrieb: nämlich das das System hätte rebootet gehört nachdem ich die Autosandbox aktiviert hatte und ich hatte ja nicht das System rebootet.

Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen?

Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig.

Ich schaue mir jetzt mal den Trainings-Modus an, das scheint ein guter Kompromiss zu sein zwischen Paranoider Modus und Sicherer Modus und ich will mich ja mit dem HIPS der Comodo auseindersetzen, will sehen wenn Abfragefenster kommen und dann darauf reagieren wenn ich sehe was für eine Anwendung/Aktion in den Fenstern gemeldet wird.

[Gast_claudia_*]

D+ ist der Sichere Modus die richtige Einstellung! Trainingsmodus wie der Name schon sagt trainierst du dein HIPS (alles wird erlaubt und Regeln erstellt)

@Sebastian Uwe hätte neu booten müssen, damit die Sandbox auch richtig funktioniert.