Rogue Software, 'Nutzlose Software' Einstellungen

[Gast_rock_*]

Ist zwar irgendwie alt, aber aufgrund der massiven immer neu erscheinenden fake softwaren ein aktueller bericht. Vorallem mit Popups kenn ich es noch nicht so...bisjetzt musste man ja meistens das programm selber runterladen und selber installieren.

Wie eine solche Bedrohung konkret aussehen kann, beschreibt Kalkuhl:
"Beim Besuch einer Website erscheint auf einmal ein Pop-Up, das den Nutzer davor warnt, sein Computer wäre infiziert",
so der Virenexperte. Mit einem bestätigenden Klick handelt sich der User in solchen Fällen ein vermeintliches Antiviren-Tool ein,
das aber nichts bringt. "Das Programm 'scannt' den Rechner und 'findet' etliche Schädlinge, die aber gar nicht auf der Festplatte vorhanden sind",
erklärt Kalkuhl.
Zum Desinfizieren werde dem Nutzer dann eine eigentlich nutzlose Software angeboten,
wobei Käufer um 20 bis 30 Euro erleichtert werden.

Quelle:
http://www.krone.at/krone/S22/object_id__1...xcms/index.html

weiters kann man bei jedem ad aware update immer wieder viele namen von diesen dubiosen programmen ablesen!



edit: wäre ein passendes thema um hier die ständigen ROGUE! Programme zu posten!

edit2: EingangsÜberschrift geändert.

Der Beitrag wurde von rock bearbeitet: 25.09.2008, 14:43

[Gast_rock_*]

hier ist man/bin ich auch nicht sicher...aussehen tuts wie die üblichen rogues, aber beim upload meckert nur IKARUS einen tr agent an...

http://www.regcurepremium.com/

[Voyager]

Da wir schon 2 Threats zu Rogue Software haben brauchen wir eigentlich nicht nochmehr. Ausserdem passt der Titel immer noch nicht, Rogue Software ist eine Software die mit Fakemeldungen zu einem Kauf drängelt und oftmals selbst Malware mit einschleusst . http://de.wikipedia.org/wiki/Rogue-Software

Das Programm auf dem Link hat keine schädlichen Funktionen und drängt den User auch nicht mit FalsePositives zu einem Kauf, das Programm funktioniert nur erst vollständig im angeblich registrierten Zustand das ist alles. (keine Rogue Software)
Dafür will man das der User auf der Seite seine Email ect. hinterlegt , das könnte Dummfang für Spammer sein. So ein eher nutzloses Programm dürfte allerdings niemand brauchen.

[Gast_rock_*]

sagte ja ich war nicht sicher....im nachhinein kann man ja editieren...

aber wenns jetzt in dem fall so is...dann möge mann das posting wieder löschen... kanns ja selbst nicht... aber das eingangsposting könnte bleiben, weil ich es übersichtlicher finde wenn die ganzen immer wieder sich vermehrenden rogue programme die ja auch in massen gepostet werden/wurden, einen eigenen sektor hätten wo wirklich nur diese software drinnen wäre, und hier fortgesetzt wird. denn a end nimmts mit den programmen nie, daher is auch schad, wenn im uploadthema immer dazwischen ein bild und manchmal ein ergebnis davon kommt....und somit irgendwie untergeht...oder würdest du ausgerechnet 134 seiten abklappern um antivirus xp oder 2008 oder zam oder ausseinandergeschriebn suchen?

[Voyager]

Es ist echt schwer dich überhaupt verstehen zu können , du musst dir echt mehr Mühe in der Satzbildung geben.
Sicher klappern die Leute keine 134 Seiten durch um etwas über ein Fake xyz zu erfahren , das ganze wird prinzipiell aber auch nicht besser wenn du die Seiten extra noch mit informationslosen Jotti Scanlogs füllst dessen Inhalt deiner Scan man so ohne Beschreibung nicht nachvollziehen kann , du weisst ja darauf wurdest du nicht nur von mir darauf hingewiesen.

Ich würde vorschlagen man benennt diesen Threat einfach in "Nutzlose Software" um , Software welche einfach keinen nennenswerten Mehrwert besitzen (wie aus deinem Link) ohne den PC zu infizieren oder den User finanziell zu betrügen. Für Malware/Betrügersoftware haben wir die anderen.

[Gast_rock_*]

steht ja schon nutzlose software in der überschrift...



Der Beitrag wurde von rock bearbeitet: 26.09.2008, 16:52

[Rios]

Ein neues Duo ist unterwegs. Bis jetzt sagen dazu wenige AV's etwas.




hxxp://antispyware-review.biz

[Solution-Design]

Ein neues Duo ist unterwegs. Bis jetzt sagen dazu wenige AV's etwas.
hxxp://antispyware-review.biz

Tja, die VT-Erkennung. Symantec 2009 erkennt beide als PCClean über AutoProtect.

[Rios]

Hier scheint es sich um Drive Cleaner Tools bzw. Winfixer zu handeln. Es gibt natürlich auch hier wieder X Varianten.

hxxp://www.winnanny.com Der Link funktioniert wahrscheinlich nicht, wegen Zeitüberschreitung!!


Hier eine davon.

http://www.siteadvisor.com/sites/drivecleaner.com

[240670]

Norton hat es auch erkannt!

[Julian]

Tja, die VT-Erkennung. Symantec 2009 erkennt beide als PCClean über AutoProtect.

KIS meckert ebenfalls bei beiden, allerdings anders:
[attachment=4197:m.JPG]

[hypnosekroete]

Da wünsch ich der Administration schonmal viel Spaß beim Durchforsten der 135-VT&Jotti-Thread-Seiten.

*Kaffeehinstell*
*Keksgeb*

[Gast_Nightwatch_*]

GData 2009 meckert auch:

[hypnosekroete]

Microsoft verklagt Anbieter der Rougeware "Registry-Cleaner XP"

Sicher ein Zeichen, aber Nützen wird es imho nicht viel....

[Rios]

Hier bei Sunbelt taucht wieder so ein Neuling in Sachen Rogue auf.


hxxp://ekerberos.com/company

[Gast_rock_*]

hxxp://ekerberos.com/company

avg meckert generic xxxxx



Der Beitrag wurde von rock bearbeitet: 30.09.2008, 20:09

[Gast_Nightwatch_*]

F-Secure sagt nichts zum Sample. Hab´s mal eingeschickt.

[Rios]

Test Avira

[Gast_Nightwatch_*]

Passt gerade zum Thema:

F-Secure-Weblog von heute:
http://www.f-secure.com/weblog/archives/00001508.html

Here's a tip: If they claim to be REALiable — they're probably FAKE.

Netter Spruch

[Voyager]

So´n Mist , kann man nichtmal testen die wuschlige himmelblaue Software h??p://win-defender.com/

[Jav.SEC.21]

@Nightwatch: Bei mir erkennt G DATA die Gefahr nicht.

eKerberos scheint G DATA nicht zu stören.
Wurde an Avast und Bitdefener übermittelt.

PCAntispy & PCCleanPro von SmartSoft ist ebenfalls nicht bekannt.
Wurde an Avast und Bitdefener übermittelt.

RegCure wird nicht erkannt.
Wurde an Avast und Bitdefener übermittelt.

Der Beitrag wurde von Jav.SEC.21 bearbeitet: 30.09.2008, 22:39

[Gast_Sicherheit_*]

Danke für die Info,

bin ich ja schon wieder entäuscht. Schlägt den NIS2009, FSEC2009 oder KIS2009 an.

[citro]

NAV 2009 reagiert auf die .exe ohne Ausführen nicht

[Voyager]

Nein noch nicht . Der Fake AV drängt nur zum Kauif ohne dem User weiter mit Falschmeldungen zu verunsichern, das heisst auch wenn er nicht gleich erkannt wird richtet er keinen besonders großen Schaden an.

@citro

und nach dem Ausführen ?

Der Beitrag wurde von bond7 bearbeitet: 30.09.2008, 23:07

[Gast_Nightwatch_*]

Danke für die Info,

bin ich ja schon wieder entäuscht. Schlägt den NIS2009, FSEC2009 oder KIS2009 an.

F-Secure:

eKerberos = nein (eingereicht)
PC AntiSpy = ja
RegCure = nein (eingereicht)


Ich würde die Erkennung von Rogue-Software im Allgemeinen bei allen AV´s nicht zu hoch bewerten.

[citro]

@citro

und nach dem Ausführen ?

eKerberos nur gescannt, da ich keine VM habe nicht ausgeführt

in Quarantäne steht nur "verarbeiten", hochgeladen zur community ist die Datei noch nicht, obwohl getan

Der Beitrag wurde von citro bearbeitet: 30.09.2008, 23:13

[Voyager]

@Nightwatch

Man muss da differenzieren , einige Rogue Objekte bringen echte Malware mit oder machen den PC erst recht zur Backdoor.
Es gibt da betrügerischer Müll wie das eKerberos , es gibt aber auch hochgefährliches Zeug was man für eine (echte) AV-Erkennung nicht hoch genug bewerten kann.

@citro

das verstehe ich noch nicht, durch Scannen landet doch nichts in der Quarantäne ?

Der Beitrag wurde von bond7 bearbeitet: 30.09.2008, 23:13

[Gast_Nightwatch_*]

Man muss da differenzieren , einige Rogue Objekte bringen echte Malware mit oder machen den PC erst recht zur Backdoor.
Es gibt da betrügerischer Müll wie das eKerberos , es gibt aber auch hochgefährliches Zeug was man für eine (echte) AV-Erkennung nicht hoch genug bewerten kann.

Du hast recht. Habe ein wenig zu sehr pauschalisiert und nur diese drei Fälle betrachtet.

[Gast_Sicherheit_*]

F-Secure:

eKerberos = nein (eingereicht)
PC AntiSpy = ja
RegCure = nein (eingereicht)


Ich würde die Erkennung von Rogue-Software im Allgemeinen bei allen AV´s nicht zu hoch bewerten.

Ok, habe es jetzt geschnallt und finde es gut, das durch unsere, eure Aktivitäten, die Erkennung feinkörniger wird.

[citro]

@Nightwatch



@citro

das verstehe ich noch nicht, durch Scannen landet doch nichts in der Quarantäne ?

Habe sie in Quarantäne gesteckt und dann versucht einzusenden.

Status: Verarbeitung.

In meinem DSL Manager konnte ich keinen Upload bemerken, kommt vielleicht später ?

[Voyager]

@citro

Du musst den PC ab und zu streicheln und gut zureden, dann machters

[citro]

@bond7

Ausstehende Versuche habe ich teilweise über 24h im Verlauf.

Wo liegt der Unterschied zur "Verarbeitung" ?

Der Beitrag wurde von citro bearbeitet: 30.09.2008, 23:25

[Voyager]

Ich denke es gibt da keinen Unterschied , gesendet wird irgendwann alles. Die Übertraguingen passieren nur im PC-Leerlauf , ich glaub aller 4 Stunden dürfte der etwas übertragen. Wenn du den PC gerade im Benutzung hast (die Maus rumschieben reicht da schon) dann versucht der die Übertragungen erst wieder nach 1 Stunde .
Ich finde das auch schlecht gelöst das die Beispielübertragungen manchmal einen halben Tag Verzug haben , das ist nicht gerade förderlich für eine rasche Malwareerkennung , auf der anderen Seite pflegt Symantec sowieso nur das ein wozu Sie Lust haben. Aus dem Grund übertrage ich die Objekte meistens auch gleichzeitig über NAB im virtuellen PC , dort ist man da etwas interessierter an den Objekten welche von der hauseigenen Verhaltens-Engine reinkommen.

Der Beitrag wurde von bond7 bearbeitet: 30.09.2008, 23:33

[citro]

Also, ich melde mich dann wieder - ich muss jetzt in die Falle

Der Beitrag wurde von citro bearbeitet: 30.09.2008, 23:31

[citro]

Hat funktioniert

[citro]

eKerberosinstaller.exe wurde von Avira als "clean" eingestuft.

so ganz einig ist man sich noch nicht

http://www.virustotal.com/de/analisis/efa1...aeef923cd9d273c

[Gast_Nightwatch_*]

Sooo....F-Secure hat sich gemeldet:

Regcure:

This application is still under debate, the application is intended for advance users who have broad knowledge and understanding on the registry.
At the moment we are classifying this application as clean.


eKerberos:

File was found to be a riskware, detection for the main application and installer will be added on the extended database.

Der Beitrag wurde von Nightwatch bearbeitet: 01.10.2008, 11:54

[Voyager]

Die Antworten von Fsecure finde ich gut.

[Gast_rock_*]

hier werden einige rogue programme (die man sich nicht installieren soll ) bebildert erwähnt:

http://www.411-spyware.com/

[Gast_Nightwatch_*]

Heute im Weblog: Rogue-Spezial von F-Secure.

Zwei von uns entdeckte und eingeschickte Programme sind dabei: u.a. eKerberos

http://www.f-secure.com/weblog/archives/00001509.html

Btw. nimmt ein wenig Zeit in Anspruch alles zu lesen. Aber ich finde, dass es sich lohnt!


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 01.10.2008, 20:52

[Voyager]

Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..
C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20081001.023\

ach und das eine Dreckstool wurde jetzt erkannt.

Scanstatistik:
Scanzeit: 111 Sek.
Scanoptionen:
Scanziele: F:\40\1
Zähler:
Gescannte Elemente insgesamt: 2.504
– Dateien und Laufwerke: 2.504
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 1
Behobene Elemente insgesamt: 1
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
XPAntivirus
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Irreführende Anwendung
Status: Vollständig behoben
-----------
10 Registrierungseinträge
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesResolve:... - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->Favorites:... - Repariert
HKEY_USERS\S-1-5-21-1135998351-3603475539-2497979282-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage\->FavoritesChanges:1 - Repariert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center->AntiVirusOverride:0 - Repariert
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
[Eingeschränktes Element (Berechtigung erforderlich)] - N/V
1 Datei
f:\40\1\ekerberosinstaller.exe - Gelöscht

[Gast_Nightwatch_*]

Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..

ach und das eine Dreckstool wurde jetzt erkannt.

Sauber
Ging doch auch schnell!

[Gast_rock_*]

die aktuellen (wahrscheinlich eh bald wieder abgeknipsten) rogues bereits hier:

http://www.411-spyware.com/

dürft sich auch schneller aktuallisieren,....die letzte zeit wars noch anders... heute wieder neue an den ersten stellen.

[Solution-Design]

Ich bin beruhigt, dass wir im deutschsprachigen Raum leben und somit aufgrund fehlender Akzeptanz dieser Malware einigermaßen geschützt sind

[citro]

Eben gabs ein neues Signaturupdate ( 23MB ) , klingt viel aber beinhaltet wieder neue Engines ect..

HI, habe ein paar Bildchen dazu:




die Einträge in der Registry und sonstigen Ordnern sind bei mir nicht vorhanden, da ich das Teil nicht installiert habe, Norton zeigt trotzdem diese Pfade an - wahrscheinlich würde sich bei einer Installation diese ekerberosinstaller.exe dort überall eintragen.

[Voyager]

Genau das ist eine vordefinierte Reinigungsroutine für jedes Element .

[markus17]

Hier mal wieder 3 Fakeprogramme:
http://www.virustotal.com/analisis/8dd3603...7f19793b6b85ef3

http://www.virustotal.com/analisis/d51ffe6...082471a62c25795

http://www.virustotal.com/analisis/4990273...f15cf04a0c1d75d

*edit*
Die ersten Beiden erzeugen so eine Windows Security Center Fehlermeldung und das 3. täuscht vor ein Antivirus zu sein.

Der Beitrag wurde von markus17 bearbeitet: 02.10.2008, 19:13

[Gast_blueX_*]

Ich hoff' du sendest die Dateien an alle anderen Virenschutzhersteller? Die Erkennung sieht nämlich hier ziemlich mau aus.

[markus17]

Klar, von Kaspersky bekam ich auch schon eine Antwort (zu den ersten beiden Files).

[Gast_rock_*]

Ich hoff' du sendest die Dateien an alle anderen Virenschutzhersteller?

ich glaub diesen und ähnlichen satz hast du bereits 333x gepostet!

[chris30duew]

@bond
mich wundert grad, woher du ein 23MB grosses update hast? ich habe eben mein vista neu aufgesetzt, und NIS2009 neu installiert (da vista neu installiert sind auch keine vorreste von NIS mehr da) und habe dann das update manuell ausgeführt. das war grad mal 5,73MB gross (angezeigt wurde das das letzte update vor 35 Tage war) klar weil ich NIS ja neu installiert habe.
woher kommt dann dein 23MB update mit neuen engines etc?

[citro]

ach und das eine Dreckstool wurde jetzt erkannt.

EKerberos wird auch bei Symantec gelistet und heißt jetzt nicht mehr XP Antivirus

http://securityresponse.symantec.com/secur...-99&tabid=2


@chris30duew

die Updates kann man auch manuell laden: Dailyupdates

http://www.symantec.com/business/security_...l.jsp?gid=savce

Der Beitrag wurde von citro bearbeitet: 04.10.2008, 07:12

[Rios]

Scheint wieder einer zu sein. Bisher total unauffällig bei Vtt, und Jotti's



hxxp://www.ultimatespykiller.com

[Gast_rock_*]

Oh my goodness....

da kann man ja richtige winterabende verbringen....


(Edit Joerg: Liste siehe obigen Link)

Bearbeitungsgrund: Ellenlange Liste entfernt, auf Link verwiesen

[citro]

Oh my goodness....

da kann man ja richtige winterabende verbringen....

SpyHunter auf deiner verlinkten Seite gehört aber auch dazu - oder ?

[Gast_rock_*]

SpyHunter auf deiner verlinkten Seite gehört aber auch dazu - oder ?

hmm....kann ich nicht so genau sagen.... habs gestern abend noch hochgeladen , aber ausser panda und esafe die nur "suspected file" meinen, is garnix.

vielleicht mal googlen.... ich hab leider momentan net soooviel zeit!

rock

Der Beitrag wurde von rock bearbeitet: 07.10.2008, 08:43

[Rios]

Version 2009

auf dieser Seite.

hxxp://www.xp-as-2009.com/
Wird wieder heftig gestreut. Mittlerweile auf weiteren 10 Seiten aufgetaucht.

[Rios]

Ein Spiel mit neuen Karten
http://www.siteadvisor.com/sites/search-an...loads/12697396/

Auf Vtt keine Beanstandung der Zeit. ( haben wohl wieder etwas gebastelt)
Beim Aufruf dieser Seite bietet aber A2 Anti-Malware die Blockierung an. Bei Erlaubnis, und anschl. Scan momentan noch Stille. Der einzige der hier winkt, ist momentan Superantispyware.

[Joerg]

Moderativer Hinweis: Die Liste von Rock habe ich mal entfernt, steht ja alles hinter seinem Link.
Die Off-Topic-Beiträge (=gegenseitige Liebesbekundungen) wurden in den OT-Thread verschoben.

[Gast_kurz-pc_*]

Hier mal was witziges ein gefaker Blue Screen

Antivirus 2010



Dann nach einiger zeit:


Einige Sekunden später:


http://www.virustotal.com/analisis/c3803e5...d8c3f554ba033d0

hxxp://av2010.net/

[Joshua]

Hier mal was witziges ein gefaker Blue Screen

Das ist ja nun wirklich mehr als Lustig!!!!

Joshua

[Gast_kurz-pc_*]

Normalerweiße kommt es sogar im Vollbild. Und je nach XP oder Vista der passende Bootscreen.

[Voyager]

Haha , ist ja nee richtige Terrorsoftware , 2010 klingt Superneu und verlockt natürlich.. ist halt die übliche Masche den Blutdruck des unbedarften User so stark zu erhöhen bis er zähneknirschend bezahlt damit das Ding dann (vermeintlich) Ruhe gibt. Gerade die Leute wissen dann auch nicht wie man den Müll runter bekommt.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 22:25

[Gast_kurz-pc_*]

Hier wer es mal auch Testen will:

Ist die Fake Datei für den Bluescreen/Bootscreen.

hxxp://rapidshare.com/files/153085345/svchost_1_.exe

http://www.virustotal.com/analisis/0cef534...df8771c1138873c
http://www.threatexpert.com/report.aspx?md...0656745d21969c1
http://www.cwsandbox.org/?page=report&...;password=wqimu

[Rios]

Er möchte seine Dienste anbieten, um an Kohle zu kommen.


hxxp://pcvirusremover2008.com/

ps. könnt ihr die Seite von Vtt aufrufen??

[Voyager]

Virustotal ist aus unbekannten Gründen überlastet und lädt nur träge , möglicherweise wird die Webseite auch angegriffen um User davon abzuhalten Risiken zu scannen.

Nachtrag: ich habs nochmal gescannt da Virscan.org keine Erkennung bei Symantec anzeigt , hier wirds aber schon erkannt.




Der Beitrag wurde von bond7 bearbeitet: 14.10.2008, 18:50

[Gast_kurz-pc_*]

Er möchte seine Dienste anbieten, um an Kohle zu kommen.


hxxp://pcvirusremover2008.com/

ps. könnt ihr die Seite von Vtt aufrufen??

Bei mir geht auch nicht.
Hab mal bei virscan hochgeladen.
http://www.virscan.org/report/a98432a5a428...0078fe55a9.html

[citro]

Hab mal bei virscan hochgeladen.

F-Secure und Symantec haben dort weniger Treffer als bei VT

[Gast_kurz-pc_*]

VT geht wider.
http://www.virustotal.com/de/analisis/c575...5274f93f2184d34

[Rios]

Es scheint so, als verdienen die Rogue Produzenten im Moment wieder ganz kräftig. Zumindest besteht die Möglichkeit. Klick

[Voyager]

Das scheint nur eine Frage des Manpower zu sein um diese "Luftprogramme" möglichst oft am Tag so zu verändern das AV-Hersteller nichtmehr hinterher kommen.
Klar das wieder einige den Finger strecken und sagen "Haha , was für Versager, AV-Programme nützen nichts" aber die Jungs haben doch auch keine Alternativen gegen diese kriminelle Energien im Netz.

[Gast_kurz-pc_*]

Ich hoffe immer noch das Microsoft durch seine Klage etwas dagegen erreicht.

[Rios]

Der Kandidat, arbeitet im Moment auch noch verdeckt. Auch wenn hier nicht angezeigt, Avira pipst.




hxxp://antivirusplasma.com

Und der hier zeigt sofort wo es lang geht.

und ab zur kasse

[markus17]

GDATA meldet sich auch:
Trojan.FakeAV.CG (Engine A)
Win32:Trojan-gen {Other} (Engine B)

[Rios]

Original und Klon




hxxp://winiguard.com

[Rios]

Update!!

[Voyager]

Wird von NAB gleich erkannt und gekillt wegen typisch verbotenen Aktionen , Downloader kopiert ins Windowsverzeichnis und startet den Müll incl. verdächtigen Netzwerkaktionen.

[Rios]

Update Rogue




hxxp://www.pcdefender2008.com

Der Beitrag wurde von Rios bearbeitet: 19.10.2008, 09:43

[ddcarsten]

Hab mir xpas2009.com eingefangen, wird vom Virenscanner zwar immer geblockt, aber nicht gelöscht. Wer kann helfen?

[Rios]

Nimm das Tool hier.
Anleitung hier

[ddcarsten]

Hat geholfen, besten Dank!

[citro]

Hab mir xpas2009.com eingefangen, wird vom Virenscanner zwar immer geblockt, aber nicht gelöscht.

Welcher Virenscanner wenn man fragen darf ?
Danke

[Rios]

Update

[Rios]

Veränderung, ehemals IE Antivirus ect.




hxxp://total-secure2009.com

[Voyager]

Wird von Norton auch erkannt, zwar etwas anders aber Aufgabe wurde erfüllt.

[chris30duew]

Um mal Panda ins Spiel zu bringen und um mal wieder zu zeigen das nicht nicht immer der Signaturschutz benötigt wird
Scheint inzwischen ganz gut zu funzen der Web Browser Schutz

Angehängte Datei(en)

 Aufzeichnen.JPG ( 57.82KB ) Anzahl der Downloads: 15

 

[Voyager]

Ist zwar keine PhishingSeite aber Aufgabe ist auch erfüllt.

[Rios]

Er hier wird seit neuesten mit Sidebar angeboten

[chris30duew]

mir is aufgefallen das gdata auch desöfteren weil sie wohl keine signaturen einpflegen einfach eine phishing seite aus gefährlichen seiten machen.
ausserdem isses schon irgendwie phishing. der user der unbedarfte wird ja zum kauf "überredet"
wie du schon sagst. Auftag erfüllt

[Gast_Xeon_*]

Veränderung, ehemals IE Antivirus ect.
hxxp://total-secure2009.com

Wird hier auch erkannt.

[citro]

Mit Opera kann man bekanntlich auch über "Fraud Protection" Seiten melden (Alt + Enter), welche dann nach Überprüfung mit einer Warnung versehen werden

http://www.opera.com/docs/fraudprotection/

[rolarocka]

WOT mit FireFox stuft die Webseite als gefärlich ein.

[Rios]

Ahoi!!


VirusTotal

Super Antispyware

[Voyager]

Auch wenn das nur 2 erkennen scheint die Gefahr so oder so gebannt zu sein , auf h??p://real-av.info/ ist das Download Zip Archiv zerstört und man kanns unmöglich aufspielen und auf das Fake herein fallen

Der Beitrag wurde von bond7 bearbeitet: 29.10.2008, 18:25

[chris30duew]

Nur ist die richtige adresse (zumindest die dann das zeigt was Rios abgebildet hat):

hmhmhm://real-antivirus.com
und da ist es ne exe die lauffähig sein dürfte. kannst ja mal ausprobieren ob SONAR anschlägt oder Antibot

[Voyager]

Bei einem reinen Verarschungsfake was nur den Nutzer mit Dummmeldungen zum Kauf lockt dürfte kein Verhaltensblocker anspringen, die können ja nicht sehen das die Viren-Meldungen in der Oberfläche nur reiner Blödsinn sind. So ein Programm kann man nur Signaturbasierend erkennen.

ps. in dem Fall ist es auch nur ein Verarschungsfake was Blödsinn erzählt sonst nichts. .

Der Beitrag wurde von bond7 bearbeitet: 29.10.2008, 18:48

[Rios]

Ja wie oft bei den Banditen, er will in erster Linie Geld. Das Teil ist in der Aufmachung jetzt ca. 4 Wochen unterwegs.

[Rios]

Up's, alles mögliche dabei. Bei VTT gab es nue eine Anzeige. Eigentlich nichts besonderes.

http://www.siteadvisor.com/sites/ascentive.com
WOT

[Rios]

Ein neues aber bekanntes Rogue Tool



Windefender-2009. com

[Rios]

Update: man hat wieder einmal an der Stellschraube gedreht. Ergebnis siehe VTT


VirusTotal