![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
![]()
Beitrag
#1
|
|
Ist unverzichtbar ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 4.246 Mitglied seit: 12.06.2004 Mitglieds-Nr.: 984 Betriebssystem: Windows 10 ![]() |
Ups, da geht aber die Post ab. Hier eine Statistik der Infizierten Webseiten. China Nr. 1
|
|
|
![]() |
![]()
Beitrag
#2
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.517 Mitglied seit: 01.07.2007 Wohnort: in der schönen Pfalz! Mitglieds-Nr.: 6.291 Betriebssystem: macOS 12.0.1 Monterey ![]() |
Quasi alle, die man frisch erstellt. Es werden nur ältere Exemplare per Signatur erkannt, die man selbst oder eben über VT zugesendet hatte. (Ist bei vielen so: Bei VT hochladen, ein paar Stunden/Tage später wird es von einigen erkannt, da die Hersteller die Samples ja bekommen). SONAR schwiegt bei allen von mir getesteten. Es ist alles das SecurityShield, das sich auf die gleiche Art und Weise installiert. Bei jedem Download wird die Datei entweder individiuell kreiert (Kleine Unterschiede in irrelevanten Codeschnipseln) oder es liegt eine große Anzahl vor die per Zufall verteilt wird. Ich tippe auf das erste. Jede Datei hat dadurch eine neue Checksumme und ist strenggenommen eine neue, eigenständige Datei. Schaut man diese jedoch mit einem HexEditor an, sieht man nicht allzu viele Unterschiede. [attachment=7190:pack.jpg] Folglich sollten/könnten Signaturen, die sich nicht auf die Checksumme, sondern auf die relevanten Codeschnipsel beziehen alle Typen erkennen können. geht ja bei anderen, komplexeren Schädlingen auch oft. __ Edit: Mittlerweile haben scheinbar auch einige Hersteller umfassende Siganturen: Kaspersky (jetzt: Hoax.Win32.SMWnd.egh), AVAST, Bitfefender, Dr.Web und McAfee sollten zumindest jetzt alle alten und neuen Varianten erkennen können. Danke für Deine Mühe und die Erklärung ! Also wenn ich die pack.exe bei VT hochlade brauche ich sie nicht extra an Symantec (oder andere AV-Hersteller) senden, habe ich das richtig verstanden? Danke |
|
|
![]()
Beitrag
#3
|
|
Gehört zum Inventar ![]() Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW ![]() |
Also wenn ich die pack.exe bei VT hochlade brauche ich sie nicht extra an Symantec (oder andere AV-Hersteller) senden, habe ich das richtig verstanden? Theoretisch brauchst du es nicht - praktisch: schwierig. VirusTotal sendet alle Samples an die beteiligten Hersteller (früher gab es mal die Option ""Do not send to Anti-Virus-Labs", die wurde abgeschafft. Jetzt reagiert man m.W. nur noch auf Mails wo gebeten wird bestimmte Sachen nicht weiterzuleiten). Somit haben die Hersteller (und z.T. die professionellen AV-Tester) die vermeintlichen Samples quasi spätestens nach dem Upload bei VT. Jedoch ist die Realität so, dass die Hersteller sich täglich mit zig verschiedenen angeblichen Bedrohungen auseinandersetzen müssen, z.T. greifen die verschiedenen Automatismen nicht und der Analyst muss "per Hand" ran. Es ist generell utopisch anzunehmen, dass alles immer zeitnah verarbeitet werden kann. Deshalb gibt es (je nach Hersteller) verschiedene Priorisierungen der Quellen und damit könnte ein File was von einem Kunden kommt höher priorisiert werden. Wie es bei Symantec damit aussieht - k.A. die haben wie alle noch zahlreiche andere Kriterien. @Voyager hat hier einige Male dargestellt, wo man sich auch durchaus weigerte alles zugesendete schnell in Signaturen aufzunehmen. -------------------- Don't believe the hype!
|
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 03.07.2024, 19:53 |