Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
Gast_blueX_* |
28.11.2012, 21:37
Beitrag
#2
|
Gäste |
Die Website ist nicht das Problem., sondern die Exe-Dateien, die zum größtenteil alle unerkannt sind.
|
|
|
Gast_J4U_* |
28.11.2012, 21:42
Beitrag
#3
|
Gäste |
|
|
|
28.11.2012, 22:00
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Uwelis Screenshot nach werden die Echsen durch Avast erkannt,... Nein, nur weil die exakt aufgerufene Seite (hier der Link mit den Echsen) im Popup erscheint ist das nicht so - im Gegenteil: URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. Kann hilfreich sein bei bekannten Malwareschleudern, dass Seitenblacklists auch gehörige Nachteile haben sieht man aber auch oft. btw: Unsinning im Browser eine Adresse zu verschleiern, die hier im Thread steht und im Screenshot auch an anderer Stelle erscheint. Die Meldung und der Test von Uwe hat nichts mit dem von BlueX beobachteten Phänomen zu tun. Zur Frage: Sowas habe ich schon recht oft gesehen, so selten ist das nicht. Die 14 Tage sind eher selten: Es sind meist dieselben 3-5 Anbieter die es schaffen recht schnell generische Signaturen zu erstellen - was aber auch auf den Umfang ankommt. Andere Anbieter können das kaum. OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen Der Beitrag wurde von SLE bearbeitet: 28.11.2012, 22:02 -------------------- Don't believe the hype!
|
|
|
Gast_J4U_* |
28.11.2012, 22:32
Beitrag
#5
|
Gäste |
URL:Mal und "Webseite blockiert" verweisen eindeutig darauf, dass es sich nur um eine Blacklist und keine Erkennung handelt. OK, da hätte ich wohl noch eine Zeile weiter lesen sollen... Als Erkennung sehe ich das trotzdem an, eine Schicht des Schutzprogrammes hat den Zugriff zuverlässig verhindert. Ob das nun über Signaturen, Verhaltensanalyse, Blacklist oder wie auch immer erfolgt ist für das Verhindern von Infektionen erst mal Nebensache.J4U |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 10.07.2024, 20:31 |