Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
28.11.2012, 22:49
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT Das ist auch löblich, aber du hast es eben nicht konsequent gemacht, weil man es im Avast Popup noch sieht Das war ja klar das dir das nicht entgeht Schwamm drüber ich möchte kein AR werden ZITAT Aber es geht hier nicht um Sinn und Unsinn von Blacklists (die haben oft sogar viel Sinn, solange man es nicht übertreibt), sondern BlueX ging es v.a. gerade um das Phänomen, dass Signaturen schnell wieder irrelevant werden bei leichten Variationen, obwohl das bei besseren Signaturen anders sein sollte. Ich weiß um was es blueX ging: stösst man auf solch eine Datei und führt diese aus, wird von vielen Virenscannern bei neueren Varianten von Ransomsoftware diese nicht als Gefahr erkannt, das Fake-AV wird ausgeführt und dann hat man den Ärger damit weil man entweder das System bereinigen muss oder ein Systembackup einspielen muss. ZITAT Und ob Avast hier einen Unterschied macht (macht es nicht) hast du gar nicht getestet, dazu müsstest du mehrere Varianten herunterladen und scannen. Hab ich doch auch nicht geschrieben das ich Avast mit Ransomsoftware von blueX Seiten getestet hätte aber: Avast verhinderte den Aufruf der Webseiten und in dem Fall waren es keine FP's weil sich dort ja Ransomsoftware usw. "tummelt" und man so erst gar nicht in die Verlegenheit kommt an eine Ransomsoftware zu geraten. ZITAT OT: ZeroAccess Samples erkennt man ja mittlerweile schon am Dateinamen Ebenso OT SLE: Nicht jeder User(wohl eher die Miderheit der User)hat das Wissen das du hast und erkennt ZeroAccess Samples nicht schon anhand des Dateinamens Der Beitrag wurde von simracer bearbeitet: 28.11.2012, 22:49 -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 29.06.2024, 14:07 |