Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
29.11.2012, 13:46
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
ZITAT is sowieso wurscht, dein schutzkonzept hatt versagt, tdss war aktiev C:\RECYCLER\S-1-5-18\$f473824e5d2371ca45ef49b673e3180a\n und das neue Variannten auf Malware servern verteilt werden, häufig mehr mals pro Stunde ist auch nichts besonders neues :-) So weit richtig deine Aussage markusg, aber auch doch nur teilweise denn ich hatte ja ganz bewusst die Avast Schutzsteuerung deaktiviert gehabt um überhaupt das tdss File runterladen und danach ausführen zu können. Ein normaler User der nicht mit Malware spielt bzw. testet, hätte auf die Reaktion des Avast Netzwerkschutz richtig reagiert und den gesperrten Zugriff auf die Seite mit der Infizierung hingenommen. Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen. -------------------- |
|
|
29.11.2012, 14:08
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Von daher hat Avast in meinen Augen nicht versagt sondern ich umging bewusst einen Schutzmechanismus(Netzwerkschutz samt Blacklist)um an das bösartige File zu gelangen. Avast versagt hier insofern völlig, da nicht alle Einfallstore auf die Blacklist kommen können. Wollen wir hoffen, dass es wenigsten in den Standardeinstellungen mit Sandbox mittlerweile hier greift (sollte aber), denn mit Signaturen sind sie auch nicht bei den schnellsten dabei. Das TDL und ZeroAccess Verhalten ist seit über einem Jahr im Grunde dasselbe und Avast wurden die proaktiven Schwächen dazu oftmals aufgezeigt. Das dein (ebenfalls kastriertes) Comodo hier schweigt wundert mich fast noch mehr, den hier kann und sollte man das HIPS doch recht präzise einstellen, wenn man die Autosandbox deaktiviert. Insofern: Auch wenn du im gewählten Falle etwas deaktiviert hast um an das File zu kommen, zeigt das Beispiel das dein momentanes Setup nicht effektiv gegen eine der weitverbreitesten Gefahren schützt. Natürlich kann man zugute halten, dass man sobald man die Infektion merkt ein Image (hier unbedingt samt MBR) zurückspielen kann. Aber auch da kann schon Schaden vorliegen: geklaute PW etc. -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 10.07.2024, 18:48 |