Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
29.11.2012, 16:25
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free |
Comodo blieb wieder stumm SLE, die Firewall läufft im Spiele Modus wegen meinen Rennsimulationen, die Firewall und Defense+ Sicherheitsstufe stehen jeweils auf Sicherer Modus und die Comodo Sandbox ist dauerhaft deaktiviert. Warum das fragst du jetzt vielleicht? Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt.
ZITAT Weil du Glück hast und vielleicht auch hin und wieder die richtige Skepsis. Wenn du so eine File irgenwo per DriveBye oder sonstwie bekommst würde deine komplette Schutzsoftware versagen. Warum dann auf sowas verlassen? Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb: ZITAT Wenn mein Schutzkonzept wie du es nennst versagt, warum infiziere ich mir dann mein System nicht ungewollt sondern nur dann wie jetzt wenn ich mir extra solche bösartigen bewusst Files runterlade und ausführe? Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin und mir bis jetzt noch nicht ungewollt eine böswillige Infektion damit eingefangen habe. Wenn der Fall doch mal bei mir eintreten sollte, dann kann ich mir überlegen ob ich Avast und Comodo den Rücken kehre oder nicht und noch immer ist es so das der grösste Risikofaktor vor dem Monitor sitzt. Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte.
-------------------- |
|
|
29.11.2012, 17:07
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Ist die Comodo Sandbox aktiviert und ich starte die Rennsimulationen per Steam(die sind allesamt per Steam installiert), kommt eine Fehlermeldung und die Rennsimulationen können nicht gestartet/gespielt werden. Schalte ich dann aber die Comodo Sandbox aus, starten die Rennsimulationen als wäre nichts gewesen und ich weiß nicht was ich machen müsste damit die Comodo Sandbox meine Rennsimulationen starten lässt. Deine Simulation stürzt ab und erzeugt dmps. Beschäftige dich mit Comodo und richte es gescheit ein. Wenn du das nicht hinbekommst ist das Programm einfach nichts für dich. Einerseits hast du recht damit andererseits gebe ich dir als Antwort das was ich auch schon markusg schrieb: Ein weiterer Grund ist der das ich bis dato mit Avast und Comodo als Schutzlösung zufrieden bin Zufriedenheit schützt nicht. Du hast eindrucksvoll gezeigt, dass deine Schutzssoftware in der von dir verwendeten Konfiguration gegen weitverbreitete Bedrohungen bei dir stumm bleibt. Die Gründe auf das Argument "bis jetzt bliebt ich sauber" habe ich oben erläutert. Dies sprechen nicht für die Software sondern für andere Faktoren. Ich bin zufrieden ohne klassische Schutzssoftware und habe mir nie was eingefangen. Bedeutet das im Umkehrschluss, dass diese Software komplett sinnlos ist?? Wäre ich ein User der sich nicht um sein System und Programme kümmern würde, hätte vermutlich schon eine bösartige Infizierung über Java, Adobe Flashplayer oder dergleichen mein System infizieren können ohne das ich das gewollt hätte. Hilft auch nichts, da Updates immer nach der Sicherheitslücke kommen und sich zero-day Attacken gerade dadurch auszeichen zu arbeiten wenn noch kein Update existiert. Wozu brauchst du eigentlich Java? -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 10.07.2024, 18:48 |