Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
Gast_claudia_* |
29.11.2012, 17:34
Beitrag
#2
|
Gäste |
Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter.
(ich helfe dir heute Abend mal das richtig einzustellen) (und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft) |
|
|
29.11.2012, 17:42
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
Uwe du musst mit der Sandbox noch etwas üben, weil die Ausnahme in D+ hilft da nicht weiter. (ich helfe dir heute Abend mal das richtig einzustellen) (und gut das du mal selber siehst, das ein "kastriertes" AV oft nicht weiter hilft) Nehme ich gerne an claudia ich hätte nichts dagegen wenn ich auch die Comodo Sandbox als weitere Schutzebene nutzen könnte ohne das diese meine rennsimulationen "abwürgt" ZITAT Üben ist nett ausgedrückt, die ganze Debatte zeigt aber das Uwe mit der von ihm genutzten Software eben nicht zurecht kommt. Und dann darauf verlassen? Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia. -------------------- |
|
|
29.11.2012, 17:45
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
Und dafür gibt es Foren SLE, mit Usern darin, die sich bereit zeigen anderen Usern helfen zu wollen. Stichwort claudia. Das ist ja auch supi. Aber dann hilft es dir vielleicht im konkreten Fall - aber auf Dauer musst du dich mit deinen Programmen auseinandersetzten, die Einstellungen und Meldungen verstehen. -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 03.10.2024, 11:50 |