Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
Gast_blueX_* |
29.11.2012, 20:15
Beitrag
#2
|
Gäste |
Ich sehe es auch so wie Sebastian, dass die URL-Blockierung keinen wirklichen Schutz bietet. Was ist, wenn die Malware aus anderen Quellen stammt (Einschleußung über USB-Stick oder durch einen Exploit).
Übrigens werden seit heute keine Backdoors mehr verteilt, sondern wieder Trojan.FakeAV. Fast stündlich sind neue Varianten zu finden. Wie schlecht, dass die AVs sind, erkennt man bei einem Scan einer Datei: https://www.virustotal.com/file/cc653bf2455...d34bd/analysis/ Die Signatur von Kaspersky wurde übrigens erst durch eine Einsendung von mir hinzugefügt. Auch Kaspersky erkennt derzeit die Files nicht. Nicht mal heuristisch besteht eine Erkennung der AVs. Hmm ... das überrascht mich doch, dass die AVs nicht in der Lage sind, eine ordentliche Signatur bzw. eine Generische Erkennung einzupflegen. EDIT: Das Sample habe ich übrigens an alle gelisteten AVs bei Virustotal eingesandt. Das nächste in einer Stunde ist aber wieder sicher undetected. Der Beitrag wurde von blueX bearbeitet: 29.11.2012, 20:18 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 05.10.2024, 07:55 |