Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
30.11.2012, 11:03
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 3.367 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: F-Secure Firewall: GlassWire Free |
ZITAT @Uwe: Oben hattest du ja gezeigt, dass es nicht ging. Jetzt hat es z.T. funktioniert - aber einige Einschränkungen gibt es. File1 und File 2 sind identisch - also lohnt es nicht hier zu unterscheiden. Vorgestern gab es da ZeroAccess, wo deine Tools scheiterten, gestern aber gab es Lameshield. Folglich Äpfel und Birnen. Dein Punkt 3 weißt dann, nach der jetzigen Schilderung auf einen Bug in Avast hin. Avast scheint aber vor Comodo zu greifen, was ok ist. Wenn Avast aber abschmiert bzw. Sachen durchlässt und Comodo greift nicht ist das mehr als suspekt und zeigt, das irgendwas gewaltig nicht funktioniert. Ein paar Fragen hätte ich dazu noch SLE: kann es daran gelegen haben das Avast scheiterte weil bei den ersten Tests bei mir zum einem die Autosandbox zuerst nicht aktiviert war und beim nächsten Testversuch die Autosandbox auf Nachfragen stand und nicht auf Auto? Denn komischerweise reagierte Avast ja gestern bei den letzten 2 Tests mit den 2 Files mit eingeschalteter Autosandbox im Auto Modus so das die Files gleich in der Sandbox landeten, dort analysiert wurden und dann in Quarantäne verschoben wurden. Die nächste Frage betrifft Comodo: kann der Spiele-Modus daran Anteil haben das das Comodo HIPS Defense+ nicht reagiert und/oder die Einstellungen für die Firewall und Defense+ die beide auf Sicherer Modus stehen? wäre es besser wenn ich jeweils Trainings oder Paranoid Modus wählen würde? -------------------- |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 01.08.2024, 14:16 |