Innerhalb weniger Minuten ist die Malware wieder undetected |
Willkommen, Gast ( Anmelden | Registrierung )
Innerhalb weniger Minuten ist die Malware wieder undetected |
Gast_blueX_* |
28.11.2012, 19:03
Beitrag
#1
|
Gäste |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
Gast_claudia_* |
30.11.2012, 14:57
Beitrag
#2
|
Gäste |
bin zwar nicht Sebastian kann aber auch deine Fragen zum Teil beantworten.
1. dein erster und entschiedener Fehler mit der Autosandbox von Avast war, nicht nach dem aktivieren neu zu booten. 2. es macht keinen Unterschied ob Auto oder Nachfragen In der Standardeinstellung wird ein zu startendes Programm, das avast! als verdächtig einstuft, automatisch in dieser Sandbox ausgeführt. In den Einstellungen der AutoSandbox kann dies geändert werden, so dass Avast! zuerst nachfragt. Wenn Sie dabei "In Sandbox ausführen" wählen, wird das Programm in der Sandbox gestartet und kann dort Ihrem System keinerlei Schaden zufügen. ( mit Heuristik auf Hoch und PUP Erkennung an, ist die Erkennung deutlich besser ohne fehleranfällig zu sein ) zu Comodo die Firewall Einstellung würde ich auf Eigene Richtlinie stellen um mehr Kontrolle zu haben die Autosandbox erhöht nicht zwangsläufig die Sicherheit aber deutlich den Komfort Ohne Sandbox kommen halt die HIPS Abfragen recht häufig und dann hängt es halt von deinem Wissen ab, die richtige Entscheidung zu treffen Mit Sandbox den Grad der Einstellung der Ausführungskontrolle was ein Programm innerhalb der Sandbox so darf und was nicht. 5 Stufen stehen zur Auswahl.
Der Beitrag wurde von claudia bearbeitet: 30.11.2012, 15:14 |
|
|
30.11.2012, 16:46
Beitrag
#3
|
|
Gehört zum Inventar Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW |
2. es macht keinen Unterschied ob Auto oder Nachfragen Sollte nicht wirklich, beim Nachfragen wird man eben nur vorher bei den Files gefragt, die AVAST sonst automatisch in die Sandbox gepackt hätte. Uwes Tests zeigen, dass dies bei ihm aber nicht funktioniert: Bei der Option Nachfragen wurde das System infiziert, trotz Sandboxauswahl. Von daher würde ich das als Bug - zumindest auf seinem System werten. Danke für deine Unterstützung claudia, also bei der Firewall bin ich jetzt von Sicherer Modus zu Eigene Richtlinie und was sollte ich bei Defense+ einstellen das noch auf Sicherer Modus steht? zur Auswähl gäbe es Paranoider Modus, Sicherer Modus, Sauberer PC-Modus, Trasinings-Modus oder Aus. Du siehst in den Details was im jeweiligen Modus mehr gemeldet wird, fraglich ist wie sehr der Nutzer die Meldungen versteht und das Wissen hat um entsprechend zu reagieren. Du kannst Comodo im Paranoiden Modus extrem scharf stellen, wirst dich aber mit zu 99,9999% Meldungen die harmlose Programmaktion betreffen auseinandersetzen müssen und schön erlauben. Würdest du dann noch die 0,0001% der Meldungen richtig erkennen, die verdächtige Aktionen betreffen? Wenn nicht ist ein so konfiguriertes HIPS nichts für dich und du solltest dir einen anständigen Verhaltensblocker ala Mamutu zulegen. Der warnt auch bei verdächtiger Netzwerkaktivität und macht somit die klassische DFW überflüssig. -------------------- Don't believe the hype!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 10.07.2024, 17:11 |