![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_blueX_* |
![]()
Beitrag
#101
|
Gäste ![]() |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
![]() |
![]()
Beitrag
#102
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free ![]() |
ZITAT gleicher Wert = gleiche Datei Du meinst als Beispiel zum Beispiel die GVU Trojaner Files die ich runtergeladen habe? Die unterschieden sich, das erkannte sogar ich zum beispiel an deren Größe. Aber mit was ich nichts anfangen kann sind zum Beispiel die ganzen Werte unter Hash usw., was die zu bedeuten haben. -------------------- |
|
|
![]()
Beitrag
#103
|
|
Gehört zum Inventar ![]() Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW ![]() |
Aber mit was ich nichts anfangen kann sind zum Beispiel die ganzen Werte unter Hash usw., was die zu bedeuten haben. Ein HASHwert ist das Ergebnis einer Funktion, die in der Regel eine große Datenmenge rechnerisch auf eine einzige eindeutige Zeichen/Zahlenkette reduziert. So können z.B. auch Dateien mit gleichen Namen und gleicher Dateigröße dennoch verschieden sein - der Hashwert zeigt dies an. Es gibt verschiedenste Funktionen zur Berechnung und somit auch verschiedene Arten von Hashwerten. Aufgeblasene Tools zeigen dann alles an...und man muss sich einen raussuchen. Hashtab kann man dabei leicht konfigurieren bzw. es zeigt per default nur die gängigsten Hashwerte an. In der Regel sind das MD5 (mittlerweile unsicher) SHA1 und/oder SHA256. Diese 3 sieht man auch über jedem VT Output. Wenn ihr also Scanergebnisse vergleichen wollt, ist das Minimum bzw. der Startpunkt sicherzustellen, dass ihr über diesselbe Datei redet. Deshalb einen Hashwert kommunizieren. Bsp.: xxx-porn-movie.avi.exe (SHA1 a26fb0af47cf36aaa7f2fa97693ad484b3b33196) In Zeiten von Cloud (und VT Uploads) reicht dieser Wert den begabten und befähigten, oft schon um an das File zu kommen. ![]() -------------------- Don't believe the hype!
|
|
|
![]()
Beitrag
#104
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free ![]() |
Ein HASHwert ist das Ergebnis einer Funktion, die in der Regel eine große Datenmenge rechnerisch auf eine einzige eindeutige Zeichen/Zahlenkette reduziert. So können z.B. auch Dateien mit gleichen Namen und gleicher Dateigröße dennoch verschieden sein - der Hashwert zeigt dies an. Es gibt verschiedenste Funktionen zur Berechnung und somit auch verschiedene Arten von Hashwerten. Aufgeblasene Tools zeigen dann alles an...und man muss sich einen raussuchen. Hashtab kann man dabei leicht konfigurieren bzw. es zeigt per default nur die gängigsten Hashwerte an. In der Regel sind das MD5 (mittlerweile unsicher) SHA1 und/oder SHA256. Diese 3 sieht man auch über jedem VT Output. Wenn ihr also Scanergebnisse vergleichen wollt, ist das Minimum bzw. der Startpunkt sicherzustellen, dass ihr über diesselbe Datei redet. Deshalb einen Hashwert kommunizieren. Bsp.: xxx-porn-movie.avi.exe (SHA1 a26fb0af47cf36aaa7f2fa97693ad484b3b33196) In Zeiten von Cloud (und VT Uploads) reicht dieser Wert den begabten und befähigten, oft schon um an das File zu kommen. ![]() Jetzt hat es pling gemacht bei mir ![]() ZITAT MD5 (mittlerweile unsicher) SHA1 und/oder SHA256. bei 2 nehmen wir wieder GVU Trojaner Files, identisch sind, ist es ein dieselbe GVU Trojaner Variante.
-------------------- |
|
|
![]()
Beitrag
#105
|
|
Gehört zum Inventar ![]() Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW ![]() |
Jetzt hat es pling gemacht bei mir ![]() 1 Wert reicht, also entweder du vergleichst MD5 oder SHA1 oder... (wobei MD5 am unsichersten ist.) -------------------- Don't believe the hype!
|
|
|
![]()
Beitrag
#106
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free ![]() |
1 Wert reicht, also entweder du vergleichst MD5 oder SHA1 oder... (wobei MD5 am unsichersten ist.) Nochmal Danke fürs erklären SLE ![]() Hab noch 2 GVU Trojaner Files da die ich noch nicht gelöscht hatte und das eine File hat den SHA-1 Wert 99CD4FFD20AF2A23004A1CFC5B17F11BECB229CE und das andere File den SHA-1 Wert 3D312D9175EEB43F05672D762B43F0BB6AA729BE -------------------- |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 11.07.2024, 15:45 |