![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_blueX_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Hallo,
ich beobachte seit einigen Wochen zwei interessante URL Adressen: hxxp://xpornstarsckc.ddns.name/latest/xxx-porn-movie.avi.ex e hxxp://xamateurpornlic.www1.biz/latest/xxx-porn-movie.avi.ex e Über diese Adressen wird Malware massenhaft verbreitet. So wurden bis vor kurzer Zeit ca. 100 neue Varianten täglich (!) eines Trojanes (FakeAV) verbreitet. Alle 20 Minuten wurde ein neues Sample, welches gegenüber allen AVs laut Scan bei Virustotal undetected war, verbreitet. Und dies über mehrere Wochen. Seit einigen Tagen ist das Intervall deutlich länger geworden und es wird auch eine andere Art von Malware (Backdoor.ZeroAcces) verbreitet. Trotzdem gibt es alle paar Stunden eine neue Variante des Backdoors, der nur von zwei oder drei der gelisteten AVs bei Virustotal erkannt wird. Ich bin erstaunt wie leicht es scheinbar ist, massenweise Samples gegenüber den AVs undetected zu machen. Auch bin ich erstaunt, dass die AVs für diese Malware keine Generische Erkennung einbauen können. Die Malware muss doch änlichen Code aufweisen und ähnliche Muster haben. Stattdesen wird lieber jedes eingesandte Sample einzeln zu den Signaturen hinzugefügt. Unverständlich ist für mich auch, dass die AVs keine geeigneten Werkzeuge haben, die überprüfen können, ob eine neue Variante angeboten wird. Die AVs könnten diese Datei dann selbstständig herunterladen und in die Erkennung aufnehmen. Habt ihr sowas schon mal gesehen? Wie denkt ihr darüber? Viele Grüße bluex |
|
|
![]() |
![]()
Beitrag
#2
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free ![]() |
ZITAT Es werden und wurden unter demselben Dateinamen verschiedenste Malwaredateien bereitgestellt Bei den 9-10 Files die ich dort runtergeladen und ausgeführt hatte, handelte es sich jedes mal um GVU Trojaner. -------------------- |
|
|
![]()
Beitrag
#3
|
|
Gehört zum Inventar ![]() Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW ![]() |
-------------------- Don't believe the hype!
|
|
|
![]()
Beitrag
#4
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 3.359 Mitglied seit: 17.03.2012 Mitglieds-Nr.: 9.353 Betriebssystem: Windows 10 64 Pro 22H2 Virenscanner: Kaspersky Free Firewall: GlassWire Free ![]() |
Was ist ein GVU-Trojaner? ![]() Und wie würdest du dann so etwas: ![]() ZITAT Infizierte Registrierungswerte: 1 bezeichnen?HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Daten: explorer.exe,C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\\Anwendungsdaten\skype.dat (Trojan.Ransom.ED) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\\desktop\animal-sex-video.avi.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt. (Das Logfile wurde vor der Bereinigung von mir gespeichert) Quelle des Files: siehe vorheriges Posting von lotion. Der Beitrag wurde von simracer bearbeitet: 17.03.2013, 16:43 -------------------- |
|
|
![]()
Beitrag
#5
|
|
Gehört zum Inventar ![]() Gruppe: Mitarbeiter Beiträge: 3.995 Mitglied seit: 30.08.2009 Wohnort: Leipzig Mitglieds-Nr.: 7.705 Betriebssystem: Win10 Pro (x64) Virenscanner: none | Sandboxie Firewall: WinFW ![]() |
Und wie würdest du dann so etwas bezeichnen? Eine stinknormale WinLocker/Ransom Variante, die schön dynamisch das Land erkennt und in Deutschland dann auf dem Sperrbildschirm GVU/GEMA/BKA etc. anzeigt, in anderen Ländern anderes. Deshalb gibt es dennoch keinen GVU / GEMA oder BKA Virus oder auch Trojaner. Solche umgangssprachlichen Bezeichnungen verwirren mehr, als das sie irgendwo helfen... Der Beitrag wurde von SLE bearbeitet: 17.03.2013, 17:29 -------------------- Don't believe the hype!
|
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 11.07.2024, 14:11 |