WinFuture-Forum.de: Verlasst Euch Wirklich Nicht Auf Virenscanner - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 3 Seiten +
  • 1
  • 2
  • 3

Verlasst Euch Wirklich Nicht Auf Virenscanner


#1 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 28. Juni 2004 - 09:38

Zitat

Subject: RE: some new malware samples [KLAB-244587]
From: <[email protected]>
An: [mich]

Hello, thank you, all undetectable were detected.
I didn't detect eplugin.ocx ...

-- Best regards, Shvetsov Dmitry Virus analyst, Kaspersky Lab. e-mail: [email protected] e-mail: [email protected] http://www.kaspersky.com/

>>  Hello.
>> 
>>  I'm sending you some sample of malware which has been found on a class
>>  of PCs with strange behaviour using HijackThis, but weren't detected
>>  neither by KAV nor by BD nor by F-Secure 2004 nor by McAfee VS 8.
>>  I did some pre-analysis to differ between "true" malware and simple
>>  dialers, hijackers etc.
>> 
>>  * cssweb.dll is a new version of the well known Spyware CSS Web Search.
>>  * emsat_ver2.ocx s an older undetected variant of
>>  TrojanClicker.Win32.Adpower.
>>  * EPlugin.ocx seems to be a new variant of the hijacker/trojan
>>  TrojanDownloader.Win32.Ladder.
>>  * goworld.ocx is a new TrojanDownloader.
>>  * P2ECOM.dll seems to be a variant of TrojanDownloader.Win32.Trimm
>>  * xtrayinst.exe is a TrojanDownloader invoking ftp.exe to download some
>>  non-existent / already removed files from the web.


Jep, ich kann's immer noch. <_<

(Die restlichen 15 Files waren "nur" Dialer und simple Hijacker-Toolbars, die aber keine Schadfunktionen beinhalten.)

Merkt euch also bitte: Das ein Virenscanner etwas nicht erkennt, heißt nicht viel...

Dieser Beitrag wurde von Rika bearbeitet: 28. Juni 2004 - 09:39

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Anzeige



#2 Mitglied ist offline   TaOps_Heinz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 953
  • Beigetreten: 16. November 03
  • Reputation: 0
  • Geschlecht:Männlich

geschrieben 28. Juni 2004 - 11:10

lol sag ich da nur! Zum Glück verlass ich mich nicht auf sie!
0

#3 Mitglied ist offline   Stulle 

  • Gruppe: aktive Mitglieder
  • Beiträge: 763
  • Beigetreten: 04. Dezember 03
  • Reputation: 0
  • Wohnort:Brotbackautomat
  • Interessen:viele

geschrieben 28. Juni 2004 - 14:11

Zitat (TaOps_Heinz: 28.06.2004, 12:10)

lol sag ich da nur! Zum Glück verlass ich mich nicht auf sie!

mh

Nur Anfänger, Dau's und solche, die einenen PC nur gelegentlich nutzen, diese verlassen sich voll und ganz auf Antivirenprogramme
..................................

Die Signatur ist verloren gegangen. Eingefügtes Bild
0

#4 Mitglied ist offline   netwolf 

  • Gruppe: aktive Mitglieder
  • Beiträge: 564
  • Beigetreten: 26. November 02
  • Reputation: 0

geschrieben 28. Juni 2004 - 14:38

Was ist damit gemeint ?

Zitat

Hello, thank you, all undetectable were detected.
I didn't detect eplugin.ocx ...

(v.a. mit dem ersten Satz ?)
0

#5 _evilized_

  • Gruppe: Gäste

geschrieben 28. Juni 2004 - 14:46

was heißt
"voll und ganz verlassen"?
bis zu einem gewissen grad hat man ja wenig andere möglichkeiten.
wenn man alles abgesichert hat und die kiste verhält sich trotzdem komisch, ist es doch wohl am simpelsten 2 av drüber zu jagen!?
0

#6 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 28. Juni 2004 - 15:16

Dieses eplugin.ocx hier ist der bekannten Variante sehr sehr ähnlich, hätte er die Signaturen nur etwas besser gestaltet, hätte er diese unbekannte Variante auch mit der Signatur der bekannten Variante erkannt.

oder so...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#7 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 24. Dezember 2004 - 23:44

Zitat

Hello !
Detection will be added in "adware.avc" today.

-- Regards, Aleks Gostev Virus analyst, Kaspersky Lab. e-mail: [email protected] e-mail: [email protected] http://www.kaspersky.com/ http://www.viruslist.com/en/weblog

>> Attachment: signature.asc


>>  Kaspersky Labs wrote:
>>  > DLL in CAB is detected already by ADWARE database which can be updated from this URL:
>> 
>>  I already told you this. The problem is the install script which is so
>>  extremly sophisticated that we should threat it as malware.
>> 
>>  >>>> This is a sample of the most recent version of bridge.
>>  >>>> It gets detected by KAV, but the more interesting part is the installer
>>  >>>> script (which doesn't get detected).
>>  >>>>  And it's very sophisticated, including
>>  >>>> exception handling, browser sniffing and various spoofing methods.
>>  >>>> As this script could also be used to install many other various malware
>>  >>>> I recommend to add a signature for it.

:)

Nochmals seien die Leute herzlichst aufgefordert JavaScript einzuschränken und Bildschirmmeldungen zu lesen. Benanntes Script ist extrem ausgeklügelt, funktioniert mit allen Browsern und nutzt einige bekannte Sicherheitslücken. Zudem ist es obfucated, d.h. der Code ist vollkommen unverständlich umgestaltet.

Wer Firefox oder einen HTTP-Proxy benutzt, der möge die Domains winupdates.com und blazefind.com (inklusive aller Subdomains) sperren und/oder auf
<script*>*_dC\(*</script>
filtern.

Dieser Beitrag wurde von Rika bearbeitet: 24. Dezember 2004 - 23:47

Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#8 Mitglied ist offline   Koksi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 18
  • Beigetreten: 27. November 04
  • Reputation: 0
  • Wohnort:Trollland

geschrieben 25. Dezember 2004 - 09:55

Man muss schon aufpassen das man kein Virus bekommt. Denn ein Antivirenprogramm fndet halt nur 80%.
0

#9 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 25. Dezember 2004 - 10:00

wie kann man denn im Firefox Webseiten sperren?
0

#10 Mitglied ist offline   hans_maulwurf 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.358
  • Beigetreten: 23. Februar 04
  • Reputation: 0
  • Wohnort:Oberhausen

geschrieben 25. Dezember 2004 - 10:03

Keine Ahnung ich mach sowas mit dem Proxymodingens... ich kann dir später mal meine Filter zukommen lassen, ich glaub das sind inzwischen so 10MB *g*
0

#11 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 25. Dezember 2004 - 12:43

AdBlock Extension bzw. nativ mit den Site Policies.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#12 Mitglied ist offline   seppl2 

  • Gruppe: aktive Mitglieder
  • Beiträge: 46
  • Beigetreten: 13. November 04
  • Reputation: 0

geschrieben 27. Dezember 2004 - 10:33

Im neuesten Test der Zeitschrift c´t (Heft 1/2005) wird fast allen Virenscannern eine Erkennungsrate von 100% der in-the-wild Viren bescheinigt.

Wo sie allerdings Probleme haben, ist beim Erkennen von Spyware und Trojanern. hier kam kein Programm auf 100% Erkennungsrate. Sehr schlecht schnitten in diesem Punkt die Programme H+BAntivir (personal + professional) ab.

c´t empfiehlt den zusätzlichen Einsatz von Trojanerscannern, wie z.B. Spybot Search&Destroy.

Fußnote: Die Antivirenprogramme von Norton und MacAfee werden als nicht empfehlenswert eingestuft. Von dem Einsatz der Programme Avast und ViRobot wird dringend abgeraten.
0

#13 Mitglied ist offline   Faith 

  • Gruppe: aktive Mitglieder
  • Beiträge: 660
  • Beigetreten: 11. Juli 03
  • Reputation: 3
  • Geschlecht:Männlich
  • Wohnort:Konstanz

geschrieben 27. Dezember 2004 - 11:16

Zitat (seppl2: 27.12.2004, 10:33)

Im neuesten Test der Zeitschrift c´t (Heft 1/2005) wird fast allen Virenscannern eine Erkennungsrate von 100% der in-the-wild Viren bescheinigt.

Wo sie allerdings Probleme haben, ist beim Erkennen von Spyware und Trojanern. hier kam kein Programm auf 100% Erkennungsrate. Sehr schlecht schnitten in diesem Punkt die Programme H+BAntivir (personal + professional) ab.

c´t empfiehlt den zusätzlichen Einsatz von Trojanerscannern, wie z.B. Spybot Search&Destroy.

Fußnote: Die Antivirenprogramme von Norton und MacAfee werden als nicht empfehlenswert eingestuft. Von dem Einsatz der Programme Avast und ViRobot wird dringend abgeraten.
<{POST_SNAPBACK}>


was sagen die zu Panda ?
Ich möchte gerne die Welt verändern, doch Gott gibt den Quelltext nicht frei.
0

#14 Mitglied ist offline   Memphis_1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 540
  • Beigetreten: 08. Februar 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:Motorradfahren

geschrieben 27. Dezember 2004 - 12:08

hm....ich habe mit anitvir und meinem router mit firewall bis jetzt nie viren bekommen die ich net selber runtergeladen habe .... ;)

Dieser Beitrag wurde von Memphis_1 bearbeitet: 27. Dezember 2004 - 15:00

0

#15 Mitglied ist offline   Legin 

  • Gruppe: aktive Mitglieder
  • Beiträge: 251
  • Beigetreten: 28. Juni 03
  • Reputation: 0
  • Wohnort:Sektor 001

geschrieben 27. Dezember 2004 - 14:39

Zitat (Memphis_1: 27.12.2004, 12:08)

hm....ich habe mit anitvir und meinem router mit firewall bis jetzt nie viren bekommen die ich net selber runtergeladen habe wenn ich mir was gedownloadet habe.... ;)
<{POST_SNAPBACK}>


Ich finde die Einstellung "wenn mein AV-Programm nichts findet, dann habe ich auch keine Viren" immer so göttlich! ISt so ähnlich wie, mmmh, "wenn ich in das Zimmer gucke seh ich keine Luft", also ist auch keine Luft da?! ;)
Mein Auge erkennt nicht alles, und so erkennt ein AV-Programm auch nicht alles!

Dass soll jetzt nicht heißen dass man kein AV-Programm benutzen soll, keines wegs, aber es gibt halt keine 100% Sicherheit...

Legin
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0