AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Betriebssysteme Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe
Thema durchsuchen
Ansicht
Themen-Optionen

Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

Ein Thema von SimStar001 · begonnen am 27. Aug 2009 · letzter Beitrag vom 28. Aug 2009
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Assertor

Registriert seit: 4. Feb 2006
Ort: Hamburg
1.296 Beiträge
 
Turbo C++
 
#25

Re: Neue Viren nach Win32.Induc.A ??? Brauche eure Hilfe

  Alt 28. Aug 2009, 10:27
Hi SimStar001,

Du könntest Deine EXE auch mal bei ThreatExpert hochladen (http://www.threatexpert.com/). Ist möglicherweise ein Rootkit, welches Du Dir da eingefangen hast, hier mal ein Thread bei Rokop Security wo der "Trojan.Crypt!IK" auch auftaucht: http://www.rokop-security.de/index.p...st=20&start=20.

Ich habe sowas mal vor Jahren bei Sicherheitstests in einer VM beobachten können, die das Ziel hatte Infektionen durch Software aus nicht-offziellen Quellen zu testen.

Nein, es ging dabei nicht um "Raubkopien" per se, sondern um veränderte Downloads auf Mirror Hosts - ja, sowas kommt natürlich auch vor. Die Erkennungsrate der AV war erschreckend gering, deswegen haben wir ja heutzutage die ganze Heuristik in den Viren- und Malware-Scannern.

Die tatsächliche Entdeckungsquote von Virenscanner liegt bei neuen Bedrohungen nunmal so lange keine Signaturen vorliegen im Bereich zwischen 0% und 100%, auch wenn das Marketing etwas anderes suggerieren möchte. Gleiches gilt für E-Mail Filter (man erinnere sich an die Umgehung durch Sonderzeichen, die einfach gestrippt wurden - da hat der Filter die Malware selbst wieder gangbar gemacht).

Ohne Dir also zu nahe zu treten zu wollen, prüfe, ob irgendeine Software bei Dir möglicherweise so ein Problemfall sein könnte.

Es kann natürlich auch wirklich sein, daß es ein False-Positive ist. Aber der Trojan.Crypt!IK wird wohl erst seit Mitte April gefunden, also kann die Infektion schon lange zurück liegen.

Du könntest uns auch mal eine EXE anhängen (veränderte Extension bitte), dann wären weitere Tests möglich. Frage: Verwendest Du selbst irgendwelche Verschlüsselung in Deinem Source, den Du von irgendwo kopiert hast?

Zitat von generic:
Bei den meisten von euch schlägt die heuristic an, weil ihr packer usw. verwendet.
Soweit es sich um UPX handelt, ist dies meiner Meinung nach lange überholt. Das galt sicherlich vor vielen Jahren mal, aber UPX läßt sich heute von jeder Scan-Engine problemlos entpacken und wirft nicht mal mehr Warnungen. Nur die ganzen UPX Mods, die durch Änderungen der Header ein Entpacken erschweren sollen, werden geflaggt. Sowas zu nutzen ist aber auch ... nicht schlau, denn das Entpacken wird damit nicht wirklich erschwert. Gerade im Bereich portabler Anwendungen wird UPX oft verwendet, z.B. bei PortableApps. Die liegen bei über 100 Millionen Downloads ohne einen einzigen öffentlich gewordenen False-Positive.

Bei anderen EXE Packern und Crypter gilt dies natürlich oft weiterhin, aber SimStar sagt ja, die EXE ist zuletzt unverändert getestet.

Gruß Assertor
Frederik
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:01 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz