|
MRG Rootkit Test Hi, an Schrauber und die anderen "Geeks der Malware Front" und Kronos :zunge: . https://www.mrg-effitas.com/wp-content/uploads/2015/07/In-the-wild-Rootkit-Remediation-Comparative-Analysis-2015-Q3.pdf Hier wurden 5 Rk Scanner gestestet bei 8 Samples, darunter gut bekannte wie den TDSS. Der Test wurde gesponsort von Zemana. Das vorab... Von den 32 max. Punkten erreichte der Testsieger ZAM ganze 24. Gefolgt von HitmanPro mit 17. Ich habe nun mal 2 Fragen: MBAM scannt ja auch im normalen Modus nach Rootkits. Ist dieser Scan genauso effektiv/gut wie der explizite durch MBAR? Was ist denn ein VBR infector bootkit? Habt Ihr sowas hier schon mal bereinigen müssen? Die Beantwortung der 1.Frage hilft dann nämlich auch, den ganzen Test als sinnvoll zu bezeichnen oder eben nur als eingeschränkt... Übrigens: EEK´s Abschneiden war eine Katastrophe auf ganzer Linie. Dass file-less Infektionen nicht erkannt werden, war bekannt, aber dass nur 2 Infektionen erkannt werden (und nicht im Ansatz bereinigt), ist schon wirklich enttäuschend! Edit: Okay, der VBR schliesst sich an den MBR an, und lädt den bootmanager für Windows. Reicht in diesem Falle nicht ein einfaches Formatieren aus, oder muss zuvor dann auch der MBR überschrieben werden? |
Zitat:
|
Ja, okay. Ich bin gerade hier dran: http://www.welivesecurity.com/2011/08/23/hasta-la-vista-bootkit-exploiting-the-vbr/ Hast Du sowas schon mal bereinigt Cosinus? |
Ja, ist aber schon lange her. Der Artikel ist ja auch von 2011, vor 3-4 Jahren hatten wir hier viel mehr mit Root- und Bootkits zu tun. Lt. schrauber sind die alle nur noch auf schnelle Kohle aus und verteilen halt (leider noch legale) PUPs... :( |
is ja sehr merkwürdig.... knapp 8 Jahre, geschätzte 60 oder 70 tausend breinigte Rechner und ca 300.000 Posts, Zugang bei 40 Foren, davon 25 im internen Bereich, Zugang zu Foren dessen Namen ich nicht mal öffentlich posten darf, und ich hab noch nie in meinem Leben vom Zemana Rootkitscanner gehört...... Noch nie davon gehört, die sponsorn den Test, und gewinnen? Mysteriös...... Formatieren brauchste da gar nix. Schreib den Käse neu, zieh nen Dump offline und bearbeite es im Hex Editor, wieder einspielen, Ruhe im Karton :) |
Schrauber, dass Du Das schaffst, da habe ich 0,00 Zweifel daran! Sitze aber ich Dösbattel davor, ziehe ich mir dann über Linux eine Kopie der besagten infizierten Datei, schicke sie Dir, Du machst den Debugger auf, bereinigst den schadhaften Code, schickst sie mir zurück. Anschliessend wird dann die infizierte Datei gelöscht und durch Deine bereinigte Fassung ersetzt, anschliessend noch Begleiterscheinungen wie Reg bereinigt und gut ist, so in etwa? Die Frage wegen MBAM war deswegen: Wenn bei Befürchtung eines Rk Befalls der MBAM so "gut" ist wie der MBAR, dann wäre es völlig sinnfrei zuerst den einen einzusetzen und danach den zweiten. Da Ihr das hier auch so in der Reihenfolge nicht macht, kann man sich ja den Rest über die Aussagekraft des Tests ja denken sinngemäß: Ich suche mir mein Testfeld so aus, dass der eine Scanner nur eine ganz bestimmte Familie erfasst und der andere (MBAM) gar nicht darauf ausgelegt ist, speziell für Rk zu scannen. ZAM soll gegen alle Malware helfen, und ist recht neu. Der Dev von HMP hat schon öffentlich die "gewisse Ähnlichkeit" ("hust") zu seinem Tool moniert... |
Ich kenne die Internals von MBAR nicht (muss mal wieder im Forum reinschauen.....) aber ich glaube das ist nochmals spezieller, auch wenn MBAM selbst auch nen Rootkitscan hat. |
Ich habe da so meine Bedenken, alleine zeitlich schon: Der MBAR rödelt bei mir incl. der heurist. Suche schon 30 Minuten, der MBAM braucht für den Scan nach allem anderen zusammen nur unwesentlich länger. Und dass EEK so "abgeloost" hat, ist jetzt binnen kurzer Zeit bereits das 2.Mal, dass ein Emsis. Produkt nicht so gut abgeschnitten hat, kann langsam auch kein Zufall mehr sein . :pfeiff: |
ich hab mir den test jetzt mal genauer angeschaut. neben den bereits erwähnten intressanten dingen wie "testsieger ist sponsor" und so, fallen mir da ein paar sachen auf: real-world-test? mit samples aus 2010? und verlinkten malware-beschreibungen aus 2010? interesting..... allgemein ist die auswahl der zu vergleichenden tools auch cool: Zemana (kennt irgendwie keiner) MBAM (antimalware, und nebenbei bissl rootkit) EEK (der wissentlich keine Rootkits entfernt, das weiß jeder dass wir das niemals automatisiert machen, dann kommt ne Meldung bitte kostenlos beim Support melden) und TDSSKiller, der nur speziell nach gewissen Arten sucht und: Alles Freeware Produkte, ausser Zemana, die gibt nicht Freeware. alles in Allem macht der komplette Test irgendwie keinen Sinn. Jetzt mal aus objektiver, fachlicher Sicht. |
Dass EEK das nicht erkennt, finde ich auch nicht soooo schlimm, schlimmer ist das komplette Testfeld-wie Du sagst. EAM schützt vor dem Poweliks ja laut offiz. Forum dadurch, dass es zwar net den Speicherbefall erkennt, dafür aber die Registry Änderung, und allerspätestens die folgende Veränderung bei dllhost.exe. Elise hat die Tage einen Link (Beta Version) zu einem speziellen AR Tool bei Emsisoft einem User gepostet. Hey, wenn ich doch so einen Test mache, dann frage ich doch beim Hersteller nach: "Was habt Ihr denn für spezielle Tools dafür?". Kaspersky erkennt nur eine Familie, MBAM ist nicht speziell genug. --> fallen schon mal 3 raus. Wo wir dabei sind, was ist mit dem üblichen Verdächtigen GMER (vielleicht zu gut?)? War da vielleicht Kronos bei der Auswahl am Werk? :D ZAM ist derzeit schon Freeware (zumindest für die Analyse), kannst Du testen, die MD5´s der Samples des Tests sind übrigens auch zugänglich. ZAM benutzt mehrere Cloud-Scanner wie HMP früher (letzterer nur noch 2, Bitdef. und Kasp.) |
hab ZAM gerade installiert und getestet ;) |
Zitat:
Hier die Samples für Dich: Carberp.exe 11bba9b2333559b727caf22896092217 Gapz.exe 33d154d84e830aa18973b04e64879466 Phasebot.exe 12dccdec47928e5298055996415a94f2 Poweliks.exe cfa0c5abe024043c014d71eb0fcb5584 Rovnix.exe 56db6a59aebbb977b67c7470b493379c TDL4.exe 4a052246c5551e83d2d55f80e72f03eb Wmighost.exe 0df40b226a4913a57668b83b7c7b443c ZeroAccess.exe 1010e9ee806c26f367ba5ce068214502 |
von meinem samples wurden 2 von 12 erkannt. und alle daten gehen direkt in die cloud, komplett..... |
Na dann :pfui: |
Was meinst Du mit "alle"? "Alle" = 100% ? .doc .pdf .jpg ? :wtf: |
was an daten gescannt wurde. gescannt wird in der cloud. hab nicht genau aufgepasst, war so fasziniert von der GUI :D |
Du meinst eine gewisse Ähnlichkeit mit einem anderen Programm?! :balla: Das ist mal wieder typisch, man benutzt was, weil man denkt, es könnte einen evtl. weiterbringen. Und damit holt man sich dann die Pest ins Haus, und zwar die richtige :headbang: |
Sieht für mich wie eine relativ gut gemachte Fake-AV-Software aus. Man muss nur DAS lesen, dann sollte es einem klar sein und diesen Report kann sich ja jeder stricken.:kloppen: |
Zitat:
|
Mein SpyHunter 4 kann das in 2 Minuten :blabla: |
Zitat:
Bitte nicht kaufen war nur Spaß. |
Da isser ja wieder unser Kronos, hatte schon geglaubt es wäre dir etwas passiert da man solange hier nichts mehr von dir gehört hat, war ohne dich richtig langweilig hier gewesen. :D |
Bitte diesen Fred nicht auch noch zumüllen ... sonst kommt der wieder... |
Zitat:
|
Nur damit das für alle klar ist, die das mitlesen. SpyHunter ist ein Fake-Produkt, also bitte NICHT kaufen, wie Kakao gesagt hat, dann nur cracken :) |
Zitat:
|
Zitat:
|
Zitat:
Richtig |
Nicht das der Thread in eine Spyhunter Diskussion ausartet.;):D |
Zitat:
|
Ich würde es ja gern mal cracken :D. Doch, es funktioniert noch keine Virtualisierungssoftware in Windows 10. :schmoll: |
Zitat:
Zitat:
|
@ Kronos aka der Titan: Halt dich bitte mal etwas zurück. @ Schrauber: Wenn Du nächstes mal mit den Kollegen von BC sprichst, könntest Du sie ja vlt. mal auf diese "Cloudproblematik" ansprechen, bei BC ist ZAM nämlich unter den Downloads gelistet. |
das ist ja im grunde nur en downloadportal. dort wird einfach alles angeboten, was nicht malware oder illegal ist. es gibt ja auch nen avast download :D |
Zitat:
|
genau. das einzige was nicht geht ist host-only netzwerk, und ein iso über das folder icon auswählen, man muss es in den einstellungen direkt einbinden. |
:eek: Avast und BC :eek: Das ist der UNINSTALLER für den Roxx! :applaus: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board
