Enttäuschung von Emsisoft
 

Hallo liebes T-B,
hab mir heute mal dieses Video angeguckt

Und gleich mal die "evil-shit.exe" an Emsisoft getestet, mit dem Ergebniss das NICHTS erkannt wird...Schade
Zumal der Beitrag schon 6 Tage her ist...
[IMG]http://fs5.directupload.net/images/151007/grg9abwm.jpg[/IMG]

Kann man davon ausgehen das von diesen selbst gebastelten Viren eien Gefahr ausgeht?

Mal für mich aus Interesse, da ich auf Arbeit hocke und Videos suboptimal sind :D - Was macht die .exe? Sowas wie früher PC Shutdown oder noch schlimmeres? :o

Scheint wohl 'ne Datei von SemperVideo zu sein :D

Diese .exe öffnet eine Session zum Angreifer.
Was man damit genauer Anstellen kann würde ich vllt. gern von den Profis hören. Ich selbst beschäftige mich nicht mit dem Erstellen von Viren /Payloads.
Ich kann mir aber schon vorstellen das jmd damit viel Unfug treiben kann.

Übrigens habe ich dieses Video zum implementieren von Backdoors in .exe Dateien auch gefunden und ich find Erschreckend wie easy sowas Funktioniert.

Oder der Mann im Video erzählt nur die Hälfte der Geschichten, das weiß ich nicht, aber die Meinung der Profis wäre mir dazu schon ganz lieb^^

Wie im Video gesagt: Das ist eine Beispieldatei

Der im eigenen Netzwerk sitzt. :)

Interessant wäre, ob auch nach der Post Exploitation die Virenscanner bzw. deren Heuristik nichts detektieren.

Andreas und das Team von SemperVideo sind schon OK und haben was drauf. Aber die Tatsachen, dass es FUD-Malware gibt, diese auch relativ leicht erstellt werden kann, ist jetzt keine Sensation.

Zudem ist es ein verbreiteter Irrtum, dass ein Virenscanner 100%igen Schutz bietet.

würd mich intressieren ob der Prozess bei Ausführung erkannt wird.

@deeprybka Aber es ist schon möglich das ganze vom eigenen Netzwerk auf das Internet zu Münzen oder?
Für mich ist es schon neu das man sich ein Video von 10min reinzieht und zum Hobby hacker werden kann.

Hab´s gerade getestet. Der Verhaltensalarm springt an und sagt die datei Spywareverhalten zeigt. :daumenhoc

Aber sollte es trotzdem nicht auch beim scannen gefunden werden?

Naja, wenn es dafür noch keine Signatur gibt dann nicht. Deswegen ist der Echtzeitschutz ja so wichtig :)

Ändert sich, mit oben genannten Tool, bei jeden neu erstellten Virus die Signatur?
Falls dem so ist kann man sich effektiv ja nur auf Verhaltensanalysen und Echtzeitschutz verlassen.

Man kann sich gar nicht auf AV Programme verlassen. So wie ich SemperVideo kenne dürfte das genau die Botschaft hinter dem Video sein.

Aktuelles System, Skript und Adblocker, Brain.exe immer aktiviert und "geladen", und das AV Programm in etwa so betrachten wie die Gurte und Airbags im Auto: als letzte Rettung wenn alles Andere schief ging.

Hier ist doch schon im Prinzip wieder nur der Anwender gefragt. Er muss doch den Hinweis zur Kenntnis nehmen und entscheiden ob er der Datei traut oder nicht. Der Virenscanner ist für ihn nur der Berater, der sagt "Vorsicht"

Ich bin mir ziemlich sicher, dass viele so eine Meldung abnicken und die Datei ausführen. Schließlich wird ja nur zur Vorsicht geraten und wenn der arme User die Datei nicht ausführt, kann er nicht das tolle Video per Stream sehen :pfeiff:

Natürlich kann man auch die IP-Adresse eine C&C-Servers verwenden bzw. diese z.B. dynamisch nachladen.
Und genau hier kommen zwei Probleme zusammen. Windows und der Anwender. Windows oder der Virenscanner können unbekannte EXE-Dateien nicht wirklich prüfen und der Anwender führt sie aus. Ob er an diese Datei nun per Download, E-Mail-Anhang oder Netzwerklaufwerk kommt ist eigentlich egal. Anschließend den Befall zu erkennen ist für den Anwender auch ausgeschlossen. Und auch der Virenscanner tut sich damit schwer wenn es z.B. ein gezielter Angriff ist.

Bei Linux ist das anders. Erst mal installiert man Software eigentlich ausschließlich aus einer Paketverwaltung. Diese ermöglicht nur die Installation von signierter Software. Wenn der Anwender dann doch mal ein Programm außerhalb der Paketverwaltung downloaden würde (ELF, irgendein Script, ...) muss er dieses erst mal ausführbar machen und kann es dann natürlich noch ausführen. Aber alleine vom Konzept ist das nicht vorgesehen. Ich habe ein paar Anwender auf Linux umgestellt. Denen haben ich nicht erklärt wie das überhaupt gehen würde ;-)

Insgesamt unterstützt Windows den Anwender viel zu stark in seiner eigenen Dummheit.

Seh ich anders. Kleines Alltagsbeispiel: Gestern hab ich überlegt, wie ich am besten mein 54 MB großer Programm (das ich selbst geschrieben hab), kleiner machen kann, ohne, dass ein Anwender das irgendwie entzippen muss. Ich hab da viele, viele Programme aus dem Internet geladen und einfach durchprobiert. Wenn ich erstmal alles ausführbar machen muss, werd ich da wahnsinnig ;). Ich will etwas runterladen können und das soll funktionieren. Da soll kein gschisti gschasti mehr notwendig sein...

Das ist doch kein "gschisti gschasti" sondern ein kleiner Befehl mit chmod. Und wenn etwas nicht sofort/generell ausführbar ist, trägt das ungemein viel zur Sicherheit bei. Aber gut, bei Windows kennt man sowas nicht. Deswegen auch solche Krücken wie zB dass Outlook exe Dateien im Anhang ausblendet.

Ok. Dann aktualisiere ich meine Aussage:

Wobei ich mal behaupten möchte, dass mich mein Debian GNU/Linux auch in meiner Faulheit unterstützt. Der Adminstrationsaufwand besteht in der Installation von Sicherheitsupdates, die ich automatisch im Hintergrund durchführen lasse. Ok in etwa zwei Jahren gibt es ein neues Release. Werde mich langsam schon mal auf das Dist-Upgrade von einer Stunde drauf einstellen müssen.
Als Anwender habe ich es aber umso schwerer. "apt-get install <programm>" (dann doch als root) ist schon sehr anspruchsvoll. Dafür muss ich keine Werbefenster wegklicken geschweige denn einen Browser starten. Enthält der Chip-Download immer noch Adware usw.?