Enttäuschung von Emsisoft
 

Hallo liebes T-B,
hab mir heute mal dieses Video angeguckt

Und gleich mal die "evil-shit.exe" an Emsisoft getestet, mit dem Ergebniss das NICHTS erkannt wird...Schade
Zumal der Beitrag schon 6 Tage her ist...
[IMG]http://fs5.directupload.net/images/151007/grg9abwm.jpg[/IMG]

Kann man davon ausgehen das von diesen selbst gebastelten Viren eien Gefahr ausgeht?

Mal für mich aus Interesse, da ich auf Arbeit hocke und Videos suboptimal sind :D - Was macht die .exe? Sowas wie früher PC Shutdown oder noch schlimmeres? :o

Scheint wohl 'ne Datei von SemperVideo zu sein :D

Diese .exe öffnet eine Session zum Angreifer.
Was man damit genauer Anstellen kann würde ich vllt. gern von den Profis hören. Ich selbst beschäftige mich nicht mit dem Erstellen von Viren /Payloads.
Ich kann mir aber schon vorstellen das jmd damit viel Unfug treiben kann.

Übrigens habe ich dieses Video zum implementieren von Backdoors in .exe Dateien auch gefunden und ich find Erschreckend wie easy sowas Funktioniert.

Oder der Mann im Video erzählt nur die Hälfte der Geschichten, das weiß ich nicht, aber die Meinung der Profis wäre mir dazu schon ganz lieb^^

Wie im Video gesagt: Das ist eine Beispieldatei

Der im eigenen Netzwerk sitzt. :)

Interessant wäre, ob auch nach der Post Exploitation die Virenscanner bzw. deren Heuristik nichts detektieren.

Andreas und das Team von SemperVideo sind schon OK und haben was drauf. Aber die Tatsachen, dass es FUD-Malware gibt, diese auch relativ leicht erstellt werden kann, ist jetzt keine Sensation.

Zudem ist es ein verbreiteter Irrtum, dass ein Virenscanner 100%igen Schutz bietet.

würd mich intressieren ob der Prozess bei Ausführung erkannt wird.

@deeprybka Aber es ist schon möglich das ganze vom eigenen Netzwerk auf das Internet zu Münzen oder?
Für mich ist es schon neu das man sich ein Video von 10min reinzieht und zum Hobby hacker werden kann.

Hab´s gerade getestet. Der Verhaltensalarm springt an und sagt die datei Spywareverhalten zeigt. :daumenhoc

Aber sollte es trotzdem nicht auch beim scannen gefunden werden?

Naja, wenn es dafür noch keine Signatur gibt dann nicht. Deswegen ist der Echtzeitschutz ja so wichtig :)

Ändert sich, mit oben genannten Tool, bei jeden neu erstellten Virus die Signatur?
Falls dem so ist kann man sich effektiv ja nur auf Verhaltensanalysen und Echtzeitschutz verlassen.

Man kann sich gar nicht auf AV Programme verlassen. So wie ich SemperVideo kenne dürfte das genau die Botschaft hinter dem Video sein.

Aktuelles System, Skript und Adblocker, Brain.exe immer aktiviert und "geladen", und das AV Programm in etwa so betrachten wie die Gurte und Airbags im Auto: als letzte Rettung wenn alles Andere schief ging.

Hier ist doch schon im Prinzip wieder nur der Anwender gefragt. Er muss doch den Hinweis zur Kenntnis nehmen und entscheiden ob er der Datei traut oder nicht. Der Virenscanner ist für ihn nur der Berater, der sagt "Vorsicht"

Ich bin mir ziemlich sicher, dass viele so eine Meldung abnicken und die Datei ausführen. Schließlich wird ja nur zur Vorsicht geraten und wenn der arme User die Datei nicht ausführt, kann er nicht das tolle Video per Stream sehen :pfeiff:

Natürlich kann man auch die IP-Adresse eine C&C-Servers verwenden bzw. diese z.B. dynamisch nachladen.
Und genau hier kommen zwei Probleme zusammen. Windows und der Anwender. Windows oder der Virenscanner können unbekannte EXE-Dateien nicht wirklich prüfen und der Anwender führt sie aus. Ob er an diese Datei nun per Download, E-Mail-Anhang oder Netzwerklaufwerk kommt ist eigentlich egal. Anschließend den Befall zu erkennen ist für den Anwender auch ausgeschlossen. Und auch der Virenscanner tut sich damit schwer wenn es z.B. ein gezielter Angriff ist.

Bei Linux ist das anders. Erst mal installiert man Software eigentlich ausschließlich aus einer Paketverwaltung. Diese ermöglicht nur die Installation von signierter Software. Wenn der Anwender dann doch mal ein Programm außerhalb der Paketverwaltung downloaden würde (ELF, irgendein Script, ...) muss er dieses erst mal ausführbar machen und kann es dann natürlich noch ausführen. Aber alleine vom Konzept ist das nicht vorgesehen. Ich habe ein paar Anwender auf Linux umgestellt. Denen haben ich nicht erklärt wie das überhaupt gehen würde ;-)

Insgesamt unterstützt Windows den Anwender viel zu stark in seiner eigenen Dummheit.

Seh ich anders. Kleines Alltagsbeispiel: Gestern hab ich überlegt, wie ich am besten mein 54 MB großer Programm (das ich selbst geschrieben hab), kleiner machen kann, ohne, dass ein Anwender das irgendwie entzippen muss. Ich hab da viele, viele Programme aus dem Internet geladen und einfach durchprobiert. Wenn ich erstmal alles ausführbar machen muss, werd ich da wahnsinnig ;). Ich will etwas runterladen können und das soll funktionieren. Da soll kein gschisti gschasti mehr notwendig sein...

Das ist doch kein "gschisti gschasti" sondern ein kleiner Befehl mit chmod. Und wenn etwas nicht sofort/generell ausführbar ist, trägt das ungemein viel zur Sicherheit bei. Aber gut, bei Windows kennt man sowas nicht. Deswegen auch solche Krücken wie zB dass Outlook exe Dateien im Anhang ausblendet.

Ok. Dann aktualisiere ich meine Aussage:

Wobei ich mal behaupten möchte, dass mich mein Debian GNU/Linux auch in meiner Faulheit unterstützt. Der Adminstrationsaufwand besteht in der Installation von Sicherheitsupdates, die ich automatisch im Hintergrund durchführen lasse. Ok in etwa zwei Jahren gibt es ein neues Release. Werde mich langsam schon mal auf das Dist-Upgrade von einer Stunde drauf einstellen müssen.
Als Anwender habe ich es aber umso schwerer. "apt-get install <programm>" (dann doch als root) ist schon sehr anspruchsvoll. Dafür muss ich keine Werbefenster wegklicken geschweige denn einen Browser starten. Enthält der Chip-Download immer noch Adware usw.?

Ich fürchte du triffst einen wunden Punkt iceweasel :D

Aber mittlerweile gibt es auch Paktverwaltun für Windows wie https://chocolatey.org/

Nur kennt das keine Sau :( :wtf:

Als Windoofnutzer hab ich auch sowas von keinen Schimmer, wovon ihr da redet und denk mir bei "Paketverwaltung" nur wtf? :confused: nix für mich :blabla:

Über Kommandozeile Programme installieren... :kaffee:

Ich find allgemein, dass man im Jahr (fast) 2016 für grundlegende Arbeitsabläufe keine Kommandozeile brauchen darf.

Ihr redet so einen Quatsch! :eek:

Es gibt schon seit Ewigkeiten GUIsfür die Paketverwaltung zB sowas wie synaptic - ich glaub das Suse-Lager nimmt immer noch yast.

Und Ubuntu hat schon lange das Software-Center!

Aber das tolle ist doch: man kann es über CLI oder über die GUI machen!:party:

Lies dich mal ein und probier es zB mit Ubuntu in einer VM oder so aus. Eine Paketverwaltung ist richtig geil und dass Windows so etwas immer noch nicht standardmäßig an Bord hat ist eigentlich ne Sauerei. => https://de.wikipedia.org/wiki/Paketverwaltung

Gibt doch eh den Windows Store :blabla:

Billiger Abklatsch :blabla:
Ich nehm nur Debian und Ubuntu :knuddel:

Zuerst beschweren dass es so etwas nicht gibt, und dann ist es billiger Abklatsch :D
Wir sind schon wieder so OT, bald landen wir in der Taverne :rofl:

Ich weiß grad nicht welches bs ich in der VM probiert habe aber iwas linuxartiges wars aufjedenfall. Habs aber bisher erstmal "nur zum laufen" gebracht, wirklich getestet hab ich da nicht viel :| Glaub mir war das alles zu langsam insgesamt. (Wobei das sehr gut an meinen Einstellungen etc pp gelegen haben mag :D )

In der VM ist auch alles furchtbar langsam.

Ich arbeite komplett mit einer vm. :blabla:

Das war mir schon klar.
Deshalb habe ich mir meine Lizenz bei Emsisoft nicht erweitert.
Der Grund, ein ALTER Sality Virus wurde von allen erkannt nur bei Emsisoft kam keine Benachrichtigung oder Erkennung.
Und der Sinn bei einem Anti-Viren Programm ist es meiner Meinung nach, den PC vor schädlichen Dateien zu beschützen.
Damit hat Emsisoft bei mir versagt und habe mir Panda Pro geholt, da fühlt man sich automatisch freier ohne die 'schwere' Last die auf dem PC sitzt und ihn Performance-technisch immer weiter runter drückt.

Wie (fast) alle Pauschalaussagen ist auch diese falsch. Manche Arbeiten gehen über die Kommandozeile schneller und einfacher (bsp. 20 Bilder mit ImageMagick verkleinern oder statt dessen in Photoshop oder Gimp wunde Klickfinger bekommen) andere in der Gui.

Daher ist es gut wenn man beides hat - und beides beherrscht.

Das KlickTool zur Softwareverwaltung heißt unter OpenSuse nach wie vor Yast2 (es gab mal ein Upgrade, seither ist das Gui ähnlich schnell wie zypper auf der Kommandozeile).

Das will ich jetzt gar nicht abstreiten, weil du da vollkommen recht hast. Aber ich würde jetzt das Batch-mäßige Verkleinern der Bilder nicht für einen "Normaluser" als etwas sehen, das er häufig macht. Das übernimmt Facebook ja automatisch ;)

Natürlich ist es gut, dass man beides hat, aber die Anwendungserfahrung darf nicht eingeschränkt werden, wenn ich das Wort Kommandozeile noch nie gehört hab. Es würde ja schon ein Klick auf "Make Executable" im Kontextmenü reichen, dann wär ich ja schon zufrieden (Im Sinne von chmod). Aber dann wären wir ja wieder Richtung Windows Problem.

Das geht in Dolphin "out of the box", allerdings mit zwei Mausklicks statt einem. Allerdings ist in Linux das "herunterladen von executables" die absolute Ausnahme so dass es nicht stört wenn man da zwei Klicks extra benötigt.

Facebook: ist das was zum Essen ? ;)

In Nautilus und Thunar kann man "ausführbare Datei" auch unter Dateieigenschaften (aus dem Kontextmenü) anhaken. Mit der Kommandozeile arbeitet nur, wer es möchte.

Kann ich nicht bestätigen.

Ich habe gerade mal ein Suse (KDE) durch Mint (Cinnamon) ersetzt.

Geht los beim hinzufügen von Benutzern zu einer Gruppe. Per CMD kein Problem. Die Mint GUI kann das nicht.

Und dann die Königsklasse: DVB/C Adapter per kaffeine zum Laufen bringen.

Mediabuild installieren. Download im Netz nicht mehr gefunden, ist aber auf 2. PC noch vorhanden. Rüberkopieren per NAS, compilieren etc.

Und dann der Sendersuchlauf. Trotz Einstellung des korrekten Anbieters (hier Unitymedia) wird nicht alles erkannt. Kein Thema, andere Provider einstellen und Sender hinzufügen.

Alles ganz einfach. Man muss nur wissen, wie es geht.

Wäre unter Windows vermutlich alles nur 15 MIN gewesen.

Trotzdem gefällt mir MINT gut.

Muss mich leider hier auch melden:
Ich weiß, die von Emsisoft sind sehr viel beschäftigt und geben sich auch Mühe, ein Programm zu erstellen, was was kann, aber es fehlt doch oft bisschen an dem Programm...

Nach diesem Tage, wo ich meinen kompletten PC mit einem Sality infiziert habe und Emsisoft nur da war und zugesehen hat, habe ich die Lizenz leider ablaufen lassen müssen.

Hier der Log:
Leider war Emsisoft nach diesem Ausrutscher für mich total uninteressant geworden.

abgesehen davon was Emsisoft gemacht oder nicht gemacht hat, hast du diese Infektion echt aus Versehen eingefangen oder mit Absicht eine infizierte Datei ausgeführt?

Ich habe den Virus nicht absichtlich gedownloadet.
Ich wollte eigentlich ein anderes Programm downloaden, das war dann aber mit einem Sality infiziert und dann hatte ich den Salat..

Kein AV Programm der Welt kann deinen Rechner zu 100% schützen. Sobald ein Schadprogramm auftaucht das noch nicht in der Signaturendatenbank ist hast du (laut den Tests an die ich mich erinnere) je nach Programm zwischen 40 % und ~95% Wahrscheinlichkeit dass es deinen Rechner infiziert. Die Laienansicht "AV drauf, kann nichts passieren" ist schlichtweg falsch.

Hast du schon einen Hilfethread im "Plagegeister ..." Bereich aufgemacht um das Ding wieder loszuwerden ?

Hallo,

Ja, dies war vor 2 Jahren, da haben wir versucht das ganze mit einem Cleaner von Kaspersky zu lösen, was aber leider kein Erfolg hatte und ich war gezwungen das System komplett zu reinstallieren.

Da ich nichts mehr auf einen Stick übertragen durfte, war das schon ein starker 'Schlag' für mich und meine ganzen Dokumente..

Und seither hattest du Ruhe ?

Wie du siehst gibt es eben ein Restrisiko und manche Schadsoftware nistet sich so tief ein dass man nichtmehr bereinigen kann.


Zur Diskussion: das mit den Daten wundert mich ein wenig. Gab es keine Möglichkeit die auf einen Stick zu ziehen, dann von einer Linux Live CD aus zu scannen (z.B. auf Virustotal hochzuladen) und die "gesunden" Daten dann unter Linux auf einen anderen Stick zu transferieren? Den "verseuchten" Stick dann unter Linux formatieren und das Thema wäre gegessen, der Datenverlust nicht ganz so hoch.

Warum ging das damals nicht ?

Ja, also ich habe jetzt einen PC und keine Laptops mehr, mehrmals neue Systeme und der Laptop der hat mittlerweile ein Abgang in die Tonne gemacht..
Ja, gibt leider solche Malware...

Ja, also ich war damals nicht so in dem Thema "Computer und Viren" dabei.
Mittlerweile hat sich das ganze sehr sehr stark gesteigert.

Hätte ich den Stick ja angeschlossen, wäre der Virus ja wieder auf das frische System 'gesprungen'...

Früher wusste ich mit den ganzen Linux Sachen noch nicht wirklich Bescheid..

W_Dackel, das ist SALITY. https://en.wikipedia.org/wiki/Sality Der infiziert alles. Auch normale Dateien. Und dann noch mal extra Datenträger wie USB-Sticks und Netzwerklaufwerke. Bei "normaler" Malware wäre es natürlich so gegangen, wie du gesagt hast.

Im Wikipedia Artikel steht nur was von executables. Das heißt - da auch nix von Verschlüsselung da steht- dass nicht-ausführbare Dateien eigentlich zu retten sein müssten.

Word Dokumente z.B. unter Linux mit Libreoffice öffnen und neu als .docx abspeichern so dass alle Macros weg sind, Bilddateien untersuchen, wenn keine Executables drin sind abspeichern.

Bei Video Dateien wird es schwieriger da die Formate leider meist Programmiersprachen enthalten.

.pdf in Postscript verwandeln und von da zurück in .pdf etc.


Stimmt aber, Datensicherung (vor der Infektion!) und Neuinstallation wären einfacher und sicherer...

Noch beeser wäre neben einer Datensicherung ein zeitnahes Systembackup/Image der gesamten Festplatte oder zumindest von der Systempartition C.

Ein Image ist nur nice2have. Man kann es als Datensicherung gleichzeitig auch verwenden, aber primär wichtig ist das regelmäßig Sichern von Userdaten wie Bild- und Dokumentdateien. Dazu zählen Betriebssystems- und Programmdateien nun ja nicht zu....

Weißt du, ich bin Linux Nutzer. Als solcher vergisst man oft dass die Installation eines Windows Systems zusammen mit der Jagd nach Treibern und der Installation der AV Software zusammen mit all den Updates die nicht "am Stück" sondern eins nach dem anderen aufgespielt werden müssen eine tagfüllende Aufgabe ist :)

Ein Linux hast du in 45 Minuten installiert. In 5 Minuten die "Home" Partition eingespielt, d.h. mit all den Einstelleungen hast du nach 1,5 Stunden wieder ein brauchbares Linux mit all deinen Daten wenn du vernünftig gesichert hattest.


Bei Win 98 kam es bei mir damals sogar darauf an in welcher Reihenfolge ich die Treiber installierte- es hat mich ganze Tage gekostet die herauszufinden so dass ich die Soundkarte und diverse andere Geräte nutzen konnte. Installierte ich den einen Treiber zur Unzeit überbügelte er mir andere Treiber und so weiter ;) Ich hoffe mal dass sie das jetzt mit Win 10 im Griff haben...

Ist in meinen Augen kein nice2have cosinus denn es ist ein Unterschied ob ich ein zerstörtes oder mit Malware verseuchtes Windows komplett neu aufsetzen muss plus Programme und alles wieder installieren usw. oder ob ich das innerhalb von 25-30 Minuten bekomme indem ich mein letztes Backup der Systempartition C einspiele. Zu deinem 2. Abschnitt: ich hab so wenig Bilder, Dokumente usw auf meinem PC, die sind mit auf C drauf und werden somit automatisch mit jedem Systembackup gesichert. Ausserdem hab ich davon eine 1:1 Kopie des Ordners auf der USB Festplatte.

Sag ich doch: nice2have

Natürlich ist es schöner, die ganze Installiererei und Updaterei nicht nochmal zu haben. Aber das wichtigste sind doch die Userdaten.

Ich hatte deine Aussage zu nice2have vorhin anders gedeutet cosinus, so als wärest du davon nicht gerade angetan. Wie schon gesagt: ich hab hier alles in Form von Sicherungen sei es Windows Partition, Partition D(die mit den Steam Rennsimulationen), Bilder und Dokumente oder aber auch Benutzernamen, Passwörter usw.

Genau, und die sollte man sowieso regelmäßig auf ein externes Medium sichern, und werden natürlich auch bei einem Image der Festplatte immer mit gesichert, also hat man auch die beim wiederherstellen eines Images wieder ruckzuck zur Hand.

Aber nicht zu oft, sonst ist das Medium nachher auch schon infiziert.

Woher willst du das wissen Fragerin? ich wette mit dir, die Systembackups und Backups der Partition D auf meiner USB Festplatte sind zu 90% frei von Malware bzw Adware. Warum meine Behauptung? weil keine Scanner wie Malwarebytes, EEK, AdwCleaner, JRT und der des AV's eine Infektion findet.

Genauso ist es auch bei mir purzel, nur das bei mir auch noch Zemana Anti-Malware und die Kaspersky Rescue-Disk nichts finden. :)

2 Anhaltspunkte die meine Behauptung stützen das auch meine USB Festplatte mit Systembackups, Backups der Partition D sowie Sicherungen in Form von 1:1 Kopien verschiedener Ordner wie Eigene Dateien usw sauber ist:

Beim Malwarebytes Benutzerdefinierten Suchlauf wählte ich nur die USB Festplatte aus inkl. Suche nach Rootkits.

Und du willst dem Forum damit zeigen, was für ein verdammt geiler Typ du bist?

Nein das waren mehr oder weniger Anhaltspunkte von mir dafür:

Die Aussage von Fragerin war doch, dass man vorsichtig sein muss beim Daten sichern, weil man sich schnell Mal&Adware (oder halt schlimmeres) mit rüberzieht.

Deine Antwort: Stimmt gar nicht, mein System ist frei.
Das klingt für mich schon sehr stark nach reiner Selbstweihräucherung.

Ich sag es mal so Explo: bevor ich was auf die USB Festplatte ziehe, prüfe ich das vorher mit 2 Scannern egal ob das nun ein Ordner ist mit Eigenen Dateien oder ob ich ein Backup/Image einer Partition mache.

Und wenn du einen Sality drauf bekommst oder auch nur so ein VBS-Autorun-Ding, das die Dateien versteckt und stattdessen Verknüpfungen anlegt? OK, letzteres lässt sich wohl bereinigen...

Fragerin ich hatte noch nie die Infektion Sality aber was will der dagegen machen wenn ich per Boot Medium von Paragon ein Backup einspiele?

...
Es geht einfach darum, dass manche Infektionen schon länger und ohne für einen User erkennbaren Symptome auf deinem Rechner sein können - wie manche Backdoors zum Beispiel.

Wenn das Backdoor dann die Infektion von etwas Offensichtlichem ermöglicht, du das Backup wieder einspielst, ist es möglich, dass du dann trotzdem noch das Backdoor hast.

Und ja, Sality zu bereinigen ist sone Sache, aber sollte eh so ziemlich ausgestorben sein.

Na hoffentlich liest "Winfried" das nicht...:D

Was ich auf die Schnelle gelesen habe ist Sality aber eine ziemlich alte Infektion und ich denke jedes namhafte AV bzw Scanner haben den heutzutage in der Erkennung drin oder?

Also Treiber musst du seit Windows 8 eigentlich nicht mehr manuell installieren. Du kannst natürlich die vom Hersteller runterladen, aber es läuft so auch.

Die Updates installier ich nie manuell, das macht das Betriebssystem dann schon von alleine wenn es der Meinung ist :D

Ja, oder deswegen gerade nicht mehr. Manche AVs entfernen diese Erkennungen, um die Signaturen kleiner zu halten. Diese Dinger dürften eben normal nicht auftreten.

*schreiend weglauf* :D

Unabhängig davon habe ich mein System mit verschiedenen Scannern überprüft und es 2 Mal hier im Forum analysieren lassen und immer war es ohne Malware Befunde. Aber gut das es Google gibt:blabla: http://abload.de/thumb/1aku0u.jpg

wir haben doch nie gesagt dass du infiziert bist ^^

Egal jetzt läuft dieser spezielle Scanner:applaus: und Malwarebytes Anti Rootkit den ich juxhalber auch mal habe laufen lassen, fand auch nichts: http://abload.de/thumb/2i0oaq.jpg
Edit: Wow jetzt ist der Sality Scanner schon bei der Partition D angelangt:eek:

Und wenn man noch 20 Scanner drüberjagt, das heißt nicht zu 100% das man clean ist.

Hat das hier einer behauptet kronos?:twak::zunge:

Ich habe es nur so als Information geschrieben, sich nicht allzusehr auf die Scanner zu verlassen.;)
Zum Beispiel hat ein Scan mit der Kaspersky Rescue CD ein bisschen mehr Aussagekraft, denn da ist Windows tot und der Scanner arbeitet von oben herab. So zweimal im Jahr lasse ich so einen Scan laufen.

Kronos, ich traue mir schon zu mein System sauber halten zu können und dazu gehört mehr als ein AV und diverse Scanner.

Das habe ich ja gar nicht angezweifelt.;)

also halten wir nochmal fest: Es wurde gesagt: User müssen aufpassen, weil man sich das externe Speichermedium (mit) verseuchen könnte.
purzelbär antwortet: Warum sollten User aufpassen? Mein System ist clean

So sollte man nicht argumentieren ;) Bzw. nicht in einem Forum, wo man der Allgemeinheit Tipps geben will.
Prollen kannste bei CB oder so :p

Ja die Kaspersky Rescue-Disk lasse ich auch alle halbes Jahr auf allen meinen Rechner laufen, und dazu so alle zwei Monate denn EEK-Scanner und gut isses. ;)

Endlich ist auch der Sality Scanner fertig: http://abload.de/thumb/3rfsvm.jpg :daumenhoc
So hab ich das nicht geschrieben Explo:twak:

Ich hab doch noch etwas was meine USB Festplatte anbelangt: darauf habe ich auch einen alten Ordner Dateien von Partition E(der noch von XP stammt hab mir das halt mal gesichert bevor ich auf Windows 7 umstieg)und tatsächlich fand der Emsisoft Emergency Kit Scanner da 3 alte Installer:eek::applaus: