8
Exploits in den Weihnachtsferien
Ich verlinke hier mal einen Virustotal-Scan: https://www.virustotal.com/#/file/6711ea982ae9a03f8ba5e555c49cefe36dd7ae ...
Dies ist ein übler Exploit für Windows (vermutlich für alle Versionen), der vor 3 Tagen publik gemacht wurde. Über diesen Link kann man verfolgen, wie schnell (oder langsam) AV-Hersteller diesen nun in Ihre Erkennungen einfließen lassen.
Mich würde nicht wundern, wenn da über die Weihnachtsferien nicht viel passiert.
Ich habe meinen Teil beigetragen, und heute ein Sample an MS übermittelt. Mal sehen, wann die reagieren.
Man kann über den Knopf im Bild einen Rescan auslösen, um ein aktualisiertes Resultat zu erzwingen.
Dies ist ein übler Exploit für Windows (vermutlich für alle Versionen), der vor 3 Tagen publik gemacht wurde. Über diesen Link kann man verfolgen, wie schnell (oder langsam) AV-Hersteller diesen nun in Ihre Erkennungen einfließen lassen.
Mich würde nicht wundern, wenn da über die Weihnachtsferien nicht viel passiert.
Ich habe meinen Teil beigetragen, und heute ein Sample an MS übermittelt. Mal sehen, wann die reagieren.
Man kann über den Knopf im Bild einen Rescan auslösen, um ein aktualisiertes Resultat zu erzwingen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 396562
Url: https://administrator.de/contentid/396562
Printed on: April 19, 2024 at 01:04 o'clock
8 Comments
Latest comment
Hi
Ja „übel“ ist er wenn man lokal auf einem System sich befindet und durch das Exploit Systemrechte erhält.
Interessant finde ich, das Sophos ML bei mir als clean angezeigt wird während es bei dir erkannt wird.
Aber ja klar es machen gerade alle Weihnachten und da geht nix in der westlichen Welt.
Mit freundlichen Grüßen Nemesis
Ja „übel“ ist er wenn man lokal auf einem System sich befindet und durch das Exploit Systemrechte erhält.
Interessant finde ich, das Sophos ML bei mir als clean angezeigt wird während es bei dir erkannt wird.
Aber ja klar es machen gerade alle Weihnachten und da geht nix in der westlichen Welt.
Mit freundlichen Grüßen Nemesis
Hallo,
Etwas irritierend.... Sophos ML ist in deinem Screenshot der Meinung etwas gefunden zu haben...
Im Link sagt Sophos ML das alles okay ist...
Spricht eher dafür das es ein false positiv ist...
Brammer
Etwas irritierend.... Sophos ML ist in deinem Screenshot der Meinung etwas gefunden zu haben...
Im Link sagt Sophos ML das alles okay ist...
Spricht eher dafür das es ein false positiv ist...
Brammer
Moin,
So ein "Experiment" hatte ich auch mal. Eine Malware, die beim (Neu-)Kunden aufgeschlagen ist und leider schon Schäden verursacht hatte, wurde weder bei virustotal noch bei jotti erkannt. Bis 50% der Scanner angeschlagen haben, verging mindestens eine Woche. Und dann mindestens drei Wochen, bis einigermaßen 80 bis 90 % der Meinung waren, das wäre Malware.
Ich würde mir also deswegen keine Illusionen machen.
lks
So ein "Experiment" hatte ich auch mal. Eine Malware, die beim (Neu-)Kunden aufgeschlagen ist und leider schon Schäden verursacht hatte, wurde weder bei virustotal noch bei jotti erkannt. Bis 50% der Scanner angeschlagen haben, verging mindestens eine Woche. Und dann mindestens drei Wochen, bis einigermaßen 80 bis 90 % der Meinung waren, das wäre Malware.
Ich würde mir also deswegen keine Illusionen machen.
lks
2018-12-22 19:28:23 UTC
4 von 69
wobei das natürlich eigentlich nur 2 sind, weil es zwei von Sophos udn zwei von McAfee sind.
lks
4 von 69
wobei das natürlich eigentlich nur 2 sind, weil es zwei von Sophos udn zwei von McAfee sind.
lks
Leider nicht nur wegen der "Weihnachtszeit". Weihnachtsferien ist nunja, eher ein Schülerbegriff. 
Ich glaube Global ist das Problem der IT-Sicherheit in Bezug auf die Bestrebungen der Angreifenden immer noch viel zu gering (wie man auch oft genug im Mittelstand merkt).
Viele Grüße,
Christian
certifiedit.net
PS: Dennoch angenehme Weihnachtstage!
Ich glaube Global ist das Problem der IT-Sicherheit in Bezug auf die Bestrebungen der Angreifenden immer noch viel zu gering (wie man auch oft genug im Mittelstand merkt).
Viele Grüße,
Christian
certifiedit.net
PS: Dennoch angenehme Weihnachtstage!
So, mittlerweile erkennen es über 30 Scanner.
Einen Tag nach meinem eingereichten Sample hat Virustotals Scan mit der Windows Defender Engine ´das Ding angeblich auch erkannt: PUA:Win32/Presenoker
Witzigerweise gibt es den Presenoker zum einen schon weitaus länger und zum anderen meint mein Win10-eigener Defender weiterhin, dass Ding sei gutartig. Das ist nicht gut.
Einen Tag nach meinem eingereichten Sample hat Virustotals Scan mit der Windows Defender Engine ´das Ding angeblich auch erkannt: PUA:Win32/Presenoker
Witzigerweise gibt es den Presenoker zum einen schon weitaus länger und zum anderen meint mein Win10-eigener Defender weiterhin, dass Ding sei gutartig. Das ist nicht gut.
Lustig:
Angeblich erkennt Microsoft das Ding als Presenoker - das war Stand 23.12. bis gestern und wie gesagt, bei mir erkannte der Scanner das Ding gar nicht.
Stand heute früh war laut virustotal.com eine Erkennung als Trojan:Win32/Tiggre!plock und Stand jetzt Trojan:Win32/Occamy.C, was auch mit dem übereinstimmt, was mein aktueller Defender zu dem Ding mittlerweile sagt. Lustigerweise is KEINER der Malware-Encyclopedia-Einträge, also weder presenoker, noch tiggre!plock, noch Occamy.C aus den letzten Monaten. Da der Exploit jedoch frisch ist, ist das nichts als eine Fehleinstufung (dennoch besser als nichts!).
Bin gespannt, ob das Ding morgen überhaupt noch erkannt wird
Angeblich erkennt Microsoft das Ding als Presenoker - das war Stand 23.12. bis gestern und wie gesagt, bei mir erkannte der Scanner das Ding gar nicht.
Stand heute früh war laut virustotal.com eine Erkennung als Trojan:Win32/Tiggre!plock und Stand jetzt Trojan:Win32/Occamy.C, was auch mit dem übereinstimmt, was mein aktueller Defender zu dem Ding mittlerweile sagt. Lustigerweise is KEINER der Malware-Encyclopedia-Einträge, also weder presenoker, noch tiggre!plock, noch Occamy.C aus den letzten Monaten. Da der Exploit jedoch frisch ist, ist das nichts als eine Fehleinstufung (dennoch besser als nichts!).
Bin gespannt, ob das Ding morgen überhaupt noch erkannt wird
...mal wieder raufgeklickt - 40% der Scanner erkennen den noch immer nicht.
