Und was ist mit den Fakten, die fuer Avast, AVG und Avira sprechen? Ich denke, wir sollten auf Fragerin hoeren und Glaubensfragen in der Gemeinde diskutieren.

So, du meinst also es sei eine Glaubensfrage, ob es gut und richtig sei, in einem Sicherheitsprodukt absichtlich malware reinzubasteln? Erklär mir mal was es da zu diskutieren gibt. Eine Schutzsoftware soll schützen, nicht selbst die malware mitbringen. Wenn du diesen eklatanten Verstoß nicht kapierst, dann ist dir nicht zu helfen...

Abgesehen von Glaubensfragen zum Bootkit. Aber es fehlt nach wie vor noch ein Aufhaenger / Ansatz von dem aus mal ein paar Schleier ueber dem vermuteten Schaedling gelueftet werden koennten.

Cosinus, du als Malwarespezi wirst sicher kein Problem haben, mir mal schnell die Spezifikationen der in Avast, AVG und Avira real enthaltenen Schaedlinge zu umreissen?

Ich hab dir extra nen Thread verlinkt. Und dagibt es viele ähnliche zu. Einfach mal lesen. Wir wollten nicht den 47. Thread über die Triple-A-Ka...e eröffnen...

Witzigerweise hatte ich gerade Werbung fuer Avira Antivirus 2016 hier eingeblendet. Schon ein Stueck weit pervers. Fuer Geld geht es dann anscheinend doch ins Bett. Das Kreuz der Werbefinanzierten.

du hast offensichtlich keine Ahnung davon, wie Werbung auf Webseiten genau funktioniert...darüber wurde in einem der vielen Threads über Triple-A auch schon gesprochen => http://www.trojaner-board.de/173557-...ml#post1539135

Wenn Du das sagst. Verlinken wird das auch nicht aendern. Das Geld kam trotzdem von Avira und wurde angenommen, ob da noch jemand dazwischen war oder nicht. Dann muesst ihr euch Werbeanbieter suchen, die keinen Vertrag mit Avira machen oder selbst Werbung vermarkten.

Das ist am Ende als ob eine Kartenzahlung bei einer Prostituierten den Vorgang der Prostitution aufheben wuerde, da die Zahlung ja ueber eine serioese Bank lief.

Okay, so kommen wir ja nicht weiter.
Das mir hier nicht geholfen werden kann ist okay, dafür ist das einfach die falsche Stelle.

Aber da einige immmer noch der Meining sind, da ist nichts bei uns, folgender Vorschlag:

Sucht euch den grössten und kompetentesten Skeptiker inter euch aus, von mir aus auch zwei.

Denen schicke ich dann einen infizierzen Stick/Cd zu, die ihr dann auf einem System ausführen dürft.

Bedingung: Das Ganze mit der Handycam Filmen, vom Öffnen der Post bis zum kopieren einiger Datein auf euren Rechner .Das Ganze hochladen und hier posten.
Dann eine Woche regelmäßig Berichten,was passiert.

Sollte doch überhaupt kein Problem sein, da es so eine Malware nach Meinung vieler nur im Labor gibt-höchstens.
Wäre doch gar kein Ding und kostet den auserwählten Skeptiker 5 Min., Porto übernehme ich gerne!

Warte auf zahlreiche Skeptiker!

Von mir aus könnt ihr auch allen Schwachsinn an AV-Tool aktivieren und Fabar oder was auch immer x-mal laufen lassen. Vollkommen egal.

Zudem steht mein Angebot noch mich in Berlin zu besuchen und das ganze vor Ort zu bestaunen.

Eindach PM an mich. Könnte auch gerne eine AV-Tool-Sammlung mitbringrn und euch stindenlang hier auslassen -Caffee inkl.

Danach dürft ihr hier dann gerne Berichten, ob solch ein von mir beschriebene Malware höchstens im Labor existiert und niemals Privatpersonen befällt.

Bin auch gerne Kompromissbereit was die Bedingungen des Tests/Berichts angeht. Aber Ablenkungen und Ausreden helfen den Skeptikern jetzt nicht mehr weiter.

Pragmatismus und Fakten sind angesagt

Zitat:

Zitat von dennissteins

Sucht euch den grössten und kompetentesten Skeptiker inter euch aus, von mir aus auch zwei.

Ich bin weder ausgenommen gross noch uebermaessig kompetent aber (fast schon un)ziemlich neugierig, koennte ich trotzdem eine Kopie bekommen? Ich wuerde sogar ein gezipptes verschluesseltes Archiv per Mail annehmen.

Ansonsten wuerde ich bemaengeln, dass Du bisher noch nicht wirklich hilfreich warst, was aber auch einfach nur in dem Wust untergegangen sein kann. Ich wuerde trotzdem gerne mal einen Screenshot der Win-Nutzer sehen wollen.
Eventuell auch mit Gruppenzugehoerigkeit.

Hast Du den bereits mehrfach erwaehnten Bruteforce-Schutz unter Win eingerichtet? Ich persoenlich bevorzuge eine Sperrzeit von 3 Minuten und eine vernuenftige Anzahl an Versuchen. Das duerfte erfolgreiche Angriffe der simplen Art in den Bereich von vielen tausend Jahren befoerdern.
Selbst ein Woerterbuchangriff wuerde noch eine einstellige Anzahl Jahre brauchen bei einem sehr einfachen Passwort. Vorausgesetzt der Angreifer kennt die Anzahl der eingestellten Versuche. Sonst kann er nur 1 Passwort alle 3+ Minuten probieren ansonsten schnappt der Schutz zu.

Fuer Linux bin ich der falsche Ansprechpartner.

Und strip das System erstmal auf das Minimum, wenn Du unbedingt bei diesem System bleiben willst. Aber wie bereits mehrfach erwaehnt, ein Ausbau der Platte waere der erste vernuenftige Schritt.

Fuer Kaffee und Kuchen bin ich zu weit weg, sorry. Haette ich aber auch gerne in Anspruch genommen.

AV Tools sind nur wenig geeignet bei einer unbekannten Infektion, da duerfen es schon Logger und Debugger sein.

Wie reagiert das System auf VMs? Welcher Prozessor ist verbaut? Grafikkarte?
Wie funktioniert das System bei minimalstem Speicherausbau?

Fragen ueber Fragen...

Aber fangen wir nochmal mit der ersten an, welche Nutzer sind im Win registriert?

Wenn sich das Ding im Netz vermehrt, dann muss es ja einen Loader haben, welcher zumindestens kurzfristig irgendwo zur Ausfuehrung liegen muss.

Und da bin ich wieder skeptisch, das Teil kann im Urzustand gar nicht alle Faehigkeiten zur Verfuegung haben. Die derzeit heftigsten Teile sind in Module aufgesplittet, welche verschluesselt vorliegen und erst bei einem definierten Zustand das Passwort aus dem Zustand generieren. Die aktivieren sich stufenweise. Und werden auch nicht unbedingt alle zur selben Zeit vom "Urlader" gleich geladen und aktiviert.

Entspricht ein Rechner nicht haargenau der Zielgruppe, wird der Zustand nie erreicht und damit das Passwort nicht generiert. Der Zustand ist quasi das Passwort.

Quasi vorstellbar wie ein Handy mit eingespeicherter Nummer. Wenn man das Handy nicht in die Hand gedrueckt bekommt, weiss man nicht wen und unter welcher Nummer man anrufen soll. Man kann zwar alle Telefone der Welt durchprobieren aber dann ist vermutlich der Gespraechspartner schon lange lange nicht mehr zu erreichen. Und man weiss nicht einmal, wenn man tatsaechlich den mysterioesen Gespraechspartner am anderen Ende hat, ob er es denn ueberhaupt ist.

Soweit ich weiss, sind diese Dinger noch nicht vollstaendig entschluesselt worden also vorerst nur Datenklumpen.

Im Uebrigen ist bei Vielen der hochentwickelten Schaedlinge eine Heuristik dabei, ob es sich in einer Testumgebung befindet. Dann bleiben sie inaktiv. Desweiteren sind Zeitverzoegerungen zur Vermeidung von Entdeckung sehr populaer. Alles in Allem passt die Beschreibung von dem was passiert in keine der ueblichen Kategorien.

Aber die Italiener sind ja gehackt worden, da kann schon einiges freigesetzt worden sein.

Ein neuaufgesetztes System ohne groessere Abwehrmasznahmen sieht auf jeden Fall nach einer Testumgebung aus. Mach doch mal den Test ob es dann ruhig bleibt.

Hast Du ueberhaupt schon einengen koennen, wie genau es sich verbreitet (hat)?

Netz / Datentraeger / (Hardware)?

Ist Autostart fuer externe Datentraeger eingeschaltet?
Hier kommt jetzt die Diskussion iX vs Win zum Tragen, wenn es keinen Hypervisor benutzt, muss es Linux auf eine herkoemmliche Art infizieren (nur wie?). Wie lange dauert es, bis ein Linuxsystem gekapert erscheint? Die selbe Frage waere natuerlich auch beim Win-System relevant.

Handys wurden erwaehnt, sind die auch betroffen? Und wenn ja, in welcher Art und Weise?

Wenn es reingekommen ist, wieso kommt es nicht raus?

Etwas so hochentwickeltes und hochinfektioeses muesste doch schon laengst draussen unterwegs sein, unter anderem bei den beiden erwaehnten IT-Firmen, die sich das angeschaut haben.

Wenn es aber Hypervisor-basiert ist, wie konnte dann eine hoehere Systemauslastung ohne Strommessgeraet festgestellt werden? Und vor allem, ohne das Wissen, wie Auslastung/ Verbrauch vor der Infektion waren?!

Zitat:

Zitat von bombinho

Ich hatte gerade ein Dejavu als ich "Virus infiziert mehrere Systeme ..." las.
Jetzt sage mir doch nochmal jemand, dass sich Geschichte nicht wiederholt.

Das klingt ganz nach einer Weiterentwicklung des damaligen Schaedlings.

Zitat:

Wer wissen will, was Mythos und was Wahrheit ist ueber Nemesis, wird bei https://www.fireeye.com/blog/threat-...ot-record.html eine sehr gute Uebersicht finden. Allerdings in Englisch. Dafuer aber mit vielen nuetzlichen Informationen.

Und die Beschreibung von dennisssteins vermuteten Schaedling und die FireEye Beschreibung von Nemesis haben fast nichts gemeinsam.

@bombinho
Den Link hatte ich schon in einen meiner ersten Post zum Thread gepostet....Es ist aussichtslos.
Die meisten hier wollen auch gar nicht erst konzentriert lesen, sich auf etwas einlassen was sie nicht kennen, sich mit Bedrohungen auseinander setzten, die den eigenen Horizont/Verständnis sprengen oder darüber hinaus gehen.

Das bestätigt auch mein Angebot: niemand der Skeptiker, die als erstes hier rein geschrieen haben "höchstens im Labor" usw. ist bereit sich ersthaft damit auseinanderzusetzen. Wundert mich schon sehr, einerseits existiert die Malware bei uns laut deren Ansicht gar nicht, andererseits wird ein direkter Kontakt, der vieles klären könnte per se vermieden. Passt hinten und vorne nicht.

Und mit dem Argument Zeitverschwendung kann mir auch niemand kommen, die 5-10 Min. Lebenszeit...

Verstehen kann ich es trotzdem, wäre mich vor diesem Problem ähnlich gegangen.

@bombinho
bekommst später eine PM, bezüglich deiner Fragen. Acker mal den Thread durch, da beantwortet sich schon einiges.

Du hast nichtmal ein einziges Indiz für deine tolle Infektion gepostet. Deine tollen "Beweise" in Form von loop devices, unbekannten SIDs in der Benutzerverwaltung und so ne Art Stolpersteine durch die zig arktools auf die andere malwarecanner stoßen sind lächerlich.

Meine Fragen wurden nicht wirklich beantwortet. Schraubers Hinweise willst du offensichtlich auch ignorieren. Aber fröhlich weiter ellenlang scheiß posten, den keiner angefordert hat.

Entweder trollst du hier nur herum oder du hast ganz andere, persönliche Probleme...

Hier hätten 90% der völlig überflüssigen Diskussionen um die Fähigkeiten von Rootkits gesparrt werden können, wenn man hin und wieder News der AV-Gemeinde verfolgt:

Kleiner Ausschnitt:

https://blog.gdata.de/2014/02/23822-uroburos-hochkomplexe-spionagesoftware-mit-russischen-wurzeln

https://blog.gdata.de/2014/05/23812-uroburos-rootkit-belgisches-aussenministerium-befallen

hxxp://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html

https://www.helpnetsecurity.com/2011/09/14/bios-rootkit-found-in-the-wild/

hxxp://resources.infosecinstitute.com/nsa-bios-backdoor-god-mode-malware-deitybounce/

DEB CON
https://www.youtube.com/watch?v=QDSlWa9xQuA


PAPERS
https://public.gdatasoftware.com/Web/Content/INT/Blog/2014/02_2014/documents/GData_Uroburos_RedPaper_EN_v1.pdf

hxxp://www.intelsecurity.com/advanced-threat-research/content/AttackingHypervisorsViaFirmware_bhusa15_dc23.pdf

Mein Tipp (v.a. an die Nachwuchs-Virenjäger): mal nach "Rutkowska" googeln.

@Cosinus
Sehr gerne würde ich Fragen beantworten, wenn der Thread nicht permanent von überflüssigen Diskussionen vollgespamt werden würde.

Zitat:

Zitat von dennissteins

@Cosinus
Sehr gerne würde ich Fragen beantworten, wenn der Thread nicht permanent von überflüssigen Diskussionen vollgespamt werden würde.

Absoluter Dünnschiss wieder von dir. Die Fragen wurden schon ganz am Anfang gestellt und als es mir zu müßig wurde hab ich in den Diskussionsbereich verschoben. Erst dann konnten sich hier andere überhaupt beteiligen.

Und wieder die alt bewährte Diskussion, welche noch sehr wenig mit dem Thema zu tun haben.
purzel, dass was andere TB- Mitarbeiter ( Nicht User ) empfehlen, beruht auf unsere Erfahrung, Recherche und auch der persönlichen Meinung. Das du diese nicht verstehen willst, habe ich bereits verstanden. Hoffentlich verstehen das andere auch und jeder hier darf seine Meinung haben aber in wirklich jedem Thema, wo ich Beiträge von dir lese, kommt es zu dieser Diskussion mit immer dem selben "Inhalt"

Bisschen Geschichtsunterricht ?

Avira fing damals an, mit der ASK Toolbar potenzielle ungewollte, sogar von Research-Engineers als Malware eingestufe, Software einzubauen.
Da kam in der ganzen Malware Removal Szene, als nicht nur TB sondern MSDN, BC, ... und weiteren MVPs eine riesige Diskussion zu Stande, ob wir diese Software noch als AVP empfehlen können. Und diese Diskussion beruhte auf Fakten und nunmal, dass wir das nicht so hinnehmen können.
Avira hat das gespührt, wenn 1000ende(!) freiwillige Helfer diese Software nicht mehr empfehlen und wollte das dann mit der optionalen Nutzung des Browserschutzes, welche nur in Verbindung mit der ASK- Toolbar funzte, gerade biegen. Verkackt ist verkackt.

Da jetzt viele weiter AVP Hersteller solch PUPs im peto haben, macht es für uns, bzw den Usern, nicht gerade einfacher.
Da hat man all den Junk weg bekommen, installiert sich ein AVP von der Herstellerseite, welche man ja als vertrauenswürdig einstufen können sollte, hat man wieder Junk auf dem System.

( Komm mir jetzt nicht mit deinem Standardspruch, dass man das ja eh alles abwählen kann. )

Das muss man nicht verstehen aber alles kostet Geld und ich verurteile keine Software, welche das so macht. Was ich aber kann ist diese zu empfehlen oder aufgrund der Tatsachen lieber nicht.
Vor einigen Jahren hab ich auch diese 3 empfohlen, und damals galt MSE als absoluter Müll.
Das Blatt hat sich gewendet und sobald diese Adware-Kacke wieder aufhört, wird sich auch in unserer Welt wieder was ändern.
Wir müssen am Stand der Dinge bleiben um das Niveau hier hoch zu halten.

Also tu mir und dem ganzen Forum einen gefallen und lass es gut sein.
Ich will dich nicht umstimmen sondern, dass du aufhörst über dieses Thema, in Threads die absolut nichts mit diesem Thema zu tun haben, zu diskutieren !

Bei mir faellt gerade MSE in Ungnade, da man sich nicht auf die Erkennung von Malware beschraenkt sondern auch Software und Inhalte blockiert, unabhaengig von der rechtlichen Lage am Aufenthaltsort des Anwenders. Es braucht nur ein "Rechteinhaber" zu schreien und schon bueckt sich MS ueber den Tisch. Es wird nicht einmal ueberprueft ob das rechtlich ueberhaupt korrekt ist.
Erstmal blockieren, freigegeben werden kann dann immer noch. Mehr ist besser.

Und dann hoere ich etwas von "false Alarms" dabei tut sich ausgerechnet Avira in dem Bereich sehr positiv hervor.

Noch schlimmer aber ist das voellig unreflektierte Geschimpfe auf diese Firmen, welche zum Teil hervorragende Software und etliches davon kostenlos und ohne PUP anbieten.

Die Virendatenbank von Avira ist fuer mich um einiges brauchbarer und wie ich bereits erwaehnt habe, befindet sich alles was mir bisher ueber den Weg gelaufen ist in dieser Datenbank auch wenn manches erst nachtraeglich.

Am Ende ist es eine Entscheidung des Benutzers. Selbstverstaendlich duerft ihr empfehlen aber ihr solltet auch vorsichtig sein, den Nutzer nicht in die falsche Richtung zu schicken.

Ihr bietet Kurse an um den Umgang mit der Software die ihr empfehlt, zu lernen. Seid ihr auch bereit, diese Kurse kostenlos jedem Anwender, der die von euch empfohlene Software benutzt und sich dann am Ende darauf auch noch im Alltag verlassen muss dass diese zuverlaessig, automatisch und weiterhin kostenlos funktioniert, in der selben Tiefe anzubieten?

Und der Avira Browserschutz war bereits in den ersten Versionen, die ich gesehen hatte optional und es wurde sehr deutlich darauf hingewiesen, dass die Suchleiste bei Benutzung installiert wird. Ganz im Gegenteil, bei den ersten Versionen konnte man die Suchleiste nachtraeglich deaktivieren oder teils gar deinstallieren und der Browserschutz blieb erhalten.

Wer anderes behauptet, dem sei gesagt, dass ich die kostenlosen Versionen von Avira seit vielen Jahren in temporaeren Installationen und VMs nutze und zahllose Installationen und Deinstallationen hinter mir habe und deshalb nicht leicht vom Gegenteil zu ueberzeugen bin.

Und bitte, bitte nicht in einem Atemzug "Adware-Kacke" und "Wir müssen am Stand der Dinge bleiben um das Niveau hier hoch zu halten."

Ganz besonders nicht, wenn ihr selbst werbefinanziert seid und ebenfalls automatisiert Werbung verteilt ohne diese vorher auf ihren Inhalt ueberprueft zu haben. Wer im Glashaus sitzt, ... .
Malvertising ist nichts gaenzlich Unbekanntes. Da gab es schon schicke Sachen.