THC
Techboardgnom,
6. Mai 2007
Über ein phpBB-Messageboard, bei dem ich Mitglied bin, wird über einen Spambeitrag eine angebliche Hardcoreseite beworben. Wenn man den Link anklickt, bekommt man auf einer Webseite eine WMV-Datei angeboten, die beim Abspielen kein Bild zeigt, sondern nur den Audiodatenstrom hörbar macht. Gleich darunter befindet sich ein Link zu einer Software, die den Codec enthält, mit dem man dann alles zu sehen bekommt.
McAfee schlägt auf diese Datei nicht an, aber das ist nicht ungewöhnlich. Der 70 kB große Datei führe ich auf einer abgeschotteten virtuellen Maschine aus. Sie installiert sich brav als angebliches "VideoAXObject", zeigt aber alle Merkmale eines typischen Trojaners. Ungewohnt ist dabei aber die Installation eines "Uninstallers". Ich vermute hier einen über geschicktes "social engineering" verbreiteten Trojaner, der über den Uninstaller eine Nachinfektion zu einem späteren Zeitpunkt ermöglicht. Da die meisten Benutzer nur den angeblichen Codec zu den Antivirenherstellern schicken werden, ist das ziemlich schlau.
(Das angebliche Video enthält keinen Videodatenstrom, sondern nur den Ton. Auch nach der Installation des Trojaners ändert sich also an der Wiedergabe nichts. Etwas naive, aber aufmerksame Benutzer sollten jetzt merken, dass hier etwas nicht stimmt.)
Ich beschließe, VirusTotal den angeblichen Codec-Installer zu schicken. Von den 31 Virenscannern hat nur Kaspersky diese Variante bereits in seiner Datenbank. VBA32 verdächtigt die Datei aufgrund heuristischer Verfahren. Der Uninstaller wird von allen als sauber angesehen. Beide sind also sehr neu. Ich beschließe, in bestimmten Zeitabständen die Analyse zu wiederholen.
Codec: 2 von 31
Uninstaller: 0 von 31
9. Mai 2007
Die Erkennungsrate steigt zunächst sprunghaft an. Von den "Großen" erkennen jetzt auch F-Secure, NOD und Sophos den Codec. Der Uninstaller ist weiterhin unbekannt.
Codec: 8 von 31
Uninstaller: 0 von 31
12. Mai 2007
Bitdefender und Panda gesellen sich zur Riege der Erkennenden. Antivir, Symantec, Mcafee, AVG und Avast sind noch blind. Erstmals wird der Uninstaller von Authentium erkannt.
Codec: 11 von 31
Uninstaller: 1 von 31
15. Mai 2007
Es gibt keine Neuerkennungen und Authentium erkennt plötzlich beide Schädlinge nicht mehr. Der erste Ansturm scheint vorbei zu sein. Prevx1 erkennt jetzt den Uninstaller.
Codec: 10 von 31
Uninstaller: 1 von 31
18. Mai 2007
Ich habe im Web nachrecherchiert und Hinweise darauf gefunden, dass der zum Download angebotene "Codec" mehrfach verändert wurde. Ich ziehe mir von der gleichen Webseite eine zweite Variante und staune nicht schlecht. Während inzwischen auch Antivir die ursprüngliche Variante erkennt, sind es bei der neuen Version nur noch drei Scanner (von den "Großen" nur Sophos) - VBA32 wiederum mit heuristischen Methoden. Nichts Neues beim Uninstaller.
Codec: 12 von 31
Codec[2]: 3 von 31
Uninstaller: 1 von 31
22. Mai 2007
Avast gesellt sich zu den Sehenden, während Symantec, Mcafee und AVG noch blind umhertappen. Keine Veränderungen bei den anderen beiden.
Codec: 13 von 31
Codec[2]: 3 von 31
Uninstaller: 1 von 31
25. Mai 2007
Keine Neuigkeiten bei der ursprünglichen Variante und dem Uninstaller. Dafür aber ein Sprung bei der neuen Variante - u.a. Bitdefender, Kaspersky und F-Secure.
Codec: 13 von 31
Codec[2]: 8 von 31
Uninstaller: 1 von 31
28. Mai 2007
Der eher unbekannte "Ewido" erkennt jetzt beide Varianten. Keine Veränderungen beim Uninstaller.
Codec: 14 von 31
Codec[2]: 9 von 31
Uninstaller: 1 von 31
31. Mai 2007
Lediglich F-Prot erkennt jetzt die neue Variante (aber nicht die urprüngliche!). Nicht Neues beim Uninstaller.
Codec: 14 von 31
Codec[2]: 10 von 31
Uninstaller: 1 von 31
4. Juni 2007
Einen Monat nach dem ursprünglichen Download ist der Uninstaller nur einem eher unbekannten Virenscanner (Prevx1) bekannt. Die beiden Codec-Varianten sind dem "Marktführer" Symantec und den "Großen" Mcafee und AVG weiterhin unbekannt. Der zweiten Variante gegenüber sind immer noch mehr Virenscanner blind als der ursprünglichen.
Codec: 14 von 31
Codec[2]: 10 von 31
Uninstaller: 1 von 31
18. Juni 2007
F-Prot, Microsoft und Authentium erkennen jetzt die erste Variante, Authentium und Avast die zweite. Soll ich den Uninstaller überhaupt noch erwähnen?
Codec: 17 von 31
Codec[2]: 11 von 31
Uninstaller: 1 von 31
1. Juli 2007
Prevx1 ist aus der Sannerliste herausgefallen. AntiVir erkennt die zweite Variante.
Codec: 16 von 30
Codec[2]: 14 von 30
Uninstaller: 1 von 30
17. August 2007
Prevx1 ist wieder da. Fast vier Monate nach dem Download hat VirusTotal jetzt ein neues Interface und einen neuen Scanner (Rising). Symantec erkennt beide Varianten (La Oola!). Noch immer Funkstille bei Mcafee und AVG. Bitdefender und Fortinet erkennen den Uninstaller (La Oola!).
Codec: 18 von 31 (Prevx1 fehlte im Ergebnisbericht)
Codec[2]: 17 von 32
Uninstaller: 3 von 32
5. April 2008
11 Monate nach dem Download wird die erste Variante von allen "wichtigen" Scannern erkannt. Bei der zweiten Variante patzen Panda, NOD und McAfee. Den Uninstaller erkennen erst ein Drittel aller Scanner - viele bekannte erkennen ihn nach wie vor nicht (z.B. Sophos, Panda, NOD, Kaspersky und F-Prot).
Codec: 26 von 32
Codec[2]: 22 von 32
Uninstaller: 11 von 32
10. April 2009
Fast zwei Jahre nach dem Download ist die Scannerliste auf 40 angewachsen. Panda 10 erkennt die erste Variante auf einmal nicht mehr. Ansonsten ist die Erkennung beider Codecs recht umfassend. Der Uninstaller dagegen geht immer noch zu vielen Scannern durch die Lappen - das Konzept der Autoren ist also in diesem Punkt aufgegangen.
Codec: 33 von 40
Codec[2]: 32 von 40
Uninstaller: 17 von 40
Fazit
Signaturbasierte Virenscanner sind auf aktuelle Signaturen angewiesen. Für die Erkennung neuer Schädlinge müssen den Herstellern von Scannern Exemplare von befallenen Systemen zugeschickt werden. Dazu muss den Betroffenen jedoch klar sein, was genau ein Schädling ist und was er tut. Wie man im Falle des Uninstallers sieht, ist dies nicht immer der Fall.
Wer weiß schon nach einigen Monaten, was es mit dem Eintrag "Video AX Object" in der Softwareliste auf sich hat und was genau passiert, wenn man den Uninstaller dann aufruft?
Die Signaturdatenbanken sind nicht streng kumulativ. Manchmal vergisst ein Scanner einen eigentlich bekannten Schädling bzw. Variante. Auch wenn im Allgemeinen die Erkennungsrate mit zunehmendem Alter des Schädlings zunimmt, ist dies keine Garantie für den bevorzugten Lieblingsscanner. Schon kleine Veränderungen im Quellcode des Schädlings, die die Autoren in einigen Minuten erledigen, lassen die Signaturen alt aussehen.
Die gesunde Skepsis gegenüber allem, was man angeblich zum Anschauen bestimmter Inhalte braucht, ist auch durch 30 Virenscanner nicht zu ersetzen.
Über ein phpBB-Messageboard, bei dem ich Mitglied bin, wird über einen Spambeitrag eine angebliche Hardcoreseite beworben. Wenn man den Link anklickt, bekommt man auf einer Webseite eine WMV-Datei angeboten, die beim Abspielen kein Bild zeigt, sondern nur den Audiodatenstrom hörbar macht. Gleich darunter befindet sich ein Link zu einer Software, die den Codec enthält, mit dem man dann alles zu sehen bekommt.
McAfee schlägt auf diese Datei nicht an, aber das ist nicht ungewöhnlich. Der 70 kB große Datei führe ich auf einer abgeschotteten virtuellen Maschine aus. Sie installiert sich brav als angebliches "VideoAXObject", zeigt aber alle Merkmale eines typischen Trojaners. Ungewohnt ist dabei aber die Installation eines "Uninstallers". Ich vermute hier einen über geschicktes "social engineering" verbreiteten Trojaner, der über den Uninstaller eine Nachinfektion zu einem späteren Zeitpunkt ermöglicht. Da die meisten Benutzer nur den angeblichen Codec zu den Antivirenherstellern schicken werden, ist das ziemlich schlau.
(Das angebliche Video enthält keinen Videodatenstrom, sondern nur den Ton. Auch nach der Installation des Trojaners ändert sich also an der Wiedergabe nichts. Etwas naive, aber aufmerksame Benutzer sollten jetzt merken, dass hier etwas nicht stimmt.)
Ich beschließe, VirusTotal den angeblichen Codec-Installer zu schicken. Von den 31 Virenscannern hat nur Kaspersky diese Variante bereits in seiner Datenbank. VBA32 verdächtigt die Datei aufgrund heuristischer Verfahren. Der Uninstaller wird von allen als sauber angesehen. Beide sind also sehr neu. Ich beschließe, in bestimmten Zeitabständen die Analyse zu wiederholen.
Codec: 2 von 31
Uninstaller: 0 von 31
9. Mai 2007
Die Erkennungsrate steigt zunächst sprunghaft an. Von den "Großen" erkennen jetzt auch F-Secure, NOD und Sophos den Codec. Der Uninstaller ist weiterhin unbekannt.
Codec: 8 von 31
Uninstaller: 0 von 31
12. Mai 2007
Bitdefender und Panda gesellen sich zur Riege der Erkennenden. Antivir, Symantec, Mcafee, AVG und Avast sind noch blind. Erstmals wird der Uninstaller von Authentium erkannt.
Codec: 11 von 31
Uninstaller: 1 von 31
15. Mai 2007
Es gibt keine Neuerkennungen und Authentium erkennt plötzlich beide Schädlinge nicht mehr. Der erste Ansturm scheint vorbei zu sein. Prevx1 erkennt jetzt den Uninstaller.
Codec: 10 von 31
Uninstaller: 1 von 31
18. Mai 2007
Ich habe im Web nachrecherchiert und Hinweise darauf gefunden, dass der zum Download angebotene "Codec" mehrfach verändert wurde. Ich ziehe mir von der gleichen Webseite eine zweite Variante und staune nicht schlecht. Während inzwischen auch Antivir die ursprüngliche Variante erkennt, sind es bei der neuen Version nur noch drei Scanner (von den "Großen" nur Sophos) - VBA32 wiederum mit heuristischen Methoden. Nichts Neues beim Uninstaller.
Codec: 12 von 31
Codec[2]: 3 von 31
Uninstaller: 1 von 31
22. Mai 2007
Avast gesellt sich zu den Sehenden, während Symantec, Mcafee und AVG noch blind umhertappen. Keine Veränderungen bei den anderen beiden.
Codec: 13 von 31
Codec[2]: 3 von 31
Uninstaller: 1 von 31
25. Mai 2007
Keine Neuigkeiten bei der ursprünglichen Variante und dem Uninstaller. Dafür aber ein Sprung bei der neuen Variante - u.a. Bitdefender, Kaspersky und F-Secure.
Codec: 13 von 31
Codec[2]: 8 von 31
Uninstaller: 1 von 31
28. Mai 2007
Der eher unbekannte "Ewido" erkennt jetzt beide Varianten. Keine Veränderungen beim Uninstaller.
Codec: 14 von 31
Codec[2]: 9 von 31
Uninstaller: 1 von 31
31. Mai 2007
Lediglich F-Prot erkennt jetzt die neue Variante (aber nicht die urprüngliche!). Nicht Neues beim Uninstaller.
Codec: 14 von 31
Codec[2]: 10 von 31
Uninstaller: 1 von 31
4. Juni 2007
Einen Monat nach dem ursprünglichen Download ist der Uninstaller nur einem eher unbekannten Virenscanner (Prevx1) bekannt. Die beiden Codec-Varianten sind dem "Marktführer" Symantec und den "Großen" Mcafee und AVG weiterhin unbekannt. Der zweiten Variante gegenüber sind immer noch mehr Virenscanner blind als der ursprünglichen.
Codec: 14 von 31
Codec[2]: 10 von 31
Uninstaller: 1 von 31
18. Juni 2007
F-Prot, Microsoft und Authentium erkennen jetzt die erste Variante, Authentium und Avast die zweite. Soll ich den Uninstaller überhaupt noch erwähnen?
Codec: 17 von 31
Codec[2]: 11 von 31
Uninstaller: 1 von 31
1. Juli 2007
Prevx1 ist aus der Sannerliste herausgefallen. AntiVir erkennt die zweite Variante.
Codec: 16 von 30
Codec[2]: 14 von 30
Uninstaller: 1 von 30
17. August 2007
Prevx1 ist wieder da. Fast vier Monate nach dem Download hat VirusTotal jetzt ein neues Interface und einen neuen Scanner (Rising). Symantec erkennt beide Varianten (La Oola!). Noch immer Funkstille bei Mcafee und AVG. Bitdefender und Fortinet erkennen den Uninstaller (La Oola!).
Codec: 18 von 31 (Prevx1 fehlte im Ergebnisbericht)
Codec[2]: 17 von 32
Uninstaller: 3 von 32
5. April 2008
11 Monate nach dem Download wird die erste Variante von allen "wichtigen" Scannern erkannt. Bei der zweiten Variante patzen Panda, NOD und McAfee. Den Uninstaller erkennen erst ein Drittel aller Scanner - viele bekannte erkennen ihn nach wie vor nicht (z.B. Sophos, Panda, NOD, Kaspersky und F-Prot).
Codec: 26 von 32
Codec[2]: 22 von 32
Uninstaller: 11 von 32
10. April 2009
Fast zwei Jahre nach dem Download ist die Scannerliste auf 40 angewachsen. Panda 10 erkennt die erste Variante auf einmal nicht mehr. Ansonsten ist die Erkennung beider Codecs recht umfassend. Der Uninstaller dagegen geht immer noch zu vielen Scannern durch die Lappen - das Konzept der Autoren ist also in diesem Punkt aufgegangen.
Codec: 33 von 40
Codec[2]: 32 von 40
Uninstaller: 17 von 40
Fazit
Signaturbasierte Virenscanner sind auf aktuelle Signaturen angewiesen. Für die Erkennung neuer Schädlinge müssen den Herstellern von Scannern Exemplare von befallenen Systemen zugeschickt werden. Dazu muss den Betroffenen jedoch klar sein, was genau ein Schädling ist und was er tut. Wie man im Falle des Uninstallers sieht, ist dies nicht immer der Fall.
Wer weiß schon nach einigen Monaten, was es mit dem Eintrag "Video AX Object" in der Softwareliste auf sich hat und was genau passiert, wenn man den Uninstaller dann aufruft?
Die Signaturdatenbanken sind nicht streng kumulativ. Manchmal vergisst ein Scanner einen eigentlich bekannten Schädling bzw. Variante. Auch wenn im Allgemeinen die Erkennungsrate mit zunehmendem Alter des Schädlings zunimmt, ist dies keine Garantie für den bevorzugten Lieblingsscanner. Schon kleine Veränderungen im Quellcode des Schädlings, die die Autoren in einigen Minuten erledigen, lassen die Signaturen alt aussehen.
Die gesunde Skepsis gegenüber allem, was man angeblich zum Anschauen bestimmter Inhalte braucht, ist auch durch 30 Virenscanner nicht zu ersetzen.
Zuletzt bearbeitet: