Funde des Norton Power Erasers
- Ersteller Cin-Hoo
- Erstellt am
Tamron schrieb:Klassische AV Scanner setzen auf Virensignaturen. EDR nutzt Patterns/Verhaltensmuster/Anomalieerkennung und mehr. Das ist doch jetzt nicht so schwer...
dann ist dein Wissensstand sowas von 2005 - denn AV Programme nutzen schon lange Heuristikerkennung etc pp - also alles was EDR auch macht. Nur eben lokal verwalted und nicht zentral.
Wenn ein AV Programm nur auf Signaturen setzt, dann versagt es schon alleine bei polymorphen Viren und ist eine Gefahr.
@Cin-Hoo
wie gesagt, scanne mal deinen Rechner mit den angesprochenen Live System wie desinfect durch. Denn das erkennt auch Bedrohungen, die sich zur Laufzeit des normalen OS vor Scannern verstecken und oder diese manipulieren wie Rootkits etc.
Und ja, es gibt leider noch solche, Symantec Internet Security etc. ist aber keiner davon.
mehr als versuchen kannst du nicht. Zumal sich ein Debian auf einen System anders Verhalten kann als ein FreeBSD - muss man halt probieren.
Beispiel Fedora & Ubuntu funktionieren bei meiner VM Software ganz nicht - nur Blackscreens, Kali oder Knoppix hingegen laufen hingegen wie Hulle.
Beispiel Fedora & Ubuntu funktionieren bei meiner VM Software ganz nicht - nur Blackscreens, Kali oder Knoppix hingegen laufen hingegen wie Hulle.
- Registriert
- Feb. 2012
- Beiträge
- 6.570
Dann setzt man ein sauberes System mit nur dem zwingend Benötigten auf. Wenn kein zweiter Rechner da ist und man später zu seinem alten System zurück will, macht man sich ein Image.Cin-Hoo schrieb:
- Registriert
- Feb. 2011
- Beiträge
- 649
u.a. @Sebbi
Welche Scanner soll ich denn unter Desinfec't auswählen? Nur die Standard-Scanner oder auch YARA? ClamAV und ich glaube auch Sophos sollen ja viele False-Positives raushauen, soll ich dann zumindest ClamAV weglassen? Ich weiß gerade gar nicht, welche in Desinfec't 2024/25 genau enthalten sind.
@BFF
Sebbis Aussage hat mich bezüglich des einfachen Löschens der Datei etwas verunsichert, deshalb werde ich es morgen mit Desinfec't im Safe Mode einfach mal versuchen.
@TorenAltair
Leider habe ich gerade kein aktuelles Windows-Installationsmedium zur Hand und auf Dauer müsste ich auch wissen, ob ich dieser Installation vertrauen kann bzw. es in letzter Zeit gerechtfertigt war, ihr zu vertrauen.
Gruß von Cin-Hoo
Welche Scanner soll ich denn unter Desinfec't auswählen? Nur die Standard-Scanner oder auch YARA? ClamAV und ich glaube auch Sophos sollen ja viele False-Positives raushauen, soll ich dann zumindest ClamAV weglassen? Ich weiß gerade gar nicht, welche in Desinfec't 2024/25 genau enthalten sind.
@BFF
Sebbis Aussage hat mich bezüglich des einfachen Löschens der Datei etwas verunsichert, deshalb werde ich es morgen mit Desinfec't im Safe Mode einfach mal versuchen.
@TorenAltair
Leider habe ich gerade kein aktuelles Windows-Installationsmedium zur Hand und auf Dauer müsste ich auch wissen, ob ich dieser Installation vertrauen kann bzw. es in letzter Zeit gerechtfertigt war, ihr zu vertrauen.
Gruß von Cin-Hoo
Cin-Hoo schrieb:
alle
-- zum Scansablauf ansich --
zuerst der normale scan mit den 3 möglichen Scannern bei "Virenscan starten" (unter erweiterte Optionen die 3 Scanner auswählen) und im Anschluss im Ordner expertentools Thor Lite Scanner und Open Threat Scanner (OTS).
Natürlich entsprechend vorher alles updaten mit den Update Script
-- do to nach dem Scans --
Zu den Ergebnissen, du wirst ggf bei Thor Lite Scanner einige Funde haben, welche aber meist false positiv sind, da dieser Scanner sehr aggresiv eingestellt ist. Du kannst alle Funde dann auf Virus total gegenchecken. Wenn nur der Hash hochladen erzeugt wird weil die Datei schon mal hochgeladen wurde, kannst du die nochmal auf VirusTotal mit den aktuellsten Signaturen etc scannen lassen. Wenn dort keine Infektion gefunden wurde in dem Fall, kannst du zu 99% sicher sein, das das dann ein False Positive war.
Wenn andere Scanner Funde haben, kannst du das genauso machen.
Sollte Virustotal diese Datei noch nicht kennen, bitte hochladen und scannen lassen. Wenn keine Funde vorhanden sind (oder maximal 1 - 2 Scanner irgend eine generische Erkennung melden, da ruhig auch für diese Dateien hier nachfragen dann ) ist es immerhin noch zu 90 % sicher ein False Positve, wobei kann sich aber nie sicher sein kann, denn auch die Scanner da können versagen.
Je nachdem wie sicherheitskritisch dann dein Projekt / Arbeit ist, ist dann die Variante von @TorenAltair entsprechend zu nutzen. Denn nur so erhälst du ein System, dem zu zu 99,9% Vertrauen kannst.
Hint: während Thor Lite Scanner / Open Threat Scanner (OTS) laufen kannst du dir ja schon einmal die Ergebnisse der anderen Scans ansehn als Websitezusammenfassung und die Prüfungen auf Virustotal durchführen
-- ab hier bitte nicht verunsichern lassen, das ist meine Sichtweise und die Möglichkeiten, die ich kenne --
Und warum sage ich 99,9% und nicht 100%. Das liegt daran, das mit UEFI den sehr spezialisierten und findigsten Crackern, also nicht die üblichen scriptkiddys, eine Möglichkeit gegeben wurde, Schadware persistent auf den Rechner zu speichern und auszuführen.
Die Chance ist aber wirklich extrem gering, da man dann schon von einen gezielten Angriff spricht. Dennoch, unmöglich ist es nicht, jenachdem wie sicherheitskritisch dein Projekt ist.
Cin-Hoo schrieb:
Das kannst du dir einfach erstellen mit dem Media Creation Tool von Microsoft - USB Stick oder DVD brennen ist hier möglich
Zuletzt bearbeitet:
- Registriert
- Feb. 2011
- Beiträge
- 649
Am Dienstag habe ich mir die Ergebnisse des Norton Power Erasers noch einmal genau angesehen. Bei den erkannten Tasks handelt es sich wirklich um Aufgaben, die zu legitimen Systemdateien führen. Auch die Registry-Schlüssel stammen, so wie es aussieht, im Original vom System. Da die Ausführung von Desinfec't hier am Mac immer problematisch war, habe ich mich deshalb dagegen entschieden und stattdessen Malwarebytes installiert. Das hat außer meines Eingangs bereits erwähnten Tools keine weitere Malware oder Manipulationen entdeckt. Danach habe ich die berüchtigte Protokolldatei gelöscht und siehe da, der Norton Power Eraser meldete auch nur noch jenes Tool.
Weil sowohl Norton, Emsisoft und Malwarebytes mein Tool monierten, habe ich die beiden Anwendungen (einmal 32- und einmal 64-bit) auf Virustotal.com hochgeladen. Dies sind die Links dazu:
x86: https://www.virustotal.com/gui/file/dcc98a44cc83fbcb0127f81dd5f3763db2ae3e81869b3c4ccc68e8740d2a44bc
x64: https://www.virustotal.com/gui/file/5d3cebf3bf8f3b4bd79cb35ff6c46416d3e61c38899edc771f41c89b4c9245bb
Das Tool habe ich, wie bereits erwähnt, vom GPTo4-mini-Modell auf Duck.ai schreiben lassen und mit Visual Studio Code und den Visual Studio Build Tools erstellt. Die x86-Version habe ich danach mitsamt des Quellcodes auf meinen Cloudspeicher hoch- und später wieder heruntergeladen. Da ich die Dateien, meiner Erinnerung nach, an dem Datum hochgeladen habe, das in der Cloud überall als Änderungsdatum angezeigt wird, kann ich mir nicht vorstellen, dass sie zwischenzeitlich manipuliert wurden.
Bei der x86-Version finden neun Scanner Schadsoftware (jetzt sogar elf, obwohl ich gar keine neue Analyse beauftragt/durchgeführt habe, wie kann das sein?!), darunter einer ein Dropper-ähnliches Vehalten, bei der x64-Version sind es hingegen nur zwei Scanner, ohne konkrete Angabe. Ist das normal, dass sich die Ergebnisse bei einem Tool mit gleicher Funktion in verschiedenen Architekturen so unterscheiden können? Um die x64-Version zu erhalten, hatte ich GPTo4-mini mit dem Originalquellcode gefüttert und danach gefragt, ob dieser für 64-bit so beibehalten werden kann und wie ich zu kompilieren habe. Er wandelte wohl einige Teile in Unicode um, wie er schrieb und änderte noch einen Block. Könnte sich jemand von euch die Ergebnisse bitte einmal ansehen, z. B. @Sebbi oder @BFF? Aus den Ergebnissen in der Verhaltensrubrik werde ich gar nicht schlau, denn dort wurden auch MITRE-Signaturen getroffen. Sollten die Informationen nicht ausreichen, kann ich die Pakete mit fertig kompilierter Anwendung und Quellcode auch hochladen.
Weil sowohl Norton, Emsisoft und Malwarebytes mein Tool monierten, habe ich die beiden Anwendungen (einmal 32- und einmal 64-bit) auf Virustotal.com hochgeladen. Dies sind die Links dazu:
x86: https://www.virustotal.com/gui/file/dcc98a44cc83fbcb0127f81dd5f3763db2ae3e81869b3c4ccc68e8740d2a44bc
x64: https://www.virustotal.com/gui/file/5d3cebf3bf8f3b4bd79cb35ff6c46416d3e61c38899edc771f41c89b4c9245bb
Das Tool habe ich, wie bereits erwähnt, vom GPTo4-mini-Modell auf Duck.ai schreiben lassen und mit Visual Studio Code und den Visual Studio Build Tools erstellt. Die x86-Version habe ich danach mitsamt des Quellcodes auf meinen Cloudspeicher hoch- und später wieder heruntergeladen. Da ich die Dateien, meiner Erinnerung nach, an dem Datum hochgeladen habe, das in der Cloud überall als Änderungsdatum angezeigt wird, kann ich mir nicht vorstellen, dass sie zwischenzeitlich manipuliert wurden.
Bei der x86-Version finden neun Scanner Schadsoftware (jetzt sogar elf, obwohl ich gar keine neue Analyse beauftragt/durchgeführt habe, wie kann das sein?!), darunter einer ein Dropper-ähnliches Vehalten, bei der x64-Version sind es hingegen nur zwei Scanner, ohne konkrete Angabe. Ist das normal, dass sich die Ergebnisse bei einem Tool mit gleicher Funktion in verschiedenen Architekturen so unterscheiden können? Um die x64-Version zu erhalten, hatte ich GPTo4-mini mit dem Originalquellcode gefüttert und danach gefragt, ob dieser für 64-bit so beibehalten werden kann und wie ich zu kompilieren habe. Er wandelte wohl einige Teile in Unicode um, wie er schrieb und änderte noch einen Block. Könnte sich jemand von euch die Ergebnisse bitte einmal ansehen, z. B. @Sebbi oder @BFF? Aus den Ergebnissen in der Verhaltensrubrik werde ich gar nicht schlau, denn dort wurden auch MITRE-Signaturen getroffen. Sollten die Informationen nicht ausreichen, kann ich die Pakete mit fertig kompilierter Anwendung und Quellcode auch hochladen.
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 35.279
Cin-Hoo schrieb:
Irgendwas hast Du programmiert was Irgendwas tun soll.
Schau Dir die Ergebnisse bei VirusTotal an und dann was das Ergebnis bedeutet.
Das dürften in der Masse heuristische Funde sein. Ein Scanner meint glaub ich sogar das der Code AI erzeugt ist.
Der einzige Weg wäre, das Tool zum Prüfen bei den großen AV einzureichen. Kann man online machen.
Zuletzt bearbeitet:
BFF schrieb:
wenn man sich die Analyse der Sandbox ansieht, ist macht dieses Tool eigentlich nichts verdächtiges - paar Regkeys lesen und Bibiliotheken.
Es wir nichts geschrieben etc.
p.s. wegen Desinfect und Bezahlschranke ... well - der DL Link ist jedenfalls ein offenes Geheimnis und nur hinter einer Emailanfrage versteckt - Dort trägt man seine Email ein und kann die bis zu 3x herunterladen
https://www.heise.de/dvd_download/ct/2024/13/g8TN42/request-key
Cin-Hoo schrieb:
wie bereits erwähnt, das erste was man bei ggf kompromitierten Systemen tun sollte, ist keinen Scanner mehr zu glauben, denn die werden manipuliert. Auch neu installierte Scanner sind davor nicht geschützt.
Darum wird ja ein LiveSystem wie Desinfect benötigt, damit man nicht in falscher Sicherheit gewogen wird.
Cin-Hoo schrieb:
also auf einen MAC hast du Windows installiert? das wäre eine gute Info schon eher gewesen als zu sagen nur geht nicht / schwierig etc .
- Registriert
- Feb. 2011
- Beiträge
- 649
Damit hat er sogar Recht, denn ich kann nicht programmieren.BFF schrieb:
@Sebbi
Das hatte ich in meiner ersten Antwort getan.
Cin-Hoo schrieb:
Nein, Ende März (als ich GPTo4-mini nach Code fragte) frisch geladen und installiert, mittlerweile aber beides wieder deinstalliert.PC295 schrieb:
Ich wunderte mich hauptsächlich über die Dropper-Meldung, weil mein Tool setzt bei Klick auf den enthaltenen Button einen Hotkey auf die Taste D, die bei Betätigung die linke Maustaste einrastet. Mit einem weiteren Klick auf den Button deaktiviert man den Hotkey wieder. Neben der Schaltfläche befindet sich noch eine Checkbox, die anzeigt, ob die Maustaste durch den Hotkey gerade eingerastet wurde. Aus dem Internet nachgeladen wird gar nichts. Entspricht das denn schon dem Verhalten eines Droppers?
Und warum werden die 32- und 64-bit-Versionen so unterschiedlich erkannt?
PC295
Commodore
- Registriert
- Apr. 2010
- Beiträge
- 4.747
Ok, war nur vermutet, weil bei Virustotal unter "Detection" bei "DetectItEasy" eine 2017 Version von Microsoft Visual C/C++ als Compiler steht.Cin-Hoo schrieb:
In den Versionen gibt es auch Unterschiede bei den Complier, Linker und Tools. Das wird maßgeblich mit entscheidend sein, wie oft AVs Fehlalarme ausgeben.
