Icewolf

Test EAM Erkennungsleistung

Recommended Posts

Hallo, ich habe auf einem XP_SP3 Testsystem drei verschiedene Varianten installiert um die Leistungsfähigkeit von Emsisoft zu testen. Bei Testbeginn war kein AV-Programm installiert. Die Drei Dateien wurden erstmals vor einigen Wochen zu Virustotal.com eingesendet, siehe die folgenden VT Scanergebnisse.

 

Zeitgleich habe ich diese Dateien auch zu Emsisoft eingesendet. Eure Reaktion darauf war immer sehr schnell und lag meistens zwischen drei und vier Stunden bis diese erkannt wurden. Das ist eine Gute Leistung. Die gefälschte Telekom Rechnung *pdf.exe hat sich nach der Ausführung von selbst gelöscht um hier eine Infektion zu verschleiern. Diese habe ich anschließend aber wieder auf den Desktop kopiert damit man die Ausgeführten Dateien erkennt.
 
Ziel dieses Tests war es, ein infiziertes System zu erkennen! Die Testkandidaten waren dieses mal: Emsisoft EEK, Malwarebytes Free, AVG Free.
 
VT Analysen:
 
https://www.virustotal.com/de/file/0b577f76b08c5267eb5f2f8596127a28a6eaf5ff2089cff6be0b689f31850124/analysis/1416430742/
 
https://www.virustotal.com/de/file/b3913d567ca228ac32cd35b5d6245393d2b2c1d1c40a60edc55ea7a521f96694/analysis/1416430919/
 
https://www.virustotal.com/de/file/d55b41fafe89162f7896d3e520e3d74a81f50d64680d5ecc590aca345ba4c66d/analysis/1416431196/

 

 

Die Scan Ergebnisse befinden sich unten in der Anlage

 

 

1. Scan mit EEK:
 
Der Scan wurde als Detail und als Eigener Scan mit gleichem Ergebnis durchgeführt. Dabei wurde jeweils lediglich nur die Installations EXE erkannt, sonst keine Funde das System gilt hier als clean!  
Hier bedarf es meines erachtens einer Erklärung, da euch die Malware schon einige Zeit bekannt war und auch mit der Bedrohung "hoch" eingestuft wurde. Möglicherweise laufen einige infizierte Systeme mit EAM als clean, obwohl hier eine Infektion vorliegt! Leute, dass darf nach drei Wochen, nach bekannt werden der Malware, einfach nicht sein! Dazu hätte ich wirklich mal gerne eine Erklärung.

 

 

2. Scan mit Malwarebytes

 

Der Scan wurde als Benutzerdefinierter Suchlauf gestartet und es wurde eine bedrohliche Infektion erkannt.

 

 

3. Scan mit AVG 2015 Free
 
Der Scan wurde als Systemscan gestartet und es wurde eine bedrohliche Infektion erkannt. Gleiche Funde wie MBAM.

 

 

 
 
 

Addition1911.txt

FRST1911.txt

a2scan_141119-221049.txt

MBAM-Scan.txt

Share this post


Link to post
Share on other sites

Hallo,

 

ich muss mal eben nachfragen:

 

Ist mit "Filter für Dateierweiterungen" in Emsisoft Anti-Malware der Haken bei "Schutz -> Dateiwächter -> Nur bestimmte Endungen scannen" gemeint? Der ist nämlich standardmäßig gesetzt (zumindest bei jeder Installation, die ich bisher vorgenommen habe). Ist es besser, den Haken bei "Nur bestimmte Endungen scannen" zu entfernen und ist bei gesetztem Haken die Schutzwirkung des Programms mitunter eingeschränkt? :huh:

 

Da ich den bestmöglichen Schutz haben möchte und mit ein paar - ggf. - zusätzlichen/erweiterten Meldungen des Programms leben könnte, bin ich für einen Hinweis dankbar.

Share this post


Link to post
Share on other sites

Vielen Dank für die blitzschnelle Antwort!

 

Bei mir ist unter den Scan-Optionen bei den Eigenen Scans kein Haken bei "Filter für Dateitypen" gesetzt (im Dateitypenfilter ist .tmp ja nicht inkludiert). So dürften dann also auch tmp-Dateien gescannt werden. Eine Beschränkung auf bestimmte Dateitypen findet mangels Filter ja nicht statt. :) Und beim Detail Scan sowieso, oder?!

Share this post


Link to post
Share on other sites

OK, ich werde den Suchlauf nachher nochmal mit deaktivierter "Dateierweiterungen scannen" durchführen und das Logfile posten.

 

Es ging aber hauptsächlich um diese Einträge und die hätte EEK finden müssen, ZBot Trojaner, Passwortstehler

 

HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [Windows] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Microsoft\fuast.exe [840089 2014-11-19] (Piriform Ltd)
HKU\S-1-5-21-1202660629-776561741-1801674531-1004\...\Run: [hcbqhfbi.exe] => F:\Dokumente und Einstellungen\Administration\Anwendungsdaten\Identities\hcbqhfbi.exe [180292 2008-04-14] ()

() F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oziqemegewypyvuh

 

Share this post


Link to post
Share on other sites

Klar wurde der eine Eintrag gefunden, da ich diese Datei "hcbqhfbi.exe"  Vorgestern über die GUI zur Analyse eingesendet hatte. Gestern wurde sie in der Quarantäne jedenfalls noch nicht erkannt.

Share this post


Link to post
Share on other sites

Nein zurück, die "hcbqhfbi.exe" wird hier lokal immer noch nicht erkannt! Im Detail Scan das gleiche Ergebnis. Die habe ich gerade auch zu VT hochgeladen >>>  Ergebnis

 

Die rdp7.exe hatte ich gestern zu euch eingesendet und die wird nun erkannt in Verbindung mit "fuast.exe"
 

Das aktuelle EEK LogFile befindet in der Anlage.

a2scan_141120-20112014.txt

Share this post


Link to post
Share on other sites

In Ordnung, dann werde ich neue Malware künftig über dieses Forum einsenden.

 

Meine Reklamation bleibt aber dennoch unbeantwortet. Wie kann es sein, dass EAM nach drei Wochen, nach dem die neue Malware Emsisoft bekannt war, nicht in der Lage ist ein nachweislich infiziertes System zu erkennen? Und dann noch ein ZBot! Das darf einfach nicht sein!

Share this post


Link to post
Share on other sites

Die Payment.pdf.exe ( Trojan-Ransom.Win32.Agent (A) ) hatte ich euch am 07.11.2014 in den Abendstunden über die GUI eingesendet, sind seither 14 Tage vergangen, und die "2014_11rechnung_K4768955881_pdf_sign_telekom_de_deutschland_gmbh.exe" über die ich hier berichte auch über die GUI am 12.11.2014 in den Nachmittagsstunden hier VT Analyse >>> Ergebnis. Um ca. 20:30h wurde sie hier auf meinem Rechner als "Trojan.Dropper.XEN (B)" erkannt, später dann als "Trojan.Win32.Emotet (A)" und aktuell als "Trojan.GenericKD.1974635 (B)". Sind wahrscheinlich verschiedene Bezeichnungen da ich die einmal als ZIP und als *.exe eingesendet hatte.

 

Am 18.11.2014 habe ich erstmals die beiden Schadprogramme installiert und den Test gestartet und gestern wiederholt.

 

Ok sorry, es sind seit der Einsendung zu euch nur 9 Tage vergangen, aber trotzdem ist es zu lange und ändert nichts daran das ein infiziertes System mit der gefälschten Telekom Rechnung nicht ansatzweise erkannt wurde.

 

Ich kann dir gerne diese Malware per E-Mail zukommen lassen, dann kannst Du das auf einer Testmühle selbst nachstellen.

 

Also, ich werden neue Malware jetzt verstärkt mit EEK testen, bei Nichterkennung über das Forum einsenden und nach der Erkennung direkt einen Suchlauf starten und jeweils einen Tag später bis die Installierte Malware gefunden wird. Zusätzlich werde ich bei Nichterkennung die Malware starten und die Verhaltensanalyse mit EAM testen ob diese anschlägt.

 

Ich muss an dieser Stelle aber auch erwähnen das wir in einem versteckten Bereich in unseren Forum Links zu Malware Downloads bereit stellen um diese runterladen zu können, zum testen. EAM hat bisher jeden Host mit der Hinweis auf einen Malwarehost blockiert, dass ist hier mal positiv zu erwähnen ist. Die dennoch geladene Malware wurde dann aber nicht erkannt. Mann muss auch weiterhin erwähnen, dass das runterladen einer solchen Malware nicht so einfach ist, da schon von Windows 7 mit dem Hinweis eines unsicher Download diesen blockiert! Um einen derartigen Download aufs Desktop zu bekommen muss man schon alle Sicherheitshinweise ignorieren. Die telekom.pdf.exe habe ich aber per E-Mail bekommen.

 

Also an alle Mittleser. Diese Vorgehensweise ist keinesfalls zu empfehlen, außer man weiß genau was man tut!

 

Ich werde euch auf den laufenden halten.

Share this post


Link to post
Share on other sites

Ich verstehe zwar nicht was daran so schwer zu verstehen ist, dass Emsisoft hier kläglich versagt hat. Die "hcbqhfbi.exe" wird jetzt nur gefunden da ich sie gestern explizit eingesendet hatte. In diesen Fall ist es eine sehr schlechte Erkennungsleistung, da muss einfach mehr von euch kommen. Nur die Erkennung des Samples ist einfach zu wenig!!! Nehmt ihr die Samples eigentlich nicht auseinander bzw. schaut was die Malware überhaupt macht und wo sie sich einschreibt? Das ist doch wichtig damit ein infiziertes System überhaupt erkannt und bereinigt werden kann. Dafür wurde der Passwort Stealer (rdp7.exe) "fuast.exe: Trojan-Spy.Win32.Agent (A)" gefunden, wenigstens etwas.

 

Malwarebytes hat noch einen Reg.-Eintrag gefunden dafür den Passwort Stealer nicht, das ist auch schlecht.

 

Und mit den Hashtab muss ich mal schauen wann ich mich damit beschäftigen kann.

 

So, auf zum nächsten Test, Mit freundlichem Gruß

a2scan_141121-21112014.txt

MBAM-Scan.txt

FRST.txt

Share this post


Link to post
Share on other sites

Als Kunde ist es mir ziemlich egal wie ein Antivirus Programm funktioniert, ich muss es vertrauen in diesem haben, es muss neue Malware möglichst schnell erkennen und am besten noch das System bereinigen können. Und wenn eine Bereinigung nicht möglich ist das es den Anwender an ein Hilfestelle verweist. Mir geht es hier einfach nur ums Prinzip, dass das Sample zwar bekannt war, aber eine Infektion mit diesem nicht erkannt wurde und das kann man einfach nicht schön reden. Mit der Beseitigung dieser Funde ist das System doch noch lange nicht sauber, oder wie soll ich das versehen? Mir wäre es lieb wenn der User schrauber (Thomas Schröder) sich hier auch mal einklinkt und etwas dazu schreibt. Seine Meinung wär sicher interessant bzw. interessiert mich auch.

 

 

Share this post


Link to post
Share on other sites

Also nochmal zum Verständnis der Reihe nach:

 

1. ich habe per E-Mail drei verschiedene Anhänge bekommen, siehe Post #1 = VT Analyse. Zu dieser Zeit wurden diese Samples von EAM auf meinem OS1 mit Windows7 nicht erkannt.

2. sofort habe ich die Anhänge auf den Desktop kopiert und in EAM Quarantäne genommen und zu euch über die GUI eingesendet.

3. Diese wurden jeweils ca. 4 Stunden später nach der Einsendung in der EAM Quarantäne erkannt.

4. ein Paar Tage später habe ich diese Samples auf nen Stick kopiert und anschließend auf meinem XP Testsystem installiert, also 3 Schaddateien. Dazu hatte ich AVG deaktiviert!

5. anschließend habe ich das System, wie in Post #1 beschreiben, in dieser Reihenfolge mit EEK gescannt.

6. Ergebnis: siehe Post #1

7. Ich habe mich mit dieser Feststellung an dieses Forum gewendet, siehe Post #1

8. gestern habe ich die gleiche Prozedur ohne installierten AV-Programm durchgeführt um hier eine Störung zu vermeiden. Ergebnis siehe Post #15

9. Die Samples waren ja bekannt aber auf dem bereits infizierten Testsystem wurde nach dem Scan durch EEK keine Infektion erkannt (Post #1), erst als ich die "hcbqhfbi.exe" zu euch eingesendet hatte (Post #15).

 

Das ist nicht an den Haaren herbeigezogen sondern das Ergebnis eines Tests! Ich habe wahrheitsgemäße Angaben gemacht und auch sonst nichts hinzugedichtet.

 

Außerdem verdient ein Produkt nicht nur Lob und Lorbeeren, sondern vielmehr sollte man konstruktive Kritik ernst nehmen. Denn nur mit Kritik kann man ein Produkt perfektionieren. Ich bitte dieses einmal zu überdenken.

Share this post


Link to post
Share on other sites

Hallo Fabian, vielen Dank für deinen Einsatz! Ich glaube die Prozedur exakt wie in Post #15 beschrieben abgelaufen ist (a2scan_141121-21112014.txt). Ich kann das in diesem Video nicht genau erkennen, da es zu verschwommen ist. Kannst Du das Logfile mal Online stellen damit ich das besser erkennen kann?

Share this post


Link to post
Share on other sites

Sorry ich schlafe nicht aufn Baum, ich erkenne da überhaupt nichts, auch nicht in HD, da ich nur eine DSL 768 Leitung habe. Bitte mal das Logfile einstellen.

Share this post


Link to post
Share on other sites

So, jetzt ist es wahrscheinlich passiert auf meinem OS1! Meine bessere Hälfte hat vorhin eine 1&1 Rechnung, die per E-Mail kam, auf den Desktop geladen, Sie hat mich gerufen und ich habe die ZIP Datei in die avast! Quarantäne genommen, es wurde Malware erkannt. Das gleiche habe ich mit EAM gemacht, die Datei war auch schon in der Quarantäne, dann ist der Windows Explorer abgestürzt und es befanden sich plötzlich zwei *.tmp Dateien auf dem Desktop! Nun läuft der Rechner nicht mehr richtig und ist möglicherweise infiziert. Ich bin nicht mal dazu gekommen die Datei zu euch einzusenden. Also jetzt bin ich richtig sauer! Ich habe ein FRST angefertigt, Malwarebytes Free hat die beiden *.tmp als Malware erkannt. Der avast! Scan läuft noch.

Share this post


Link to post
Share on other sites

Das ist das Sample >>> https://www.virustotal.com/de/file/0dd2c369816a22c313067349a91f96770702abb0324b57445ee1e2dc535b3765/analysis/1416765029/

 

Die Benutzerkontensteuerung hat nicht angeschlagen!

EAM Verhaltensanalyse hat nichts gemeldet!

Beim öffnen von EAM kommt jetzt die Benutzerkontensteuerung und will das Kennwort haben ??? Das war noch nie so.

Share this post


Link to post
Share on other sites

Hallo Fabian, nach dem zurücksetzen des Systems und einer kleinen Bereinigung läuft mein Rechner wieder wie vorher. Es war wohl keine Systemweite Infektion vorhanden. Aus Sicherheitsaspekten werde ich das System aber bei Gelegenheit trotzdem neu aufsetzen. Ich konnte das oben beschriebene Zenario auch nicht mehr nachstellen, keine Ahnung was da abgelaufen war, ist mir wirklich schleierhaft. Beinahe wäre mein System Opfer meiner eigenen Warnung geworden :blink:. Ich belasse das jetzt erst mal so. (Ich habe dir bereits einiges per PN berichtet).

 

Ich möchte aber nochmals an den Scanbericht aus Post #24 anknüpfen. Da sind aber auch andere Funde drin die in meinen Scan nicht erscheinen, z.B.: apnxlkpp.exe, exydunik.exe. Vielleicht schon wieder eine andere Variante?

 

Na ja, ist jetzt auch egal. Ich kann und will EAM jedenfalls nicht aufgeben. Ich werde in Zukunft noch vorsichtiger sein müssen damit sich das nicht wiederholt.

 

Und sorry für meine forsche Ausdrucksweise. 

 

mit freundlichen Gruß

Share this post


Link to post
Share on other sites

Hallo Fabian, ich habe hier schon wieder so ein aggressives Samples. EAM macht hier keinen mucks. Die Zip Datei lässt ich auf dem Desktop Speichern, aber beim Versuch den Inhalt auf den Desktop zu entpacken oder zu kopieren, stürzt Windows 7 ab, da ich euch wie immer das Samples zusenden wollte. Das funktioniert ja nun nicht. Es geht um diese Malware: >>> https://www.virustotal.com/de/file/2bf0d131027ce114664b7f9ec31768be9af18ec102fdc7a364ba3a11f5ff3d1e/analysis/1417634661/

 

Der Rechner fror auch nach jeden jedem Neustart ein. Ein anschließender Scan mit Malwarebytes Free brachte Funde im folgenden Verzeichnis, ohne das die Datei ausgeführt wurde: >>> C:\Users\Benutzer\AppData\Local\Temp\auftrag9226.scr und einer xxx.tmp Datei. Und mehrfach im Verzeichnis: C:\Windows\Temp\xxx.tmp

 

Nach dem entfernen der Funde läuft der Rechner wieder.

 

Außerdem ließ sich der Papierkorb mit O&O nicht bereinigen. Erst durch manuelles löschendes der Inhalte des $Recycle.Bin gab es keine Blockierungen mehr.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.