AntiVir meint dazu:

Auch da gibt es eine Info.

Antivir beim aufrufen der Website mit Opera ohne Webguard:
und kit.exe heruntergeladen:
http://www.virustotal.com/analisis/bce4e5a...617baa79cf2515a

Der Beitrag wurde von rolarocka bearbeitet: 19.02.2009, 19:40

Heißt ohne WebGuard keine Ekennung durch AntiVir?

CIMA meint, es wäre verdächtig

Ohne Webguard wird ja die Webseite nicht blockiert wie auf deinem screenshot zu sehen "zugriff verweigert". Es gibt eine Heur/Html malware aber die Webseite wird gezeigt. Die *.exe werden bis jetzt nicht erkannt. Diesmal gibts die happy_valentine.exe:
VT:
http://www.virustotal.com/analisis/fd65c42...bbd2a2f41ff8780

Der Beitrag wurde von rolarocka bearbeitet: 19.02.2009, 20:07

Verlangt wird hier den Flash Player zu ''Installieren''



Es ist die Angreifer URL.

KIS emfpiehlt es stark zu beschränken, sodass es auch im Automodus erkannt wird.
CAMAS meint auch, es sei nicht nett...
http://camas.comodo.com/cgi-bin/submit?fil...449ed71e08f02e6

Die Erkennungsratenkönige Gdata und McAfee + Artemis sind wahrscheinlich blind:
https://www.virustotal.com/de/analisis/5765...1b003c64011ff28

Nicht wirklich, ein Zugriff auf die Webseite wird sofort unterbunden:

Hmm..ich komme auf die Website gar nicht drauf

Weder mit FF, noch mit dem IE.

Oder ist das ein fieser Trick mit Drive-Bye?

Du mußt die komplette URL eingeben, schau auf das Norton Protokoll (Angreifer URL) von Rios.

Der Beitrag wurde von Xeon bearbeitet: 25.02.2009, 21:54

Wie blöd. Danke Dir, Xeon.

Also F-Secure erkennt das Sample von der Signatur her nicht:


Aber Deepguard blockiert sofort nach der Ausführung:


Fazit: Save

Ok, Web-AV hat eine Daseinsberechtigung
Allerdings muss sich nur die Adresse um ein Zeichen ändern, dann war es das. Und vielleicht wird die Datei ja auch noch woanders verteilt. Erkennung der Site + Sample wäre das Optimum

Gut, dass es diesen Thread gibt, sodass man Ergebnisse von VT präzisieren / korrigieren kann. Manche hier meinen ja immer noch, er sei absolut überflüssig...

Nod4:

Der Beitrag wurde von rolarocka bearbeitet: 25.02.2009, 22:39

Die neue Masche der Waledac Pistoleros
Info


Sollte jemand den Link benötigen, dann melden.

Ich finde es erstaunlich, dass Norton so viele unbekannte Malware anhand der Packer erkennt, dabei aber nur sehr wenige Fehlalarme macht.

Könntest du mir das Sample / die Quelle zukommen lassen?

Julian du hast Post.

Ja der PCWelt Artikel veröffentlicht nur ein Jotti Scan wo eine ältere Firmenversion von Symantec läuft , dagegen sollte mal jemand was machen weil das nichtmehr ganz am Stand der Dinge wenn Pcwelt schreibt "Kaum ein Hersteller hat es bislang geschafft eine generische Erkennung zu entwickeln, die halbwegs zuverlässig auch neue Varianten erfasst." Genau das ist aber bei Symantec passiert.

@Rios

Ich hab die Seite the Couponizer , verrät ja schon PCwelt wo das ist aber ich finde da keinen Link zur Malware , könntest du mir helfen ?
Mist, ich hab ja nur die Echte Seite erwischt *schäm*

Edit:
Ok Danke , das scheint immernoch diesselbe Waladec-Malware zu sein die sich hinterher als Promoreg in den Autorun einträgt (hatten wir ja schon) , nur das Symantec hier eine Heuristiksignatur drübergelegt hat die jetzt jede dieser abgeänderten Files erkannt .
http://www.symantec.com/business/security_...-022522-3032-99

Der Beitrag wurde von Voyager bearbeitet: 26.02.2009, 21:32

Julian, überrascht mich auch etwas. ein anderes Teil.

Auch das ist nee neumodische Heuristik Signatur http://www.symantec.com/business/security_...-020600-4945-99

Das Ding ist süss !
W32.Ackantta.B@mm Massmailingworm http://www.symantec.com/business/security_...-99&tabid=2

Der Beitrag wurde von Voyager bearbeitet: 26.02.2009, 21:36