Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Codec, Zlob Familie
VirusTotal

[Solution-Design]

Codec, Zlob Familie
VirusTotal

Nach Aufruf der Site hxxp://www.myprivatetubes09.net/ startet zuerst ein "Browser-PlugIn Windows-Mediaplayer-Bildchen", welches natürlich nicht abspielen kann, weil der Codec fehlt. Danach wird der Codec zum Download angeboten, im Screenshot als 1 dargestellt. Dieser ausgeführt erzeugt eine Fehlermeldung, ein zweites Ausführen erzeugt ein Screen mit angeblicher Software-Inkompatibilität. Danach liegt im Autostart eine msiconf.exe, welche das Nachladen von Rapid-Antivirus sichert. Die Autostart-Datei wird von Symantecs Sonar erkannt, Rapid Antivirus als Antivirus2008, welcher nach Bereinigung durch NAV2009 mal wieder das Vista-Startmenü shreddert.





Hier beweist Antivir mal wieder seine Qualität, wie so oft in diesem Thread.
http://www.virustotal.com/de/analisis/38e5...6787e5e53b053a8

[rolarocka]

Setup wird auch erkannt:


Der Beitrag wurde von rolarocka bearbeitet: 26.12.2008, 10:37

[Kenshiro]

Das meint G-Data TC dazu:
 myprivatetubes09_net.JPG ( 32.96KB ) Anzahl der Downloads: 18

[Solution-Design]

Das meint G-Data TC dazu:
 myprivatetubes09_net.JPG ( 32.96KB ) Anzahl der Downloads: 18

http://rapidshare.com/files/176885275/msiconf.rar.html

Wird auch die nachgeladene Datei erkannt?

[Solution-Design]

Setup wird auch erkannt:

Insgesamt ein positives Ergebnis für die TrojanDownloader-Erkenner. Aber mich beruhigt doch eher, wenn ein BehaviorBlocker die Datei erkennt, anstatt Sigs. Beides wäre natürlich topp

[Gast_Scrapie_*]

Das Ding ist aber auch wie für ein IDS gemacht...

[Kenshiro]

@Solution-Design
Ich konnte ganz normal die Datei runterladen, aber öffnen nicht, da diese Datei PW-geschützt ist

edit:
hier das VT-Ergebnis dieser Datei:
www.virustotal.com/analisis/c0a1453ed0be731562b6ea34360b7e39


Der Beitrag wurde von Kenshiro bearbeitet: 26.12.2008, 13:01

[Julian]

Hier beweist Antivir mal wieder seine Qualität, wie so oft in diesem Thread.
http://www.virustotal.com/de/analisis/38e5...6787e5e53b053a8

Die Qualität in Sachen Erkennung ist wirklich sehr gut.
Etwas OT: Allerdings ist mir gestern AntiVir Free auf dem Rechner eines Verwandten still und heimlich beim Kopieren vieler kleiner Dateien abgekackt, es liefen einfach keine Prozesse mehr, bis auf vll. den Scheduler, und es gab keine Fehlermeldung.
So etwas gabs doch hier vor Jahren schon, mein Vertrauen in Avira ist dahin...

Beim Starten kommt dies:

[rolarocka]

Insgesamt ein positives Ergebnis für die TrojanDownloader-Erkenner. Aber mich beruhigt doch eher, wenn ein BehaviorBlocker die Datei erkennt, anstatt Sigs. Beides wäre natürlich topp

Als Beispiel PrevxEdge erkennt insgesamt eine svchоst.exe im windows\system32 Verzeichnis als Malware.

VT:
http://www.virustotal.com/de/analisis/2982...2b0b4125eb41d71


Der Beitrag wurde von rolarocka bearbeitet: 26.12.2008, 14:02

[Solution-Design]

@Solution-Design
Ich konnte ganz normal die Datei runterladen, aber öffnen nicht, da diese Datei PW-geschützt ist

Wenn du die Datei mit WinRAR öffnest, wirst sofort vom Passwort erschlagen. Bei allen anderen Packern, sollte man sich den Archiv-Kommentar anschauen

Und für ganz komische Packer: virus

Etwas OT: Allerdings ist mir gestern AntiVir Free auf dem Rechner eines Verwandten still und heimlich beim Kopieren vieler kleiner Dateien abgekackt, es liefen einfach keine Prozesse mehr, bis auf vll. den Scheduler, und es gab keine Fehlermeldung.

Keine Meldung vom Windows-Security-Center?

Der Beitrag wurde von Solution-Design bearbeitet: 26.12.2008, 16:19

[Gast_Nightwatch_*]

Wenn du die Datei mit WinRAR öffnest, wirst sofort vom Passwort erschlagen. Bei allen anderen Packern, sollte man sich den Archiv-Kommentar anschauen

Hi Solution!

Ist die Datei VM-resistent ? Bei mir passiert da überhaupt nichts, wenn ich sie im Shadow-Modus (ShadowDefender) ausführe

Gruß,
Nightwatch

[Gast_Nightwatch_*]

Ok. Wenigstens die WMPCDCS.exe lässt sich ausführen. Ergebnis:

F-Secure failed . Zwar werden beide Dateien beim Ausführen erkannt...aber trotz des In-The-Cloud-Verfahrens erlaubt. Alles nachzulesen im Log von Deepguard.
Stellt man Deepguard auf ganz scharf, wird der User gefragt, ob er die Anwendung zulassen oder blockieren möchte.

Schwaches Bild, meine Herren!

[Kenshiro]

So, habe mal jetzt getan, was Solution-Design schrieb - Ergebnis:
 MSI_Conf.JPG ( 21.12KB ) Anzahl der Downloads: 30

[Solution-Design]

Ist die Datei VM-resistent ? Bei mir passiert da überhaupt nichts, wenn ich sie im Shadow-Modus (ShadowDefender) ausführe

Nein, die Datei ließ sich hier auch in der VM problemlos starten und begann dann das Fake-Antimalware-Programm herunter zu laden und zu starten.

Beim Starten kommt dies:

Wie geht es denn weiter, wenn du der Empfehlung folgst?

Der Beitrag wurde von Solution-Design bearbeitet: 27.12.2008, 04:56

[Julian]

Wie geht es denn weiter, wenn du der Empfehlung folgst?

Im automatischen Modus wird dem Programm fast alles verboten, was KIS abfangen kann, also auch der Internetzugriff und somit das Nachladen von Komponenten. Ausnahme scheint das Starten von Prozessen zu sein, diese erben aber die Beschränkungen der Malware, sollte also nicht so schlimm sein.
Das hat den Vorteil, dass viele Programme, die fälschlicherweise von KIS als potenziell gefährlich eingestuft werden (davon gibts leider einige, z.B. den nLite-Installer), trotzdem noch funktionieren, allerdings keinen Schaden anrichten können.

Im interaktiven Modus ist es ähnlich, nur etwas mehr Klickerei. Ich persönlich verbiete lieber ganz den Start.

[Julian]

https://www.virustotal.com/de/analisis/6573...951d7a994ede196
Der Dateiname lässt ja schon erahnen, worum es sich handelt.

[Voyager]

http://www.virustotal.com/de/analisis/6434...1dbdf2b49510c9a

HPUSBFW.EXE - Partitionierung und Formatierung von USB-Datenträgern - Originalgröße (0.4MB)

Das gescannte File ist größer und mit einer Backdoor infiziert , die nennt sich Iphone Driver und wird als versteckter Dienst installiert wenn man die HPUSBFW.EXE anklickt.
Mit der Schadsoftware dürften sich schon 300 Mann oder mehr infiziert haben weil an dem Torrent 300 Seeder waren wo die infizierte Datei dabei lag um auf einem USB-Stick ein XP zu machen .
Ich wollte mir das aus Neugierde natürlich auch ansehen und bin unvorsichtigerweise in die Falle getappt, glücklicherweise konnte SONAR die Hintergrundinfizierung aufhalten und löschen.

[DonQuijano]

Von was redest du gerade ?

Jumper trojan 3.7 kostete 80 € Jumper trojan soll 190 € kosten.

[DonQuijano]

http://www.virustotal.com/de/analisis/a476...2033542b09db468