Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Uploadergebnisse v-total + jotti

Geschrieben von: rock 16.06.2006, 15:40

AntiVir TrojanWMA.Wimad.D.1 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Isbar.389 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.WMA.Wimad.d gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Geschrieben von: blueX 16.06.2006, 15:45

Einsenden, Abwarten, Scannen. whistling.gif

Geschrieben von: Zottel 16.06.2006, 15:52

weißte was mich immer ärgert smile.gif

das da nie Norton 2006 in Liste steht
hätte gern mal gesehen was bei norton raus kommt.

Ich glaub nun versteck ich mich lieber eh Bond kommt smile.gif

Geschrieben von: blueX 16.06.2006, 15:55

Wie gesagt - was ist denn daran verwunderlich?

Es gibt viele Malware, die nicht erkannt wird. Aber man muss denen AV-Firmen ja mal die Chance geben, um die Dinger einzupflegen. Erst hinschicken und dann kann ich mich darüber wundern, warum eine Datei nicht erkannt wird. thumbdown.gif whistling.gif

Geschrieben von: rock 16.06.2006, 16:03

och, ich hab extra nicht virustotal genommen, weil die großen ohnhin meistens alles kennen....hab "gewusst" das es bei jotti ein spektakel wird...

dennoch sind einige dabei die symantec nicht erkennt...zuminderst laut virustotal...aber meistens hat es sich dann ergene das bonds scanner sie unter anderem namen erkannte...

das problem ist, das in manchen malware-anwendungen auch zwei bis drei dinger drinn stecken, die eben dann auch als zusätzlich gedroppt werden wenn man die "haupt"anwendung doppelklickt. Und da kennen einige wieder nur das was gedroppt wird, einige umgekehrt...

das ist alles komisch...was nutzt es mirr wenn cih den doppelgeklickten virus erkannt bekomme...aber was ich mitaktiviert hab...geht durch....

also "spaßen" sollte man wirklich nur mit wirklich guten scannern! biggrin.gif


ph34r.gif

Geschrieben von: rock 16.06.2006, 16:06

@ blue x,

einsenden...was glaubst mach ich dauernd...ich erlaube mir sogar samples aus dem jahre anno dazumal wiedermal hochzuladen...und schau her....nicht alle haben sich erkenntlich gezeigt...

von vielen bekomm ich nichtmal mehr gscheit eine rückmeldung....

die einzigen die sich sofort kümmern, sind der ungarische virusbuster, etrust, sophos...

der andere teil bestätigt den erhalt....davon muss ich aber erst beobachten wer...denn es kommt oft wie gesagt tage nix...

ikarus dürfte überhaupt schon aufgegeben haben, ausser das die adresse glaub ich nimmer stimmt...haben die sich noch NIE zurückgemeldet....

rock

Geschrieben von: rock 16.06.2006, 16:14

QUOTE(blueX @ 16.06.2006, 16:44)
Einsenden, Abwarten, Scannen.  whistling.gif
[right][snapback]153927[/snapback][/right]


erinnerst du dich ncoh an die trojan clicker oder advert varianten die bitdefender nicht "wollte"....auch diese variante mag er net...

AntiVir 6.35.0.13 06.16.2006 ADSPY/AdvertMen.A.106
Authentium 4.93.8 06.16.2006 W32/Trojan.DAD
Avast 4.7.844.0 06.15.2006 Win32:Small-UC
AVG 386 06.16.2006 Clicker.CAH
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 no virus found

ClamAV devel-20060426 06.16.2006 Adware.Advertmen-1
DrWeb 4.33 06.16.2006 Adware.Advert
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found

Ewido 3.5 06.16.2006 Hijacker.Agent.hi
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 destructive program named W32/Trojan.DAD
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4785 06.15.2006 potentially unwanted program Adware-ISTbar
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found

Norman 5.90.21 06.16.2006 W32/Advertmen.E
Panda 9.0.0.4 06.16.2006 Adware/AdvertMem
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found

TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.15.2006 TrojanClicker.Win32.Agent
VBA32 3.11.0 06.16.2006 Trojan-Clicker.Win32.Agent.hi
VirusBuster 4.3.7:9 06.16.2006 no virus found

Geschrieben von: rock 16.06.2006, 16:58

hmmm....??

AntiVir 6.35.0.13 06.16.2006 no virus found
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 no virus found
ClamAV devel-20060426 06.16.2006 no virus found
DrWeb 4.33 06.16.2006 no virus found
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found
Ewido 3.5 06.16.2006 no virus found
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 Trojan-Downloader.Win32.Small.cub
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 W32/Rizalof.DK.worm
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.15.2006 no virus found
VBA32 3.11.0 06.16.2006 no virus found
VirusBuster 4.3.7:9 06.16.2006 no virus found

ph34r.gif

Geschrieben von: rock 16.06.2006, 17:08

okey, den noch...jetz mag ich nimmer... smile.gif

AntiVir 6.35.0.13 06.16.2006 Worm/SpyBot.81920.6
Authentium 4.93.8 06.16.2006 W32/Spybot.CG
Avast 4.7.844.0 06.15.2006 Win32:SpyBot-A156
AVG 386 06.16.2006 Worm/Spybot
BitDefender 7.2 06.16.2006 Win32.Worm.Spybot.W
CAT-QuickHeal 8.00 06.16.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 06.16.2006 Trojan.Spybot.gen-51
DrWeb 4.33 06.16.2006 no virus found
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found
Ewido 3.5 06.16.2006 no virus found

Fortinet 2.77.0.0 06.16.2006 W32/SpyBot.A!worm
F-Prot 3.16f 06.16.2006 security risk named W32/Spybot.CG
Ikarus 0.2.65.0 06.16.2006 Win32.HLLW.SpyBot
Kaspersky 4.0.2.24 06.16.2006 no virus found
McAfee 4786 06.16.2006 potentially unwanted program Keygen-Proud
Microsoft 1.1441 06.16.2006 Worm:Win32/Spybot!D5F4
NOD32v2 1.1604 06.16.2006 Win32/SpyBot.GM
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 no virus found
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found

UNA 1.83 06.15.2006 Worm.Win32.SpyBot
VBA32 3.11.0 06.16.2006 Win32.HLLW.SpyBot
VirusBuster 4.3.7:9 06.16.2006 no virus found

tschö...

ph34r.gif

Geschrieben von: rock 17.06.2006, 06:55

QUOTE(rock @ 16.06.2006, 16:39)
AntiVir  TrojanWMA.Wimad.D.1 gefunden 
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Keine Viren gefunden
Dr.Web  Trojan.Isbar.389 gefunden 
F-Prot Antivirus  Keine Viren gefunden
Fortinet  Keine Viren gefunden
Kaspersky Anti-Virus  Trojan-Downloader.WMA.Wimad.d gefunden 
NOD32  Keine Viren gefunden
Norman Virus Control  Keine Viren gefunden
UNA  Keine Viren gefunden
VirusBuster  Keine Viren gefunden
VBA32  Keine Viren gefunden
[right][snapback]153924[/snapback][/right]


das ist übrigens kein fehlalarm....

etrust hat beriets bestätigt! Virusbuster....etc. ...

ist eigentlich "eine schande" ... das sich manche die dinger zusammentragen lassen müssen...

ph34r.gif

edit: panda, symantec, mc afee...alle NICHT erkannt!

Geschrieben von: rock 17.06.2006, 10:24

zu meiner verwunderung hat auch antivir mal ein blackout...

AntiVir Keine Viren gefunden
ArcaVir Trojan.Vb.Aad gefunden
Avast Win32:Banshee gefunden
AVG Antivirus Win32/Fontra gefunden
BitDefender Trojan.VB.AAD gefunden
ClamAV Worm.VB-16 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus W32/Trojan.BXH gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden NOD32 Win32/VB.AAD gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden

VBA32 Malware.VB.42 gefunden (mögliche Variante)
==========

hab noch ca. 2 dutzend neue samples zum hochladen...möcht euch aber nciht länger langweilen...wenn sich was grobes tut. (wenig erkennung) werd ich es aber trotzdem mitteilen!

rock ph34r.gif

Geschrieben von: Phoinix 17.06.2006, 10:26

Sehr interessant, da sieht man wieder wie die Erkennung schwankt. rolleyes.gif

Geschrieben von: rock 18.06.2006, 15:21

also die clickers advertmen's machen den scannern ordentlich zu schaffen,...neue variante..neues spiel...

AntiVir 6.35.0.13 06.18.2006 no virus found
Authentium 4.93.8 06.16.2006 W32/Trojan.DAD
Avast 4.7.844.0 06.15.2006 Win32:Small-UC
AVG 386 06.16.2006 Clicker.CAH
BitDefender 7.2 06.18.2006 no virus found
CAT-QuickHeal 8.00 06.17.2006 no virus found

ClamAV devel-20060426 06.18.2006 Adware.Advertmen-1
DrWeb 4.33 06.18.2006 Adware.Advert
eTrust-InoculateIT 23.72.41 06.17.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found

Ewido 3.5 06.18.2006 Hijacker.Agent.hi
Fortinet 2.77.0.0 06.18.2006 suspicious
F-Prot 3.16f 06.17.2006 destructive program named W32/Trojan.DAD
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.18.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4786 06.16.2006 potentially unwanted program Adware-ISTbar
Microsoft 1.1441 06.18.2006 no virus found
NOD32v2 1.1606 06.17.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found

Panda 9.0.0.4 06.18.2006 Adware/AdvertMem
Sophos 4.06.0 06.17.2006 no virus found
Symantec 8.0 06.18.2006 no virus found

TheHacker 5.9.8.045 06.18.2006 no virus found
UNA 1.83 06.16.2006 TrojanClicker.Win32.Agent
VBA32 3.11.0 06.16.2006 Trojan-Clicker.Win32.Agent.hi
VirusBuster 4.3.7:9 06.17.2006 no virus found

Geschrieben von: rock 18.06.2006, 15:29

nächster:

AntiVir 6.35.0.13 06.18.2006 ADSPY/AdvertMen.A.55
Authentium 4.93.8 06.16.2006 W32/Trojan.DAD
Avast 4.7.844.0 06.15.2006 Win32:Small-UC
AVG 386 06.16.2006 Clicker.CAH
BitDefender 7.2 06.18.2006 no virus found
CAT-QuickHeal 8.00 06.17.2006 no virus found

ClamAV devel-20060426 06.18.2006 Adware.Advertmen-1
DrWeb 4.33 06.18.2006 Adware.Advert
eTrust-InoculateIT 23.72.41 06.17.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found

Ewido 3.5 06.18.2006 Hijacker.Agent.hi
Fortinet 2.77.0.0 06.18.2006 suspicious
F-Prot 3.16f 06.17.2006 destructive program named W32/Trojan.DAD
Ikarus n - no virus found
Kaspersky 4.0.2.24 06.18.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4786 06.16.2006 potentially unwanted program Adware-ISTbar
Microsoft 1.1441 06.18.2006 no virus found
NOD32v2 1.1606 06.17.2006 no virus found

Norman 5.90.21 06.16.2006 W32/Advertmen.E
Panda 9.0.0.4 06.18.2006 Adware/AdvertMem
Sophos 4.06.0 06.17.2006 no virus found
Symantec 8.0 06.18.2006 no virus found

TheHacker 5.9.8.045 06.18.2006 no virus found
UNA 1.83 06.16.2006 TrojanClicker.Win32.Agent
VBA32 3.11.0 06.16.2006 Trojan-Clicker.Win32.Agent.hi
VirusBuster 4.3.7:9 06.17.2006 no virus found

Geschrieben von: rock 18.06.2006, 15:35

ähmm...vielelicht meldet sich ja mal Skeeve der Makromaster von HBedv, denn von antivir habe ich noch keine antworten erhalten....gestern heute...anytime...

es bleibt an und für sich immer bei den selben die SOFORT reagieren....das wären eTrust und d er Virusbuster! (Hungary)

ph34r.gif

Geschrieben von: blueX 18.06.2006, 15:42

Die haben halt auch Wochenende. whistling.gif

Im übrigen:
Nicht jeder hat Zeit eine Rückmeldung zu geben.

Viele pflegen die Malware einfach in die Datenbanken ein und dann hat sich der Fall
erledigt.

Geschrieben von: rock 18.06.2006, 15:44

QUOTE(blueX @ 18.06.2006, 16:41)
Viele pflegen die Malware einfach in die Datenbanken ein und dann hat sich der Fall
erledigt.
[right][snapback]154287[/snapback][/right]



hab ich schon bemerkt bei wimad1 aber es hat sich nur THE HACKER inzwischen erkenntlcih gezeigt...ansonsten sind die ergebnisse so wie im ersten posting...

ph34r.gif

Geschrieben von: rock 18.06.2006, 15:47

also bei dem alten kram hab ich schon damit gerechnet das sie ihn alle erkennen...

AntiVir Worm/Darby.O gefunden
ArcaVir Worm.P2p.Darby.O gefunden
Avast Win32:Darby-G gefunden
AVG Antivirus Worm/Darby.S gefunden
BitDefender Win32.Worm.P2P.Darby.O gefunden
ClamAV Worm.P2P.Darby.O gefunden
Dr.Web Win32.IRC.Generic.18 gefunden
F-Prot Antivirus W32/Darby.N gefunden
Fortinet W32/Darby.O!tr gefunden
Kaspersky Anti-Virus P2P-Worm.Win32.Darby.o gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Darby.O gefunden
UNA Keine Viren gefunden
VirusBuster Worm.P2P.Darby.Q gefunden
VBA32 Worm.P2P.Darby.o gefunden


tja...das einzige was ich jetzt schon kann ist das wort "infected" blind schreiben! biggrin.gif

whistling.gif

Geschrieben von: rock 18.06.2006, 16:03

von allen samples in diese thema Symantec NOTHING FOUND!

AntiVir 6.35.0.13 06.18.2006 Worm/Feebs.VV.1
Authentium 4.93.8 06.16.2006 W32/Feebs.DJ
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 Worm/Feebs
BitDefender 7.2 06.18.2006 Win32.Worm.Feebs.1.Gen
CAT-QuickHeal 8.00 06.17.2006 Worm.Feebs.gl
ClamAV devel-20060426 06.18.2006 no virus found
DrWeb 4.33 06.18.2006 Win32.HLLM.Graz.based
eTrust-InoculateIT 23.72.41 06.17.2006 Win32/Feeb.BM!Worm
eTrust-Vet 12.6.2259 06.16.2006 Win32/Feeb.BM
Ewido 3.5 06.18.2006 Worm.Feebs.gl
Fortinet 2.77.0.0 06.18.2006 W32/Feebs.GH@mm
F-Prot 3.16f 06.17.2006 W32/Feebs.DJ
Ikarus 0.2.65.0 06.16.2006 Worm.Win32.Feebs.gl
Kaspersky 4.0.2.24 06.18.2006 Worm.Win32.Feebs.gl
McAfee 4786 06.16.2006 W32/Feebs.gen@MM
Microsoft 1.1441 06.18.2006 Worm:Win32/Feebs.M
NOD32v2 1.1606 06.17.2006 Win32/Mocalo.CW
Norman 5.90.21 06.16.2006 W32/Feebs.CY@mm
Panda 9.0.0.4 06.18.2006 W32/Feebs.EC.worm
Sophos 4.06.0 06.18.2006 W32/Feebs-Gen
Symantec 8.0 06.18.2006 no virus found
TheHacker 5.9.8.045 06.18.2006 W32/Feebs.gl
UNA 1.83 06.16.2006 Worm.Win32.Feebs.gl
VBA32 3.11.0 06.16.2006 Worm.Win32.Feebs.gl
VirusBuster 4.3.7:9 06.17.2006 Worm.Feebs.CV

ende smile.gif

Geschrieben von: bond7 18.06.2006, 16:12

@rock

lass es einfach sein, die Erkennungen auf den webseiten sind doch sowieso nicht 100%ig sicher.

Geschrieben von: OSX 18.06.2006, 16:14

QUOTE(bond7 @ 18.06.2006, 17:11)
@rock

lass es einfach sein, die Erkennungen auf den webseiten sind doch sowieso nicht 100%ig sicher.
[right][snapback]154305[/snapback][/right]


Eben

Geschrieben von: rock 18.06.2006, 16:16

QUOTE(bond7 @ 18.06.2006, 17:11)
lass es einfach sein, die Erkennungen auf den webseiten sind doch sowieso nicht 100%ig sicher.


hmm...

ich hab symantec erwähnt weil ich "geschockt" bin...nicht weil ich "beweisen" wollte das es ein schlechter scanner wäre!

wenn ich bei symnatec wem kennen würde...würd ich gern alles was ich hab zu ihnen senden...wo ich dann auch weis das es passt.

ein hersteller einer virenschutzsoftware hat mir einen eigenen server fürs hochladen gestellt...das find ich gut und die tun auch was!

ph34r.gif

Geschrieben von: SkeeveDCD 18.06.2006, 16:17

Melden wegen was? Die Samples die ans Vlab gehen landen in einem Prio-System. Und Samples die von Bezahlkunden kommen oder vom Outbreak-Detection-System kriegen eine höhere Priorität bei der Bearbeitung als Malware die über die Classic-Kunden oder so Quellen wie Jotti/VirusTotal reinkommen.

Bei der Menge an Malware die da pro Tag aufschlägt muss man einfach irgendwie eine Queue machen, anders geht es nicht.

Und wenn jetzt auch noch richtiges Feeback geschrieben werden soll dann kann pro Tag noch weniger Malware abgearbeitet werden. Ein Auto-Reply "Vielen dank für die Samples" wäre ja auch nicht der Hit.

Es fallen jedenfalls keine Samples unter den Tisch oder sowas in der Art.


Geschrieben von: rock 18.06.2006, 16:21

na also zur antivir free zeit früher wurden schon samples beantwortet...auch mit der info das sie bei einem der kommenden updates eingebaut werden...

ph34r.gif

Geschrieben von: SkeeveDCD 18.06.2006, 16:23

Wie gesagt, was ist dir lieber? Das du ein Reply kriegst oder mehr Malware analysiert und eingepflegt wird? Es sind mittlerweile locker 500+ neue Samples pro Tag und mehr Personal fürs Vlab kriegen ist auch nicht so einfach.

Geschrieben von: OSX 18.06.2006, 16:24

QUOTE(rock @ 18.06.2006, 17:15)

wenn ich bei symnatec wem kennen würde...würd ich gern alles was ich hab zu ihnen senden...wo ich dann auch weis das es passt.
[right][snapback]154309[/snapback][/right]


Ich kenne dort zur genuegend Leute und jeder weiss dort dass die online detections weniger finden als der Scanner local geupdated. VT hat kontinuierlich probleme den SAV Scanner zu updaten - selbst ItW wuermer wurden nicht gemeldet die SAV DEFINITIV findet. Also aufhoeren irgendwas auf online scanner ergebnisse zu geben - es ist wirklich fuer die Katz. stirnklatsch.gif Fals Du das nicht glaubst dann schreib Julios von Virustotal an, der kann Dir das bestaetigen.

Geschrieben von: rock 18.06.2006, 16:26

QUOTE(SkeeveDCD @ 18.06.2006, 17:22)
Wie gesagt, was ist dir lieber? Das du ein Reply kriegst oder mehr Malware analysiert und eingepflegt wird? Es sind mittlerweile locker 500+ neue Samples pro Tag und mehr Personal fürs Vlab kriegen ist auch nicht so einfach.
[right][snapback]154314[/snapback][/right]



gut...ihr habt ja recht...wenn es so viele sind ist es ein aufwand..ein gröberer...dazu bräuchte man extra jemanden in deren verwaltung dafür...

ein eigener server für mich wird sich bei euch kaum auszahlen...früher schon wink.gif ... jetzt seit ihr schon dick im erkennen! (verwunder) rolleyes.gif

ph34r.gif

Geschrieben von: rock 18.06.2006, 16:29

QUOTE(OSX @ 18.06.2006, 17:23)
Also aufhoeren irgendwas auf online scanner ergebnisse zu geben - es ist wirklich fuer die Katz.  stirnklatsch.gif Fals Du das nicht glaubst dann schreib Julios von Virustotal an, der kann Dir das bestaetigen.


für mich sind die 18 oder 20 engines oder wieviele es sind bei virustotal als heimuser auschlaggebend! besonders dann wenn weit über die hälfte NICHTS erkennt...bei virustotal sag ich jetzt mal dazu....

mir gehts im prinzip darum das die samples eingepflegt werden, das ist auch das ziel der sache.

ph34r.gif






Geschrieben von: rock 18.06.2006, 16:35

QUOTE(OSX @ 18.06.2006, 17:23)
VT hat kontinuierlich probleme den SAV Scanner zu updaten - selbst ItW wuermer wurden nicht gemeldet die SAV  DEFINITIV findet.


also ich kann nur von mc afee sprechen den ich selbst installiert habe...und wenn bei vtotal mc afee nichts kannte...kennt er es auch nicht bei mir...bis jetzt...

ph34r.gif

Geschrieben von: OSX 18.06.2006, 16:38

QUOTE(rock @ 18.06.2006, 17:28)
mir gehts im prinzip darum das die samples eingepflegt werden, das ist auch das ziel der sache.


Und genau da muessen Prioritaeten festgelegt werden rolleyes.gif
Keiner kann es sich heute mehr leisten sich mit irgendwelchem Schnulli aufzuhalten und Zeugs einzupflegen was ueberhaupt keine Prioritaet hat. Weil er naemlich dann unter Umstaenden das wirklich wichtige verpasst. Und genau diese Entscheidung was wirklich wichtig ist (oder zumindest wichtiger als anderes) sollte man Leuten ueberlassen, die Erfahrung mit Malware haben und wissen was wichtig ist. Es ist natuerlich schon klar dass fuer den Enduser JEDE Erkennung wichtig ist, aber wie gesagt das funktioniert eben so nicht. Viele AV Hersteller geben auch Prioritaeten auf Regionen wo sie am meisten Kunden haben. Wenn Du in China paar Millionen Kunden hast dann wuerdest Du doch auch zusehen dass Du dort auf dem Markt so viel wie moeglich Malware findest. Dort ist ein lokales Samples von China wesentlich wichtiger als irgendein Furz-Trojan-Clicker der eigentlich nur Allifiate Counter hochsetzt beim ausfuehren.

Geschrieben von: blueX 18.06.2006, 17:21

QUOTE(rock @ 18.06.2006, 17:15)


wenn ich bei symnatec wem kennen würde...würd ich gern alles was ich hab zu ihnen senden...wo ich dann auch weis das es passt.



Offizielle Adresse:

avsubmit (at) symantec.com

Geschrieben von: bond7 18.06.2006, 17:26

Wenn ich die Malware über die Quarantäne an Symantec hochschicke und diese über das Zusatzfeld auch noch deklariere und beschreibe wird sie später meist erkannt.

Geschrieben von: rock 18.06.2006, 19:30

okey...also ich hab jetzt nur mal die samples vom 16. juni an Symantec geschickt:

W32Rizalof.DK.worm
Win32.Small.cub
W32Smalldrp.GVT
W32Backterra.D
Bacteria-sality variant
clicker, ISTbar, small, advertmen variant
Alcan, Solo, VB
W32Gaobot.MJA.worm
Trojan-Dropper.Win32.VB.lu
Trojan.Perflog
feebs
Darby.O
TRWMA.Wimad.D.1
Win32.Worm.TDrone.1.3 (Tank13)
AdvertMen.A
Win32Small-UC, Clicker Advert varaint
Win32Spybot!D5F4
HLLW.Krepper
Banshee
wimad downloader

wenn sich bond die mühe geben kann...bei symantec virenlexikon nach gleichen zu suchen...und in allen fällen fündig wird...dann pfeif ich echt bald auf die uploaderei und schick einfach gleich hin... biggrin.gif da kommt eventuell wenigstens zurück das die datei bereits in der signatur sowieso dabei ist/war...

rock ph34r.gif



Geschrieben von: Stefan 18.06.2006, 19:50

@rock:
Warum machst du dir eigentlich die Mühe, etwas an Symantec oder andere zu schicken? Ich denke, du benutzt McAfee.

Geschrieben von: rock 18.06.2006, 21:30

QUOTE(Stefan @ 18.06.2006, 20:49)
@rock:
Warum machst du dir eigentlich die Mühe, etwas an Symantec oder andere zu schicken?


weil sie mir leid tun! biggrin.gif

nö...is einfach ein hobby geworden....und da send ich an alle die nicht unter den erkennern sind/waren...

dies aber "leider" eben nach den ergebnissen von virustotal...was anderes "hab" ich nicht...um es zu wissen/erfahren wo's/bei wem's klemmt...

ph34r.gif

Geschrieben von: rock 19.06.2006, 08:45

QUOTE(OSX @ 18.06.2006, 17:37)
Keiner kann es sich heute mehr leisten sich mit irgendwelchem Schnulli aufzuhalten und Zeugs einzupflegen was ueberhaupt keine Prioritaet hat.

Dort ist ein lokales Samples von China wesentlich wichtiger als irgendein Furz-Trojan-Clicker der eigentlich nur Allifiate Counter hochsetzt beim ausfuehren.


hmm..also heut montag läuft mein outlook e. heiss...

sämtliche haben den FURZ! bestätigt...darunter auch Avira Antivir!

Dear Sir or Madam,

Thank you for your recent inquiry.

In the attachment you have sent us we found the spy-/adware Adware-Spyware/AdvertMen.A.154.
The current version of AntiVir already detects this spy-/adware.

Notice: The detection of spy-/adware is not available in our product AntiVir PersonalEdition Classic!

We thank you for your assistance.

da dann geh ich wieder furzen...

ph34r.gif



Geschrieben von: Phoinix 19.06.2006, 11:16

QUOTE(rock @ 19.06.2006, 09:44)
da dann geh ich wieder furzen...[right][snapback]154480[/snapback][/right]
user posted image

Geschrieben von: rock 19.06.2006, 12:58

bla! biggrin.gif

na is ja wahr...da bemüht man sich und glaubt (freiwillig und unentgeltlich -seit 2001) was sinnvoles für die IT sicherheit zu machen...und wird ausgebuht...

bei bitdefender hab ich unabsichtlich den support erwischt, aber die leiten es weiter und sagen es dir sogar!

Sehr geehrter Kunde,

vielen Dank für Ihre Nachricht und die Einsendung der Datei.
Diese wurde an unser Virenlabor weitergeleitet und befindet sich derzeit um
Analyse. Ist die Datei tatsächlich infiziert, wird innerhalb weniger Stunden
ein Update herausgegeben.
Bitte senden Sie verdächtige Dateien zur Analyse zukünftig direkt an
virus@bitdefender.de - vielen Dank!
_______________________
Hi

thank you for your email. The file wimad downloader.wma that you sent
to us for analysis was a Trojan, Troj/Wimad-C, further details of
which can be found on our web site at

http://www.sophos.com/security/analyses/trojwimadc.html

and an IDE file that will allow Sophos to detect this is available on
the Databank and from

http://www.sophos.com/downloads/ide/

Regards
_________________________
dann noch mc afee, eTrust, virusbuster, sogar avast und auch AVG hat sich gemeldet und das wars wohl....

ich werd mich aber trotzdem nicht "stören" lassen,....meien samples werden weiter an die hersteller geschickt und ich waage zu sagen das ich in den letzten 4 jahren an die 1000 stück mit sicherheit versendet habe.

von symantec und panda keine antwort.

ph34r.gif


Geschrieben von: bond7 19.06.2006, 13:01

QUOTE
Notice: The detection of spy-/adware is not available in our product AntiVir PersonalEdition Classic!


das beunruhigt mich ungemein....

Geschrieben von: Lucky 19.06.2006, 13:44

QUOTE(bond7 @ 19.06.2006, 14:00)
das beunruhigt mich ungemein....
[right][snapback]154520[/snapback][/right]

Ja? Warum? Spyware/Adware hat in Antivirenprogrammen meiner Meinung nach garnichts zu suchen, es ist ein netter Zusatz, aber der Hauptaugenmerk sollte, wie der Name schon sagt auf Viren und Trojanern liegen, finde ich.

Lucky

Geschrieben von: bond7 19.06.2006, 13:53

QUOTE
Spyware/Adware hat in Antivirenprogrammen meiner Meinung nach garnichts zu suchen

Warum ? das Risikopotential eines Browserhijackers (oder eines unerwünschten Browserhelper der im Hintergrund fleissig Malware nachläd) ist genauso hoch wie das eines Wurms.
Wenn der AV keine Spyware finden darf/soll, dann braucht man ja wieder zwingend andere Extrascanner und ich weiss nicht ob das viele für klug halten die sowieso schon 100 Codezeilen mehr auf einem System für viel zu gefährlich halten wink.gif

Geschrieben von: Lucky 19.06.2006, 14:41

Also ich verlasse mich eher auf einen Scanner der explizit Spy-/Adware sucht als das dieses auch noch ein AV Programm machen muss, das durch die vergrösserte Signatur Datenbank noch langsamer wird, auf Dauer.

Lucky

Geschrieben von: bond7 19.06.2006, 15:01

QUOTE
das durch die vergrösserte Signatur Datenbank noch langsamer wird

na wenn das die einzigste Erklärung ist .... eine gute HDD liesst den Datensatz schnell genug ein.
wenn ein AV + Spywarescanner also wenn 2 Scanner im Hintergrund laufen macht das System dann auch nicht wieder schneller .

Geschrieben von: rock 20.06.2006, 15:23

hello bond,

na immerhin..ein paar erhalt-bestätigungen sind gekommen....


Geschrieben von: rock 21.06.2006, 06:04

abschliesend (erstmal) ;

... hab ich heut früh von symantec einen haufen mails g'habt...die mir den meisten kram bestätigt haben, mit link zur beschreibung dazu...alles sauber und nett!

ph34r.gif


Geschrieben von: Krond 27.06.2006, 18:08

Hab da jetzt gerade etwas "lustiges" aufgeschnappt:

Scanner Malware name
AntiVir Eicar-Test-Signature
ArcaVir Eicar.Test
Avast X
AVG Antivirus X
BitDefender X
ClamAV Eicar-Test-Signature
Dr.Web EICAR Test File (NOT a Virus!)
F-Prot Antivirus EICAR_Test_File
Fortinet EICAR_TEST_FILE
Kaspersky Anti-Virus EICAR-Test-File
NOD32 Eicar test file
Norman Virus Control EICAR_Test_file_not_a_virus!
UNA X
VirusBuster X
VBA32 EICAR-Test-File


Also, irgendwie tun diese Ergenisse weh, oder verstehe ich da etwas falsch?

Geschrieben von: dragonmale 27.06.2006, 18:32

QUOTE(Krond @ 27.06.2006, 20:07)
Also, irgendwie tun diese Ergenisse weh, oder verstehe ich da etwas falsch?
[right][snapback]155738[/snapback][/right]

Ich denke mal eher, dass man hieran gut sieht, dass man diese Onlinedienste nicht überbewerten sollte.
Ich habe gerade mal die Datei eicar. com, von eicar.org, gezogen und bei Jotti hochgeladen
http://img349.imageshack.us/my.php?image=eicar8jm.jpg
Es sieht zwar etwas anders aus, als bei dir, aber NOD32 z.B. erkennt diese Datei hier lokal ohne weiteres wink.gif

Geschrieben von: OSX 27.06.2006, 19:58

QUOTE(Krond @ 27.06.2006, 19:07)

Also, irgendwie tun diese Ergenisse weh, oder verstehe ich da etwas falsch?
[right][snapback]155738[/snapback][/right]


Mein Info Bot zeigt folgendes:

Maximus: New Signature Detection at Jotti in file: New_Text_Document.txt

F-Prot detected: EICAR_Test_File

Kaspersky detected: EICAR-Test-File

Eset/NOD detected: Eicar test file

Bitdefender detected: NOT DETECTED

Hochgeladen wurde die Datei uebrigens 7:01

Anhand dessen hast Du den Eicar in ein neues Text Document kopiert, wo es durchaus sein kann, dass die Laenge der Datei sich durch Zeilenumbrueche geaendert hat. Den Eicar dann nicht mehr zu erkennen ist keine Schande, weil der sollte nur zielsicher erkannt werden wenn die Datei auch die richtige Groesse hat whistling.gif

Geschrieben von: Krond 27.06.2006, 20:25

Hab ich nicht gemacht, sondern habe ich nur zufällig bei Jotti im Überblick gesehen. Darum auch meine (vielleicht naive) Frage, ob mir das zu Denken geben sollte. Aber wenn der Eicar natürlich verändert wurde, ist ja alles soweit ok.....

Geschrieben von: dragonmale 27.06.2006, 22:16

QUOTE(OSX @ 27.06.2006, 21:57)
Anhand dessen hast Du den Eicar in ein neues Text Document kopiert, wo es durchaus sein kann, dass die Laenge der Datei sich durch Zeilenumbrueche geaendert hat. Den Eicar dann nicht mehr zu erkennen ist keine Schande, weil der sollte nur zielsicher erkannt werden wenn die Datei auch die richtige Groesse hat  whistling.gif
[right][snapback]155784[/snapback][/right]

Das mag zwar das Ergebniss erklären, was Krond gepostet hat, allerdings hatte ich z.B. eine unveränderte Originaldatei, von eicar.org, hochgeladen und diese wird bei Jotti von drei Scannern nicht erkannt wink.gif

Geschrieben von: rock 08.07.2006, 14:38

mal was neues... unsure.gif

AntiVir 6.35.0.21 07.07.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.07.2006 Win32:Trojan-gen. {Other}
AVG 386 07.07.2006 no virus found
BitDefender 7.2 07.08.2006 no virus found
CAT-QuickHeal 8.00 07.07.2006 no virus found
ClamAV devel-20060426 07.07.2006 no virus found
DrWeb 4.33 07.07.2006 no virus found
eTrust-InoculateIT 23.72.63 07.08.2006 no virus found
eTrust-Vet 12.6.2291 07.07.2006 no virus found
Ewido 3.5 07.08.2006 no virus found
Fortinet 2.77.0.0 07.08.2006 suspicious
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.07.2006 Trojan.AVKill.123
Kaspersky 4.0.2.24 07.08.2006 no virus found
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.08.2006 no virus found
NOD32v2 1.1650 07.07.2006 no virus found
Norman 5.90.23 07.07.2006 no virus found
Panda 9.0.0.4 07.08.2006 Suspicious file
Sophos 4.07.0 07.08.2006 no virus found
Symantec 8.0 07.08.2006 no virus found
TheHacker 5.9.8.170 07.07.2006 no virus found
UNA 1.83 07.06.2006 no virus found
VBA32 3.11.0 07.08.2006 no virus found
VirusBuster 4.3.7:9 07.08.2006 no virus found

Geschrieben von: rock 11.07.2006, 05:32

hmm...zum letzten posting...von 08.07.2006, 15:37

Dr. WEB meint, es sei kein Virus.

AVG schreibt zurück:
The file you have sent is unofficial uninstaller of Kaspersky Antivirus. It's interactive and it warns user, that he should use original KAV uninstaller. So, this file won't be included in our virus definitions.

und Mc Afee meint:
McAfee® Avert® Labs Sample Analysis
Issue Number: 2442631
Virus Research Engineer: B.Krishna
Identified: ProcKill-CZ

und sendet mir dafür ne extra dat.

rock ph34r.gif



Geschrieben von: rock 13.07.2006, 17:56

zur abwechslung mal wieder beeindruckende ergebnisse: rolleyes.gif

AntiVir 6.35.0.21 07.13.2006 VBS/Melissa.Dmg
Authentium 4.93.8 07.12.2006 VBS/Polya.A@mm
Avast 4.7.844.0 07.12.2006 VBS:Generic-Mail
AVG 386 07.13.2006 no virus found
BitDefender 7.2 07.13.2006 W97M.Melissa.C@mm.SourceCode
CAT-QuickHeal 8.00 07.13.2006 no virus found
ClamAV devel-20060426 07.13.2006 W97M.Melissa.A
DrWeb 4.33 07.13.2006 W97M.Melissa
eTrust-InoculateIT 23.72.67 07.13.2006 no virus found
eTrust-Vet 12.6.2296 07.13.2006 no virus found

Ewido 4.0 07.13.2006 Worm.Lee.ci
Fortinet 2.77.0.0 07.13.2006 W97M/Melissa.fam@mm
F-Prot 3.16f 07.12.2006 no virus found
F-Prot4 4.2.1.29 07.12.2006 VBS/Polya.A@mm
Ikarus 0.2.65.0 07.13.2006 no virus found
Kaspersky 4.0.2.24 07.13.2006 Virus.MSWord.Melissa
McAfee 4805 07.12.2006 VBA/Generic.src
Microsoft 1.1481 07.13.2006 VBS/Melissa.A
NOD32v2 1.1657 07.13.2006 probably unknown SCRIPT virus
Norman 5.90.23 07.13.2006 no virus found
Panda 9.0.0.4 07.13.2006 W97M/Melissa.Src
Sophos 4.07.0 07.13.2006 no virus found
Symantec 8.0 07.13.2006 no virus found
TheHacker 5.9.8.174 07.13.2006 no virus found

UNA 1.83 07.12.2006 I-Worm.VBS.virus
VBA32 3.11.0 07.12.2006 Email-Worm.VBS.Moffas#1
VirusBuster 4.3.7:9 07.13.2006 no virus found

==============================================

AntiVir 6.35.0.21 07.13.2006 Worm/Nachi.B.1
Authentium 4.93.8 07.12.2006 could be a corrupted executable file
Avast 4.7.844.0 07.12.2006 no virus found
AVG 386 07.13.2006 no virus found

BitDefender 7.2 07.13.2006 Win32.Worm.Welchia.B
CAT-QuickHeal 8.00 07.13.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 07.13.2006 no virus found
DrWeb 4.33 07.13.2006 no virus found
eTrust-InoculateIT 23.72.67 07.13.2006 no virus found
eTrust-Vet 12.6.2296 07.13.2006 no virus found

Ewido 4.0 07.13.2006 Worm.Welchia.b
Fortinet 2.77.0.0 07.13.2006 W32/Nachi.DAM!worm
F-Prot 3.16f 07.12.2006 no virus found
F-Prot4 4.2.1.29 07.12.2006 no virus found

Ikarus 0.2.65.0 07.13.2006 Net-Worm.Win32.Welchia.B
Kaspersky 4.0.2.24 07.13.2006 Net-Worm.Win32.Welchia.b
McAfee 4805 07.12.2006 no virus found
Microsoft 1.1481 07.13.2006 Worm:Win32/Nachi.B.dam#2
NOD32v2 1.1657 07.13.2006 no virus found
Norman 5.90.23 07.13.2006 Nachi.B
Panda 9.0.0.4 07.13.2006 W32/Nachi.L.worm
Sophos 4.07.0 07.13.2006 no virus found
Symantec 8.0 07.13.2006 W32.Welchia.B.Worm
TheHacker 5.9.8.174 07.13.2006 W32/Nachi-dam
UNA 1.83 07.13.2006 Worm.Win32.Welchia.b
VBA32 3.11.0 07.12.2006 Net-Worm.Win32.Welchia.b
VirusBuster 4.3.7:9 07.13.2006 no virus found

==========================================

AntiVir 6.35.0.21 07.13.2006 no virus found
Authentium 4.93.8 07.12.2006 VBS/Seis.A@mm
Avast 4.7.844.0 07.12.2006 no virus found
AVG 386 07.13.2006 no virus found

BitDefender 7.2 07.13.2006 Win32.Vbs.Guatro.A@mm
CAT-QuickHeal 8.00 07.13.2006 VBS.SsiWg
ClamAV devel-20060426 07.13.2006 VBS.Kitro.D
DrWeb 4.33 07.13.2006 no virus found
eTrust-InoculateIT 23.72.67 07.13.2006 no virus found
eTrust-Vet 12.6.2296 07.13.2006 no virus found

Ewido 4.0 07.13.2006 Worm.Guatro.a
Fortinet 2.77.0.0 07.13.2006 VBS/Kitro.D
F-Prot 3.16f 07.12.2006 VBS/Seis.A@mm
F-Prot4 4.2.1.29 07.12.2006 VBS/Seis.A@mm
Ikarus 0.2.65.0 07.13.2006 no virus found
Kaspersky 4.0.2.24 07.13.2006 Email-Worm.VBS.Guatro.a
McAfee 4805 07.12.2006 VBS/Generic
Microsoft 1.1481 07.13.2006 no virus found
NOD32v2 1.1657 07.13.2006 no virus found
Norman 5.90.23 07.13.2006 no virus found
Panda 9.0.0.4 07.13.2006 no virus found

Sophos 4.07.0 07.13.2006 Junk/Kitro-A
Symantec 8.0 07.13.2006 no virus found
TheHacker 5.9.8.174 07.13.2006 no virus found

UNA 1.83 07.13.2006 VBS.Kitro.d
VBA32 3.11.0 07.12.2006 Email-Worm.VBS.Guatro.a#1
VirusBuster 4.3.7:9 07.13.2006 VBS.Kitro.D

und so sachen....

smile.gif

Geschrieben von: bond7 13.07.2006, 18:01

@rock

warst du immer Kreide holen wo wir im Forum schon oft darüber gesprochen hatten das die Onlinescanner nicht 100%ig Aussagekräftig im Vergleich mit einer Homeuser-Clientversion sind und die Erkennungsrate der Onlinescanner meist geringer ist.

Geschrieben von: rock 13.07.2006, 19:28

grummel... smile.gif

ich weis das es nicht immer ganz einwandfrei ist...aber damals wie den small cub nur 2 erkannten....warens ne woche ca. drauf glecih mehr wie die hälfte...

und jetzt hab ich mich gewundert das z.B. 11-12!! scanner bei nachi/welchia und melissa versagen...und wenn davon vielleicht drei aktuell doch mehr was kennen würden wärs schlimm...

ph34r.gif





Geschrieben von: OSX 16.07.2006, 02:15

Wann wird der Meister endlich lernen dass "DAM" damaged heisst, insofern sind das kaputte samples die nicht laufen die Du da hochlaedst. Dann braucht man sich anschliessend auch nicht aufzuregen wenn es der eine oder andere (BEWUSST !) nicht erkennt.

Geschrieben von: rock 16.07.2006, 08:50

gäähnnnn....


Geschrieben von: rock 18.08.2006, 17:55

ich hätt da wieder ein feilchen... für das ich vielleicht wieder ne schelte bekomm weils vielleicht "nix" besonderes is...

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Banker-AND gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Banker.OHJ gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

bei vtotal geht nix...bis zu ner stunde wartezeit...

rolleyes.gif

is aber schon eingeschickt.

SOPHOS:
The file you sent in to us for analysis is
detected as App/AbelLdr-A.

Geschrieben von: raman 18.08.2006, 18:32

VT wird gerade vollgespamt mit Malware...... ansonsten schick die datei an virus@rokop-security.de Wo hast du die "gefunden"?


Geschrieben von: rock 19.08.2006, 05:50

morgen raman,

nä...ich glaub das war nix... dr.web hat geschrieben es ist nix....

die anderen haben nur bestätigt erhalten zu haben... jedoch keine weiteren rückmeldungen. okey, es ist heut samstag 7 uhr... warten wir noch....

dennoch..irgendwas hats in sich was 2 scanner verwirrt hat...

kann man überhaupt noch an rokop einsenden? dann schick ichs dir zur analyse!?

ph34r.gif

Geschrieben von: raman 19.08.2006, 07:26

ZITAT
kann man überhaupt noch an rokop einsenden?


Natuerlich kann man....

Geschrieben von: rock 19.08.2006, 07:28

okey sir...kommt schon...

ph34r.gif

Geschrieben von: rock 20.08.2006, 16:51

AntiVir 6.35.1.3 08.20.2006 TR/WMA.Wimad.D.1
Authentium 4.93.8 08.19.2006 no virus found
Avast 4.7.844.0 08.18.2006 no virus found
AVG 386 08.18.2006 no virus found
BitDefender 7.2 08.20.2006 no virus found
CAT-QuickHeal 8.00 08.18.2006 no virus found
ClamAV devel-20060426 08.20.2006 no virus found

DrWeb 4.33 08.20.2006 Trojan.Isbar.389
eTrust-InoculateIT 23.72.102 08.20.2006 Win32/Wimad!Trojan
eTrust-Vet 30.3.3026 08.18.2006 no virus found
Ewido 4.0 08.19.2006 no virus found
Fortinet 2.77.0.0 08.20.2006 no virus found
F-Prot 3.16f 08.18.2006 no virus found
F-Prot4 4.2.1.29 08.19.2006 no virus found
Ikarus 0.2.65.0 08.18.2006 no virus found

Kaspersky 4.0.2.24 08.20.2006 Trojan-Downloader.WMA.Wimad.d
McAfee 4832 08.18.2006 no virus found
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1716 08.20.2006 no virus found
Norman 5.90.23 08.18.2006 no virus found
Panda 9.0.0.4 08.20.2006 no virus found
Sophos 4.08.0 08.20.2006 no virus found

Symantec 8.0 08.20.2006 Trojan.Wimad
TheHacker 5.9.8.195 08.18.2006 Trojan/Downloader-UA
UNA 1.83 08.18.2006 no virus found
VBA32 3.11.0 08.20.2006 no virus found
VirusBuster 4.3.7:9 08.20.2006 no virus found

===========================================
AntiVir 6.35.1.3 08.20.2006 TR/PSW.SnitchTool
Authentium 4.93.8 08.19.2006 no virus found
Avast 4.7.844.0 08.18.2006 no virus found
AVG 386 08.18.2006 no virus found

BitDefender 7.2 08.20.2006 Trojan.Snitch.A
CAT-QuickHeal 8.00 08.18.2006 RiskWare.PSWTool. (Not a Virus)
ClamAV devel-20060426 08.20.2006 Trojan.PSW.Snitch.11
DrWeb 4.33 08.20.2006 no virus found
eTrust-InoculateIT 23.72.102 08.20.2006 no virus found
eTrust-Vet 30.3.3026 08.18.2006 no virus found

Ewido 4.0 08.19.2006 Not-A-Virus.PSWTool.Win32.Snitch.11
Fortinet 2.77.0.0 08.20.2006 suspicious
F-Prot 3.16f 08.18.2006 no virus found
F-Prot4 4.2.1.29 08.19.2006 no virus found
Ikarus 0.2.65.0 08.18.2006 no virus found

Kaspersky 4.0.2.24 08.20.2006 not-a-virus:PSWTool.Win32.Snitch.11
McAfee 4832 08.18.2006 potentially unwanted program PWCrack-Snitch
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1716 08.20.2006 no virus found
Norman 5.90.23 08.18.2006 no virus found
Panda 9.0.0.4 08.20.2006 no virus found
Sophos 4.08.0 08.20.2006 no virus found
Symantec 8.0 08.20.2006 no virus found
TheHacker 5.9.8.195 08.18.2006 no virus found

UNA 1.83 08.18.2006 Trojan.Win32.Snitch.8F52
VBA32 3.11.0 08.20.2006 no virus found
VirusBuster 4.3.7:9 08.20.2006 no virus found

==============================================

Geschrieben von: rock 21.08.2006, 10:35

hab wieder was liebes... für EWIDO zum beispiel! wink.gif .. aber AVG grisoft erkennt....

AntiVir 6.35.1.3 08.21.2006 TR/Agent.XP
Authentium 4.93.8 08.21.2006 no virus found
Avast 4.7.844.0 08.18.2006 Win32:Agent-AVY
AVG 386 08.18.2006 Agent.IA
BitDefender 7.2 08.21.2006 Trojan.Agent.XP
CAT-QuickHeal 8.00 08.21.2006 no virus found
ClamAV devel-20060426 08.20.2006 no virus found

DrWeb 4.33 08.21.2006 Trojan.Popuper
eTrust-InoculateIT 23.72.102 08.20.2006 no virus found
eTrust-Vet 30.3.3032 08.21.2006 no virus found
Ewido 4.0 08.21.2006 no virus found
Fortinet 2.77.0.0 08.20.2006 suspicious
F-Prot 3.16f 08.21.2006 no virus found
F-Prot4 4.2.1.29 08.21.2006 no virus found
Ikarus 0.2.65.0 08.21.2006 no virus found

Kaspersky 4.0.2.24 08.21.2006 Trojan.Win32.Agent.xp
McAfee 4832 08.18.2006 no virus found
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1717 08.21.2006 no virus found

Norman 5.90.23 08.18.2006 W32/Agent.AHFM
Panda 9.0.0.4 08.20.2006 Suspicious file
Sophos 4.08.0 08.21.2006 no virus found
Symantec 8.0 08.21.2006 no virus found

TheHacker 5.9.8.196 08.21.2006 Trojan/Agent.xp
UNA 1.83 08.18.2006 Trojan.Win32.Agent.0E60
VBA32 3.11.0 08.20.2006 Trojan.Popuper
VirusBuster 4.3.7:9 08.20.2006 no virus found

bereits an Ewido und Mc Afee unterwegs!

edit:
mc afee wird es Generic Downloader.ab nennen...

Geschrieben von: rock 21.08.2006, 18:18

AntiVir Heuristic/Trojan.Downloader gefunden (mögliche Variante)
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Horst.av gefunden
NOD32 a variant of Win32/Medbot.BJ gefunden

Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Geschrieben von: rock 22.08.2006, 14:07

AntiVir 6.35.1.3 08.22.2006 no virus found
Authentium 4.93.8 08.22.2006 no virus found
Avast 4.7.844.0 08.21.2006 no virus found

AVG 386 08.22.2006 Win32/PEPatch
BitDefender 7.2 08.22.2006 Generic.Malware.G!SN!Vp2p!prng.54BD9022
CAT-QuickHeal 8.00 08.21.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.22.2006 no virus found
DrWeb 4.33 08.22.2006 WIN.SCRIPT.Virus
eTrust-InoculateIT 23.72.103 08.22.2006 no virus found
eTrust-Vet 30.3.3034 08.22.2006 no virus found
Ewido 4.0 08.22.2006 no virus found

Fortinet 2.77.0.0 08.22.2006 suspicious
F-Prot 3.16f 08.22.2006 no virus found
F-Prot4 4.2.1.29 08.22.2006 no virus found

Ikarus 0.2.65.0 08.22.2006 Trojan.Win32.LowZones.CF
Kaspersky 4.0.2.24 08.22.2006 P2P-Worm.Win32.gen
McAfee 4834 08.21.2006 no virus found
Microsoft 1.1560 08.22.2006 no virus found

NOD32v2 1.1718 08.21.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 08.22.2006 no virus found
Panda 9.0.0.4 08.21.2006 Suspicious file
Sophos 4.08.0 08.22.2006 no virus found
Symantec 8.0 08.22.2006 no virus found
TheHacker 5.9.8.197 08.21.2006 no virus found
UNA 1.83 08.21.2006 no virus found
VBA32 3.11.0 08.21.2006 no virus found
VirusBuster 4.3.7:9 08.21.2006 no virus found


edit: mc afee: W32/Generic.m

Geschrieben von: blueX 22.08.2006, 19:57

Warum schickst du es nur ewido und McAfee?! thumbdown.gif

Geschrieben von: Stefan 22.08.2006, 22:17

Warum nicht?
Ich sende auch nur Samples an die Hersteller, deren Produkte ich verwende.
Sollen sich doch die Hersteller der anderen Produkte bzw. deren User selber darum kümmern, dass deren Erkennungsrate sich verbessert.
Wenn du dir die Mühe machen willst, Samples an alle möglichen Hersteller zu schicken, bitte gerne.
Außerdem lädt @rock ja die Samples bei V-Total und Jottis hoch. Dort werden meines Wissens ja die Samples den vertretenen Herstellern sowieso zur Verfügung gestellt. So what?

Geschrieben von: bond7 22.08.2006, 22:19

Bleibt immernoch die Frage ob die geposteten Ergebnisse Aussagekraft besitzen, da sich die Qualität der Commandozeilenscanner von Homeversionen unterscheiden.

Von daher verstehe ich den Sinn dieses Threades nicht ganz wink.gif

Geschrieben von: Stefan 22.08.2006, 22:22

Eben.

Geschrieben von: rock 23.08.2006, 10:22

also ich überleg schon was ich drauf sagen soll...

wieso seit ihr so "barsch" biggrin.gif

@ blueX,

natürlich sende ich es an alle die nicht darunter sind. aber wenn du schaust hab ich erst vor kuzen den wimad wieder gepostet mit dem ich eigentlich HIER angefangen hab. du siehst...sie haben das IMMER NOCH NICHT in der erkennung. 2 monate vergangen...
==============

ob jetzt ein trojan oder eine adware oder ein spy ein klacks oder ein witz ist... das ist nicht mein problem.

wenn ein hersteller wie zuletzt ashampoo meint es kennt 470 000! (vierhundert und siebzig TAUSEND!!) sachen oder bedrohungen... frag ich mich was die da zusammengetragen und eingepflegt haben.

der user der da "draussen" sitzt...kennt v-total oder jotti garnicht...erst in FOREN wird es ihm empfohlen bei:

UNKLARHEITEN, GEGENPRÜFUNGEN!

na und wenn meine samples ein schmarren sind oder sinnlose arbeit ist sie hochzuladen... dann müste man doch dort ansetzen wo das problem wirklich liegt.

also dort wo so eine "gegenüberstellung" angeboten wird und die engines einfach den vermerk "no found" haben.

ich und der user MÜSSEN davon ausgehen das dieser test bei bis zu 20 verschiedenen engines ein resultat bringt mit dem ich was anfangen kann.

anhand mc afee sehe ich zum beispiel das sie mir innerhalb ein-einhalb stunden eine antwort und eine extra dat schicken.

bei anderen bekomme ich seit wochen nicht einmal mehr eine antwort...nur eine erhaltsbestätigung zum teil.

sehr gut zurecht komm ich mit Ewido, Mc Afee, Ungarns V-Buster und natürlich auch mit Dr. Web.
daran sehe ich das samples auch wirklich gleich bearbeitet werden. und diese herrschaften sind auch dankbar!

rock ph34r.gif

edit: wenn ich "glück" hab komm ich heur sicher noch auf das 1000ste sample! biggrin.gif ich bin aber nur 1 person....

Geschrieben von: rock 23.08.2006, 16:39

ich frag mich auch ob manche erst erkennen, wenn man sie startet... aber wer probiert das freiwillig ohne testrechner und darauf alle arten von virenscanner...

AntiVir Trojan/VB.AAD.11 gefunden
ArcaVir Trojan.Vb.Aad gefunden
Avast Win32:Banshee gefunden
AVG Antivirus Win32/Fontra gefunden
BitDefender Trojan.VB.AAD gefunden
ClamAV Worm.VB-16 gefunden
Dr.Web Win32.HLLW.Banshee gefunden
F-Prot Antivirus W32/Trojan.BXH gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden

NOD32 Win32/VB.AAD gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden

VBA32 Malware.VB.42 gefunden (mögliche Variante)
==================================

ähnliche variante - kaspersky kennt beide nicht - auch auf kaspersyk.com hochgeladen!

AntiVir Worm/Rbot.155648.5 gefunden
ArcaVir Trojan.Dropper.Vb.Lu gefunden
Avast Win32:Trojano-G gefunden
AVG Antivirus Win32/Fontra gefunden
BitDefender Win32.Worm.VB.Ymeak.A gefunden
ClamAV Trojan.VB-154 gefunden
Dr.Web Win32.HLLW.MyBot gefunden
F-Prot Antivirus W32/Trojan.CZP gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Win32/TrojanDropper.VB.LU gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden

VBA32 Trojan-Dropper.Win32.VB.lu gefunden
=================================

aber meinetwegen kann man das thema schliesen. smile.gif

danke smile.gif

New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.

--
Regards, xxnamexx
Virus Analyst, Kaspersky Lab.

Geschrieben von: blueX 23.08.2006, 17:40

ZITAT(Stefan @ 22.08.2006, 23:16) [snapback]163051[/snapback]


Wenn du dir die Mühe machen willst, Samples an alle möglichen Hersteller zu schicken, bitte gerne.


Es macht ja auch soooviel Mühe einen Verteiler anzulegen oder ein paar Adressen mehr einzutippen.
Andere wären dir sicher auch dankbar; haben aber vielleicht nicht so schlaue Kunden.


ZITAT(Stefan @ 22.08.2006, 23:16) [snapback]163051[/snapback]

Außerdem lädt @rock ja die Samples bei V-Total und Jottis hoch. Dort werden meines Wissens ja die Samples den vertretenen Herstellern sowieso zur Verfügung gestellt. So what?


Richtig. Man betone "zur Verfügung gestellt". Was aber nicht heißt, dass unbedingt Interesse/Priorität dahinter steckt. Samples von potentiellen Kunden werden immer bevorzugt behandelt.

Geschrieben von: Stefan 23.08.2006, 18:36

ZITAT(blueX @ 23.08.2006, 18:39) [snapback]163126[/snapback]
Es macht ja auch soooviel Mühe einen Verteiler anzulegen oder ein paar Adressen mehr einzutippen.
Wenn man dann von den Firmen aber keine Reaktionen bekommt:
ZITAT
aber wenn du schaust hab ich erst vor kuzen den wimad wieder gepostet mit dem ich eigentlich HIER angefangen hab. du siehst...sie haben das IMMER NOCH NICHT in der erkennung. 2 monate vergangen...
... braucht sich niemand zu wundern, wenn man die Samples nur noch an diejenigen schickt, die auch darauf reagieren.

Geschrieben von: blueX 25.08.2006, 16:39

ZITAT(Stefan @ 23.08.2006, 19:35) [snapback]163128[/snapback]

... braucht sich niemand zu wundern, wenn man die Samples nur noch an diejenigen schickt, die auch darauf reagieren.




Bleibt immernoch die Frage ob die geposteten Ergebnisse Aussagekraft besitzen, da sich die Qualität der Commandozeilenscanner von Homeversionen unterscheiden.


Ich denke das sagt alles. whistling.gif

Vielleicht solltest du einfach die Samples an virus (at ) rokop-security.de senden.

Geschrieben von: rock 25.08.2006, 18:02

ZITAT(blueX @ 25.08.2006, 17:38) [snapback]163427[/snapback]

[b]

Vielleicht solltest du einfach die Samples an virus (at ) rokop-security.de senden.


die haben sicher alles was ich hab...

ph34r.gif

Geschrieben von: rock 08.09.2006, 15:23

ist das nun ein wurm oder ein trojaner oder ein virus oder ein alien??

auf die glorreiche idee kam ich, als ich ein unbekanntes-sality sample an ewido schickte, weil ewido VIREN nicht erkennt - nach eigenen angaben des supports. (abgesehen von dem durcheinander der namensgebungen, soll wirklich noch einer zurordnen können, was was ist)?!

daher mal 4 testergebnisse 4 verschiedener sality varianten in unterschiedlichen größen:

ALLES ERKANNT:
AntiVir 7.1.1.16 09.08.2006 W32/Sality.L
Authentium 4.93.8 09.08.2006 W32/Sality.K
Avast 4.7.844.0 09.08.2006 Win32:Sality-AB
AVG 386 09.08.2006 Win32/Sality
BitDefender 7.2 09.08.2006 Win32.Worm.VB.Ymeak.A
CAT-QuickHeal 8.00 09.07.2006 W32.Sality.L
ClamAV devel-20060426 09.08.2006 Trojan.VB-154
DrWeb 4.33 09.08.2006 Win32.Sector.20480
eTrust-InoculateIT 23.72.119 09.08.2006 Win32/Sality.J
eTrust-Vet 30.3.3068 09.08.2006 Win32/Sality.J
Ewido 4.0 09.05.2006 Dropper.VB.lu
Fortinet 2.77.0.0 09.07.2006 W32/Sality.K
F-Prot 3.16f 09.08.2006 W32/Sality.K
F-Prot4 4.2.1.29 09.07.2006 W32/Sality.K
Ikarus 0.2.65.0 09.08.2006 Trojan-Dropper.Win32.VB.LU
Kaspersky 4.0.2.24 09.08.2006 Virus.Win32.Sality.l
McAfee 4847 09.07.2006 W32/Sality.n
Microsoft 1.1560 09.08.2006 Win32/Sality.G
NOD32v2 1.1745 09.08.2006 Win32/Sality.NAE
Norman 5.90.23 09.08.2006 W32/Sality.N
Panda 9.0.0.4 09.07.2006 W32/Sality.O
Sophos 4.09.0 09.08.2006 W32/Sality-I
Symantec 8.0 09.08.2006 Trojan Horse
TheHacker 5.9.8.208 09.08.2006 W32/Sality
UNA 1.83 09.07.2006 Win32.Bagle.fl
VBA32 3.11.1 09.07.2006 Win32.HLLP.Kuku.304
VirusBuster 4.3.7:9 09.08.2006 Win32.Sality.L
=======================================
ALLES ERKANNT
AntiVir 7.1.1.16 09.08.2006 W32/Sality.L
Authentium 4.93.8 09.08.2006 W32/Sality.AC
Avast 4.7.844.0 09.08.2006 Win32:Sality-O
AVG 386 09.08.2006 Win32/Sality
BitDefender 7.2 09.08.2006 Win32.Sality.K
CAT-QuickHeal 8.00 09.07.2006 W32.Sality.K
ClamAV devel-20060426 09.08.2006 Worm.Bagle.CT
DrWeb 4.33 09.08.2006 Win32.HLLM.Beagle.27136
eTrust-InoculateIT 23.72.119 09.08.2006 Win32/Sality.B
eTrust-Vet 30.3.3068 09.08.2006 Win32/Sality.B
Ewido 4.0 09.05.2006 Worm.Bagle.ae
Fortinet 2.77.0.0 09.07.2006 W32/Sality.AB
F-Prot 3.16f 09.08.2006 W32/Sality.AC
F-Prot4 4.2.1.29 09.07.2006 W32/Sality.AC
Ikarus 0.2.65.0 09.08.2006 Email-Worm.Win32.Bagle.ae
Kaspersky 4.0.2.24 09.08.2006 Email-Worm.Win32.Bagle.ae
McAfee 4847 09.07.2006 W32/Bagle.gen!Sality
Microsoft 1.1560 09.08.2006 Win32/Sality.N
NOD32v2 1.1745 09.08.2006 Win32/Sality.NAC
Norman 5.90.23 09.08.2006 W32/Sality.M
Panda 9.0.0.4 09.07.2006 W32/Sality.N
Sophos 4.09.0 09.08.2006 W32/Kookoo-A
Symantec 8.0 09.08.2006 W32.Beagle.DS@mm
TheHacker 5.9.8.208 09.08.2006 W32/Sality.gen
UNA 1.83 09.07.2006 I-Worm.Bagle.ae
VBA32 3.11.1 09.07.2006 Win32.HLLP.Kuku.303a
VirusBuster 4.3.7:9 09.08.2006 I-Worm.Bagle.GX
=====================================
ALLES ERKANNT:
AntiVir 7.1.1.16 09.08.2006 W32/Sality.L
Authentium 4.93.8 09.08.2006 W32/Sality.K
Avast 4.7.844.0 09.08.2006 Win32:Sality-AB
AVG 386 09.08.2006 Win32/Sality
BitDefender 7.2 09.08.2006 Worm.P2P.VB.Bacteria.B
CAT-QuickHeal 8.00 09.07.2006 W32.Sality.L
ClamAV devel-20060426 09.08.2006 W32.Sality.N
DrWeb 4.33 09.08.2006 Win32.Sector.20480
eTrust-InoculateIT 23.72.119 09.08.2006 Win32/Sality.J
eTrust-Vet 30.3.3068 09.08.2006 Win32/Sality.J
Ewido 4.0 09.05.2006 Worm.VB.dz
Fortinet 2.77.0.0 09.07.2006 W32/Sality.K
F-Prot 3.16f 09.08.2006 W32/Sality.K
F-Prot4 4.2.1.29 09.07.2006 W32/Sality.K
Ikarus 0.2.65.0 09.08.2006 P2P-Worm.Win32.VB.DZ
Kaspersky 4.0.2.24 09.08.2006 Virus.Win32.Sality.l
McAfee 4847 09.07.2006 W32/Sality.n
Microsoft 1.1560 09.08.2006 Win32/Sality.G
NOD32v2 1.1745 09.08.2006 Win32/Sality.NAE
Norman 5.90.23 09.08.2006 W32/Sality.N
Panda 9.0.0.4 09.07.2006 W32/Sality.O
Sophos 4.09.0 09.08.2006 W32/Sality-I
Symantec 8.0 09.08.2006 W32.HLLP.Sality.O
TheHacker 5.9.8.208 09.08.2006 W32/Sality
UNA 1.83 09.07.2006 Win32.Bagle.fl
VBA32 3.11.1 09.07.2006 Win32.HLLP.Kuku.304
VirusBuster 4.3.7:9 09.08.2006 Win32.Sality.L
=====================================
NUR DEN MAG EWIDO NICHT
AntiVir 7.1.1.16 09.08.2006 W32/Sality.L
Authentium 4.93.8 09.08.2006 W32/Sality.AC
Avast 4.7.844.0 09.08.2006 Win32:Sality-O
AVG 386 09.08.2006 Win32/Sality
BitDefender 7.2 09.08.2006 Win32.Sality.J
CAT-QuickHeal 8.00 09.07.2006 W32.Sality.K
ClamAV devel-20060426 09.08.2006 Worm.Bagle.CT
DrWeb 4.33 09.08.2006 Win32.HLLM.Beagle.27136
eTrust-InoculateIT 23.72.119 09.08.2006 Win32/Sality.B
eTrust-Vet 30.3.3068 09.08.2006 Win32/Sality.I
Ewido 4.0 09.05.2006 no virus found
Fortinet 2.77.0.0 09.07.2006 W32/Bagle.EB@mm
F-Prot 3.16f 09.08.2006 W32/Sality.AC
F-Prot4 4.2.1.29 09.07.2006 W32/Sality.AC
Ikarus 0.2.65.0 09.08.2006 Email-Worm.Win32.Bagle.ae
Kaspersky 4.0.2.24 09.08.2006 Virus.Win32.Sality.k
McAfee 4847 09.07.2006 W32/Bagle.gen!Sality
Microsoft 1.1560 09.08.2006 Win32/Sality.M
NOD32v2 1.1745 09.08.2006 Win32/Sality.NAC
Norman 5.90.23 09.08.2006 W32/Sality.M
Panda 9.0.0.4 09.07.2006 W32/Sality.N
Sophos 4.09.0 09.08.2006 W32/Kookoo-A
Symantec 8.0 09.08.2006 W32.Beagle.DS@mm
TheHacker 5.9.8.208 09.08.2006 W32/Sality.gen
UNA 1.83 09.07.2006 I-Worm.Bagle.ae
VBA32 3.11.1 09.07.2006 Win32.HLLP.Kuku.303b
VirusBuster 4.3.7:9 09.08.2006 I-Worm.Bagle.GX
==========================================


Geschrieben von: rock 11.09.2006, 18:42

(news)

AntiVir Worm/SpyBot.GZ.69 gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus Worm/Spybot.AAQ gefunden
BitDefender DeepScan:Generic.Malware.SN!!.948370C5 gefunden
ClamAV Worm.Puce.D gefunden
Dr.Web Win32.HLLW.Puce gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus P2P-Worm.Win32.SpyBot.gz gefunden
NOD32 a variant of Win32/Kapucen gefunden
Norman Virus Control W32/Spybot.AYDQ gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

=====================================

mit porndialer siehts nicht gut aus....ist aber ein ital.

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden

BitDefender Generic.Malware.Sdld.F9ACF21A gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus not-a-virus:Porn-Dialer.Win32.Agent.z gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


====================================

ähnlicher dialer:
ebenso nur von kaspersky not-a-virus:Porn-Dialer.Win32.Agent.z und von bitdefender unter der variante Generic.Malware.Sdld.41BDEB78 gemeldet.

====================================

und hier, hmmm... (?)...adware, spyware, dialer, oder sogar backdoor.... oder wieder ein alien... smile.gif

AntiVir 7.1.1.16 09.11.2006 ADSPY/Stud.A.2
Authentium 4.93.8 09.11.2006 W32/Backdoor.KES
Avast 4.7.844.0 09.11.2006 Win32:Spyware-gen.
AVG 386 09.11.2006 Adware Generic.NHU
BitDefender 7.2 09.11.2006 Adware.Stud.A
CAT-QuickHeal 8.00 09.11.2006 AdWare.Stud.a (Not a Virus)
ClamAV devel-20060426 09.11.2006 no virus found
eTrust-InoculateIT 23.72.121 09.10.2006 no virus found
eTrust-Vet 30.3.3071 09.11.2006 no virus found

DrWeb 4.33 09.11.2006 Trojan.MulDrop.3278
Ewido 4.0 09.11.2006 Adware.Stud
Fortinet 2.77.0.0 09.11.2006 Adware/Stud
F-Prot 3.16f 09.11.2006 security risk named W32/Backdoor.KES
F-Prot4 4.2.1.29 09.11.2006 W32/Backdoor.KES
Ikarus 0.2.65.0 09.11.2006 Dialer
Kaspersky 4.0.2.24 09.11.2006 not-a-virus:AdWare.Win32.Stud.a
McAfee 4849 09.11.2006 Generic Downloader.ak
Microsoft 1.1560 09.11.2006 no virus found
NOD32v2 1.1749 09.11.2006 Win32/Adware.BHO.AA
Norman 5.80.02 09.11.2006 W32/Stud.A
Panda 9.0.0.4 09.11.2006 Adware/KeenValue
Sophos 4.09.0 09.11.2006 no virus found
Symantec 8.0 09.11.2006 no virus found

TheHacker 5.9.8.209 09.11.2006 Adware/Stud.a
UNA 1.83 09.11.2006 Adware.Stud.16FC
VBA32 3.11.1 09.11.2006 AdWare.Win32.Stud.a
VirusBuster 4.3.7:9 09.11.2006 Adware.Stud.A

=====================================

Exploits auch nicht sooo besonders... eines davon:

AntiVir Trojan/Expl.PhpBB.I gefunden
ArcaVir Trojan.Exploit.Phpbb.I gefunden
Avast Win32:PhpBB-Exploit gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Virtool.Exploit.PhpBB.A gefunden
ClamAV Keine Viren gefunden
Dr.Web Exploit.phpBB gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus Exploit.Win32.PhpBB.i gefunden
NOD32 Win32/Exploit.PhpBB.I gefunden
Norman Virus Control W32/Phpexploit.A gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden

VBA32 Exploit.Win32.PhpBB.i gefunden
=======================================



Geschrieben von: blueX 11.09.2006, 20:38

Hallo rock,

eine Frage.

Schickst du das Zeug eigentlich noch zu AntiVir, A², VBA32 usw. ein??
Schicke doch die Files auch an virus ( @ ) rokop-security.de - die starten die Trojan-Downloader usw. und schauen, was noch heruntergeladen wird und schicke diese Files auch mit ein.

Geschrieben von: bond7 11.09.2006, 20:51

Jetzt weiss ich auch warum jotti immer zu 100% ausgelastet ist , Rock lässt die Scanner nur rotieren wink.gif

Geschrieben von: Dylan 11.09.2006, 20:57

ZITAT(bond7 @ 11.09.2006, 21:50) [snapback]165577[/snapback]

Jetzt weiss ich auch warum jotti immer zu 100% ausgelastet ist , Rock lässt die Scanner nur rotieren wink.gif


..der ist das also... biggrin.gif bangin.gif

Geschrieben von: rock 11.09.2006, 21:01

nö...im gegenteil.... ich bin bei v-total oft erst an 50er stelle oder mehr....da bekommt man schon einen hinweis beim uploaden das es grausig dauern kann... das ist dann mühsam bei drei oder vier sachen...

bei jotti ist auch immer der rote balken und fast bei 100%...

also da gibts sicher "schlimmere"... besonders was da so hochkommt...

ph34r.gif

Geschrieben von: bond7 11.09.2006, 21:03

jaja nu hör auf zu erzählen ! andere wollen bei Jotti auch noch Scannen biggrin.gif

Geschrieben von: rock 11.09.2006, 21:08

bei jotti ist immer hochbetrieb.... nur selten erwischt man was freies auf anhieb... klar dann bleib ich auch in der leitung und lade nach reihe nach jedem ergebniss ohne neu seite laden....

jetzt ist auch alles besetzt!

und auch ergebnisse die nicht "besser" sind wie meine:

AntiVir Trojan/Dldr.Delf.acc.113
ArcaVir X
Avast X

AVG Antivirus Downloader.Generic2.OED
BitDefender GenPack:Trojan.Downloader.Delf.ACC
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X

Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.acc
NOD32 a variant of Win32/TrojanDownloader.Delf.ACC
Norman Virus Control W32/Delf.QLU
UNA X
VirusBuster X
VBA32 X

====================================

also lann man sich vorstellen was di eleute alle sso "daheim" haben... wo immer viele scanner blass aussehen...aber eigentlich garnicht sollten! smile.gif





Geschrieben von: bond7 11.09.2006, 21:23

interesannter wäre wo nimmst du das Zeug überall her oder scannst du immer dasselbe um zu sehen wann die Scanner das vll. erkennen ?

Geschrieben von: rock 11.09.2006, 22:41

jetzt hat mich mal meine schätze bei authentium (command) online gescannt, da es doch bei so ziemlich allen logs "no found" hat...

und es dürfte da immer noch schwächen haben.... bei der kleinen anzahl gleich vier fünftel verpasst...

von 948 nur 737 erkannt. (nicht genau!)
es sind jedoch einige wegen ordner und gewisser .dat dateien abzuziehen, was aber sicher nicht besonders ins gewicht fällt...

edit: korrektur: wär interessant ob sich der scanner kopien von allen dateien speichert...dann sollte der rest bald in der erkennung sein...wenn sich wer die mühe macht un den rest unter die lupe nimmt....

gute nacht....ich mag heut keine viren klim bims mehr sehen.... smile.gif

ph34r.gif

Geschrieben von: Dylan 11.09.2006, 23:09

ZITAT(rock @ 11.09.2006, 23:40) [snapback]165598[/snapback]

gute nacht....ich mag heut keine viren klim bims mehr sehen.... smile.gif


So,Jotti ist jetzt wieder frei....Auslastung 0%.... biggrin.gif biggrin.gif

Gute nacht,rock.... biggrin.gif

Geschrieben von: rock 15.09.2006, 11:41

AntiVir 7.2.0.16 09.15.2006 TR/Zlob.Gen.65
Authentium 4.93.8 09.14.2006 no virus found
Avast 4.7.844.0 09.13.2006 no virus found
AVG 386 09.14.2006 no virus found

BitDefender 7.2 09.15.2006 Trojan.Zlob.Gen
CAT-QuickHeal 8.00 09.14.2006 no virus found
ClamAV devel-20060426 09.14.2006 no virus found
DrWeb 4.33 09.15.2006 no virus found
eTrust-InoculateIT 23.72.125 09.15.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
Ewido 4.0 09.15.2006 no virus found

Fortinet 2.82.0.0 09.15.2006 W32/Horst.AV!tr!014
F-Prot 3.16f 09.14.2006 no virus found
F-Prot4 4.2.1.29 09.14.2006 no virus found
Ikarus 0.2.65.0 09.14.2006 no virus found
Kaspersky 4.0.2.24 09.15.2006 no virus found
McAfee 4852 09.14.2006 no virus found
Microsoft 1.1560 09.15.2006 no virus found

NOD32v2 1.1758 09.15.2006 a variant of Win32/TrojanProxy.Horst.HD
Norman 5.90.23 09.15.2006 no virus found
Panda 9.0.0.4 09.14.2006 Suspicious file
Sophos 4.09.0 09.15.2006 no virus found
Symantec 8.0 09.15.2006 no virus found


Hello.
New malicious software was found in the attached file.
Trojan-Proxy.Win32.Horst.hv
It's detection will be included in the next update. Thank you for your help.
--
Regards, xxxxx
Virus Analyst, Kaspersky Lab.

Geschrieben von: rock 16.09.2006, 07:47

guten morgen biggrin.gif

die codec story ist ein hammer.... egal welchen du fischt.... sie werden alle JETZT erst in die erkennungen genommen....

AntiVir 7.2.0.16 09.15.2006 DR/Zlob.Gen
Authentium 4.93.8 09.15.2006 Possibly a new variant of W32/Adware-Dropper.MCodec DC behaviorMaximus
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.15.2006 no virus found
BitDefender 7.2 09.15.2006 no virus found
CAT-QuickHeal 8.00 09.15.2006 no virus found
ClamAV devel-20060426 09.15.2006 no virus found
DrWeb 4.33 09.15.2006 no virus found
eTrust-InoculateIT 23.72.126 09.15.2006 no virus found
eTrust-Vet 30.3.3078 09.15.2006 no virus found
Ewido 4.0 09.15.2006 no virus found
Fortinet 2.82.0.0 09.15.2006 suspicious
F-Prot 3.16f 09.15.2006 Possibly a new variant of W32/Adware-Dropper.MCodec-DC-behaviorMaximus
F-Prot4 4.2.1.29 09.15.2006 W32/Adware-Dropper.MCodec-DC-behavior!Maximus
Ikarus 0.2.65.0 09.15.2006 no virus found
Kaspersky 4.0.2.24 09.15.2006 no virus found
McAfee 4853 09.15.2006 no virus found
Microsoft 1.1560 09.15.2006 no virus found
NOD32v2 1.1758 09.15.2006 no virus found
Norman 5.90.23 09.15.2006 no virus found
Panda 9.0.0.4 09.15.2006 Suspicious file
Sophos 4.09.0 09.15.2006 no virus found
Symantec 8.0 09.15.2006 no virus found
TheHacker 5.9.8.212 09.15.2006 no virus found
UNA 1.83 09.15.2006 no virus found
VBA32 3.11.1 09.15.2006 no virus found
VirusBuster 4.3.7:9 09.15.2006 Trojan.DL.Zlob.YK.Gen
=======================================
Hello, thank you, detected as Trojan-Downloader.Win32.Zlob.aky
Detection will be added to the next update.

Best regards, xxxx
Virus analyst, Kaspersky Lab.

edit: es ist der strcodec!

Geschrieben von: Rios 16.09.2006, 08:07

Ist schon drinnen, wenn man das so verfolgt, findet man eine Menge dieser Zlob Varianten. Die aktualisieren eigentlich ständig.
ftp://ftp.microworldsystems.com/pub/update/update.txt

Geschrieben von: rock 16.09.2006, 08:20

na bingo.. wenn sich die so vemehren....dann wirds aber luschtig für die scanner.

vielleicht stoppt die heuritik da doch den einen oder anderen... obwohl ich das auch net ganz glaub, denn man sieht ja manchmal in den ergebnissen, bei antivir z.B, das heuritsik/..... irgendwas dann steht....

denn der ist bei den erkennungen der codecs schon immer dabei.... fast alle anderen nicht....also scannen die nicht mit heuristik bei vtotal - oder kennen die echt alle samt den codechaufen nicht wirklich?

ph34r.gif

Geschrieben von: rock 16.09.2006, 13:22

es tut sich ja was.... ob da jetzt drei oder zwei dialer drinnen erkannt werden, es ist eine zugangssoftware:

ZITAT

DAMALS:
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden

BitDefender Generic.Malware.Sdld.F9ACF21A gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden

Kaspersky Anti-Virus not-a-virus:Porn-Dialer.Win32.Agent.z gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

HEUTE:
AntiVir Dialer/24608.A.7 dialer, Dialer/7168.A.4 dialer, Dialer/24608.A.6 dialer gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden

AVG Antivirus Dialer.CYH, Dialer.CGY, Dialer.CYG gefunden
BitDefender Generic.Malware.Sdld.41BDEB78, Dialer.Porn.Y, Generic.Malware.Sdld.F9ACF21A gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Dialer.Webcont, Dialer.Questo gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Dial/Agent gefunden
Kaspersky Anti-Virus not-a-virus:Porn-Dialer.Win32.Agent.z, not-a-virus:Porn-Dialer.Win32.IDialer.m gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Dialer.AKSA, W32/Dialer.AKUT, W32/Dialer.AKRY gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden

VBA32 Porn-Dialer.Win32.Agent.z, Porn-Dialer.Win32.IDialer.m gefunden


smile.gif

Geschrieben von: citro 12.10.2006, 19:53

Hoi,

weiß jemand warum Symantec bei den Uploadergebnissen von Virustotal nicht mehr dabei ist ?

citro

Geschrieben von: rock 13.10.2006, 09:05

angeblich wars ja immer schon ne alte version..... und die ständigen NO FOUND wird denen wohl gereicht haben...wenn es zum beispiel lt. unsern Bond ja garnicht stimmt...oder nur teilweise nciht stimmt...anyhow.... ist eh hier in diesem thema erwähnt...

ph34r.gif

Geschrieben von: Dylan 13.10.2006, 23:47

ZITAT(rock @ 13.10.2006, 10:04) [snapback]170263[/snapback]

..... und die ständigen NO FOUND wird denen wohl gereicht haben...


Und warum ist dann McAfee noch drin... biggrin.gif

Geschrieben von: ZZbaronZZ 17.10.2006, 03:48

Sophos und Microsoft müssen noch lernen smile.gif


AntiVir 7.2.0.30 10.16.2006 ADSPY/AdvertMen.A.55
Authentium 4.93.8 10.16.2006 W32/Trojan.DAD
Avast 4.7.892.0 10.16.2006 Win32:Small-UC
AVG 386 10.16.2006 Clicker.CAH
BitDefender 7.2 10.17.2006 no virus found
CAT-QuickHeal 8.00 10.16.2006 no virus found
ClamAV devel-20060426 10.17.2006 Adware.Advertmen-1
DrWeb 4.33 10.16.2006 no virus found
eTrust-InoculateIT 23.73.24 10.17.2006 no virus found
eTrust-Vet 30.3.3137 10.16.2006 no virus found
Ewido 4.0 10.16.2006 Hijacker.Agent.hi
Fortinet 2.82.0.0 10.16.2006 suspicious
F-Prot 3.16f 10.16.2006 destructive program named W32/Trojan.DAD
F-Prot4 4.2.1.29 10.16.2006 W32/Trojan.DAD
Ikarus 0.2.65.0 10.16.2006 no virus found
Kaspersky 4.0.2.24 10.17.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4874 10.16.2006 potentially unwanted program Adware-ISTbar
Microsoft 1.1603 10.17.2006 no virus found
NOD32v2 1.1805 10.16.2006 Win32/Adware.AdvertMen
Norman 5.80.02 10.16.2006 W32/Advertmen.E
Panda 9.0.0.4 10.16.2006 Adware/AdvertMem
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.099 10.16.2006 no virus found
UNA 1.83 10.16.2006 TrojanClicker.Win32.Agent.26E0
VBA32 3.11.1 10.16.2006 Trojan-Clicker.Win32.Agent.hi
VirusBuster 4.3.7:9 10.16.2006 Trojan.DR.DL.IstBar.HR

Geschrieben von: rock 17.10.2006, 07:06

wieso nur die beiden... da sind ja noch 4 oder 5 die nicht dabei sind... ausserdem ... hast du das aus einem log kopiert??? die hab ich im juni bereits gepostet...ist aber (ang.) alles samt ein schmarren....

http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=153945

ph34r.gif

hab unlängts wieder ein paket mit ca. 7300malwaren bekommen...werde aber aufgrund herber unfreundlichkeit, genau auswählen wem ich jemals noch samples schicke!

ph34r.gif

Geschrieben von: ZZbaronZZ 17.10.2006, 11:23

nee ich hab nix kopiert. Hab gestern das gestern rauf geladen. Hatte was in Shareaza gefunden smile.gif
In fast allen Shareaza Files ist das im Inhalt (: Aus diesen Grund verwende ich Bitcomet und Shareaza nur für Suche nach Test-Malware unsw.

Geschrieben von: rock 17.10.2006, 15:42

ZITAT(ZZbaronZZ @ 17.10.2006, 12:22) [snapback]170826[/snapback]

(: Aus diesen Grund verwende ich Bitcomet und Shareaza nur für Suche nach Test-Malware unsw.


laugh.gif na wenn du dann zigtausend beisammen hast....suchst dir wen der einen malwarescanner für dich baut! smile.gif für ein gratisprodukt ohne wächter wärs ja was....

biggrin.gif

Geschrieben von: bond7 17.10.2006, 21:27

Mir ist gerade so eine Spammail ins Auge gefallen , dessen Link darin führt zu einer Crystalcasino Seite wo mit 300% Gewinnen blabla geworben wird biggrin.gif Natürlich kann man auf der Seite einzig und allein "nur" eine Malware anklicken, dessen 360kb schweres Objekt auf Virustotal nur von ! Ewido ! als heuristischer Dialer erkannt wurde, allen anderen AVs waren Blind... ! laugh.gif

Geschrieben von: ZZbaronZZ 19.10.2006, 23:49

Complete scanning result of "EXEPASS.EXE", received in VirusTotal at 10.20.2006, 00:38:29 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.31 10.19.2006 no virus found
Authentium 4.93.8 10.19.2006 no virus found
Avast 4.7.892.0 10.19.2006 no virus found
AVG 386 10.19.2006 no virus found
BitDefender 7.2 10.20.2006 no virus found
CAT-QuickHeal 8.00 10.19.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.19.2006 no virus found
DrWeb 4.33 10.19.2006 no virus found
eTrust-InoculateIT 23.73.29 10.19.2006 no virus found
eTrust-Vet 30.3.3143 10.19.2006 no virus found
Ewido 4.0 10.19.2006 no virus found
Fortinet 2.82.0.0 10.19.2006 suspicious
F-Prot 3.16f 10.19.2006 no virus found
F-Prot4 4.2.1.29 10.19.2006 no virus found
Ikarus 0.2.65.0 10.19.2006 no virus found
Kaspersky 4.0.2.24 10.19.2006 no virus found
McAfee 4877 10.19.2006 no virus found
Microsoft 1.1603 10.19.2006 no virus found
NOD32v2 1.1817 10.19.2006 no virus found
Norman 5.80.02 10.19.2006 W32/DLoader.AISD
Sophos 4.10.0 10.15.2006 Mal/Packer
TheHacker 6.0.1.101 10.19.2006 no virus found
UNA 1.83 10.19.2006 no virus found
VBA32 3.11.1 10.19.2006 no virus found
VirusBuster 4.3.7:9 10.19.2006 no virus found


VirusTotal wird Alt thumbdown.gif

http://virusscan.jotti.org/de/ fand mehr thumbup.gif


Datei: EXEPASS.EXE
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: FSG

AntiVir SecurityPrivacyRisk/Tool.Agent.CI riskware gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Tool.DVTPatch gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/DLoader.AISD gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Geschrieben von: ZZbaronZZ 29.10.2006, 05:48

mmh das peil ich nicht ?



Complete scanning result of "atzh.exe", received in VirusTotal at 10.29.2006, 05:40:43 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.34 10.28.2006 no virus found
Authentium 4.93.8 10.28.2006 no virus found
Avast 4.7.892.0 10.27.2006 no virus found
AVG 386 10.27.2006 no virus found
BitDefender 7.2 10.29.2006 no virus found
CAT-QuickHeal 8.00 10.28.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.28.2006 no virus found
DrWeb 4.33 10.28.2006 no virus found
eTrust-InoculateIT 23.73.40 10.28.2006 no virus found
eTrust-Vet 30.3.3164 10.28.2006 no virus found
Ewido 4.0 10.28.2006 no virus found
Fortinet 2.82.0.0 10.29.2006 suspicious
F-Prot 3.16f 10.28.2006 no virus found
F-Prot4 4.2.1.29 10.29.2006 no virus found
Ikarus 0.2.65.0 10.29.2006 no virus found
Kaspersky 4.0.2.24 10.29.2006 no virus found
McAfee 4883 10.27.2006 no virus found
Microsoft 1.1609 10.26.2006 no virus found
NOD32v2 1.1842 10.27.2006 no virus found
Norman 5.80.02 10.27.2006 Suspicious_F.gen
Panda 9.0.0.4 10.28.2006 no virus found
Sophos 4.10.0 10.26.2006 W32/Looked-AK
TheHacker 6.0.1.107 10.27.2006 no virus found
UNA 1.83 10.27.2006 no virus found
VBA32 3.11.1 10.27.2006 no virus found
VirusBuster 4.3.15:9 10.28.2006 no virus found

Geschrieben von: rock 21.11.2006, 11:41

wie geht nochmal die adresse für rokop samples??

könnt ein fehlalarm sein....

AntiVir 7.2.0.39 11.21.2006 no virus found
Authentium 4.93.8 11.20.2006 no virus found
Avast 4.7.892.0 11.20.2006 no virus found
AVG 386 11.20.2006 Downloader.Delf.12.G
BitDefender 7.2 11.21.2006 no virus found
CAT-QuickHeal 8.00 11.20.2006 no virus found
ClamAV devel-20060426 11.20.2006 no virus found
DrWeb 4.33 11.21.2006 no virus found
eSafe 7.0.14.0 11.20.2006 no virus found
eTrust-InoculateIT 23.73.62 11.21.2006 no virus found
eTrust-Vet 30.3.3205 11.21.2006 no virus found
Ewido 4.0 11.21.2006 no virus found
Fortinet 2.82.0.0 11.21.2006 no virus found
F-Prot 3.16f 11.20.2006 no virus found
F-Prot4 4.2.1.29 11.20.2006 no virus found
Ikarus 0.2.65.0 11.21.2006 no virus found
Kaspersky 4.0.2.24 11.21.2006 no virus found
McAfee 4900 11.20.2006 Generic Downloader.d
Microsoft 1.1804 11.21.2006 no virus found
NOD32v2 1874 11.20.2006 no virus found
Norman 5.80.02 11.20.2006 no virus found
Panda 9.0.0.4 11.20.2006 no virus found
Prevx1 V2 11.21.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.122 11.21.2006 no virus found
UNA 1.83 11.20.2006 no virus found
VBA32 3.11.1 11.21.2006 no virus found
VirusBuster 4.3.15:9 11.20.2006 no virus found

Geschrieben von: Sabine 22.11.2006, 20:19

Ich denke mal das es kein Fehlalarm ist weil auch McAfee etwas fand. So schlecht ist der ja auch nun wieder nicht.Hasst du bei jotti oder v-total gescannt. Bei mir brachten beide Seiten öfter als mir lieb war unterschiedliche Ergebnisse.

Geschrieben von: Scrapie 23.11.2006, 09:33

ZITAT(Sabine @ 22.11.2006, 20:18) [snapback]176185[/snapback]

Ich denke mal das es kein Fehlalarm ist weil auch McAfee etwas fand.


Das ist natürlich ein sehr gewichtiger Grund.
Hätte anders ausgesehen, wenn AntiVir etwas gefunden hätte, dann wäre es wohl klar ein Fehlalarm.
Hätten dagegen NOD und VBA etwas gefunden, dann wäre es wohl eher ein Unentschieden - je nach Kaffeesatzlesung davor ....

Großartiger Satz, welcher mir den Tag versüßen wird, danke. smile.gif

Gruß,
Scrapie

PS:
Nicht böse sein, ich fands nur so witzig notworthy.gif

Geschrieben von: rock 23.11.2006, 10:23

also ich glaub dennoch an einen fehler...delf ist nix besonders neues.... und wenn da nur 2 anspringen...

wem kann man's den senden zum anschauen?


ph34r.gif

edit: bei jotti zeigt NIEMAND was an... komisch..AVG ist ja dabei....


Geschrieben von: blueX 23.11.2006, 18:29

ZITAT(rock @ 21.11.2006, 11:40) [snapback]176019[/snapback]

wie geht nochmal die adresse für rokop samples??




virus (öt) rokop-security . de





Geschrieben von: rock 23.11.2006, 18:51

stirnklatsch.gif

Geschrieben von: citro 23.11.2006, 19:41

Ich habe hier mal den Koolplaya hochgeladen, dieser Player muss nicht installiert werden, spielt sämtliche Videoformate ab und hat eine Screenshotfunktion.
Aber der Fund von eSafe sieht seltsam aus.


Complete scanning result of "Koolplaya.exe", received in VirusTotal at 11.23.2006, 19:32:39 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.44 11.23.2006 no virus found
Authentium 4.93.8 11.22.2006 no virus found
Avast 4.7.892.0 11.23.2006 no virus found
AVG 386 11.23.2006 no virus found
BitDefender 7.2 11.23.2006 no virus found
CAT-QuickHeal 8.00 11.23.2006 no virus found
ClamAV devel-20060426 11.23.2006 no virus found
DrWeb 4.33 11.23.2006 no virus found
eSafe 7.0.14.0 11.23.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.65 11.23.2006 no virus found
eTrust-Vet 30.3.3209 11.23.2006 no virus found
Ewido 4.0 11.23.2006 no virus found
Fortinet 2.82.0.0 11.23.2006 suspicious
F-Prot 3.16f 11.22.2006 no virus found
F-Prot4 4.2.1.29 11.22.2006 no virus found
Ikarus 0.2.65.0 11.23.2006 no virus found
Kaspersky 4.0.2.24 11.23.2006 no virus found
McAfee 4903 11.23.2006 no virus found
Microsoft 1.1804 11.23.2006 no virus found
NOD32v2 1879 11.23.2006 no virus found
Norman 5.80.02 11.23.2006 no virus found
Panda 9.0.0.4 11.23.2006 no virus found
Prevx1 V2 11.23.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.23.2006 no virus found
VBA32 3.11.1 11.23.2006 no virus found
VirusBuster 4.3.15:9 11.23.2006 no virus found

Aditional Information
File size: 163328 bytes
MD5: f7f642f15ab045414fcb37e098f2be90
SHA1: 7067c794b2c2e854965139bc4dd718b5d8b7da29
packers: UPX

citro

Geschrieben von: Jacomofive 23.11.2006, 20:12

@citro

Ist wahrscheinlich nur die angesprungene Heuristik > suspicious



Geschrieben von: rock 24.11.2006, 11:20

ZITAT(rock @ 11.07.2006, 05:31) [snapback]157500[/snapback]

hmm...zum letzten posting...von 08.07.2006, 15:37

Dr. WEB meint, es sei kein Virus.

AVG schreibt zurück:
The file you have sent is unofficial uninstaller of Kaspersky Antivirus. It's interactive and it warns user, that he should use original KAV uninstaller. So, this file won't be included in our virus definitions.

und Mc Afee meint:
McAfee® Avert® Labs Sample Analysis
Issue Number: 2442631
Virus Research Engineer: B.Krishna
Identified: ProcKill-CZ


und heute hab ich es wieder versucht ob änderungen eingetreten sind: mc afee und die anderen bleiben wohl dabei und es sind sogar zwei dazugekommen!!

http://vil.nai.com/vil/content/v_136283.htm

AntiVir 7.2.0.44 11.24.2006 no virus found
Authentium 4.93.8 11.23.2006 no virus found
Avast 4.7.892.0 11.23.2006 Win32:Trojan-gen. {Other}
AVG 386 11.23.2006 no virus found
BitDefender 7.2 11.24.2006 no virus found
CAT-QuickHeal 8.00 11.23.2006 no virus found
ClamAV devel-20060426 11.24.2006 no virus found
DrWeb 4.33 11.24.2006 no virus found
eSafe 7.0.14.0 11.23.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.66 11.23.2006 no virus found
eTrust-Vet 30.3.3211 11.24.2006 no virus found
Ewido 4.0 11.23.2006 no virus found
Fortinet 2.82.0.0 11.24.2006 suspicious
F-Prot 3.16f 11.23.2006 no virus found
F-Prot4 4.2.1.29 11.23.2006 no virus found
Ikarus 0.2.65.0 11.23.2006 Trojan.AVKill.123
Kaspersky 4.0.2.24 11.24.2006 no virus found
McAfee 4903 11.23.2006 ProcKill-CZ
Microsoft 1.1804 11.24.2006 no virus found
NOD32v2 1880 11.23.2006 no virus found
Norman 5.80.02 11.23.2006 no virus found
Panda 9.0.0.4 11.23.2006 Suspicious file
Prevx1 V2 11.24.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.23.2006 no virus found
VBA32 3.11.1 11.23.2006 no virus found
VirusBuster 4.3.15:9 11.23.2006 no virus found

Geschrieben von: citro 25.11.2006, 20:07

Hallo, folgendes Problem:

wenn ich die Seite h**p://cash-pool.com/ aufrufe und dort in die Eingabemaske was ausfülle spricht nach dem Klick auf den Button "Finde" mein Virenscanner an.

Klassischer Fehlalarm oder doch nicht ?

Bei Jotti fand nur KAV den Trojan-Downloader.HTML.Agent.bk sowie AVK ( die Signatur besteht erst seit wenigen Stunden). Wenn bei AVK der http-scan aktiviert ist, kommt die Meldung direkt bei Aufruf der Seite
Bei Virustotal war kein Fund zu vermerken.

opr03TPF.htm
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.HTML.Agent.bk gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Citro

Geschrieben von: Domino 25.11.2006, 20:23

Das ist ziemlich sicher ein Fehlalarm. Kaspersky ist informiert.




Domino




Geschrieben von: rock 25.11.2006, 20:25

bei mir passiert auch nix.... blöderweise weis man das dann nie ob nicht im temp i-files dann der dreck liegt...aber da ist scheinbar wirklich nix. (siehe domino).

unter cash-pool hab ich mir zuerst was anderes vorgestellt als ein telefonbuch oder personensuche... smile.gif

ph34r.gif

Geschrieben von: citro 25.11.2006, 20:34

HI,

also wie gesagt, wenn mein http-scan eingeschaltet ist brauche ich nur die Seite aufrufen.
Ohne die http-scanoption muss ich die Eingabefelder ausfüllen und klicken.

Mein Kollege mit KAV6 hat dasselbe Problem.
Ich habe mal die .htm-Datei eingeschickt.

citro


Geschrieben von: rock 25.11.2006, 20:35

ich geh mal tempfiles löschen... biggrin.gif


Geschrieben von: citro 25.11.2006, 21:53

Fehlalarm,

hat sich erledigt nach neuem Update.

citro

Geschrieben von: Mephisto 27.11.2006, 19:07

Mein AntiVir erkennt meine mirc.exe durch das letzte Signaturupdate auf einmal als Schädling ^^

AntiVir Trojan/Dldr.Stration.I gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Program.mIRC.617 gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus not-a-virus:Client-IRC.Win32.mIRC.617 (6, 2, 601) gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:Client-IRC.Win32.mIRC.617 gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

@Skeeve: Sag mal Deinen Kollegen, sie sollen diesen Müll aus den Signaturen entfernen smile.gif

Geschrieben von: citro 27.11.2006, 19:14

ZITAT(Mephisto @ 27.11.2006, 19:06) [snapback]176772[/snapback]

Mein AntiVir erkennt meine mirc.exe durch das letzte Signaturupdate auf einmal als Schädling ^^

@Skeeve: Sag mal Deinen Kollegen, sie sollen diesen Müll aus den Signaturen entfernen smile.gif



Hier kannst du die Datei einschicken.

http://www.avira.de/de/support/verdachtige_dateien_und_sonstige_uploads.html

citro

Geschrieben von: rock 27.11.2006, 19:16

die russen-engines findes auch nicht gerade amused....

ph34r.gif

Geschrieben von: Mephisto 28.11.2006, 18:46

Der Fehler wurde behoben. Mit den aktuellen Signaturen tritt der Alarm nicht mehr auf.

Geschrieben von: rock 07.12.2006, 17:03

und hier wieder ein kleiner krampus... smile.gif

AntiVir 7.2.0.49 12.07.2006 no virus found
Authentium 4.93.8 12.07.2006 no virus found
Avast 4.7.892.0 12.07.2006 no virus found
AVG 386 12.07.2006 no virus found
BitDefender 7.2 12.07.2006 no virus found
CAT-QuickHeal 8.00 12.06.2006 no virus found
ClamAV devel-20060426 12.07.2006 no virus found

DrWeb 4.33 12.07.2006 BACKDOOR.Trojan
eSafe 7.0.14.0 12.07.2006 no virus found
eTrust-InoculateIT 23.73.79 12.07.2006 no virus found
eTrust-Vet 30.3.3236 12.07.2006 no virus found
Ewido 4.0 12.07.2006 no virus found

Fortinet 2.82.0.0 12.07.2006 suspicious
F-Prot 3.16f 12.05.2006 no virus found
F-Prot4 4.2.1.29 12.05.2006 generic
Ikarus T3.1.0.26 12.07.2006 no virus found
Kaspersky 4.0.2.24 12.07.2006 no virus found
McAfee 4912 12.07.2006 no virus found

Microsoft 1.1804 12.07.2006 Win32/NewMalware.gen
NOD32v2 1907 12.07.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 12.07.2006 no virus found
Panda 9.0.0.4 12.07.2006 Trj/Agent.DFD
Prevx1 V2 12.07.2006 no virus found
Sophos 4.12.0 12.06.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006 VIPRE.Suspicious
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.06.2006 no virus found
VBA32 3.11.1 12.06.2006 no virus found


ph34r.gif

Geschrieben von: maxos 07.12.2006, 20:42

Jetzt mal unabhängig davon, dass es sich um ein Einzelbeispiel handelt, aber wär hatte gedacht, dass Sunbelt Counterspy Avira u. Kaspersky nass macht. biggrin.gif

Geschrieben von: rock 07.12.2006, 21:07

ZITAT(maxos @ 07.12.2006, 20:41) [snapback]177711[/snapback]

Jetzt mal unabhängig davon, dass es sich um ein Einzelbeispiel handelt


nicht unbedingt smile.gif

AntiVir 7.2.0.49 12.07.2006 TR/Click.Agent.IJ
Authentium 4.93.8 12.07.2006 W32/Trojan.JPX
Avast 4.7.892.0 12.07.2006 no virus found
AVG 386 12.07.2006 Generic2.ELS
BitDefender 7.2 12.07.2006 no virus found
CAT-QuickHeal 8.00 12.07.2006 no virus found
ClamAV devel-20060426 12.07.2006 no virus found

DrWeb 4.33 12.07.2006 Trojan.DownLoader.14970
eSafe 7.0.14.0 12.07.2006 no virus found
eTrust-InoculateIT 23.73.79 12.07.2006 no virus found
eTrust-Vet 30.3.3236 12.07.2006 no virus found

Ewido 4.0 12.07.2006 Hijacker.Agent.ij
Fortinet 2.82.0.0 12.07.2006 W32/Clicker.TN!tr
F-Prot 3.16f 12.07.2006 destructive program named W32/Trojan.JPX
F-Prot4 4.2.1.29 12.07.2006 W32/Trojan.JPX
Ikarus T3.1.0.26 12.07.2006 Trojan-Clicker.Win32.Agent.ij
Kaspersky 4.0.2.24 12.07.2006 no virus found
McAfee 4913 12.07.2006 no virus found
Microsoft 1.1804 12.07.2006 Win32/NewMalware.gen
NOD32v2 1908 12.07.2006 Win32/VB.NFJ
Norman 5.80.02 12.07.2006 no virus found
Panda 9.0.0.4 12.07.2006 Trj/Clicker.TN
Prevx1 V2 12.07.2006 no virus found
Sophos 4.12.0 12.06.2006 Mal/Packer
Sunbelt 2.2.907.0 11.30.2006 VIPRE.Suspicious
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.07.2006 TrojanClicker.Win32.Agent.0018
VBA32 3.11.1 12.07.2006 Trojan.Win32.VB.NFJ
VirusBuster 4.3.15:9 12.07.2006 Trojan.CL.Agent.FAW


Geschrieben von: citro 07.12.2006, 21:09

@rock

hast du die selbe Datei mal bei jotti untersuchen lassen ?


citro

Geschrieben von: rock 07.12.2006, 21:12

nein....soll(te) ich....


Geschrieben von: citro 07.12.2006, 21:14

ZITAT(rock @ 07.12.2006, 21:11) [snapback]177726[/snapback]

nein....soll(te) ich....


Unterschiede ?

Geschrieben von: rock 07.12.2006, 21:20

ja, bei vtotal dreimal soviel virenscanner.... smile.gif

oder was meinst du?

habs grad verzippt und verschlüsselt...muss ichs wirklich bei jotti prüfen... da ist ausser kaspersky-engine nichts aufregendes dabei...

ph34r.gif

Geschrieben von: citro 07.12.2006, 21:24

Mußt du nicht, aber manche berichten, es gäbe gelegentlich unterschiedliche Ergebnisse wegen evtl. unterschiedlicher Engines.

citro

Geschrieben von: blueX 07.12.2006, 21:26

Lade doch mal hier bei Kaspersky hoch:

http://www.kaspersky.com/de/scanforvirus


Sicher dass das File auch nicht beschädigt oder dergleichen ist?
Dann sende es doch mal an Kaspersky. Adresse dürfte ja bekannt sein.



Geschrieben von: rock 07.12.2006, 21:28

okey...kein problem...norton muckt garnciht...also kann ichs ungestört auspacken und herumschicken,... biggrin.gif

alle beide...

1;

AntiVir Trojan/Click.Agent.IJ gefunden
ArcaVir Trojan.Clicker.Agent.Ij gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic2.ELS gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.14970 gefunden
F-Prot Antivirus W32/Trojan.JPX gefunden
F-Secure Anti-Virus Trojan-Clicker.Win32.Agent.ij gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Agent.ij gefunden
NOD32 Win32/VB.NFJ gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Trojan.CL.Agent.FAW gefunden
VBA32 Trojan.Win32.VB.NFJ gefunden

2;

Trojan/Click.Agent.IJ gefunden
ArcaVir Trojan.Clicker.Agent.Ij gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic2.ELS gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden

Dr.Web Trojan.DownLoader.14970 gefunden
F-Prot Antivirus W32/Trojan.JPX gefunden
F-Secure Anti-Virus Trojan-Clicker.Win32.Agent.ij gefunden
Fortinet W32/Clicker.TN!tr gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Agent.ij gefunden
NOD32 Win32/VB.NFJ gefunden
Norman Virus Control W32/Agent.APXL gefunden
VirusBuster Trojan.CL.Agent.FAW gefunden
VBA32 Trojan.Win32.VB.NFJ gefunden


Geschrieben von: citro 07.12.2006, 21:31

na jetzt aufeinmal doch Kaspersky...

Geschrieben von: rock 07.12.2006, 21:34

hab ich auch gesehen...

und wie ich irrtümlich die selbe datei anstatt der zweiten/anderen variante bei v-total hochgeladen habe....stand bei Cat Quick, das wort suspicious dabei! vorher eben nicht...

ph34r.gif

Geschrieben von: citro 07.12.2006, 21:36

Genau, deswegen kann man bei Jotti auch gelegentlich eine Gegenprobe machen - aber es gibt oft lange Wartezeiten.

Danke Ciao

Geschrieben von: blueX 08.12.2006, 13:38

Ich habe bei Jotti seit einiger Zeit überhaupt keine Wartezeiten mehr ... confused.gif

Geschrieben von: Dylan 10.12.2006, 06:43

Ich hab mal wieder einen neuen Zlob Trojaner gefunden und an fast alle AV Hersteller geschickt.
Das Ergebniss ist nach ca. 5 Stunden ernüchternd......

AntiVir
Heuristic/Malware gefunden (mögliche Variante)
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.DNSChanger.he gefunden
NOD32
probably a variant of Win32/Small.FB gefunden (mögliche Variante)
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Wie eigentlich immer hat Kaspersky den Schädling bereits nach ca. 2 Stunden in die Signaturen aufgenommen,zudem wurde eine Installation duch den Proaktiven Schutz verhindert. thumbup.gif

Geschrieben von: rock 10.12.2006, 10:27

och...da gibts aktuell einige so tolle ergebnisse...

AntiVir 7.2.0.49 12.08.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.08.2006 no virus found
AVG 386 12.09.2006 no virus found
BitDefender 7.2 12.10.2006 no virus found
CAT-QuickHeal 8.00 12.09.2006 no virus found
ClamAV devel-20060426 12.09.2006 no virus found
DrWeb 4.33 12.10.2006 no virus found
eSafe 7.0.14.0 12.07.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3238 12.08.2006 no virus found
Ewido 4.0 12.09.2006 no virus found
Fortinet 2.82.0.0 12.10.2006 suspicious
F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.07.2006 no virus found
Kaspersky 4.0.2.24 12.10.2006 no virus found
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.10.2006 no virus found
NOD32v2 1913 12.09.2006 no virus found
Norman 5.80.02 12.08.2006 no virus found
Panda 9.0.0.4 12.09.2006 no virus found
Prevx1 V2 12.10.2006 Covert.Sys.Exec
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 no virus found
VirusBuster 4.3.15:9 12.09.2006 no virus found

==============================

AntiVir 7.2.0.49 12.08.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.08.2006 Win32:Trojano-704
AVG 386 12.09.2006 no virus found
BitDefender 7.2 12.10.2006 no virus found
CAT-QuickHeal 8.00 12.09.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.09.2006 no virus found
DrWeb 4.33 12.10.2006 no virus found
eSafe 7.0.14.0 12.07.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3238 12.08.2006 no virus found
Ewido 4.0 12.09.2006 Not-A-Virus.VirTool.Win32.AvSpoffer.a
Fortinet 2.82.0.0 12.10.2006 no virus found
F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.07.2006 no virus found
Kaspersky 4.0.2.24 12.10.2006 no virus found
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.10.2006 no virus found
NOD32v2 1913 12.09.2006 no virus found
Norman 5.80.02 12.08.2006 no virus found
Panda 9.0.0.4 12.09.2006 no virus found
Prevx1 V2 12.10.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 no virus found
VirusBuster 4.3.15:9 12.09.2006 no virus found

usw. .....

aber auch wirklich dangerous, nicht nur blöde cracks....

ich möcht mir den R-bot nicht freiwillig eintreten:

erkennung: echt tragisch!

AntiVir 7.2.0.49 12.08.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.08.2006 no virus found
AVG 386 12.09.2006 IRC/BackDoor.SdBot2.MQK
BitDefender 7.2 12.10.2006 no virus found
CAT-QuickHeal 8.00 12.09.2006 no virus found
ClamAV devel-20060426 12.09.2006 no virus found
DrWeb 4.33 12.10.2006 no virus found
eSafe 7.0.14.0 12.07.2006 no virus found
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3238 12.08.2006 no virus found
Ewido 4.0 12.09.2006 Backdoor.Rbot.bpf
Fortinet 2.82.0.0 12.10.2006 W32/RBot.BPF!tr.bdr

F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.07.2006 no virus found
Kaspersky 4.0.2.24 12.10.2006 Backdoor.Win32.Rbot.bpf
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.10.2006 no virus found
NOD32v2 1913 12.09.2006 no virus found
Norman 5.80.02 12.08.2006 no virus found
Panda 9.0.0.4 12.09.2006 no virus found
Prevx1 V2 12.10.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 Backdoor.Win32.Rbot.bpf
VirusBuster 4.3.15:9 12.09.2006 no virus found

Geschrieben von: Krond 10.12.2006, 10:44

Das witzige daran ist ja, dass sich fast alle Hersteller über das Wochenende gerne Zeit lassen. Unter der Woche (Mo-Fr) wird schnell und gründlich eingepflegt, am Wochenende.....Sendepause. Ist mir persönlich schon öfter aufgefallen. Am Montag bekommt man auf einmal den Reply zu Anfragen, die man am Wochenende gestellt hat. McAfee machts in dieser Beziehung gescheiter, die sagen gleich von Anfang an, dass es am Wochenende nichts gibt......und wecken keine falschen Hoffnungen.

Geschrieben von: rock 10.12.2006, 10:54

nutzt ja eh nix... krond... wink.gif

freiwildernde aktuell noch unentdeckte backdoors/dropper gibts wie sand am määär!

AntiVir 7.2.0.49 12.08.2006 TR/Drop.Bifro.ZtB.1
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.08.2006 Win32:Pakes-HB
AVG 386 12.09.2006 Generic2.EPQ
BitDefender 7.2 12.10.2006 Trojan.Pakes.QP

CAT-QuickHeal 8.00 12.09.2006 no virus found
ClamAV devel-20060426 12.09.2006 no virus found
DrWeb 4.33 12.10.2006 BackDoor.Bifrost
eSafe 7.0.14.0 12.07.2006 no virus found
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3238 12.08.2006 no virus found
Ewido 4.0 12.09.2006 Trojan.Pakes
Fortinet 2.82.0.0 12.10.2006 W32/BDoor.CEP!tr

F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.07.2006 Trojan.Win32.Pakes
Kaspersky 4.0.2.24 12.10.2006 Trojan.Win32.Pakes

McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.10.2006 no virus found
NOD32v2 1913 12.09.2006 no virus found
Norman 5.80.02 12.08.2006 no virus found
Panda 9.0.0.4 12.09.2006 no virus found
Prevx1 V2 12.10.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 Trojan.Win32.Pakes
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.08.2006 no virus found
VBA32 3.11.1 12.10.2006 Trojan.Win32.Pakes

ph34r.gif

achso, symantec.... alles NEGATIV, nichts der letzt drei vier tests erkannt ausser den pakes...da nennt sichs Opanki (bei Symantec).

also mit Norton hab ich echt ne freude,....man spart sich das wächter-deaktivieren beim testen der samples! biggrin.gif

Geschrieben von: rock 10.12.2006, 11:22

aus der "alten kiste".... mit aktuellen signaturen:

AntiVir 7.2.0.49 12.08.2006 no virus found
Authentium 4.93.8 12.08.2006 no virus found
Avast 4.7.892.0 12.08.2006 no virus found
AVG 386 12.09.2006 no virus found
BitDefender 7.2 12.10.2006 no virus found
CAT-QuickHeal 8.00 12.09.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.09.2006 no virus found
DrWeb 4.33 12.10.2006 no virus found
eSafe 7.0.14.0 12.07.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.81 12.09.2006 no virus found
eTrust-Vet 30.3.3238 12.08.2006 no virus found
Ewido 4.0 12.09.2006 no virus found
Fortinet 2.82.0.0 12.10.2006 suspicious
F-Prot 3.16f 12.08.2006 no virus found
F-Prot4 4.2.1.29 12.08.2006 no virus found
Ikarus T3.1.0.26 12.07.2006 no virus found
Kaspersky 4.0.2.24 12.10.2006 no virus found
McAfee 4915 12.10.2006 no virus found
Microsoft 1.1804 12.10.2006 no virus found
NOD32v2 1913 12.09.2006 no virus found
Norman 5.80.02 12.08.2006 no virus found
Panda 9.0.0.4 12.09.2006 no virus found
Prevx1 V2 12.10.2006 no virus found
Sophos 4.12.0 12.10.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 VIPRE.Suspicious
TheHacker 6.0.3.130 12.06.2006 no virus found
UNA 1.83 12.08.2006 Win32.CRYPT.virus
VBA32 3.11.1 12.10.2006 no virus found

den schick ich nochmal an rokop...weis auch nimmer wie/wo ich das erhalten habe....
vielleicht kann sichs joerg oder raman anschauen!





Geschrieben von: Dylan 10.12.2006, 13:45

Tja,so ist das nunmal mit den Virenscannern.....keiner findet alles...aber alle können nicht's finden. wink.gif

Geschrieben von: rock 12.12.2006, 18:24

heute wär der selfish mal "aktuell",...ganz oben bei norton z.B. , ...

http://www.symantec.com/enterprise/security_response/threatexplorer/threats.jsp

http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-121209-3201-99

AntiVir 7.3.0.15 12.12.2006 no virus found
Authentium 4.93.8 12.11.2006 W32/Selfish.A
Avast 4.7.892.0 12.12.2006 no virus found
AVG 386 12.11.2006 no virus found
BitDefender 7.2 12.12.2006 Trojan.Agent.ACH
CAT-QuickHeal 8.00 12.12.2006 no virus found
ClamAV devel-20060426 12.12.2006 no virus found
DrWeb 4.33 12.12.2006 no virus found
eSafe 7.0.14.0 12.11.2006 no virus found
eTrust-InoculateIT 23.73.83 12.12.2006 Win32/Selfish
eTrust-Vet 30.3.3246 12.12.2006 no virus found
Ewido 4.0 12.12.2006 no virus found
Fortinet 2.82.0.0 12.12.2006 suspicious
F-Prot 3.16f 12.11.2006 W32/Selfish.A
F-Prot4 4.2.1.29 12.11.2006 W32/Selfish.A

Ikarus T3.1.0.26 12.12.2006 no virus found
Kaspersky 4.0.2.24 12.12.2006 Virus.Win32.Delf.al
McAfee 4917 12.12.2006 no virus found
Microsoft 1.1804 12.12.2006 no virus found
NOD32v2 1917 12.12.2006 Win32/Delf.NDY
Norman 5.80.02 12.12.2006 no virus found
Panda 9.0.0.4 12.12.2006 Suspicious file
Prevx1 V2 12.12.2006 no virus found
Sophos 4.12.0 12.10.2006 W32/Selfish-A
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.131 12.10.2006 no virus found
UNA 1.83 12.11.2006 Trojan.Win32.Agent.65A5
VBA32 3.11.1 12.12.2006 Trojan.Win32.Delf.NDY


ph34r.gif

Geschrieben von: Caimbeul 12.12.2006, 18:51

Das sieht mir wie ein munteres Auf und Ab aus. Mal finden die einen was mal die anderen.

Irgendwie ergibt sich mir der Sinn nicht. Ohne Einstellungen der Scanengines ist das ganze doch nicht wirklich aussagekräftig oder?

Das einzige was evtl. hängen bleibt ist, dass wenn wirklich alle Samples eingeschickt werden und diese auch ordnungsgemäß ankommen und beachtet werden, dass einige AV-Hersteller hier scheinbar erst sehr spät bestimmte Signaturen einpflegen. (wie gesagt wenn mit doppeltem Boden!)

Ich denke jedoch nicht, dass man hier einen 100% Rückschluss auf den eigenen eingesetzen Scanner treffen kann.

Geschrieben von: rock 12.12.2006, 19:01

jo, hier gehts aber um einen der ganz aktuell ist, auch wenn er "very low" bekommen hat...

und wenn man scanner einsetzt die mit (?) stündlichen oder merhmals täglichen updates werben...ist das ergebnis eigentlich eine katastrophe.

ph34r.gif

edit: vorausgesetzt das ergebnis von vtotal würde 100% zusagen...

Geschrieben von: Caimbeul 12.12.2006, 19:08

Und da liegt doch dann der Hund begragen oder?

Wir bräuchten also Aussagen von v-total bzw. eines AV-Herstellers der Proben von v-total bekommt und zwar bezüglich auf die verlässlichkeit des Tests bei v-total und bzgl. der Probeneinpflegung des AV-Herstellers bzw. über deren "Frühwarnsystem".

Beide Aussagen wären warscheinlich positiv und schlicht und ergreifend gelogen. Denn wer gäbe schon geschäftsschädigend zu, dass etwas nicht so funktioniert wie es sollte. rolleyes.gif

Also tappen wir wieder im dunkeln und können nur hoffen, dass die Ergebnisse zu Hause oder in der Firma anders ausfallen würden. unsure.gif


Teor. wäre doch ein Test möglich bei dem die AV-Scanner auf mehreren Rechnern installiert sind und somit verglichen werden könnte wie die Scanner der Webseite sich mit den heimcomputer Scannern unterscheiden. Nur wo finden wir jetzt einen Dummen der das macht whistling.gif

Geschrieben von: Jens1962 13.12.2006, 07:51

ZITAT(Caimbeul @ 12.12.2006, 18:50) [snapback]178214[/snapback]
Ich denke jedoch nicht, dass man hier einen 100% Rückschluss auf den eigenen eingesetzen Scanner treffen kann.
Keine Ahnung, was die da treiben.
Ich habe am Wochenende einen uralten Joke hochgeladen, Antivir bei Jotti findet den, Antivir bei Virustotal ist der völlig egal. Liegt es an der Scannerversion, liegt es an den Einstellungen (wohl eher), oder an beiden?
Schön, daß es diesen Service und die Vergleichsmöglichkeit gibt. Wirklich verläßlich sind sie trotzdem nicht.

Jens

Geschrieben von: rock 13.12.2006, 08:39

moin moin,

bevor ich mich ins getümml der "ich bin doch nciht blöd" läden schleife....

hier der selfish von gestern halb 7 abend bei v-total. JETZT eben bei Jotti:


AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden


AVG Antivirus Win32/Delf.2.B gefunden
BitDefender Trojan.Agent.ACH gefunden

ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden


F-Prot Antivirus W32/Selfish.A gefunden
F-Secure Anti-Virus Virus.Win32.Delf.al gefunden

Fortinet Keine Viren gefunden

Kaspersky Anti-Virus Virus.Win32.Delf.al gefunden
NOD32 Win32/Delf.NDY gefunden

Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden


VBA32 Trojan.Win32.Delf.NDY gefunden

whistling.gif


Geschrieben von: rock 16.12.2006, 08:57

AntiVir 7.3.0.19 12.15.2006 HEUR/Malware
Authentium 4.93.8 12.15.2006 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast 4.7.892.0 12.15.2006 no virus found
AVG 386 12.15.2006 no virus found
BitDefender 7.2 12.16.2006 BehavesLike:Win32.P2P-Worm
CAT-QuickHeal 8.00 12.15.2006 no virus found
ClamAV devel-20060426 12.15.2006 no virus found
DrWeb 4.33 12.15.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.15.2006 no virus found
Fortinet 2.82.0.0 12.16.2006 suspicious
F-Prot 3.16f 12.15.2006 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
F-Prot4 4.2.1.29 12.15.2006 W32/Downloader-WebExe-based!Maximus
Ikarus T3.1.0.26 12.16.2006 no virus found
Kaspersky 4.0.2.24 12.16.2006 no virus found
McAfee 4920 12.15.2006 New Malware.b
Microsoft 1.1804 12.15.2006 TrojanDownloader:Win32/Small.gen!B
NOD32v2 1924 12.15.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 12.15.2006 W32/P2PWorm
Panda 9.0.0.4 12.16.2006 Suspicious file
Prevx1 V2 12.16.2006 Covert.Sys.Exec
Sophos 4.12.0 12.14.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.132 12.14.2006 no virus found
UNA 1.83 12.15.2006 no virus found
VBA32 3.11.1 12.15.2006 no virus found
VirusBuster 4.3.19:9 12.15.2006 no virus found


C:WINDOWSSYSTEM32winctl32.exe.

* Creates value "Windows Control"="C:WINDOWSSYSTEM32winctl32.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionRun".

[ Process/window information ]
* Will automatically restart after boot (I'll be back...). biggrin.gif

===================

@IBK Andi,

bekommst dann wieder ein packerl zugeschickt!

bye
rock ph34r.gif


Geschrieben von: Rios 16.12.2006, 13:12

STATUS: FINISHEDComplete scanning result of "toprC.exe", received in VirusTotal at 12.16.2006, 12:35:31 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.15.2006 no virus found
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.15.2006 no virus found
AVG 386 12.15.2006 no virus found
BitDefender 7.2 12.16.2006 Dropped:Adware.Topmoxie.AC
CAT-QuickHeal 8.00 12.15.2006 no virus found
ClamAV devel-20060426 12.16.2006 no virus found
DrWeb 4.33 12.16.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.15.2006 no virus found
Fortinet 2.82.0.0 12.16.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.16.2006 no virus found
Kaspersky 4.0.2.24 12.16.2006 not-a-virus:AdWare.Win32.WebRebates.c
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 TopRebates.WebRebates (threat-c)
NOD32v2 1924 12.15.2006 Win32/ProcKill
Norman 5.80.02 12.15.2006 W32/WebRebates.C.dropper
Panda 9.0.0.4 12.16.2006 no virus found
Prevx1 V2 12.16.2006 Adware.IstBar
Sophos 4.12.0 12.14.2006 Jkill
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.132 12.16.2006 no virus found
UNA 1.83 12.15.2006 Adware.WebRebates.8D64
VBA32 3.11.1 12.15.2006 no virus found
VirusBuster 4.3.19:9 12.15.2006 no virus found

auch ein Ergebnis.

Rios ph34r.gif

Geschrieben von: rock 17.12.2006, 12:05

bifrose gefällig smile.gif

AntiVir 7.3.0.19 12.15.2006 no virus found
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.16.2006 Win32:Trojan-gen. {Other}
AVG 386 12.16.2006 no virus found
BitDefender 7.2 12.17.2006 DeepScan:Generic.Malware.SE!.B8BCC2A1
CAT-QuickHeal 8.00 12.15.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.17.2006 no virus found
DrWeb 4.33 12.17.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.16.2006 no virus found
Fortinet 2.82.0.0 12.17.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.17.2006 no virus found
Kaspersky 4.0.2.24 12.17.2006 Backdoor.Win32.Bifrose.bk
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1924 12.15.2006 no virus found
Norman 5.80.02 12.15.2006 no virus found
Panda 9.0.0.4 12.16.2006 no virus found
Prevx1 V2 12.17.2006 no virus found
Sophos 4.12.0 12.17.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.133 12.16.2006 no virus found
UNA 1.83 12.15.2006 no virus found
VBA32 3.11.1 12.16.2006 no virus found
VirusBuster 4.3.19:9 12.16.2006 no virus found

whistling.gif

AntiVir 7.3.0.19 12.15.2006 BDS/Latinus.15
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.16.2006 Win32:YAT-B
AVG 386 12.16.2006 no virus found
BitDefender 7.2 12.17.2006 no virus found
CAT-QuickHeal 8.00 12.15.2006 no virus found
ClamAV devel-20060426 12.17.2006 Trojan.Latinus
DrWeb 4.33 12.17.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.16.2006 no virus found
Fortinet 2.82.0.0 12.17.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.17.2006 no virus found
Kaspersky 4.0.2.24 12.17.2006 no virus found
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1924 12.15.2006 no virus found
Norman 5.80.02 12.15.2006 no virus found
Panda 9.0.0.4 12.16.2006 no virus found
Prevx1 V2 12.17.2006 no virus found
Sophos 4.12.0 12.17.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.133 12.16.2006 no virus found
UNA 1.83 12.15.2006 no virus found

edit. ergebnis 1:
Fortinet - W32/Bifrose.BK!tr.bdr
Virusbuster auch Bifrose irgendwas...
3:
AntiVir 7.3.0.19 12.15.2006 TR/IRCBot.TQ
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.16.2006 no virus found

AVG 386 12.16.2006 BackDoor.Generic3.VIL
BitDefender 7.2 12.17.2006 no virus found
CAT-QuickHeal 8.00 12.17.2006 no virus found

ClamAV devel-20060426 12.17.2006 Trojan.VB-177
DrWeb 4.33 12.17.2006 modification of BackDoor.Generic.1422
eSafe 7.0.14.0 12.17.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found

Ewido 4.0 12.17.2006 Backdoor.IRCBot.tq
Fortinet 2.82.0.0 12.17.2006 PossibleThreat!011318
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.17.2006 no virus found
Kaspersky 4.0.2.24 12.17.2006 no virus found
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found

NOD32v2 1924 12.15.2006 a variant of Win32/IRCBot.TQ
Norman 5.80.02 12.15.2006 W32/Ircbot.CVV
Panda 9.0.0.4 12.17.2006 Bck/WebMic.A
Prevx1 V2 12.17.2006 Malware:Gaobot.B
Sophos 4.12.0 12.17.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.133 12.16.2006 no virus found
UNA 1.83 12.15.2006 no virus found
VBA32 3.11.1 12.16.2006 no virus found
VirusBuster 4.3.19:9 12.17.2006 no virus found


4.
New malicious software was found in the attached file.
It's detection will be included in the next update as Backdoor.Win32.IRCBot.vu.

Geschrieben von: Solution-Design 18.12.2006, 16:49

Heute ist mir eine Rechnung ins Email-Haus geflattert. Umso erschrockener war ich, da doch die aktuelle NIS07 installiert ist. Aber so ist das nun mal, nichts ist perfekt.


Sony RX-F18 8.0 MP Digital Camera

Ihre Bestellung # 03614 von EUR 391.00 ist angenommen.

Ihre Karte wird mit dem faelligen Betrag belastet. Danke fuer Ihren Kauf.

Als Anlage finden Sie die Rechnung.


Passt ja so zur Weihnachtszeit.

http://img306.imageshack.us/my.php?image=rechnunexekz2.jpg

http://img502.imageshack.us/my.php?image=rechnunexe2rg5.jpg

Man achte mal wieder auf Avast! Und Antivir.

Geschrieben von: bond7 18.12.2006, 17:12

so eine Rechnung.exe 6kb hatte ich kürzlich erst über diesselbe Email bekommen, bei Norton ins Quarantäne eingestellt und geuploadet... tage später wurde er erkannt.
Das hier scheint wieder eine veränderte Malware Version zu sein , ich hoffe das ändert sich mit der neuen Scanengine von Symantec.

ZITAT
- Detection improvements for non-viral threats (i.e. Spyware, Adware, etc.)
- Addition of more packers support to improve detections for known and unknown threats. ‘Unknown’ in this context refers to new threats as they break out, and for which Symantec Security Response has yet to release definitions. Detections for “unknown” threats are usually named as “Bloodhound”. []
- Support for Microsoft Office 2007.

Geschrieben von: rock 18.12.2006, 17:24

schöööner fund! biggrin.gif nicht schlecht... gleich 14 mal daneben...

da würd ich so nicht unbedingt nur 2 scanner erkennungen vergleichen - bei fast 50% von 29 engines nichts gefunden. sad.gif

wenns um die kostenlosen ginge, könnte man bitdefender free, clam av, dr.web cure it, und avg dazunehmen....

ph34r.gif




Geschrieben von: Solution-Design 18.12.2006, 17:24

ZITAT(bond7 @ 18.12.2006, 17:11) [snapback]178862[/snapback]

so eine Rechnung.exe 6kb hatte ich kürzlich erst über diesselbe Email bekommen, bei Norton ins Quarantäne eingestellt und geuploadet... tage später wurde er erkannt.


Das habe ich auch getan.

ZITAT(bond7 @ 18.12.2006, 17:11) [snapback]178862[/snapback]

Das hier scheint wieder eine veränderte Malware Version zu sein , ich hoffe das ändert sich mit der neuen Scanengine von Symantec.


Das will ich hoffen. Immerhin ist das Teil nichts besonderes. Aber wenn schon alle anderen Scanner das Ding erkennen... Gelber, streng dich an biggrin.gif

Weißt du, wann ungefähr diese neue Engine herauskommen soll?

Geschrieben von: bond7 18.12.2006, 17:26

Ja sicha woas i doa

ZITAT

2007.1 AV Engine Update, which will be released within the 1st Quarter of 2007 virus definitions.

Geschrieben von: Solution-Design 18.12.2006, 17:58

ZITAT(rock @ 18.12.2006, 17:23) [snapback]178865[/snapback]

schöööner fund! biggrin.gif nicht schlecht... gleich 14 mal daneben...
da würd ich so nicht unbedingt nur 2 scanner erkennungen vergleichen - bei fast 50% von 29 engines nichts gefunden. sad.gif


So sehr ich Norton auch ein wenig Vertrauen schenke. Trotzdem läuft hier immer noch einmal die Woche eScan rolleyes.gif

Geschrieben von: Rios 18.12.2006, 18:58

Und immer wieder die Zlob. Varianten ph34r.gif

Antivirus Version Update Result
AntiVir 7.3.0.19 12.18.2006 DR/Zlob.Gen
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.16.2006 no virus found
AVG 386 12.18.2006 Downloader.Zlob.FWQ
BitDefender 7.2 12.18.2006 no virus found
CAT-QuickHeal 8.00 12.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.18.2006 no virus found
DrWeb 4.33 12.18.2006 no virus found
eSafe 7.0.14.0 12.17.2006 Win32.Polipos.sus
eTrust-InoculateIT 23.73.88 12.18.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.18.2006 no virus found
Fortinet 2.82.0.0 12.18.2006 suspicious
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.27 12.18.2006 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 12.18.2006 Trojan-Downloader.Win32.Zlob.bfk
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1925 12.18.2006 no virus found
Norman 5.80.02 12.18.2006 W32/Suspicious_U.gen
Panda 9.0.0.4 12.17.2006 Suspicious file
Prevx1 V2 12.18.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.134 12.18.2006 no virus found
UNA 1.83 12.15.2006 TrojanDownloader.Win32.Zlob.97DC
VBA32 3.11.1 12.18.2006 no virus found
VirusBuster 4.3.19:9 12.18.2006 no virus found

Geschrieben von: Solution-Design 18.12.2006, 19:17

Ja, mit den Zlobs haben einige Probleme. Die Dinger ändern sich ständig. Implementierte TruePrevent-Eigenschaften in AV-Programmen werden immer wichtiger.

Hier mal ein Beispiel, was sonst so ankommt. Die Email-Adresse ist eigentlich nur sehr wenigen Menschen bekannt, dennoch kommt Spam in folgender Form an:

NOD32 installiert in Version 2.5

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\11\14\434.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\11\15\439.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\11\15\441.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\11\17\449.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

NAV installiert in Form von Version NIS2007

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\12\501.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\13\511.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\16\533.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\16\539.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\17\541.mbs infected by "Trojan-Spy.HTML.Bankfraud.od" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\18\552.mbs infected by "Trojan-Downloader.Win32.Small.eap" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Opera\Opera\mail\store\account1\2006\12\18\555.mbs infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\Rechnung_03614.exe infected by "Trojan-Downloader.Win32.Small.eap" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\User\Desktop\Neuer Ordner\Rechnung_03614.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.




Gefunden haben scheinbar beide AVs nichts. Obiges ist ein Log aus eScan 4.7

Geschrieben von: rock 18.12.2006, 20:03

bei diesen "zlob_en" bin ich mir auch nimmer sicher.... Rio's ergebnis hat mich an eine "ältere" datei erinnert....das ergebnis sieht sogar sehr ähnlich aus:

AntiVir 7.3.0.19 12.18.2006 HEUR/Crypted
Authentium 4.93.8 12.15.2006 no virus found
Avast 4.7.892.0 12.16.2006 no virus found
AVG 386 12.18.2006 no virus found
BitDefender 7.2 12.18.2006 no virus found
CAT-QuickHeal 8.00 12.18.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.18.2006 no virus found
DrWeb 4.33 12.18.2006 no virus found
eSafe 7.0.14.0 12.17.2006 Win32.Polipos.sus
eTrust-InoculateIT 23.73.88 12.18.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.18.2006 no virus found
Fortinet 2.82.0.0 12.18.2006 suspicious
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.18.2006 generic
Ikarus T3.1.0.27 12.18.2006 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 12.18.2006 no virus found
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1926 12.18.2006 no virus found
Norman 5.80.02 12.18.2006 W32/Suspicious_U.gen
Panda 9.0.0.4 12.17.2006 Suspicious file
Prevx1 V2 12.18.2006 no virus found
Sophos 4.12.0 12.18.2006 Mal/Packer
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.134 12.18.2006 no virus found
UNA 1.83 12.18.2006 no virus found
VBA32 3.11.1 12.18.2006 no virus found
VirusBuster 4.3.19:9 12.18.2006 no virus found

sieht eher so aus als würde sich Ikarus irren, esafe sagt zu allem polipos und amen, und in wirklichkeit ist das vielleicht sowas wie malware-autoren zum "einpacken" verwenden... confused.gif

macht nix! smile.gif



Geschrieben von: Solution-Design 19.12.2006, 20:45

Und heute eine Rechnung der Telekom, welche NAV07 mal einfach durchgelassen hat (der gestrige Trojaner wurde der Signatur inzwischen hinzugefügt):

http://img303.imageshack.us/my.php?image=telekomjottidl7.jpg

http://img179.imageshack.us/my.php?image=telekomvirustotalfj3.jpg

So langsam könnte Symantec mal Gas geben. Habe nicht so richtig Lust, deren Job zu machen rolleyes.gif

Ist eigentlich einem schon mal aufgefallen, was das NOD32 mit seiner angeblichen Trojanerschwäche so alles erkennt? Oder auch Antivir?

Geschrieben von: Krond 19.12.2006, 20:48

Naja in diesem Fall findet aber NOD auch nichts, außer "error - password protected", dass das File ein Passwort hat und deshalb IMHO nicht gescannt wird.

Geschrieben von: Solution-Design 19.12.2006, 20:56

Stimmt, hab nicht aufgepasst. War sicher zu aufgeregt. ....brrr... huch ein VIRUS tomato.gif

Geschrieben von: rock 19.12.2006, 21:39

ZITAT(Solution-Design @ 19.12.2006, 20:44) [snapback]179021[/snapback]

So langsam könnte Symantec mal Gas geben. Habe nicht so richtig Lust, deren Job zu machen rolleyes.gif

Ist eigentlich einem schon mal aufgefallen, was das NOD32 mit seiner angeblichen Trojanerschwäche so alles erkennt? Oder auch Antivir?


jo smile.gif nod aber nicht gerade so wenn du die letzten 5 oder 7 ergebnisse zurückgehst....

aber symantec kennt den folgenden backdoor auch: nennt es aber "nur" backdoor trojan"....

AntiVir 7.3.0.19 12.19.2006 BDS/Agent.abv.7
Authentium 4.93.8 12.15.2006 W32/Backdoor.OLD
Avast 4.7.892.0 12.19.2006 Win32:Agent-BZQ
AVG 386 12.19.2006 Adware Generic.ORD
BitDefender 7.2 12.19.2006 Dropped:Adware.Stud.C
CAT-QuickHeal 8.00 12.19.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.19.2006 no virus found
DrWeb 4.33 12.19.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.89 12.19.2006 no virus found
eTrust-Vet 30.3.3262 12.19.2006 no virus found

Ewido 4.0 12.19.2006 Adware.Stud
Fortinet 2.82.0.0 12.19.2006 no virus found
F-Prot 3.16f 12.15.2006 security risk named W32/Backdoor.OLD
F-Prot4 4.2.1.29 12.19.2006 W32/Backdoor.OLD
Ikarus T3.1.0.27 12.19.2006 Backdoor.Win32.Agent.abv
Kaspersky 4.0.2.24 12.19.2006 Backdoor.Win32.Agent.abv
McAfee 4922 12.19.2006 no virus found
Microsoft 1.1904 12.19.2006 no virus found
NOD32v2 1928 12.19.2006 no virus found

Norman 5.80.02 12.19.2006 W32/Agent.AOSS
Panda 9.0.0.4 12.19.2006 Adware/SearchBar
Prevx1 V2 12.19.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found

TheHacker 6.0.3.134 12.18.2006 Backdoor/Agent.abv
UNA 1.83 12.19.2006 Backdoor.Agent.7317
VBA32 3.11.1 12.19.2006 Backdoor.Win32.Agent.abv
VirusBuster 4.3.19:9 12.19.2006 Backdoor.Agent.DUR

nur müsste man sich da gewisse beschreibungen rausholen...den mehrmals backdoor...oder adware...oder searchbar....oder auch viele mit garnix biggrin.gif

ph34r.gif

Geschrieben von: Solution-Design 20.12.2006, 00:56

eScan meldet wie NOD32 übrigens auch nur:

Tel.zip infected by "Password-protected-EXE" Virus! Action Taken: File Renamed.

Aber es wird wenigstens, im Gegensatz zu NAV etwas getan. Na, warten wir auf Morgen rolleyes.gif

Geschrieben von: rock 20.12.2006, 09:03

wie passwort-geschützt?

wie sehen die ergebnisse ohne passwort aus?

ph34r.gif

Geschrieben von: rock 20.12.2006, 15:55

hmm...wer (von befugten) möchte diese datei analysieren??

habs auch schon gepostet und abgeschickt an andere n.f. hersteller....

die datei lässt sich weder umbennen, noch löschen...(auf dem normalen weg)...
man erhält stets die meldung das die datei von einem anderen prozess verwendet wird, oder der prozess von wem anderen benutzt wird... aber es wird an und für sich garnix...den sie liegt nur da...allene in einem speziellen ordner....auch nach einem neustart ist die datei kaum anzufassen....

auch bei norman sandbox per e-mail gibts troubles... es kommt lediglich die info das es nicht für Win32 bit systeme ist....oder irgendwas mit diesem hinweis....

die ergebnisse mit signaturen bis 17.12.06


AntiVir 7.3.0.19 12.15.2006 BDS/Latinus.15
Avast 4.7.892.0 12.16.2006 Win32:YAT-B
ClamAV devel-20060426 12.17.2006 Trojan.Latinus

=================================
Authentium 4.93.8 12.15.2006 no virus found
AVG 386 12.16.2006 no virus found
BitDefender 7.2 12.17.2006 no virus found
CAT-QuickHeal 8.00 12.15.2006 no virus found
DrWeb 4.33 12.17.2006 no virus found
eSafe 7.0.14.0 12.14.2006 no virus found
eTrust-InoculateIT 23.73.87 12.16.2006 no virus found
eTrust-Vet 30.3.3254 12.15.2006 no virus found
Ewido 4.0 12.16.2006 no virus found
Fortinet 2.82.0.0 12.17.2006 no virus found
F-Prot 3.16f 12.15.2006 no virus found
F-Prot4 4.2.1.29 12.15.2006 no virus found
Ikarus T3.1.0.26 12.17.2006 no virus found
Kaspersky 4.0.2.24 12.17.2006 no virus found
McAfee 4920 12.15.2006 no virus found
Microsoft 1.1804 12.15.2006 no virus found
NOD32v2 1924 12.15.2006 no virus found
Norman 5.80.02 12.15.2006 no virus found
Panda 9.0.0.4 12.16.2006 no virus found
Prevx1 V2 12.17.2006 no virus found
Sophos 4.12.0 12.17.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.133 12.16.2006 no virus


das selbe mit dem W3/Mapson...wird auch nur von den drei scannern in roter farbe oben, erkannt.
sind zwar schon eher sehr alte dinger!

edit: was "neues":
AntiVir 7.3.0.19 12.20.2006 no virus found
Authentium 4.93.8 12.20.2006 could be a corrupted executable file
Avast 4.7.892.0 12.20.2006 Win32:Trojan-gen. {VB}
AVG 386 12.19.2006 no virus found
BitDefender 7.2 12.20.2006 no virus found
CAT-QuickHeal 8.00 12.20.2006 no virus found
ClamAV devel-20060426 12.20.2006 no virus found
DrWeb 4.33 12.20.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.91 12.20.2006 Win32/Rbot.EWK!Dropper
eTrust-Vet 30.3.3264 12.20.2006 Win32/Alcan.K

Ewido 4.0 12.20.2006 Dropper.VB.me
Fortinet 2.82.0.0 12.20.2006 no virus found
F-Prot 3.16f 12.20.2006 no virus found
F-Prot4 4.2.1.29 12.20.2006 no virus found
Ikarus T3.1.0.27 12.20.2006 no virus found
Kaspersky 4.0.2.24 12.20.2006 Trojan-Dropper.Win32.VB.me
McAfee 4922 12.19.2006 no virus found
Microsoft 1.1904 12.20.2006 no virus found
NOD32v2 1931 12.20.2006 no virus found
Norman 5.80.02 12.20.2006 W32/VBTroj.AFA
Panda 9.0.0.4 12.19.2006 Bck/IRCBot.VA

Prevx1 V2 12.20.2006 no virus found
Sophos 4.12.0 12.18.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.19.2006 TrojanDropper.Win32.VB.5E82
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.20.2006 Trojan.DR.VB.YPK


AntiVir 7.3.0.19 12.20.2006 TR/DNet.Drop.1
Authentium 4.93.8 12.20.2006 is a virus dropper
Avast 4.7.892.0 12.20.2006 Win32:Trojan-gen. {VC}
AVG 386 12.19.2006 Dropper.Generic.FA
BitDefender 7.2 12.20.2006 Trojan.Dropper.Dnet.B
CAT-QuickHeal 8.00 12.20.2006 TrojanDropper.DNet.b
ClamAV devel-20060426 12.20.2006 no virus found
DrWeb 4.33 12.20.2006 Trojan.MulDrop.699
eSafe 7.0.14.0 12.19.2006 Win32.Dnet.b
eTrust-InoculateIT 23.73.91 12.20.2006 no virus found
eTrust-Vet 30.3.3264 12.20.2006 no virus found
Ewido 4.0 12.20.2006 no virus found

Fortinet 2.82.0.0 12.20.2006 W32/DNET.E!tr
F-Prot 3.16f 12.20.2006 virus dropper
F-Prot4 4.2.1.29 12.20.2006 W32/Distnet.B
Ikarus T3.1.0.27 12.20.2006 Trojan-Dropper.Win32.DNet.B
Kaspersky 4.0.2.24 12.20.2006 no virus found
McAfee 4922 12.19.2006 MultiDropper-JF
Microsoft 1.1904 12.20.2006 Trojan:Win32/DNet
NOD32v2 1931 12.20.2006 Win32/TrojanDropper.Dnet.B
Norman 5.80.02 12.20.2006 Dnet.F
Panda 9.0.0.4 12.19.2006 Application/Dnet.A
Prevx1 V2 12.20.2006 TrojanDropper.Win32.DNet.b
Sophos 4.12.0 12.18.2006 Troj/Dnet-B
Sunbelt 2.2.907.0 12.18.2006 Trojan-Dropper.Win32.DNet.b
TheHacker 6.0.3.135 12.20.2006 Trojan/Dropper.DNet.b
UNA 1.83 12.19.2006 TrojanDropper.Win32.DNet.8AE0
VBA32 3.11.1 12.20.2006 TrojanDropper.Win32.DNet.b
VirusBuster 4.3.19:9 12.20.2006 TrojanDropper.DNet.B



Geschrieben von: Solution-Design 20.12.2006, 16:19

ZITAT(rock @ 20.12.2006, 09:02) [snapback]179069[/snapback]

wie passwort-geschützt?

wie sehen die ergebnisse ohne passwort aus?

ph34r.gif


Öhm... vielleicht so:

Tel.zip infected by "Password-unprotected-EXE" Virus! Action Taken: Nevertheless File Renamed.

biggrin.gif

Geschrieben von: rock 20.12.2006, 16:22

öhmm.. nö! schmoll.gif das versteh ich nicht... un- oder geschützt....
ich mein... bei den ergebnissen aus den 2 screenshots/links sagen ja manche es ist passwortgeschützt...ander erkennen darin eine malware per namen.

hast du ein passwort genommen auf das virenuploadscanner anspringen.... das wäre im normalfall "infected"....

ph34r.gif


Geschrieben von: Solution-Design 20.12.2006, 18:18

ZITAT(rock @ 20.12.2006, 16:21) [snapback]179118[/snapback]

hast du ein passwort genommen auf das virenuploadscanner anspringen.... das wäre im normalfall "infected"....


Nein. Das File war schon Standard-Zip. Aber die darin enthaltene EXE ist passwortgeschützt, aber auch gleichzeitig Malware. Warum das aber nicht namentlich genannt wird...

Geschrieben von: Solution-Design 20.12.2006, 19:27

delete

Geschrieben von: Solution-Design 20.12.2006, 19:27

gelöscht

Geschrieben von: Solution-Design 20.12.2006, 19:36

@Rock

Da du mich skeptisch gemacht hast rolleyes.gif habe ich mir diese Mail mal komplett zuschicken lassen.

QUELLTEXT

Betreff: Ihre T-Com Rechnung November



Ihre detaillierte Telekom Rechnung von 1.12.2006 - 15.12.2006

Rechnungsnummer
Kundennummer
Datum
758 513 639 0069
955 987 8083
15. Dezebber 2006

Bei Rückfragen bitte Kundennummer angeben


Seht geehrter Telekom Kunde,

die Gesamtsumme für Ihre Rechnung im Monat November beträgt: 540.32 Euro.
Anbei erhalten Sie den detaillierten Einzelverbindungsnachweis im beigefügter ZIP Datei.

WICHTIG Aus Sicherheitsgründen senden wir ab nun ihre Rechnung verschlüsselt
Ihr persönlichen Passwort lautet: T6MMK

Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie konnen diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir auserdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
======================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WunschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell
======================================

Mit freundlichen Grussen
Ihre T-Com
i.A. Sandy Steinecke
---------------------------------------------------




Aufsichtsrat:
Handelsregister:
Deutsche Telekom AG Niederlassung Mitte, Von-Kuhl-Str. 49, 56070 Koblenz
Postfach 506595, 64300 Darmstadt
+49 (0 61 81) 89-0, Telefax: +49 (0 61 81) 89-12 98 Internet: www.t-com.de
Dr.Klaus Zumwinkel (Vorsitzender)
Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn, USt.-IdNr. DE2158743015


Und siehe da... ein Passwort biggrin.gif

Danach erkennen folgende Scanner die Malware nicht

DrWeb 4.33 12.20.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
Prevx1 V2 12.20.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found

Dateiarchiv: Tel.zip
Datei: Telekom-Rechnung.pdf.exe

Also nur ein bissel Trauer für DrWeb

Geschrieben von: rock 20.12.2006, 19:39

dreimal hält besser! biggrin.gif

danke für die analüüse! smile.gif also hmm....das heisst das gewisse scanner bei jotti in kurzer zeit ein passwort aus 4 buchstaben und einer zahl entschlüsseln? ....

das find ich stark...früher hat man sich auf infected beruht...zuminderst wars anfangs nur so bei mc afee!

bedeutet ja, das gewisse wächter (zuminderst antivir hats getroffen) da online jetzt in selbst-geschütze archive auch schau...äh..scannen! (bis auf die anderen ergebnisse suspekt und small..etc...)

oder bin ich immer noch am bahnhof?

ph34r.gif

Geschrieben von: Solution-Design 20.12.2006, 20:01

Nein nein, du siehst das schon richtig. Kaspersky, Avira, NOD32... ist ein interessanter Weg. Aber da das Ding nicht entpackbar war, müssen sie das über den Dateinamen herausgefummelt, eruiert haben. Oder der doppelten Datei-Endung. Interessant, aber nicht ungefährlich (wegen false positiv).

Geschrieben von: rock 20.12.2006, 20:10

hast du die datei mal ohne passwort bei v-total hochgeladen?
========
wenn mit passwort, dann geh vorher in die eigenschaften der datei und schreib einfach wilden mist rein, schreibschützen,....
dann schicks nochmal hoch bei v-total. ( UND! nimm ein eigenes erfundenes passwort dafür!)

ph34r.gif

Geschrieben von: Solution-Design 21.12.2006, 07:19

ZITAT(rock @ 20.12.2006, 20:09) [snapback]179168[/snapback]

hast du die datei mal ohne passwort bei v-total hochgeladen?
========
wenn mit passwort, dann geh vorher in die eigenschaften der datei und schreib einfach wilden mist rein, schreibschützen,....
dann schicks nochmal hoch bei v-total. ( UND! nimm ein eigenes erfundenes passwort dafür!)

ph34r.gif


Ja, hier mit Passwort: http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=179021

Und zuletzt ohne Passwort. Da wo DrWeb gepatzt hat.

....Warum das vorherige Post jetzt 3-mal auftauchte... keine Ahnung. Hab's gelöscht.

Geschrieben von: bond7 21.12.2006, 16:46

und wieder nee Fakerechnung
Datei: Rechnung_23011.exe
Jotti :
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.dld!!.D6279E29 gefunden
ClamAV Trojan.Downloader-243 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus W32/Downloader.gen9 gefunden
F-Secure Anti-Virus W32/Small.NQT, Trojan-Downloader.Win32.Nurech.t gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Nurech.t gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

virustotal
AntiVir 7.3.0.19 12.21.2006 TR/Agent.6881
Authentium 4.93.8 12.21.2006 W32/Downloader.gen9
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.20.2006 no virus found
BitDefender 7.2 12.21.2006 Generic.Malware.dld!!.D6279E29
CAT-QuickHeal 8.00 12.21.2006 no virus found
ClamAV devel-20060426 12.21.2006 Trojan.Downloader-243
DrWeb 4.33 12.21.2006 no virus found
eSafe 7.0.14.0 12.21.2006 Win32.Downloader
eTrust-InoculateIT 23.73.93 12.21.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 no virus found
Ewido 4.0 12.21.2006 no virus found
Fortinet 2.82.0.0 12.21.2006 no virus found
F-Prot 3.16f 12.21.2006 W32/Downloader.gen9
F-Prot4 4.2.1.29 12.21.2006 W32/Downloader.gen9
Ikarus T3.1.0.27 12.21.2006 Win32.Outbreak
Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Nurech.t
McAfee 4923 12.20.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1933 12.21.2006 no virus found
Norman 5.80.02 12.21.2006 no virus found
Panda 9.0.0.4 12.21.2006 no virus found
Prevx1 V2 12.21.2006 no virus found
Sophos 4.12.0 12.21.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.20.2006 no virus found
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.21.2006 no virus found

Geschrieben von: rock 21.12.2006, 16:54

wahnsinn... so ein schlechtes ergebnis... wo die rechnungen jetzt wieder herkommen...

SOPHOS erkennt übrigens laut eigenen lexikon 2 varianten von W32/Nurech.t H

"nur echt" ist ja auch ein netter ausdruck dafür"!

ph34r.gif

Geschrieben von: Solution-Design 21.12.2006, 22:42

@Bond7
Und was sagte NAV2007?


Antivir erschreckt mich immer mehr, ob seiner guten Leistung. smile.gif

Geschrieben von: bond7 21.12.2006, 23:02

Norton erkennts noch nicht , wird daran liegen das es entweder noch unbekannt ist oder wie üblich exotisch gepackt ist .
Kaspersky erkennts aber auch erst seit Nachmittag :
Trojan-Downloader.Win32.Nurech.t
[ Virus Watch ]
Malware detected 21.12.2006 14:15:08 Update released 21.12.2006 16:08:27

Etwas positives ist aber dabei gewesen , Outlook blockiert den Anhang sofort da es ein reiner EXE-Anhang war.
----------------
igg muss mia berichtigen....
Wurde soeben erkannt , kuckst du Bild. (muschd draufklickn)
In den Risikoeigenschaften steht sogar dabei das die Malware DLL-Injektionseigenschaften besitzt.

Geschrieben von: Solution-Design 21.12.2006, 23:47

Na, das ging ja flott smile.gif

@rock

WEB.de benutzt F-Secure.

Dort hatte ich die t-com Email auch in meinem Spamfilter (habe ich eben erst gesehen, schau da wenig nach). Auch wieder eine ZIP-Datei (mit Passwort geschützt) welche den Trojaner enthielt. Die Datei lag noch im Original (also mit Dateianhang) vor, da die Signaturen zum Eintreffzeitpunkt noch nicht geupd waren. Ich habe die Prüfung also manuell innerhalb des Browser (WEB-Interface) angestoßen.

QUELLTEXT
Ihre detaillierte Telekom Rechnung von 1.12.2006 - 15.12.2006

Rechnungsnummer
Kundennummer
Datum     720 908 466 9635
565 081 2841
15. Dezebber 2006
Bei Rückfragen bitte Kundennummer angeben

Seht geehrter Telekom Kunde,

die Gesamtsumme für Ihre Rechnung im Monat November beträgt: 360.97 Euro.
Anbei erhalten Sie den detaillierten Einzelverbindungsnachweis im beigefügter ZIP Datei.

WICHTIG Aus Sicherheitsgründen senden wir ab nun ihre Rechnung verschlüsselt
Ihr persönlichen Passwort lautet: T6MMK




QUELLTEXT
Hinweis:
Der Anhang "Tel.zip" dieser Mail war mit dem Virus Downloader-AAP!zip infiziert.
Der WEB.DE E-Mail-Virenschutz hat den Anhang gelöscht, der Inhalt der E-Mail sowie eventuelle weitere Anhänge wurden nicht verändert.


Also, die Erkennung von Malware in passwortgeschützten Archiven hat schon was... obwohl ich eine Archive-Unterstützung immer noch nicht für unbedingt notwendig halte. Spätestens beim Entpacken fällt es sowieso auf.

Geschrieben von: citro 22.12.2006, 00:00

ZITAT(Solution-Design @ 21.12.2006, 23:46) [snapback]179326[/snapback]

WEB.de benutzt F-Secure.


Ist das nicht neuerdings McAfee ? (Downloader-AAP ist momentan bei F-secure bzw. Kaspersky unter diesem Namen nicht zu finden)

\citro

Geschrieben von: Solution-Design 22.12.2006, 01:54

Du hast recht. Hätte ich vielleicht drauf kommen sollen, da die Security-Suite von McAfee inkl. Jahreslizenz schon seit Monaten im Club-Bereich kostenfrei angeboten wird. stirnklatsch.gif


Edit: wegen adverbiale Vergewaltigung der deutschen Sprache

Geschrieben von: Rios 22.12.2006, 12:15

Der scheint noch nicht alt zu sein.

Antivirus Version Update Result
AntiVir 7.3.0.21 12.21.2006 TR/Rootkit.Gen
Authentium 4.93.8 12.21.2006 no virus found
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.21.2006 no virus found
BitDefender 7.2 12.22.2006 Trojan.Rootkit.Procob.A
CAT-QuickHeal 8.00 12.21.2006 no virus found
ClamAV devel-20060426 12.21.2006 no virus found
DrWeb 4.33 12.21.2006 Trojan.Spambot
eSafe 7.0.14.0 12.21.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.95 12.22.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 no virus found
Ewido 4.0 12.21.2006 no virus found
Fortinet 2.82.0.0 12.21.2006 suspicious
F-Prot 3.16f 12.21.2006 no virus found
F-Prot4 4.2.1.29 12.21.2006 no virus found
Ikarus T3.1.0.27 12.21.2006 no virus found
Kaspersky 4.0.2.24 12.22.2006 Trojan-Clicker.Win32.Costrat.ac
McAfee 4924 12.21.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1934 12.21.2006 Win32/Rustock.NAX
Norman 5.80.02 12.21.2006 no virus found
Panda 9.0.0.4 12.21.2006 Trj/Clicker.VW
Prevx1 V2 12.22.2006 Win32.Rootkit.Gen
Sophos 4.12.0 12.21.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.21.2006 no virus found
VBA32 3.11.1 12.21.2006 no virus found
VirusBuster 4.3.19:9 12.21.2006 no virus found

http://www.viruslist.com/de/viruses/encyclopedia?virusid=146177

Geschrieben von: Rios 22.12.2006, 12:38

Upps, danke für das verschieben. thumbup.gif

Geschrieben von: rock 22.12.2006, 15:18

ZITAT(citro @ 21.12.2006, 23:59) [snapback]179329[/snapback]

Ist das nicht neuerdings McAfee ? (Downloader-AAP ist momentan bei F-secure bzw. Kaspersky unter diesem Namen nicht zu finden)



doch doch...ist schon mc afee! smile.gif

und jetzt wurde das ganze verfälscht mit dem Versandhaus "Neckermann" verteilt... das teil drinnen dürfte wieder das selbe sein:
http://www.pcwelt.de/news/sicherheit/67442/index.html#

ph34r.gif

Geschrieben von: citro 22.12.2006, 15:29

Bei Symantec steht --- (Downloader)*

* noch nicht in offiziellen Virensignaturen enthalten


sind das Beta-Updates?

citro

Geschrieben von: rock 22.12.2006, 15:53

für mich siehts aus das sich da wer spielt wie mit den codecs....modifizieren...

vorige ergebnisse bei den rechnungen t-online wird mehrmals der W32/Downloader.gen9 erwähnt...bei der neckermann mail ist es der W32/Downloader.gen10

nur die firmen sind andere die diese serie mal so mal so nennen....

ph34r.gif

edit: neckermann selbst gibt auch eine warnung heraus:
http://www.neckermann.de/popup/popup_security_advice.mb1?mb_f020_id=AE75LX60JH-aR_iT6xoN4-QzjPjzWHP9&mb_v301_ch=843c6

Geschrieben von: Solution-Design 23.12.2006, 07:35

ZITAT(Rios @ 18.12.2006, 18:57) [snapback]178885[/snapback]

Und immer wieder die Zlob. Varianten ph34r.gif


File size: 58602 bytes
MD5: 108110445363bd1f26ce15066d1e0167
SHA1: 8c09c360ad9905b5a94e9c5548678aef24abd1b7
packers: UPACK, BINARYRES

AntiVir 7.3.0.21 12.22.2006 TR/Dldr.Zlob.BBP.1
Authentium 4.93.8 12.22.2006 no virus found
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.22.2006 no virus found
BitDefender 7.2 12.23.2006 Trojan.Downloader.Zlob.BBP
CAT-QuickHeal 8.00 12.22.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.23.2006 no virus found
DrWeb 4.33 12.22.2006 Trojan.Popuper
eSafe 7.0.14.0 12.21.2006 Win32.Polipos.sus
eTrust-InoculateIT 23.73.97 12.23.2006 no virus found
eTrust-Vet 30.3.3271 12.23.2006 no virus found
Ewido 4.0 12.22.2006 no virus found
Fortinet 2.82.0.0 12.23.2006 W32/Zlobns.BBP!tr.dldr
F-Prot 3.16f 12.22.2006 no virus found
F-Prot4 4.2.1.29 12.22.2006 no virus found
Ikarus T3.1.0.27 12.23.2006 Trojan-Downloader.Win32.Zlob.and
Kaspersky 4.0.2.24 12.23.2006 Trojan-Downloader.Win32.Zlob.bbp
McAfee 4925 12.22.2006 no virus found
Microsoft 1.1904 12.23.2006 no virus found
NOD32v2 1935 12.22.2006 Win32/TrojanDownloader.Zlob
Norman 5.80.02 12.22.2006 W32/Suspicious_U.gen
Panda 9.0.0.4 12.22.2006 Adware/VideoActiveXObject
Prevx1 V2 12.23.2006 Trojan.Zlob.Gen
Sophos 4.12.0 12.22.2006 Troj/Zlobns-Y
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.22.2006 TrojanDownloader.Win32.Zlob.F276

NAV findet auch noch nichts. Müssen wir wohl auf die 2007er Engine warten. Ist sowieso ein Kreuz mit den TLob-Drissdingern.

Geschrieben von: rock 25.12.2006, 13:17

@ solution d.

dein/der telekom trojaner mit dem T6MMK passwort wird von norton als "schoeberl" ge/erkannt:
http://www.symantec.com/security_response/writeup.jsp?docid=2006-090512-5620-99
ph34r.gif

(schöne feiertage noch! smile.gif )

Geschrieben von: Dylan 25.12.2006, 13:59

ZITAT(citro @ 22.12.2006, 15:28) [snapback]179391[/snapback]

Bei Symantec steht --- (Downloader)*

* noch nicht in offiziellen Virensignaturen enthalten
sind das Beta-Updates?

citro


Ich denke das sind Updates die noch nicht per Live Update verteilt wurden.
Der Test wurde um 13 Uhr durchgeführt,da aber Symantec Updates immer gegen Abend zwischen ca. 18 und 23 Uhr herausgiebt,ist das wohl damit gemeint.

Geschrieben von: rock 30.12.2006, 10:21

na wie gefällt euch diese fratze... jeder kennt doch My Web Search...

Complete scanning result of "SmileyCentralPFSetup2.2.60.4.ZNfo", received in VirusTotal at 12.30.2006, 10:09:45 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.29.2006 no virus found
BitDefender 7.2 12.30.2006 no virus found
CAT-QuickHeal 8.00 12.29.2006 no virus found
ClamAV devel-20060426 12.30.2006 no virus found
DrWeb 4.33 12.30.2006 Trojan.Isbar.438
eSafe 7.0.14.0 12.30.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found
Ewido 4.0 12.29.2006 no virus found
Fortinet 2.82.0.0 12.30.2006 Adware/MyWebSearch
F-Prot 3.16f 12.29.2006 no virus found
F-Prot4 4.2.1.29 12.29.2006 no virus found
Ikarus T3.1.0.27 12.30.2006 no virus found
Kaspersky 4.0.2.24 12.30.2006 not-a-virus:AdTool.Win32.MyWebSearch.av
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.27.2006 no virus found
NOD32v2 1947 12.30.2006 no virus found
Norman 5.80.02 12.29.2006 no virus found
Panda 9.0.0.4 12.30.2006 Application/MyWebSearch
Prevx1 V2 12.30.2006 no virus found
Sophos 4.13.0 12.30.2006 MyWebSearch
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.29.2006 suspected of Trojan-Dropper.Delf.37 (paranoid heuristics)
VirusBuster 4.3.19:9 12.29.2006 no virus found






Geschrieben von: Rios 30.12.2006, 12:25

Dem Oberwachhund Scotty, entgeht fast nichts.
http://www.winpatrol.com/rid.html
http://www.directupload.net/file/d/927/l2CNq2Ng_gif.htm

Geschrieben von: rock 30.12.2006, 12:29

mwsoemon.exe My Web Search Bar Yes
mwssrcas.dll My Web Search Assistant for IE Yes
mwsbar.dll My Web Search Bar Yes

yes yes yes! smile.gif

ph34r.gif

Geschrieben von: rock 31.12.2006, 16:15

Für's neue Jahr die besten Wünsche.... möge es gute signaturen geben...

AntiVir 7.3.0.21 12.30.2006 TR/Small.BOE
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 Win32:Trojan-gen. {Other}
AVG 386 12.31.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found

CAT-QuickHeal 8.00 12.31.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.31.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found

eSafe 7.0.14.0 12.31.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found

Ewido 4.0 12.31.2006 Trojan.Small.boe
Fortinet 2.82.0.0 12.31.2006 Small.BOE!tr
F-Prot 3.16f 12.30.2006 no virus found
F-Prot4 4.2.1.29 12.30.2006 no virus found
Ikarus T3.1.0.27 12.31.2006 no virus found
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found

Panda 9.0.0.4 12.31.2006 Suspicious file
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 Troj/Small-BOE
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.31.2006 no virus found

==========*==========
AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 W32/Trojan.CXV
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.31.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.31.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.31.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found

Ewido 4.0 12.31.2006 Dropper.Agent.xk
Fortinet 2.82.0.0 12.31.2006 PossibleThreat!06945
F-Prot 3.16f 12.30.2006 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 12.30.2006 W32/Trojan.CXV
Ikarus T3.1.0.27 12.31.2006 Trojan-Dropper.Win32.Agent.XK
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.31.2006 no virus found
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.31.2006 no virus found

===========*==========
AntiVir 7.3.0.21 12.30.2006 TR/VB.KF
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 Win32:VB-MO
AVG 386 12.31.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.31.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.31.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found

Ewido 4.0 12.31.2006 Trojan.VB.aje
Fortinet 2.82.0.0 12.31.2006 W32/VB.B!tr
F-Prot 3.16f 12.30.2006 no virus found
F-Prot4 4.2.1.29 12.30.2006 no virus found

Ikarus T3.1.0.27 12.31.2006 Trojan-Clicker.Win32.VB.lx
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 Generic VB.b
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 a variant of Win32/VB.AJE
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.31.2006 Suspicious file
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.31.2006 no virus found

==========*==========

ENDE smile.gif

Geschrieben von: Solution-Design 05.01.2007, 23:19

Symantec NAV2007 legt los

Gestern gab es ein kleines Update und siehe da... ups.. mein seit Anfang vorigen Jahres auf der Platte herumliegender Virus Virus.exe wurde auf einmal erkannt rolleyes.gif Und nicht nur das, sondern auch der TrojanDownloader run.exe (welchen ich schon x-mal eingeschickt habe). Die run.exe wird übrigens von allen auf VirusTotal verfügbaren Scannern erkannt. Nur eben Symantec hatte damit Probleme. Da diese Malware aber wiederum in einem selbstextrahierenden Archiv vorlag, welches von Symantecs NAV immer erkannt wurde, egal wie neu die Malware war/ist, habe ich dies nur als kleinen Bug empfunden. Immerhin war das Selfextracting Archiv auch schon ein TrojanDownloader. Ich habe diese Datei nur mit WinRAR entpackt um festzustellen, wer damit so seine Problemchen hat. Und das waren nicht wenige, falls sich der ein oder andere noch an meine kleinen Ausflüge in die Dark Site of the WEB erinnert. Nun aber zur uralten (wer weiß wie wichtigen) Virus.exe-Malware:

http://img231.imageshack.us/my.php?image=symantecneueerkennung2rf0.jpg

AntiVir 7.3.0.21 01.05.2007 no virus found
Authentium 4.93.8 12.30.2006 W32/Downloader.MRB
Avast 4.7.892.0 12.30.2006 Win32:Small-gen3
AVG 386 01.05.2007 Downloader.Generic.PND
BitDefender 7.2 01.05.2007 Trojan.Downloader.Time2Pay.Y
CAT-QuickHeal 9.00 01.05.2007 no virus found
ClamAV devel-20060426 01.05.2007 no virus found
DrWeb 4.33 01.05.2007 Trojan.DownLoader.6084
eSafe 7.0.14.0 01.05.2007 Win32.PassAlert.n
eTrust-InoculateIT 23.73.106 01.05.2007 no virus found
eTrust-Vet 30.3.3304 01.05.2007 Win32/Harnig.BX
Ewido 4.0 01.05.2007 no virus found
Fortinet 2.82.0.0 01.05.2007 W32/Dloader.N!tr.dldr
F-Prot 3.16f 01.05.2007 security risk named W32/Downloader.MRB
F-Prot4 4.2.1.29 01.05.2007 W32/Downloader.MRB
Ikarus T3.1.0.27 01.05.2007 Backdoor.Win32.PcClient.GV
Kaspersky 4.0.2.24 01.05.2007 Trojan-Downloader.Win32.PassAlert.n
McAfee 4933 01.05.2007 Generic Downloader.q
Microsoft 1.1904 01.05.2007 TrojanDownloader:Win32/Small!9084
NOD32v2 1959 01.05.2007 probably a variant of Win32/TrojanDownloader.Small.AOD
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.05.2007 Suspicious file
Prevx1 V2 01.05.2007 no virus found
Sophos 4.13.0 01.05.2007 Troj/Dloadr-HS
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.143 01.05.2007 Aplicacion/Riskware.Tool.SysModify
UNA 1.83 01.04.2007 no virus found
VBA32 3.11.1 01.04.2007 MalwareScope.Downloader.Small.2
VirusBuster 4.3.19:9 01.05.2007 Trojan.DL.PassAlert.Y

Die Datei ist vom 15.01.2006 Sie befindet sich nochmal, besser gesagt jetzt alleinig, in einem verschachtelten ZIP-Archiv, genauer gesagt, zwei Unterverzeichnisse, dann erst kommt die Malware und das ganze mit komplette Pfad gepackt. Dies erkennt Symantec nicht, genausowenig wie KAV, AVKIS, NOD32 und und und... immerhin sind seit letztem Jahr ein Dutzend AVs darüber gerast wink.gif

Aditional Information
File size: 251080 bytes
MD5: 8292e64f7b5e9d67648cec1bc520c918
SHA1: c0b695d3f32ae94f26334422f3f47d1b522c56a5
packers: UPX
packers: NsPack
packers: UPX
packers: UPX, ZIP

Scheint so, dass die Laufzeitkomprimierer-Schwäche seitens Symantecs AV auch bald der Vergangenheit angehört.

Geschrieben von: Dylan 06.01.2007, 07:30

ZITAT(Solution-Design @ 05.01.2007, 23:18) [snapback]180812[/snapback]

Scheint so, dass die Laufzeitkomprimierer-Schwäche seitens Symantecs AV auch bald der Vergangenheit angehört.


Warten wir mal ab,was die neue Engine so mit sich bringt.

Geschrieben von: bond7 06.01.2007, 09:45

Kürzlich gab es ein kleines Update 3.1.2007 "ApplicationHeuristicScan" und 4.1.2007 "Symantec Decomposer Component Library" , das könnte daher rühren. Die AV-Engine 2007 kommt aber noch.
Am 21.12. gab es ein komplett neuen Autoprotect "Symantec Real Time Storage Protection".

Geschrieben von: Krond 06.01.2007, 18:30

Kommt das alles per Liveupdate herein, oder muss man da etwas zusätzlich machen?

Geschrieben von: Dylan 06.01.2007, 18:37

ZITAT(Krond @ 06.01.2007, 18:29) [snapback]180868[/snapback]

Kommt das alles per Liveupdate herein, oder muss man da etwas zusätzlich machen?

Das kam schon per Live Update,soweit ich mich erinnere,wurde nach der Installation ein Neustart des System gefordert.

Geschrieben von: bond7 06.01.2007, 18:56

@Krond

Irgendwann sollte dich das Programm auffordern ein Liveupdate von Hand zu fahren weil diese Updates ein Reboot erfordern. Die Aufforderung poppt rechts unten auf und kommt beim Neustart des Systems wieder wenn du das ignoriert hattest. Jetzt sag nicht du hast nie was gesehen ?! biggrin.gif

Geschrieben von: citro 06.01.2007, 18:58

Etwas eher kam das Security Update 31

http://www.symantec.com/avcenter/security/Content/2006.12.18.html und http://www.symantec.com/avcenter/attack_sigs/ -- spielt vielleicht entfernt auch eine Rolle.

citro

Geschrieben von: Krond 06.01.2007, 19:09

Doch, ich hab das poppelnde (hehehe) Eckerl schon gesehen. Ich wußte nur nicht, was genau da reinkam, weil ich da eigentlich nicht nachlese...

Geschrieben von: bond7 07.01.2007, 09:16

1&1 Internet AG - Ihre Rechnung 5430946 Dezember

Datei: Rechnung.pdf.exe

Entdeckte Packprogramme: FSG

AntiVir HEUR/Crypted gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader-462 gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Agent.akf gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Suspicious_F.gen gefunden
VirusBuster novirus:Packed/FSG gefunden
VBA32 Keine Viren gefunden

Ja da hatte es wohl die meisten AVs wieder ausgetrickst indem das Ding einfach umgepackt wurde. Ich vermute die Virenbastler testen ihre Arbeiten vorher bei Jotti smile.gif

Geschrieben von: Yopie 07.01.2007, 09:19

ZITAT(bond7 @ 07.01.2007, 09:15) [snapback]180912[/snapback]

1&1 Internet AG - Ihre Rechnung 5430946 Dezember

Dito, wollte es gerade einstellen.

Geschrieben von: Scrapie 07.01.2007, 09:53

ZITAT(bond7 @ 07.01.2007, 09:15) [snapback]180912[/snapback]

Ja da hatte es wohl die meisten AVs wieder ausgetrickst indem das Ding einfach umgepackt wurde. Ich vermute die Virenbastler testen ihre Arbeiten vorher bei Jotti smile.gif

Wer schickt sein, für kommerzielle Dinge ausgelegtes, 'Kunstwerk' freiwillig zu einem 'AV-Honeypot'? whistling.gif
VM's und etwas Handarbeit und es kann überprüft werden ohne das es in den Sig's landet...


Kleine Analyse von meiner Rechnung:


- File spuckt Error-Msg aus
- Schlecht programmierter selfdelet => cmd-Fenster bleibt stehen
- Dropped 'spoolj.exe' in system32 (MD5 = 49983539afa312a91b7381a4934e1d2b)
- fügt folgende Starteinträge hinzu:
QUELLTEXT
HKLM\SOFTWARE\Microsoft\Ole\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\ControlSet001\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\WinUpdate: "C:\WINNT\system32\spoolj.exe"


Jotti für die gedroppte Datei:
QUELLTEXT
Datei:  spoolj.exe  
Auslastung:  0%        100%  

Status:  INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
Entdeckte Packprogramme:  FSG
  
AntiVir  HEUR/Crypted gefunden  
ArcaVir  Keine Viren gefunden
Avast  Keine Viren gefunden
AVG Antivirus  Keine Viren gefunden
BitDefender  Keine Viren gefunden
ClamAV  Trojan.Downloader-462 gefunden  
Dr.Web  Keine Viren gefunden
F-Prot Antivirus  Keine Viren gefunden
F-Secure Anti-Virus  Keine Viren gefunden
Fortinet  Keine Viren gefunden
Kaspersky Anti-Virus  Backdoor.Win32.Agent.akf gefunden  
NOD32  Keine Viren gefunden
Norman Virus Control  Suspicious_F.gen gefunden  
VirusBuster  novirus:Packed/FSG gefunden  
VBA32  Keine Viren gefunden


- versuch 66.235.***.21 zu erreichen und fordert 'GET /~academic/img/horr.php?new=1' an. Die Seite ist aber offline
- Nun versucht es 'www.marketing-****-how.com' aufzurufen und die Datei 'GET /bookreview/inc/c.exe' zu laden. Die ist aber ebenfalls nicht vorhanden.

=> Keine weitere Maleware kann geladen werden => Game over smile.gif

Gruß,
Scrapie

PS:
IP und Host zur Sicherheit zensiert ....

Geschrieben von: bond7 07.01.2007, 10:44

Also auf gut Deutsch, da Ding hatten nur Scriptkiddys mittels Malwarebaukästen erstellt, die aber so keine tiefergehenden Kenntnisse besitzen.

p.s. aber auch wenns da möglicherweise Rohrkrepierer gibt sollte man das Zeug trotzdem nicht anklicken, viele Trojaner manipulieren Systemeinstellungen und diese Schäden rückgängig zu kriegen ist mehr als mühseelig. wink.gif

Geschrieben von: Yopie 07.01.2007, 12:42

http://www.heise.de/newsticker/meldung/83295

Geschrieben von: Scrapie 07.01.2007, 12:49

Interessant wäre, wie viele versch. Versionen es davon gibt.

Meine Rechnung.pdf.exe hatte z.B. MD5 = 19a960f2ae534915040bcb60afaa295f und kam von nem Mailserver in Georgien...


Gruß,
Scrapie

Geschrieben von: Yopie 07.01.2007, 12:52

Hier die gleiche Version.

yopie@athlon ~/Desktop $ md5sum Rechnung.pdf.exe
19a960f2ae534915040bcb60afaa295f Rechnung.pdf.exe

Geschrieben von: raman 07.01.2007, 13:16

Das Ding wurde u.a ueber Botnetze verteilt. Das ist der Grund, warum die Mails teilweise als Spam gemeldet werden, aber teilweise auch nicht.

Alle Download Adressen scheinen Down zu sein. Bis vorhin funktionierte noch eine Adresse mit einem Base64 codierte Datei die auf einen defekten Downloadlink verwies.

Geschrieben von: bond7 07.01.2007, 13:29

Gdata Onlinescanner scheint ungepflegt zu sein . Bei der pdf.exe zeigt es an:
keine infizierten Dateien gefunden!
Verwendete Scan-Engines:
Engine A (AVK 17.1848, 06.01.2007)
Engine B (AVKB 17.92, 03.01.2007)

Geschrieben von: Dylan 07.01.2007, 15:43

@ bond7

Erkennt NAV eigentlich den Schädling schon ?

Geschrieben von: bond7 07.01.2007, 15:53

Nein und noch keine Signatur für das Objekt vorhanden , eingesendet ist es aber .

Geschrieben von: Dylan 07.01.2007, 16:03

Prüf doch bitte mal heute nach dem Update nochmal,ob dann eine Erkennung da ist.

Geschrieben von: raman 07.01.2007, 16:16

Nein, ist nicht, nicht mal als beta, aber da ist NAV in "guter" Gesellschaft. Es ist ja auch Wochenende. smile.gif

AntiVir HEUR/Crypted
Avast! -
AVG -
BitDefender -
ClamAV -
Command -
Dr Web Trojan.DownLoader.17212
eSafe -
eTrust-INO -
eTrust-VET -
Ewido -
F-Prot -
F-Secure Backdoor.Win32.Agent.akf
F-Secure (BETA) Backdoor.Win32.Agent.akf
Fortinet suspicious
Fortinet (BETA) W32/Small.ZC!tr.dldr
Ikarus suspicious
Kaspersky Backdoor.Win32.Agent.akf
McAfee -
McAfee (BETA) -
Microsoft -
Nod32 -
Norman Suspicious_F.gen
Panda Suspicious file
Panda (BETA) Trj/Abwiz.BP
QuickHeal Suspicious (warning)
Rising -
Sophos Mal/Packer
Symantec -
Symantec (BETA) -
Trend Micro (BETA) TROJ_YABE.AR
UNA -
VBA32 -
VirusBuster novirus:Packed/FSG

Geschrieben von: bond7 07.01.2007, 16:19

Clam AV sollte ein "ClamAV Trojan.Downloader-462 gefunden" anzeigen. Normalerweise erkennt der aber nie was.

Geschrieben von: elenan 07.01.2007, 16:54

Die Variante mit MD5=19a960f2ae534915040bcb60afaa295f installiert sich nicht als spoolj.exe, sondern als appmgrt.exe. Diese installierte Datei ist die gleiche, die vorher als E-Mail-Anhang (Rechnung.pdf.exe) ankam, nur umbenannt und mit anderen Attributen (system, hidden, read-only) und anderen Datei-Zeiten. Sie enthält immer noch das Acrobat-Icon. Größe 8,96 KB bzw 9181 Bytes.

Die Datei wird als Service gestartet. Die Registry-Einträge entsprechen den oben aufgeführten. Solange der Service läuft, stellt er die Registry-Einträge immer wieder her, wenn sie gelöscht werden. Die PID dieses Tasks kann man herausfinden mit:

tasklist /svc /fi "imagename eq svchost.exe"

In der Zeile, in der in der rechten Spalte der Name des Service nicht verfügbar ist, steht in der mittleren Spalte die PID des Tasks, der gekillt werden muss.

Oder mit Process Explorer nachschauen, welcher svchost Prozess im Kommandozeilen-Argument appmgrt.exe enthält.


Geschrieben von: raman 07.01.2007, 17:02

Der Dateiname aendert sich bei jeder Installation, sie ist immer nur nahe an Systemdateinamen angelegt. Du kannst die Datei auch mehrmals starten und du wirst immer einen anderen Dateinamen bekommen.

Geschrieben von: bond7 07.01.2007, 17:05

Bei mir in der Virtual Machine wurden eine adsntr.exe und adsntr.pif erstellt und zusätzlich noch ein BHO ipv6monl.dll reininstalliert . Die [Winupdate] Dateibezeichnungen scheinen bei jedem anders zu sein , der Name wird vermutlich rein zufällig erstellt. Im abgesicherten Modus bekommt man Zugriff auf den Prozess.

Geschrieben von: raman 07.01.2007, 17:13

Oh, wann hattest du den Downloader gestartet? Bei mir war alles schon down!:(

Geschrieben von: bond7 07.01.2007, 17:26

@raman
Etwas vor 14.20 Uhr war das , die Zeiten der erstellen Dateien im Hijackthis-Backup im Netzwerkordner (also der Spezial-ordner der auf eine Physische Festplatte aus der VM zeigt) sind von 14.23 Uhr, wo ich versucht hatte die Infektionen innerhalb der VM mit Hijackthis wegzubekommen smile.gif die 56kb DLL wurde also nachgeladen meinst du ?

Geschrieben von: raman 07.01.2007, 17:32

Ja, diese DLL werden immer nachgeladen. Meistens befindet sich der Dropper dieser DLL noch im TIF Die Rechnung.pdf.exe ist ja auch nicht gross genug um diese Datei zu droppen!;)

Geschrieben von: Dylan 07.01.2007, 18:44

Wann hat den Kaspersky diesen neuen Backdoor.Win32.Agent in die Signaturen aufgenommen ?
Wenn die meisten AV Hersteller erst morgen reagieren,ist das aber schon reichlich spät (zu spät).... sad.gif

Geschrieben von: Rios 07.01.2007, 19:41

Hi Dylan,

Kaspersky 07.01.2007
entdeckt 00:22


Gruß smile.gif

Geschrieben von: Dylan 07.01.2007, 20:23

ZITAT(Rios @ 07.01.2007, 19:40) [snapback]180998[/snapback]

Hi Dylan,

Kaspersky 07.01.2007
entdeckt 00:22
Gruß smile.gif


Danke dir,Rios

Geschrieben von: Dylan 07.01.2007, 22:52

Wieviel Varianten gibt es eigentlich von den Dingern schon?
Die EXE Datei scheint immer wieder verändert zu werden..... sad.gif

Complete scanning result of "Rechnung.pdf.exe", received in
VirusTotal at 01.07.2007, 22:40:32 (CET).

AntivirusVersionUpdateResult

AntiVir7.3.0.2101.07.2007TR/Drop.EbayBill.W
Authentium4.93.812.30.2006no virus found
Avast4.7.892.012.30.2006no virus found
AVG38601.07.2007no virus found
BitDefender7.201.07.2007no virus found
CAT-QuickHeal9.0001.06.2007(Suspicious) - DNAScan
ClamAVdevel-2006042601.07.2007Trojan.Downloader-466
DrWeb4.3301.07.2007no virus found
eSafe7.0.14.001.07.2007Suspicious Trojan/Worm
eTrust-InoculateIT23.73.10701.06.2007no virus found
eTrust-Vet30.3.330701.06.2007no virus found
Ewido4.001.07.2007no virus found
Fortinet2.82.0.001.07.2007suspicious
F-Prot3.16f01.05.2007no virus found
F-Prot44.2.1.2901.05.2007no virus found
IkarusT3.1.0.2701.07.2007no virus found
Kaspersky4.0.2.2401.07.2007no virus found
McAfee493301.05.2007no virus found
Microsoft1.190401.07.2007no virus found
NOD32v2196001.06.2007a variant of Win32/Haxdoor
Norman5.80.0212.31.2007Suspicious_F.gen
Panda9.0.0.401.07.2007Suspicious file
Prevx1V201.07.2007Virus.Rechnung
Sophos4.13.001.05.2007no virus found
Sunbelt2.2.907.001.05.2007VIPRE.Suspicious
TheHacker6.0.3.14501.07.2007no virus found
UNA1.8301.06.2007no virus found
VBA323.11.101.07.2007suspected of Backdoor.Hupigon.159 (paranoid
heuristics)
VirusBuster4.3.19:901.07.2007novirus:Packed/FSG

Aditional Information
File size: 56058 bytes


EDIT:
Rechtschreibung

Geschrieben von: bond7 08.01.2007, 07:08

File size: 56058 bytes

genau diese Rechnung ist auch gerade eingetrudelt. smile.gif

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist die Infektion (in der VM) und das bekommt man so auch nichtmehr im abgesicherten Modus runter , die Datei eetvpn.sys ist zwar sichtbar aber nicht lesbar und diese DLL ist vermutlich versteckt weil nicht sichtbar, Rootkit lässt grüssen.

Geschrieben von: Scrapie 08.01.2007, 09:19

ZITAT(bond7 @ 08.01.2007, 07:07) [snapback]181028[/snapback]

File size: 56058 bytes

genau diese Rechnung ist auch gerade eingetrudelt. smile.gif

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist die Infektion (in der VM) und das bekommt man so auch nichtmehr im abgesicherten Modus runter , die Datei eetvpn.sys ist zwar sichtbar aber nicht lesbar und diese DLL ist vermutlich versteckt weil nicht sichtbar, Rootkit lässt grüssen.


@bond7:

Check your PM plz smile.gif

Geschrieben von: Yopie 08.01.2007, 09:35

md5sum: ad8e76618481ff89e4e9eb54c8c632b9

Heute (gestern nacht) 3 mal eingetrudelt...

Geschrieben von: Yopie 09.01.2007, 13:52

Weiter gehts mit 1&1-Trojanern:

md5sum f3f9be795aa5f256b06d67116e119ea3
File size: 15360 bytes

Virustotal:
AntiVir 7.3.0.21 01.09.2007 HEUR/Crypted
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.09.2007 Trojan.Downloader-535
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.08.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 suspicious
F-Prot 3.16f 01.08.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Win32.Outbreak
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.09.2007 TrojanDownloader:Win32/Clagger.gen!B
NOD32v2 1965 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.08.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 no virus found

Geschrieben von: raman 09.01.2007, 13:53

Schon komisch, wie die verteilt werden. Mal bekommt man einen Schwung und manchmal nichts.....

Geschrieben von: citro 09.01.2007, 13:56

Hallo, mal nebenbei

das mit dem Update 30.12.06 von Avast (Avast 4.7.892.0 12.30.2006 no virus found) glaube ich nicht, bei AVK hatte ich bis gestern mehrere - auch auf der avast-homepage stehen die Updates neueren Datums.

ein Vergleich mit Jotti's Malwarescan wäre da noch interessant, kann aber auch sein das dort Avast momentan nichts findet.


citro

Geschrieben von: Yopie 09.01.2007, 14:06

ZITAT(citro @ 09.01.2007, 13:55) [snapback]181255[/snapback]

ein Vergleich mit Jotti's Malwarescan wäre da noch interessant, kann aber auch sein das dort Avast momentan nichts findet.

Jotti sah genauso aus, Clamav und Avira positiv, sonst Fehlanzeige.

Geschrieben von: Scrapie 09.01.2007, 16:47

Tag

Hier auch jede Menge 'Rechnungen' in GMX-Postfach mit MD5 = f3f9be795aa5f256b06d67116e119ea3
Die kamen von nem Mailserver in Moskau, welcher der / zur Firma w*w.infoline.su gehört...

Gruß,
Scrapie

Geschrieben von: markus17 09.01.2007, 18:07

ein kollege hatte eine datei (rar archiv) auf virustotal geladen, da er einen virusverdacht hatte.
nichts wurde entdeckt. gleichzeitig hat er sie mir nocheinmal zum prüfen geschickt und siehe da -> ein backdoor wurde entdeckt.

sollte keine kritik an virustotal sein, aber 100% gibt es eben nie.

Geschrieben von: rock 09.01.2007, 18:48

ZITAT(rock @ 31.12.2006, 16:14) [snapback]180288[/snapback]

Für's neue Jahr die besten Wünsche.... möge es gute signaturen geben...

AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 W32/Trojan.CXV
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.31.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.31.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.31.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found

Ewido 4.0 12.31.2006 Dropper.Agent.xk
Fortinet 2.82.0.0 12.31.2006 PossibleThreat!06945
F-Prot 3.16f 12.30.2006 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 12.30.2006 W32/Trojan.CXV
Ikarus T3.1.0.27 12.31.2006 Trojan-Dropper.Win32.Agent.XK
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.31.2006 no virus found
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.31.2006 no virus found

===========*==========
ENDE smile.gif


heute: (siehe sig-daten)

AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 W32/Trojan.CXV
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 Dropper.Agent.xk
Fortinet 2.82.0.0 01.09.2007 PossibleThreat!06945
F-Prot 3.16f 01.09.2007 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 01.09.2007 W32/Trojan.CXV
Ikarus T3.1.0.27 01.09.2007 Trojan-Dropper.Win32.Agent.XK

Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1967 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.08.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found

whistling.gif




Geschrieben von: Domino 09.01.2007, 18:56

Schick mir die Datei mal per Mail.




Domino




Geschrieben von: rock 09.01.2007, 19:00

ZITAT(Domino @ 09.01.2007, 18:55) [snapback]181291[/snapback]

Schick mir die Datei mal per Mail.
Domino


nö! schmoll.gif







(nagut! wohin?)

übrigens dürft da der virustotal ein "deja vu" haben.... das er mit der file das selbe ergebnis wie vor 9 tagen ausspuckt...

AVG kennt den nämlich bereits als: Dropper.Agent.XK......zum beispiel...

ph34r.gif

Geschrieben von: Domino 09.01.2007, 19:06

virus ät rokop-security.de

Kennst du doch. smile.gif




Domino




Geschrieben von: rock 09.01.2007, 19:08

das auch gleich?

ich vermute du frägst wegen kav...

AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 Win32:Trojan-gen. {Other}
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 ProcKill.CZ!tr
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Trojan.AVKill.123
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 ProcKill-CZ
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1967 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.09.2007 Suspicious file
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found



Geschrieben von: Domino 09.01.2007, 19:09

Immer her damit. biggrin.gif




Domino





Geschrieben von: bond7 09.01.2007, 19:12

@Domino
Sei aber vorsichtig mit den Sachen, wenn dein PC ausfällt tanzen dann die Mäuse im Forum und du kannst nichts machen smile.gif

Geschrieben von: Domino 09.01.2007, 19:20

Wie ich es mir dachte: Die killav123.zip wird beim Download erkannt, da nutze auch das Verschlüsseln nichts.

Jotti etc haben einfach keine aktuellen Signaturen oder was weiß ich, es ist mir schon öfters aufgefallen, dass lokal erkannte malware dort nicht erkannt wird.

W32Trojan.CXV.zip <-- wird nicht erkannt




Domino





Geschrieben von: rock 09.01.2007, 19:24

ich verwende das "reguläre" passwort = infected

verschlüssel ma was mit 4wT§{%g3_?gHbX%" biggrin.gif

auch gleich erkannt? rolleyes.gif

wenn ja...dann wunder!!!!!!!


ph34r.gif

Geschrieben von: rock 09.01.2007, 20:40

ZITAT(Domino @ 09.01.2007, 19:19) [snapback]181298[/snapback]

W32Trojan.CXV.zip <-- wird nicht erkannt
Domino


oder es ist komischerweise sogar GARNIX!??!?


Subject: RE: E-Mail schreiben an: W32Trojan.CXV [KLAB-1552030]



Hello, no malicious code was found in this file.

--
Best regards, Shvetsov Dmitry
Virus analyst, Kaspersky Lab.


obwohl:

ZITAT(rock @ 09.01.2007, 18:59) [snapback]181292[/snapback]

AVG kennt den nämlich bereits als: Dropper.Agent.XK......zum beispiel...


AVG wie erwähnt...

dann die da alle:

Authentium 4.93.8 01.09.2007 W32/Trojan.CXV
Ewido 4.0 01.09.2007 Dropper.Agent.xk
Fortinet 2.82.0.0 01.09.2007 PossibleThreat!06945
F-Prot 3.16f 01.09.2007 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 01.09.2007 W32/Trojan.CXV
Ikarus T3.1.0.27 01.09.2007 Trojan-Dropper.Win32.Agent.XK

Geschrieben von: citro 09.01.2007, 21:44

Wie kann es sein, dass bei Virustotal der Avast-Scanner nicht auf neuestem Stand ist ? (30.12.06)

http://avast.com/eng/vps_history.html

citro

Geschrieben von: Krond 10.01.2007, 07:54

Ist ja dort IMHO die Linux-Version. Ich habe Avast testhalber vorige Woche auch mal unter Ubuntu installiert (gehabt). Die Signaturen waren vorige Woche vom 16.12.2006. Und beim Updateversuch meinte er "die Signaturen sind aktuell".......

Geschrieben von: Domino 10.01.2007, 08:26

ZITAT(rock @ 09.01.2007, 20:39) [snapback]181306[/snapback]

oder es ist komischerweise sogar GARNIX!??!?
Subject: RE: E-Mail schreiben an: W32Trojan.CXV [KLAB-1552030]
Hello, no malicious code was found in this file.

--
Best regards, Shvetsov Dmitry
Virus analyst, Kaspersky Lab.



Wer startet das Teil denn mal ? Ich habe momentan keine Zeit.



Domino

Geschrieben von: rock 10.01.2007, 09:44

moin domino... smile.gif

wie wärs mit norman sandbox per email schicken lassen...die analyse...

da sollte detailiert drinstehen was abgeht.....

bin mit dem hund! whistling.gif

ph34r.gif

Geschrieben von: rock 10.01.2007, 10:54

also die sandbox sagt auch es sei "kein virus".... sondern eher so ein key viewer oder generator...

CXV.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* **Locates window "KL Key Viewer [class NULL]" on desktop.
* File length: 229628 bytes.
* MD5 hash: 3d7b5ece4be318d79fce159918400c51.

[ Changes to filesystem ]
* Deletes file c:\~~temp~~.key.

[ Changes to registry ]
* Creates key "HKCR\.exe\.key".
* Sets value ""="AVPKeyFile" in key "HKCR\.exe\.key".
* Creates key "HKCR\.exe\AVPKeyFile".
* Sets value ""="AVP Key File" in key "HKCR\.exe\AVPKeyFile".
* Creates key "HKCR\.exe\AVPKeyFile\Shell\Open\Command".
* Sets value ""="c:\sample.exe "%1"" in key "HKCR\.exe\AVPKeyFile\Shell\Open\Command".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

© 2004-2006 Norman ASA. All Rights Reserved.

The material presented is distributed by Norman ASA as an information source only.

This file is not flagged as malicious by the Norman Sandbox Information Center. However, we can not guarantee that the file is harmless. If you still suspect the file to be malicious and if you urgently need to know for sure, please submit it to your local Norman support department for manual analysis.

Geschrieben von: rock 10.01.2007, 12:45

AntiVir 7.3.0.21 01.09.2007 Worm/RBot.328262
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 Win32:SdBot-gen44
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 Exploit.DCOM.Gen
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.10.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 Multidr.RI!tr
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 MultiDropper-RI
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1969 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 W32/Spybot.BFDL
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 suspected of Backdoor.xBot.1 (paranoid heuristics)
VirusBuster 4.3.19:9 01.09.2007 no virus found

edit:
Norton 2005 SE ... no virus found

Geschrieben von: flexibel44 10.01.2007, 16:07

ZITAT(bond7 @ 07.01.2007, 15:52) [snapback]180963[/snapback]

Nein und noch keine Signatur für das Objekt vorhanden , eingesendet ist es aber .


Ich habe einen Account bei yahoo.de und da kam gerade wieder eine 1&1 Mail rein, die NAV nicht erkannt hat, oder wird yahoo nicht mehr von NAV überwacht?

Geschrieben von: bond7 10.01.2007, 16:23

Versuchs auf Platte zu speichern , die 9kb und 56kb Version wird jedenfalls erkannt, bei der 15kb version weiss ichs nicht.

Geschrieben von: Solution-Design 10.01.2007, 16:34

ZITAT(rock @ 10.01.2007, 12:44) [snapback]181370[/snapback]

edit:
Norton 2005 SE ... no virus found


Ähnlich sieht es auch bei NAV2006 aus. Viele TrojanDownloader, welche NAV2007 bekannt sind, erkennt die alte Version nicht. Aber das ist ein altes Problem. KAV ist dahingehend etwas fortschrittlicher. Selbst die alte Version AVP3.5 erkennt mit neuen Signaturen die Malware, welche auch von KAV6.x erkannt wird.

Geschrieben von: rock 10.01.2007, 18:17

Test bei Sandboxi,...erwähnt in der analyse selbst das es rausverbindet und daten sendet...

bedeutet das nun das die das zwar richtig analysieren, aber aufgrund der norman erkennung diese datei garnicht als virus/malware erkennen??
=============================================
elvis_presley.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 262144 bytes.
* MD5 hash: 3e8e6baf9a1e6433eb664fdf732eea0f.

[ Network services ]
* Connects to "69.61.59.114" on port 5555 (UDP).
* Sends data stream (19 bytes) to remote address "69.61.59.114", port 5555.

[ Process/window information ]
* Creates a mutex H2@3s%&K2k23j@hsd98!df.

================

bei mutex soll glaub ich was anderes rauskommen, wird hier irgendwie verschlüsselt aussgegeben. (?)

Geschrieben von: Dylan 10.01.2007, 18:31

ZITAT(Solution-Design @ 10.01.2007, 16:33) [snapback]181393[/snapback]

Ähnlich sieht es auch bei NAV2006 aus. Viele TrojanDownloader, welche NAV2007 bekannt sind, erkennt die alte Version nicht. Aber das ist ein altes Problem.


Und was ist hierfür der Grund ?
Die alten Versionen werden doch auch mit aktuellen Signaturen versorgt,oder liegt das (auch) an der Engine ?

Geschrieben von: Jens1962 10.01.2007, 18:44

ZITAT(rock @ 10.01.2007, 12:44) [snapback]181370[/snapback]
Norton 2005 SE ... no virus found
Na und? Du wolltest die 2005er, trotz aller Vorwarnungen, einsetzen.

Nu hör auf zu meckern. whistling.gif

Gruß Jens

Geschrieben von: bond7 10.01.2007, 18:49

@Dylan

Welche Engine ? In der Software ist doch nur eine Systembremse eingebaut biggrin.gif
http://www.winfuture.de/news,29379.html

Geschrieben von: rock 10.01.2007, 19:32

ZITAT(Jens1962 @ 10.01.2007, 18:43) [snapback]181412[/snapback]

Na und? Du wolltest die 2005er, trotz aller Vorwarnungen, einsetzen.
Nu hör auf zu meckern. whistling.gif


mecker ja nicht... whistling.gif und sooo mieserabel ist er nicht... besonders gut finde ich die funktion das er die viren zwar löscht oder verschiebt, aber immer eine sicherungskopie anlegt, so macht das "arbeiten" auch MIT wächter spass! biggrin.gif (naja auch net immer....)

übrigend DEN kennt norton, wo andere wieder schwächeln. (ist übrigens der aus der norman sandbox von vorhin!)

AntiVir 7.3.0.21 01.09.2007 Worm/RBot.155648
Authentium 4.93.8 01.10.2007 W32/Trojan.CZP
Avast 4.7.892.0 12.30.2006 Win32:Trojano-G
AVG 386 01.10.2007 no virus found
BitDefender 7.2 01.10.2007 Win32.Worm.VB.Ymeak.A
CAT-QuickHeal 9.00 01.10.2007 no virus found
ClamAV devel-20060426 01.10.2007 Trojan.VB-154
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found

Ewido 4.0 01.10.2007 Dropper.VB.lu
Fortinet 2.82.0.0 01.10.2007 suspicious
F-Prot 3.16f 01.10.2007 destructive program named W32/Trojan.CZP
F-Prot4 4.2.1.29 01.10.2007 W32/Trojan.CZP
Ikarus T3.1.0.27 01.09.2007 Trojan-Dropper.Win32.VB.LU
Kaspersky 4.0.2.24 01.10.2007 P2P-Worm.Win32.VB.dz
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.10.2007 no virus found

NOD32v2 1970 01.10.2007 Win32/TrojanDropper.VB.LU
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.09.2007 Suspicious file
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.10.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found

UNA 1.83 01.10.2007 Worm.P2P.VB
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.10.2007 no virus found

============*=============

nur sind halt einige beschreibungen nix wert... entweder trojan backdoor oder trojan horse... so nennt norten schon fast alles...

finden tut man dann nur sowas:
http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99

Geschrieben von: flexibel44 11.01.2007, 05:10

ZITAT(bond7 @ 10.01.2007, 16:22) [snapback]181387[/snapback]

Versuchs auf Platte zu speichern , die 9kb und 56kb Version wird jedenfalls erkannt, bei der 15kb version weiss ichs nicht.

Hab ich leider nicht mehr, wenn aber noch einer kommen sollte, mach ichs.

Geschrieben von: bond7 12.01.2007, 15:24

ZITAT
Complete scanning result of "cfosspeed-v300.exe", received in VirusTotal at 01.12.2007, 14:59:47 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.11.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 Trojan.Win32.Autoit.s
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1973 01.12.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 Suspicious file
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 Backdoor.Agent.72AA
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.11.2007 no virus found

Aditional Information
File size: 2376260 bytes
MD5: ca97b2c7890cbf4297d076b9767b58df
SHA1: 347a386563b681d8b59b63e611cd7bb334e65b71
packers: UPX
packers: UPX
packers: UPX

Das Teil ist ca. 500kb grösser als normal und fast keiner erkennt das , das Fileicon ist sogar echt biggrin.gif
Zum Glück hab ich nee gekaufte Version , Leute ohne AV wäre hier aber beispielsweise komplett aufgeschmissen !
Aus dem Ding kommt eine 1.exe , Firewall.exe und mqprfs.h voller Nickname-Wörter (50kb) (für mögliche Passwörter oder Email-adressen) raus.

ZITAT
Complete scanning result of "firewall.exe", received in VirusTotal at 01.12.2007, 15:27:09 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 TR/Autoit.S
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 Win32:Trojan-gen. {UPX!}
AVG 386 01.11.2007 no virus found
BitDefender 7.2 01.12.2007 Trojan.Dropper.AD
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 Win32.Autoit.a
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 W32/Autoit.S!tr
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 Trojan.Win32.Autoit.s
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1973 01.12.2007 Win32/Autoit.S
Norman 5.80.02 01.12.2007 W32/Smalltroj.GPO
Panda 9.0.0.4 01.12.2007 Application/Ardamax
Prevx1 V2 01.12.2007 Covert.Sys.Exec
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 Trojan/Autoit.p
UNA 1.83 01.11.2007 Backdoor.Agent.72AA
VBA32 3.11.2 01.12.2007 Trojan.Win32.Autoit.S
VirusBuster 4.3.19:9 01.11.2007 no virus found


Aditional Information
File size: 423738 bytes
MD5: 708a27966bed0c29ebbceeaf502f5b4f
SHA1: f669cf21a1295c0948518b9eb58c4931b2699053
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=5d1322847291

Geschrieben von: Yopie 12.01.2007, 15:36

Quelle: Tauschbörse? (Oder ists geheim?)

Geschrieben von: bond7 12.01.2007, 16:33

Eher diese neumodische Viren-Plage genannt Free Filehoster a´la Rapidshare. wink.gif Das wird unter anderen dazu auch missbraucht um Malware geschickt über Webseiten wo sich viele User treffen zu verteilen .

Geschrieben von: Yopie 12.01.2007, 16:49

Wie läuft sowas ab: "Du, ich hab hier so ein neues Tuning-Tool, installier dir das mal!"?

Geschrieben von: bond7 12.01.2007, 16:59

Es gibt tausende oder millionen von Softwaredownloadseiten wo eine art Userkommentierung/bewertung unten drann hängt , dort einfach die Links anonym gesetzt und schon hat man ein neues Botnetz geschaffen.

Geschrieben von: Rios 12.01.2007, 17:04

Auch bei MyWebSearch haben viele Probleme.

STATUS: FINISHEDComplete scanning result of "msimg32.dll", received in VirusTotal at 01.11.2007, 17:06:16 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.10.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.10.2007 no virus found
BitDefender 7.2 01.11.2007 Adware.MyWebSearch.M
CAT-QuickHeal 9.00 01.10.2007 no virus found
ClamAV devel-20060426 01.11.2007 no virus found
DrWeb 4.33 01.11.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.111 01.10.2007 no virus found
eTrust-Vet 30.3.3319 01.11.2007 no virus found
Ewido 4.0 01.11.2007 no virus found
Fortinet 2.82.0.0 01.10.2007 W32/MyWebSearch
F-Prot 3.16f 01.10.2007 no virus found
F-Prot4 4.2.1.29 01.10.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 not-a-virus:AdTool.Win32.MyWebSearch.au
Kaspersky 4.0.2.24 01.11.2007 not-a-virus:AdTool.Win32.MyWebSearch.au
McAfee 4936 01.10.2007 potentially unwanted program MWS
Microsoft 1.1904 01.11.2007 no virus found
NOD32v2 1971 01.11.2007 no virus found
Norman 5.80.02 01.10.2007 no virus found
Panda 9.0.0.4 01.10.2007 no virus found
Prevx1 V2 01.11.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.10.2007 no virus found
VirusBuster 4.3.19:9 01.11.2007 no virus found


Aditional Information
File size: 24576 bytes
MD5: e12defecda3fae103d8af11bff1aad90
SHA1: 4ed5d606c1460b40a07425e67a7c718523119847

Geschrieben von: rock 13.01.2007, 18:20

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\GLC1990.tmp.
* Creates file C:\WINDOWS\TEMP\GLK0099.tmp.


AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 is a virus dropper
Avast 4.7.936.0 01.12.2007 no virus found
AVG 386 01.12.2007 no virus found
BitDefender 7.2 01.13.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.13.2007 no virus found
DrWeb 4.33 01.13.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.13.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 virus dropper
F-Prot4 4.2.1.29 01.12.2007 generic

Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.13.2007 no virus found
McAfee 4938 01.12.2007 no virus found
Microsoft 1.1904 01.13.2007 no virus found
NOD32v2 1976 01.13.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.13.2007 no virus found
Prevx1 V2 01.13.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.13.2007 no virus found
==============================

confused.gif

domino? willst du es wieder versuchen! biggrin.gif

edit: achso..die datei: Web Hottest Videos Personal Player ... darüber gibts aber kaum brauchbare infos....

Geschrieben von: bond7 13.01.2007, 18:25

@Rock
Lass mich raten, du hast den Yahoomessenger installiert bezüglich derbeiden tmp-Dateien ?

Geschrieben von: rock 13.01.2007, 18:28

hey,

nö.... smile.gif

die anwendung heisst Web Hottest Videos Personal Player worüber es kaum bis kaumer infos gibt.

interessant wärs wenns einer aufmacht und schaut was die beiden tempdatein machen werden... biggrin.gif

ph34r.gif

Geschrieben von: bond7 13.01.2007, 18:34

Gibma den Link via PM , ich lasses in der VM rennen.

Geschrieben von: rock 13.01.2007, 18:39

done!

übrigens norton2005 se sagt auch nichts dazu... noch nicht vielleicht... biggrin.gif

ph34r.gif

Geschrieben von: bond7 13.01.2007, 22:13

Datei: Web_Hottest_Videos_Personal_Player.exe
Authentium 4.93.8 01.12.2007 W32/Backdoor.AAPL
F-Prot 3.16f 01.12.2007 security risk named W32/Backdoor.AAPL
F-Prot4 4.2.1.29 01.12.2007 W32/Backdoor.AAPL

Der Rest der Scanner alles negativ und im Hijackthis sind keine weiteren Infektiösen Einträge sichtbar.

Geschrieben von: rock 14.01.2007, 11:47

ZITAT(bond7 @ 13.01.2007, 22:12) [snapback]181743[/snapback]

Datei: Web_Hottest_Videos_Personal_Player.exe
Authentium 4.93.8 01.12.2007 W32/Backdoor.AAPL
F-Prot 3.16f 01.12.2007 security risk named W32/Backdoor.AAPL
F-Prot4 4.2.1.29 01.12.2007 W32/Backdoor.AAPL

im Hijackthis sind keine weiteren Infektiösen Einträge sichtbar.


danke für die arbeit. hmm... wie sind diese nennugen zustande gekommen...vorhin wars ja "nur" virus dropper...

was war es denn genau? hat sich ein player installiert oder ein programm...oder was ging ab...? möglicherweise waretn die tempdatein erst auf einen gewissen zugriff oder link den du klickst....was immer...

ich hebs halt noch auf die datei, bis man 100% weis ob sie in die tonne oder in die sammlung kommt! smile.gif

rock



Geschrieben von: Yopie 14.01.2007, 13:44

http://www.rokop-security.de/index.php?showtopic=13476&hl=

Virustotal (Rechnung_GEZ.zip):
AntiVir 7.3.0.21 01.09.2007 HEUR/Malware
Authentium 4.93.8 01.12.2007 Possibly a new variant of W32/Document-disguised-based!Maximus
Avast 4.7.936.0 01.13.2007 no virus found
AVG 386 01.13.2007 no virus found
BitDefender 7.2 01.14.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.14.2007 Trojan.Downloader-596
DrWeb 4.33 01.14.2007 Trojan.DownLoader.17517
eSafe 7.0.14.0 01.14.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.14.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 Possibly a new variant of W32/Document-disguised-based!Maximus
F-Prot4 4.2.1.29 01.12.2007 W32/Document-disguised-based!Maximus
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.14.2007 Trojan-Downloader.Win32.Small.efe
McAfee 4938 01.12.2007 no virus found
Microsoft 1.1904 01.14.2007 no virus found
NOD32v2 1977 01.13.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.13.2007 Suspicious file
Prevx1 V2 01.14.2007 no virus found
Sophos 4.13.0 01.13.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 W32/Generic!zip-dobleextension
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.14.2007 no virus found
VirusBuster 4.3.19:9 01.13.2007 no virus found

Aditional Information
File size: 7167 bytes
MD5: bc714fad3b8a8e216949f75e7d3ef206
SHA1: 96c3e1d395cb6956a377fb88267cd5b6d29056be

Prüfsummen der entpackten Datei (RechnungGEZ.pdf.exe):
File size: 14336 bytes
MD5: 9b4a8b6d019dd25a70b118b7393eb18b
SHA1: d0e5ef9783fb80812fb1576e1e38cec44d74218b

Jotti:
AntiVir TR/Dldr.iBill.C gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader-596 gefunden
Dr.Web Trojan.DownLoader.17517 gefunden
F-Prot Antivirus Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus Trojan-Downloader.Win32.Small.efe gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.efe gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Empfangen per Mail via 125.27.3.141, Thailand.

Geschrieben von: rock 14.01.2007, 16:48

nix besonderes, aber was man dann dort auf der seite bekommt.... keine ahnung wink.gif

Norman Sandbox:
Trojan.Clicker.Delf.EZ.exe :Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* File length: 599040 bytes.
* MD5 hash: 959103df2b19d035ec2e8b5ba5116df6.

[ Process/window information ]
* Creates an event called .
* Attemps to open C:\PROGRA~1\INTERN~1\IEXPLORE.EXE h * * p://cbl.toolbar4free.com/cgi-bin/s.exe?type=2&m_k=1&fi=TU9WSUVTRlJFRV==&id=TU9WSUVTRlJFRV==&zd=0.

AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.936.0 01.13.2007 no virus found
AVG 386 01.13.2007 no virus found
BitDefender 7.2 01.14.2007 Trojan.Clicker.Delf.EZ
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.14.2007 no virus found
DrWeb 4.33 01.14.2007 no virus found
eSafe 7.0.14.0 01.14.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.14.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.14.2007 no virus found
McAfee 4938 01.12.2007 Generic Downloader.d
Microsoft 1.1904 01.14.2007 no virus found
NOD32v2 1978 01.14.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.14.2007 no virus found
Prevx1 V2 01.14.2007 no virus found
Sophos 4.13.0 01.13.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.14.2007 no virus found
VirusBuster 4.3.19:9 01.13.2007 no virus found
Symantec: Trojan AdClicker
================================
auch oft nicht der rede wert....obwohl schon öfters eingesendet...

AntiVir 7.3.0.21 01.09.2007 BDS/Agent.abv.7
Authentium 4.93.8 01.12.2007 W32/Backdoor.OLD
Avast 4.7.936.0 01.13.2007 Win32:Agent-BZQ
AVG 386 01.13.2007 Adware Generic.ORD
BitDefender 7.2 01.14.2007 Dropped:Adware.Stud.C
CAT-QuickHeal 9.00 01.12.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.14.2007 no virus found
DrWeb 4.33 01.14.2007 no virus found
eSafe 7.0.14.0 01.14.2007 no virus found

eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found

Ewido 4.0 01.14.2007 Adware.Stud
Fortinet 2.82.0.0 01.13.2007 no virus found
F-Prot 3.16f 01.12.2007 security risk named W32/Backdoor.OLD
F-Prot4 4.2.1.29 01.12.2007 W32/Backdoor.OLD
Ikarus T3.1.0.27 01.09.2007 Backdoor.Win32.Agent.abv
Kaspersky 4.0.2.24 01.14.2007 Backdoor.Win32.Agent.abv
McAfee 4938 01.12.2007 no virus found
Microsoft 1.1904 01.14.2007 no virus found

NOD32v2 1978 01.14.2007 Win32/Adware.Stud
Norman 5.80.02 01.12.2007 W32/Agent.AOSS
Panda 9.0.0.4 01.14.2007 Adware/SearchBar
Prevx1 V2 01.14.2007 no virus found
Sophos 4.13.0 01.13.2007 Mapkon Installer
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 Backdoor/Agent.abv
UNA 1.83 01.12.2007 Backdoor.Agent.7317
VBA32 3.11.2 01.14.2007 Backdoor.Win32.Agent.abv
VirusBuster 4.3.19:9 01.13.2007 Backdoor.Agent.DUR

ph34r.gif





Geschrieben von: Rios 16.01.2007, 21:08

Und wieder mal ein Zlob. Schurke.

STATUS: FINISHEDComplete scanning result of "setupim.107.exe", received in VirusTotal at 01.16.2007, 19:10:37 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.16.2007 DR/Zlob.Gen
Authentium 4.93.8 01.16.2007 no virus found
Avast 4.7.936.0 01.16.2007 no virus found
AVG 386 01.16.2007 no virus found
BitDefender 7.2 01.16.2007 Trojan.Downloader.Zlob.AJJ
CAT-QuickHeal 9.00 01.16.2007 no virus found
ClamAV devel-20060426 01.16.2007 no virus found
DrWeb 4.33 01.16.2007 no virus found
eSafe 7.0.14.0 01.16.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3329 01.15.2007 no virus found
Ewido 4.0 01.16.2007 no virus found
Fortinet 2.82.0.0 01.16.2007 suspicious
F-Prot 3.16f 01.15.2007 no virus found
F-Prot4 4.2.1.29 01.15.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.16.2007 Trojan-Downloader.Win32.Zlob.bkj
McAfee 4940 01.16.2007 no virus found
Microsoft 1.1904 01.16.2007 no virus found
NOD32v2 1982 01.16.2007 no virus found
Norman 5.80.02 01.16.2007 no virus found
Panda 9.0.0.4 01.16.2007 no virus found
Prevx1 V2 01.16.2007 no virus found
Sophos 4.13.0 01.16.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.15.2007 no virus found
VBA32 3.11.2 01.15.2007 no virus found
VirusBuster 4.3.19:9 01.16.2007 no virus found


Aditional Information
File size: 60684 bytes
MD5: ed884c07ceb6298c0e2e89408d89a5b4
SHA1: 3b2af413feb63c603bdc46a17ba526d1dcb4d7ba
packers: UPX
packers: UPX, BINARYRES, BINARYRES

Geschrieben von: rock 16.01.2007, 21:13

seltam die zlobe... smile.gif

also symantec sollte eine (glaub ich) "allgemein" erkennung haben...lapidar...trojan zlob... seit 4/05 oder früher...

scannen eigentlich alle total engines MIT heuristik??

ph34r.gif



Geschrieben von: Rios 16.01.2007, 21:35

Hm, das Teil ist noch nicht alt. Kaspersky Erkennung, 14:37 und Update Freigabe 16:42
Trojan-Downloader.Win32.Zlob.bkj


Geschrieben von: rock 17.01.2007, 17:47

ZITAT(rock @ 10.01.2007, 12:44) [snapback]181370[/snapback]

AntiVir 7.3.0.21 01.09.2007 Worm/RBot.328262
Authentium 4.93.8 01.09.2007 no virus found
Avast 4.7.892.0 12.30.2006 Win32:SdBot-gen44
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.10.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 Exploit.DCOM.Gen
DrWeb 4.33 01.10.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.10.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 Multidr.RI!tr
F-Prot 3.16f 01.09.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.10.2007 no virus found
McAfee 4935 01.09.2007 MultiDropper-RI
Microsoft 1.1904 01.10.2007 no virus found
NOD32v2 1969 01.10.2007 no virus found
Norman 5.80.02 01.10.2007 W32/Spybot.BFDL
Panda 9.0.0.4 01.09.2007 no virus found
Prevx1 V2 01.10.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.10.2007 no virus found
VBA32 3.11.2 01.09.2007 suspected of Backdoor.xBot.1 (paranoid heuristics)
VirusBuster 4.3.19:9 01.09.2007 no virus found

edit:
Norton 2005 SE ... no virus found


symantec now:

Developer notes:
Win32SdBot-gen44.exe is non-repairable threat. Please delete this file and replace it if necessary
http://www.symantec.com/security_response/writeup.jsp?docid=2003-053013-5943-99

Geschrieben von: rock 19.01.2007, 16:14

"nur ein spiel"...

AntiVir 7.3.0.26 01.19.2007 no virus found
Authentium 4.93.8 01.19.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.18.2007 no virus found
BitDefender 7.2 01.19.2007 Trojan.Downloader.Small.AKJ
CAT-QuickHeal 9.00 01.19.2007 no virus found
ClamAV devel-20060426 01.19.2007 no virus found
DrWeb 4.33 01.19.2007 no virus found
eSafe 7.0.14.0 01.19.2007 no virus found
eTrust-InoculateIT 23.73.117 01.19.2007 no virus found
eTrust-Vet 30.3.3336 01.19.2007 no virus found
Ewido 4.0 01.19.2007 no virus found
Fortinet 2.82.0.0 01.19.2007 W32/IstBar.ER!tr.dldr
F-Prot 3.16f 01.19.2007 no virus found
F-Prot4 4.2.1.29 01.19.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.19.2007 Trojan-Downloader.Win32.Small.akj
McAfee 4942 01.18.2007 (edit:) dl. generic
Microsoft 1.1904 01.19.2007 ABCScrabble (threat-c)

NOD32v2 1990 01.19.2007 no virus found
Norman 5.80.02 01.19.2007 no virus found
Panda 9.0.0.4 01.19.2007 no virus found
Prevx1 V2 01.19.2007 no virus found
Sophos 4.13.0 01.19.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 ABCScrabble
TheHacker 6.0.3.151 01.19.2007 no virus found
UNA 1.83 01.18.2007 no virus found
VBA32 3.11.2 01.19.2007 Trojan-Downloader.Win32.Small.akj
VirusBuster 4.3.19:9 01.19.2007 no virus found

und ein bildschirmschoner...

AntiVir 7.3.0.26 01.19.2007 no virus found
Authentium 4.93.8 01.19.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.18.2007 no virus found
BitDefender 7.2 01.19.2007 Dropped:Adware.Give4free.B
CAT-QuickHeal 9.00 01.19.2007 no virus found
ClamAV devel-20060426 01.19.2007 no virus found
DrWeb 4.33 01.19.2007 no virus found
eSafe 7.0.14.0 01.19.2007 no virus found
eTrust-InoculateIT 23.73.117 01.19.2007 no virus found
eTrust-Vet 30.3.3336 01.19.2007 no virus found
Ewido 4.0 01.19.2007 no virus found
Fortinet 2.82.0.0 01.19.2007 suspicious
F-Prot 3.16f 01.19.2007 no virus found
F-Prot4 4.2.1.29 01.19.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 not-a-virus:Client-IRC.Win32.mIRC.603
Kaspersky 4.0.2.24 01.19.2007 no virus found
McAfee 4942 01.18.2007 http://vil.nai.com/vil/content/v_139510.htm
Microsoft 1.1904 01.19.2007 no virus found
NOD32v2 1990 01.19.2007 no virus found
Norman 5.80.02 01.19.2007 no virus found
Panda 9.0.0.4 01.19.2007 no virus found
Prevx1 V2 01.19.2007 no virus found
Sophos 4.13.0 01.19.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.151 01.19.2007 no virus found
UNA 1.83 01.18.2007 no virus found
VBA32 3.11.2 01.19.2007 no virus found



Geschrieben von: Sasser 19.01.2007, 17:21

ZITAT(bond7 @ 11.09.2006, 20:50) [snapback]165577[/snapback]

Jetzt weiss ich auch warum jotti immer zu 100% ausgelastet ist , Rock lässt die Scanner nur rotieren wink.gif


biggrin.gif Daher dann auch dieser Auszug aus den Benutzerregeln:

DIE MISSBRÄUCHLICHE NUTZUNG DIESES DIENSTES (EINSCHLIESSLICH DES HOCHLADENS ABSICHTLICH MODIFIZIERTER -GEPACKTER/VERSCHLÜSSELTER/BYTESWAPPED- VERSIONEN DER GLEICHEN DATEI) HAT ZUR FOLGE, DASS IHRE IP GESPERRT WIRD.

Bitte fordern Sie keine dieser Viren an, wenn Sie nicht für Hersteller von Anti-Viren-Software arbeiten. Viren sind nicht zum Tauschen da.

Geschrieben von: bond7 19.01.2007, 17:29

Rock verletzt keine der Regeln , er modifiziert und verpackt oder verschlüsselt keine der zusammengefundenen Malware absichtlich auf den Diensten , da ich kaum glaube das er das nötige Wissen besitzt. Das die Dienste oft zu 100% ausgelastet sind und Rock täglich seine Funde präsentiert ist eher nur zufällig wink.gif

Geschrieben von: Poulsen 19.01.2007, 17:31

@Sasser
IPB Bild

Geschrieben von: rock 19.01.2007, 18:07

ZITAT(bond7 @ 19.01.2007, 17:28) [snapback]182581[/snapback]

da ich kaum glaube das er das nötige Wissen besitzt.


biggrin.gif

Geschrieben von: Solution-Design 19.01.2007, 20:48

Von mir aus könnte es Tausende rocks geben. Macht AVs ein wenig besser biggrin.gif

Geschrieben von: bond7 19.01.2007, 22:44

3 unterschiedlich grosse Dateien (Herkunft: Dreckseiten aus Spammails) mit demselben Resultat das fast keiner der Scanner (zumindestens die auf Jotti) es als Malware erkannte. wink.gif
Datei: divxwplugin302.exe
Datei: divxwplugin_mac302.exe
Datei: flashw80_plugin.exe

ClamAV Trojan.Delf-293 gefunden
NOD32 a variant of Win32/TrojanDropper.ErPack gefunden
VBA32 MalwareScope.Trojan-Spy.BZub.1 gefunden (mögliche Variante)

Geschrieben von: Yopie 19.01.2007, 23:13

Kann es sein, dass ClamAV in letzter Zeit ziemlich bei den ganz frischen Dingern aufgeholt hat?

Geschrieben von: bond7 19.01.2007, 23:52

Glaub ich nicht, in der Regel hat der 0 Erkennung bei AV-Erkennungsauflistungen von Malware-Massenausbrüchen in irgendwelchen IT-News. Und genau das stört mich wenn dann so einer wie "Rika" daherkommt und alle anderen AVs niedermacht und pöpelt aber ClamAV fleissig empfiehlt womit man hinterher noch weniger Schutz bekommen würde . Und der Rest der ungebildeten Leserschaft findet das auch noch cool und nachahmenswert... wink.gif

Geschrieben von: Dylan 20.01.2007, 00:10

ZITAT(bond7 @ 19.01.2007, 23:51) [snapback]182622[/snapback]

......wenn dann so einer wie "Rika" daherkommt und alle anderen AVs niedermacht und pöpelt aber ClamAV fleissig empfiehlt womit man hinterher noch weniger Schutz bekommen würde . Und der Rest der ungebildeten Leserschaft findet das auch noch cool und nachahmenswert... wink.gif

Vorsicht bond7,du weißt doch wie empfindlich die im Winfuture Forum sind,nicht das sich da gleich wieder einer hier anmeldet..... biggrin.gif

Geschrieben von: Yopie 20.01.2007, 00:37

Aus meiner eigenen Erfahrung kann ich eine Empfehlung für Clamav auch nicht aussprechen, aber in den letzten Monaten, in denen ich Clamac nicht mehr nutze, scheint doch zumindest bei den Ergebnissen in diesem Thread eine Besserung eingetreten zu sein.

Geschrieben von: Heike 20.01.2007, 20:34

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Agent.VP gefunden
BitDefender BehavesLike:Win32.ExplorerHijack gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Backdoor.Win32.PoisonIvy.j gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.PoisonIvy.j gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/PoisonIvy.gen9 gefunden
VirusBuster Keine Viren gefunden
VBA32 MalwareScope.Backdoor.Hupigon.12 (paranoid heuristics) gefunden (mögliche Variante

gescannt: ein ganz normaler Poison Ivy 2.2.0 Server. (funktionsfähig)
released: 14.01.2007.

hmm, nach einer Woche wird der Server von 60% der Scanner nicht erkannt. confused.gif

Geschrieben von: blueX 21.01.2007, 00:17

Ich denke die AV's haben etwas besseres zu tun, als PoisonIvy zu erkennen. whistling.gif





Geschrieben von: Krond 21.01.2007, 12:34

Ich auch mal eine "Greeting Card.exe".......

Scan taken on 21 Jan 2007 11:31:07 (GMT)
AntiVir Found TR/Small.DBY.B
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/TrojanProxy.Lager.NAD
Norman Virus Control Found W32/Tibs.gen12

VirusBuster Found nothing
VBA32 Found nothing

Geschrieben von: Poulsen 21.01.2007, 12:42

ZITAT
NOD32 Found Win32/TrojanProxy.Lager.NAD


Na, dass ich das noch erleben darf. Nod als einer der ersten whistling.gif

Geschrieben von: Krond 21.01.2007, 13:42

Hehehehe, soviel zu den Reaktionszeiten (dieses mal zumindest)......Selbe Datei von oben nochmals geprüft.....


Scan taken on 21 Jan 2007 12:39:04 (GMT)
AntiVir Found TR/Small.DBY.B
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Downloader-657
Dr.Web Found Trojan.DownLoader.17755

F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found Win32/TrojanProxy.Lager.NAD
Norman Virus Control Found W32/Tibs.gen12
VirusBuster Found Trojan.DL.Tibs.Gen!Pac17

VBA32 Found nothing

Geschrieben von: Poulsen 21.01.2007, 14:50

Nod ist ja schon wieder vorne mit dabei biggrin.gif

Geschrieben von: bond7 21.01.2007, 15:30

Kann sich jemand an den Beitragslink 287 erinnern ?
Hier ist das nochmal ausführlich beschrieben.
http://www.heise.de/newsticker/meldung/84000

Geschrieben von: Rios 21.01.2007, 15:49

Nur der Ordnung halber. Ist bereits in der Erkennung von KAV.

Und weiter gehts Zlob
STATUS: FINISHEDComplete scanning result of "setupmedia.605.exe", received in VirusTotal at 01.21.2007, 14:51:29 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.21.2007 DR/Zlob.Gen
Authentium 4.93.8 01.20.2007 no virus found
Avast 4.7.936.0 01.18.2007 no virus found
AVG 386 01.21.2007 no virus found
BitDefender 7.2 01.21.2007 Trojan.Downloader.Zlob.AKP
CAT-QuickHeal 9.00 01.20.2007 no virus found
ClamAV devel-20060426 01.21.2007 no virus found
DrWeb 4.33 01.21.2007 no virus found
eSafe 7.0.14.0 01.21.2007 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.118 01.20.2007 no virus found
eTrust-Vet 30.3.3336 01.19.2007 no virus found
Ewido 4.0 01.21.2007 no virus found
Fortinet 2.82.0.0 01.21.2007 suspicious
F-Prot 3.16f 01.21.2007 no virus found
F-Prot4 4.2.1.29 01.21.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.21.2007 Trojan-Downloader.Win32.Zlob.blb
McAfee 4943 01.19.2007 no virus found
Microsoft 1.1904 01.21.2007 no virus found
NOD32v2 1994 01.21.2007 Win32/TrojanDownloader.Zlob.APV
Norman 5.80.02 01.20.2007 no virus found
Panda 9.0.0.4 01.21.2007 no virus found
Prevx1 V2 01.21.2007 no virus found
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.152 01.21.2007 no virus found
UNA 1.83 01.19.2007 no virus found
VBA32 3.11.2 01.20.2007 no virus found
VirusBuster 4.3.19:9 01.21.2007 no virus found


Aditional Information
File size: 60784 bytes
MD5: a2d087ac28388e450cb2ca299869d677
SHA1: a37d1dfee6123d9d7ae38e90fd78260e139b5c5a
packers: UPX
packers: UPX, BINARYRES, BINARYRES
packers: UPX

Geschrieben von: Krond 21.01.2007, 16:04

...und noch eine Greeting Card.exe......

Scan taken on 21 Jan 2007 14:57:17 (GMT)
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found Trojan.DL.Tibs.Gen!Pac18
VBA32 Found nothing


ZITAT(Poulsen @ 21.01.2007, 14:49) [snapback]182815[/snapback]

Nod ist ja schon wieder vorne mit dabei biggrin.gif



Neee, wie ich geschrieben habe, war es die gleiche Datei nochmals, nur eine Stunde später......NOD hätte auf voller Linie versagt, wenn sie die Signatur in der Zwischenzeit entfernt hätten....hehehehe

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)