Infizierte Webseiten Einstellungen

[stetha]

Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. )

Hier ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender

[Gast_rock_*]

Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. )
Hier ein aktueller...

lol...übersehen...

na der mc afee wird mir scho unheimlich...

aber heut nimmer.... guteN8 war'n stresstag....

[Gast_Xeon_*]

Das Ding macht gar nichts, außer das es nicht funktioniert.

[hypnosekroete]

Das hatte ich bei Kaspersky schon ein paar mal.

War dann meist:
No malicious software found, archive or structure is corrupted.

Und beim ausprobieren in de VM ist dann tatsächlich meist nix passiert...

[Gast_Xeon_*]

Könnte das nochmal jemand testen, so wie es aussieht hat Kaspersky hier mit seiner Aussage recht.

[hypnosekroete]

Inner VM sowohl unter XP und Vista nicht lauffähig.

Wenn man den VT-Bericht mal bis zum Ende anschaut wird auch klar, das irgendwas mit dem File Strukturmäßig nicht stimmt.
 Aufzeichnen.GIF ( 4.82KB ) Anzahl der Downloads: 3


Und wenn's nicht lauffähig ist, wat juck et mich...

[Solution-Design]

Schädlicher Codec !!

Bekanntermaßen (?) ist bei mir der BrowserCache vom OnAccess ausgeschlossen, aber jetzt sieht man mal, wie der von Symantec NIS09 genannte http-SCan funktioniert. Eben wie in Version 2008, nur dass diesmal ich nicht selbst als Angreifer benannt werde

[Gast_rock_*]

wieder eine infected site...

h__p://inmobiliaria1021.net/index12.html
zuerst ein psyme beim seitenaufruf, und das "video" zum downloaden ist ein Fraudloader! [AVG namen]

zum hochladen komm ich heut nimmer...

[Gast_rock_*]

Hier ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender

die datei ist auch laut kaspersky mailantwort kaputt!

Ich kann das Ding nicht starten, da kommt ne Fehlermeldung.....ist die File defekt ?

stimmt...Avira hats auch als kaputt geantwortet...

[Gast_rock_*]

h__p://inmobiliaria1021.net/index12.html

tach,

hmm...die siete ist nur mehr "404nicht gefunden".... aber wenn ich den link upload kommt das raus...

Datei pindex_1_.htm empfangen 2008.09.18 16:20:03 (CET)

Ergebnis: 12/36 (33.34%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.18 -
AntiVir 7.8.1.34 2008.09.18 JS/Dldr.Agent.bhn
Authentium 5.1.0.4 2008.09.18 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 JS/Psyme.RJ
BitDefender 7.2 2008.09.18 Trojan.Exploit.JS.I
CAT-QuickHeal 9.50 2008.09.17 -
ClamAV 0.93.1 2008.09.18 JS.Psyme-41
DrWeb 4.44.0.09170 2008.09.18 VBS.Psyme.554
eSafe 7.0.17.0 2008.09.17 -
eTrust-Vet 31.6.6091 2008.09.16 JS/SillyDlScript.EB
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.18 -
F-Secure 8.0.14332.0 2008.09.18 -
Fortinet 3.113.0.0 2008.09.18 -
GData 19 2008.09.18 -
Ikarus T3.1.1.34.0 2008.09.18 Trojan.Exploit.JS.I
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.18 -
McAfee 5386 2008.09.17 JS/Spy-Agent.bw.dldr
Microsoft 1.3903 2008.09.18 TrojanDownloader:JS/Adodb.E
NOD32v2 3452 2008.09.18 -
Norman 5.80.02 2008.09.17 -
Panda 9.0.0.4 2008.09.18 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.18 -
Rising 20.62.32.00 2008.09.18 -
Sophos 4.33.0 2008.09.18 Mal/ObfJS-S
Sunbelt 3.1.1645.1 2008.09.17 -
Symantec 10 2008.09.18 -
TheHacker 6.3.0.9.086 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.18 -
VBA32 3.12.8.5 2008.09.17 -
ViRobot 2008.9.18.1381 2008.09.18 JS.Psyme.1152
VirusBuster 4.5.11.0 2008.09.17 -
Webwasher-Gateway 6.6.2 2008.09.18 Script.Dldr.Agent.bhn

however...

[citro]

Google hat eine Warnung bei einem Link herausgegeben, massenhaft Malware.

[Rios]

Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!

[Gast_Scrapie_*]

Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!

In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL

[Gast_blueX_*]

Und was sagt Virustotal zu den drei Files?

[Gast_Scrapie_*]

Und was sagt Virustotal zu den drei Files?

18 von 32 detected.
Scheinen VP-Detection zu haben - verweigern zumindest den Dienst hier mit schlecht vorgetäuschten "Fehlermeldungen" und deaktivieren sich ohne groß Aktion zu machen.
Wer hat Virtual Box oder VM am Laufen?

//Edit.
Es werden 3 Dateien gedropped.
Geh jetzt Pizza essen und dan schau ich die Teilchen an

Der Beitrag wurde von Scrapie bearbeitet: 26.09.2008, 19:11

[Gast_blueX_*]

Meine Hosts-Datei ist für diese Seite gesperrt ...

Der Beitrag wurde von blueX bearbeitet: 26.09.2008, 19:09

[Voyager]

In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL

Alle Downloads werden als Trojan Zlob erkannt.

Der Beitrag wurde von bond7 bearbeitet: 26.09.2008, 19:19

[Gast_Scrapie_*]

Alle Downloads werden als Trojan Zlob erkannt.

DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz

Vorsicht!


Scrapie

[Gast_Scrapie_*]

Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:

h++p://scanner.vav-x-scanner.com/36/?advid=0000005378 (Vorsicht)
h++p://scanner.ms-scanner.com/35/?advid=0000005378 (Vorsicht)

Diese werden aber shon recht gut erkannt:
http://www.virustotal.com/de/analisis/f3d2...54010ad8b94858d

Scrapie

[Voyager]

DL des ganzen Bündels (gedroppte Dateien):

Scanstatistik:
Scanzeit: 487 Sek.
Scanoptionen:
Scanziele: C:\Downloads\Eigene Dateien
Zähler:
Gescannte Elemente insgesamt: 18
– Dateien und Laufwerke: 18
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Suspicious.AH.109
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\eigene dateien\5378.exe - Gelöscht


Trojan.Zlob
Typ: Anomalie
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Registrierungseintrag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->System - Repariert
1 Datei
c:\downloads\eigene dateien\codecbho.dll - Gelöscht

Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:

Der Beitrag wurde von bond7 bearbeitet: 26.09.2008, 20:03

Angehängte Datei(en)

 Aufzeichnen.JPG ( 85.7KB ) Anzahl der Downloads: 17