Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Infizierte Webseiten

Geschrieben von: Rios 28.06.2008, 20:55

Ups, da geht aber die Post ab. Hier eine Statistik der Infizierten http://www.stopbadware.org/home/badwebs China Nr. 1

Geschrieben von: Sasser 28.06.2008, 21:07

thumbup.gif Diese Einstellung habe ich schon lange......besser ist.

 

Geschrieben von: Rios 06.07.2008, 17:37

Ups, hier ist auch der Wurm drin.

hxxp://www.answering-christianity.org
Vorsicht Trojan Clicker!!

Geschrieben von: Rios 08.08.2008, 20:09

Exploid!! hier auf Websense zu http://securitylabs.websense.com/content/Alerts/3151.aspx

Geschrieben von: Joerg 09.08.2008, 08:30

Wieder ein Grund mehr, seine Software aktuell zu halten!

Geschrieben von: rock 09.08.2008, 08:40

ich krieg da wieder den js/psyme beim öffnen...

ph34r.gif

Geschrieben von: citro 11.08.2008, 20:33

Also ich fahre kurz in diesem Thread weiter fort, von diesem hier kommend:

http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=244648

Die Citydome Seite soll ja angeblich infiziert sein, KAV hat mir bestätigt, dass es der Trojan.HTML.Agent.m wäre, dieser stand auch in der Viruswatch von KAV wie auch in der Liste von Antiviruslab GData - aber die Signatur wurde nicht ausgeliefert.

Kurz nachgefragt und prompt kam die Antwort "no malicious" code, na denn denke ich eben Fehlalarm.

Avira schrieb mir allerdings die Datei sowie die Webseite wäre infiziert.

Avast meldet fleißig über GData die JS Script Virusmeldung, der Webmaster ist informiert, mal sehen ob überhaupt was geschieht.

Geschrieben von: rock 15.08.2008, 20:43

in dieser mail wird zum/zu einer variante.... TR/Zlob verlinkt!

msnbc.com: BREAKING NEWS: Girl found with arms cut off, police investigate

Find out more at h!!p://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter
newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this
message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/40978370, select unsubscribe, enter the
email address receiving this message, and click the Go button.

Microsoft Corporation - One Microsoft Way - Redmond, WA 98052
MSN PRIVACY STATEMENT
http://privacy.msn.com (http://privacy.msn.com/>)

Geschrieben von: citro 15.08.2008, 20:47

Es ist nichts zu machen, in dieser sonst vertrauenswürdigen Webseite scheint entweder ein Script schlecht erstellt oder es wurde ein böswilliges untergeschoben.

h**p://www.citydome-rosenheim.de/html/MCMS/MAIN/public/index.php

Microsoft sagt "not malware", Avira meint wie schon erwähnt die Seite wäre infiziert.
Auf meine Mail an den Betreiber hat noch niemand reagiert.

Seltsam

http://www.abload.de/image.php?img=unbenanntzzt.png

Die Warnmeldung kommt erst nach aktualisieren der Seite oder nachdem man einen Link anklickt.

Geschrieben von: rock 16.08.2008, 15:34

ZITAT(rock @ 15.08.2008, 21:42) *
in dieser mail wird zum/zu einer variante.... TR/Zlob verlinkt!
msnbc.com: BREAKING NEWS: Girl found with arms cut off, police investigate


das is ja mal nett..... es kommt wieder so eine mail von MSNBC breaking news.... diesmal wird aus dem link dieser link:
h!!p://yousseftohme.com/msn_video.html (achtung zlob-variante)

und jetzt kömmts dazu!!!:
wenn man den link extra noch hier http://linkchecker.phpwww.de/index.php checken lässt, bekommt man gleich ein adobe flash herausgefiltert dazu aus diesem link mit dem msn_video.html - ist aber I Worm Nuwar

link in den balken eingeben und checken lassen...ergebnis abwarten!

toll....man sollte öfters dort linkchecken lassen wenn man das würmchen sepperat geliefert bekommt! biggrin.gif

ph34r.gif

edit: die ergebnisse im ganzen schauen nicht besonders rosig aus!:

der link:
Ergebnis: 12/36 (33.34%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.08.16 JS/Agent.FA
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 Downloader.Zlob.HTML
BitDefender 7.2 2008.08.16 Trojan.HTML.Zlob.Y
CAT-QuickHeal 9.50 2008.08.16 HTM/Zlob.GEN.2
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -

F-Prot 4.4.4.56 2008.08.16 JS/Agent.FA
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 JS/Zlob!tr.dldr
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 Trojan.HTML.Zlob.Y
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -

McAfee 5362 2008.08.15 BackDoor-DNM.dldr
Microsoft 1.3807 2008.08.16 TrojanClicker:HTML/Cbp.A
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -

TrendMicro 8.700.0.1004 2008.08.16 JS_AGENT.ALCQ
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 -

Webwasher-Gateway 6.6.2 2008.08.16 Heuristic.HTML.Malware

================
und der adobe flash Nuwar:

Datei adobe_flash_1_.zip empfangen 2008.08.16 16:40:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/36 (16.67%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -

AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -

eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -

Microsoft 1.3807 2008.08.16 TrojanDownloader:Win32/Cbeplay.gen!E
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -

ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 Trojan.DL.Exchanger.CS
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.dam (suspicious)

schlimm! die ergebnisse!





Geschrieben von: rock 16.08.2008, 16:42

h!!p://www.nu-nation.com/index1.php


Datei video38hewpor.zip empfangen 2008.08.16 17:36:05 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Dldr.Exchanger.Gen.2.18
Authentium 5.1.0.4 2008.08.16 W32/Downldr2.DIGX
Avast 4.8.1195.0 2008.08.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.16 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -

F-Prot 4.4.4.56 2008.08.16 W32/Downldr2.DIGX
F-Secure 7.60.13501.0 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
Fortinet 3.14.0.0 2008.08.16 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
Ikarus T3.1.1.34.0 2008.08.16 Trojan-Downloader.Exchanger.Gen.2
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3360 2008.08.15 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 W32/DLoader.IXQG
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -

Sophos 4.32.0 2008.08.16 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 Trojan-Downloader.Exchanger.Gen.2
Symantec 10 2008.08.16 Trojan.Pandex
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 TROJ_NUWAR.ERZ
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 -

Webwasher-Gateway 6.6.2 2008.08.16 Trojan.Dldr.Exchanger.Gen.2.18

ph34r.gif




 

Geschrieben von: rock 17.08.2008, 11:01

h!!p://piero.bg/msn_video.html


Datei adobe_flash_1_.exe empfangen 2008.08.17 11:56:01 (CET)

AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Dldr.Exchange.NG
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -

AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.17 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 TrojanDownloader.Exchanger.nl
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.16 -

F-Secure 7.60.13501.0 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
Fortinet 3.14.0.0 2008.08.17 PossibleThreat
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.Exchanger.nl
Ikarus T3.1.1.34.0 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 W32/Tibs.CTEM
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -

Prevx1 V2 2008.08.17 Malware Dropper
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 Trojan Horse
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 TROJ_NUWAR.DII
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -

VirusBuster 4.5.11.0 2008.08.16 Trojan.DL.Exchanger.CS
Webwasher-Gateway 6.6.2 2008.08.17 Trojan.Dldr.Exchange.NG

ph34r.gif

Geschrieben von: rock 17.08.2008, 19:18

h!!p://www.mahe.com.co/1.html

Datei: install[1].exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH
Bit9 rapportiert: {BIT9_THREAT}

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden

AVG Antivirus I-Worm/Nuwar.W gefunden
BitDefender Trojan.Downloader.Exchanger.Gen.2 gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden

Norman Virus Control Tibs.gen220 gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


vtotal momentan nicht möglich...lange warteliste...

Geschrieben von: rock 18.08.2008, 16:42

noooojo.... in dieser "CNN" mail kann man sich mal nach lust und laune gleich 20 mal was eintreten 20x verschiedene webseitenadressen die auch schon komisch klingen....meistens Nuwar und Zlob.html.... mag sie wirklich nicht alle runterladen und hochladen....

die ergebnisse werden wahrscheinlich genaus mieserabel wie die vorgängerergebnisse sein....obwohl das schon bedenklich ist, weil sich diese mails/trojaner ja echt massig verbreiten in letzter zeit!

 

Geschrieben von: rock 25.08.2008, 18:43

kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Datei install.exe empfangen 2008.08.25 19:19:08 (CET)
Status: Beendet

Ergebnis: 7/36 (19.44%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 TR/Peed.jsb.33
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 -

BitDefender 7.2 2008.08.25 Trojan.Peed.JSB
CAT-QuickHeal 9.50 2008.08.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
F-Secure 7.60.13501.0 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5369 2008.08.25 -

Microsoft 1.3807 2008.08.25 Trojan:Win32/Tibs.HP
NOD32v2 3385 2008.08.25 a variant of Win32/Kryptik.E
Norman 5.80.02 2008.08.25 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -

Prevx1 V2 2008.08.25 Malicious Software
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.25 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -


ph34r.gif

Geschrieben von: rock 25.08.2008, 18:48

und ein paar andere links...

h__p://www.a-discoflirt.de/index_6.html

h__p://www.upsize.com.ar/index_6.html

h__p://team-focus.org/video_4.exe

ph34r.gif

Geschrieben von: Rios 25.08.2008, 19:04

Zu Link 1 http://linkscanner.explabs.com/linkscanner/checksite.asp?NS=ChkOnly&SRC=apps.ExpLabs.com&CS=http://www.a-discoflirt.de/index_6.html
http://www.abload.de/image.php?img=av-103462v60.gif

Geschrieben von: Julian 25.08.2008, 19:09

ZITAT(rock @ 25.08.2008, 19:42) *
kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Schade, KIS erkennt es nur im interaktiven Modus sad.gif
[attachment=4061:m1.jpg]
Ich vermute das soll dazu dienen, das Zurückstellen des Hintergrundbildes zu verhindern.

[attachment=4062:m2.jpg]

Dann versucht es einen Autostarteintrag zu erstellen, erstellt eine weitere exe in einem Tempordner und will diese zu irgendwelchen Aktionen bringen. Das hab ich aber lieber verboten, denn sonst kann das Programm dies für die Session mit allen anderen Programmen machen.

Geschrieben von: Xeon 25.08.2008, 20:26

ZITAT(rock @ 25.08.2008, 19:42) *
kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Hab das vorhin gleich mal zu F-Secure weitergeleitet, die Rückantwort kam nach ca. 20 Minuten. (Die werden auch immer schneller. smile.gif )

QUELLTEXT
Hello,

Thank you for your e-mail.

The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.

Geschrieben von: hypnosekroete 25.08.2008, 20:50

Komisch, auf VT erkennt Kaspersky das schon sein mindestens um 20:00 als Backdoor.Win32.Agent.qby, http://www.virustotal.com/de/analisis/b05ea4ac2590e0753be17de07dd0525c

Edit:
Gerade gesehen, das meine Datenbanken von 09:50:00 heute morgen sind, obwohl ich gerade ein manuelles Update angestossen habe confused.gif confused.gif confused.gif
Da haut doch irgendwas nicht hin....

Vielleicht sollten wir -wenn nicht nur bei mir vorhanden- eine http://www.rokop-security.de/index.php?showtopic=16946&st=180&start=180, damit es hier nicht so OT wird...

Geschrieben von: Julian 25.08.2008, 21:30

ZITAT(hypnosekroete @ 25.08.2008, 21:49) *
Komisch, auf VT erkennt Kaspersky das schon sein mindestens um 20:00 als Backdoor.Win32.Agent.qby, http://www.virustotal.com/de/analisis/b05ea4ac2590e0753be17de07dd0525c

Edit:
Gerade gesehen, das meine Datenbanken von 09:50:00 heute morgen sind, obwohl ich gerade ein manuelles Update angestossen habe confused.gif confused.gif confused.gif
Da haut doch irgendwas nicht hin....

Vielleicht sollten wir -wenn nicht nur bei mir vorhanden- eine http://www.rokop-security.de/index.php?showtopic=16946&st=180&start=180, damit es hier nicht so OT wird...

Es werden zur Zeit einfach nicht häufiger Updates veröffentlicht, mit den Datenbanken von 19:15 Uhr laut Datenbankstatus von KIS wird das Sample erkannt.
Vielleicht werden für V-T häufiger Updates released, weil dort FPs keinen Schaden anrichten confused.gif

Geschrieben von: rock 26.08.2008, 15:43

rechtzeitig zum "komm-heim-cafe"....

h__p://www.fineline-emb.com/index_8.html


ph34r.gif

Geschrieben von: rock 26.08.2008, 15:47

@ julian

kam gestern um 21.45 noch zurück:

install.exe_ - Backdoor.Win32.Agent.qby

This file is already detected. Please update your antivirus bases.

ph34r.gif

Geschrieben von: citro 26.08.2008, 19:05

ZITAT(citro @ 15.08.2008, 21:46) *
Es ist nichts zu machen, in dieser sonst vertrauenswürdigen Webseite scheint entweder ein Script schlecht erstellt oder es wurde ein böswilliges untergeschoben.

h**p://www.citydome-rosenheim.de/html/MCMS/MAIN/public/index.php

Microsoft sagt "not malware", Avira meint wie schon erwähnt die Seite wäre infiziert.
Auf meine Mail an den Betreiber hat noch niemand reagiert.



Die Warnmeldung kommt erst nach aktualisieren der Seite oder nachdem man einen Link anklickt.


Habe die Datei an viele AV gesendet


AVAST hat mir geantwortet:

...is not a false positive. Please try to find string
"eval(unescape" inside the file you have sent and you will see infection.


Ikarus meint jetzt auch ein F/P und hat die Erkennung herausgenommen

Es ist verzwickt, keine Einigkeit

http://www.virustotal.com/de/analisis/957c60405fdddd76b9b45f3874040255




Geschrieben von: Rios 29.08.2008, 19:26

Besuch bei Sunkist!!
http://securitylabs.websense.com/content/Alerts/3167.aspx
http://www.viruslist.com/de/news?id=201612225

Geschrieben von: Rios 30.08.2008, 06:44

hxxp://celebstape.com
http://www.abload.de/image.php?img=magicalsnap-2008.08.e7q.png

Vorsicht!!

Geschrieben von: Solution-Design 30.08.2008, 07:22

Sieht zwar lustig aus, dass ich jemanden angreife... Aber zumindest wurde der Zweck erfüllt lmfao.gif

http://img153.imageshack.us/my.php?image=celebstapecombi2.png

Geschrieben von: rock 12.09.2008, 19:58

ecard gibts da leider keine....

h__p://personales.ya.com/q1w2/Hallmark/E-card.exe

achtung anwendung ist malware!

ph34r.gif

Geschrieben von: bond7 12.09.2008, 20:10

ZITAT
Scanstatistik:
Scanzeit: 0 Sek.
Scanoptionen:
Scanziele: C:\Downloads\E-card.exe
Zähler:
Gescannte Elemente insgesamt: 20
– Dateien und Laufwerke: 20
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 3
Behobene Elemente insgesamt: 3
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Risiken in der komprimierten Datei "e-card.exe"
Typ: Komprimiert
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
3-Dateien
c:\downloads\e-card.exe - Gelöscht

Geschrieben von: rock 12.09.2008, 20:17

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100250

kanns wer hochladen?

ph34r.gif

Geschrieben von: scu 12.09.2008, 20:19

Das ist mal ne "geladene" Datei thumbdown.gif

ZITAT
Website gesperrt!
G DATA TotalCare 2009 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Trojan.Mirchack.A, Trojan.ZapchServ.A, Backdoor.Cloner.BI (Engine A), Win32:Flooder-EO [Trj], Win32:Trojan-gen {Other}, VBS:Malware-gen (Engine B).

Geschrieben von: rock 12.09.2008, 20:21

edit: der Win32:Flooder-EO [Trj], könnt namentlich hinkommen.... aber ansonsten, bei mir passiert garnix ausser das das downloadfenster aufklappt...und die anwendung wird halt dann erkennt....

ph34r.gif

Geschrieben von: Rios 12.09.2008, 20:21

Schädlicher Codec !! ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2008.09.43w.png

Geschrieben von: toby 12.09.2008, 21:33

Da hat´s wohl wieder einen erwischt:





Beim Besuch der Seite http://ÜÜÜ.codec-forum.de/ wird nach ein paar Sekunden weitergeleitet.

Es sind scheinbar ein paar Script-Kiddies unterwegs. Ziemlich plump das ganze.

Geschrieben von: stetha 16.09.2008, 19:43

Norton Safe Web spuckt ja interessante Seiten aus - nicht, dass noch jemand denkt, ich surf auf solchen Seiten freiwillig biggrin.gif

h**p://freeint.kilu.de/Laura-du-Schlampe/data/ViewplugMX.exe

Erkennung ist http://www.virustotal.com/de/analisis/963977700b761222b2a2bd5bd76a10f1,
und zu allem Übel meint Kaspersky No malicious software was found. ph34r.gif

Geben die jetzt nach IBKs Test w.o?

Geschrieben von: rock 16.09.2008, 19:44

avg free meldet beim download backdoor shark l

ph34r.gif

Geschrieben von: scu 16.09.2008, 19:46

ZITAT(stetha @ 16.09.2008, 20:42) *
Norton Safe Web spuckt ja interessante Seiten aus - nicht, dass noch jemand denkt, ich surf auf solchen Seiten freiwillig biggrin.gif

h**p://freeint.kilu.de/Laura-du-Schlampe/data/ViewplugMX.exe

Erkennung ist http://www.virustotal.com/de/analisis/963977700b761222b2a2bd5bd76a10f1,
und zu allem Übel meint Kaspersky No malicious software was found. ph34r.gif

Geben die jetzt nach IBKs Test w.o?


Bitdefender erkennt es mittlerweile offenbar:
ZITAT
Website gesperrt!
G DATA TotalCare 2009 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Backdoor.Generic.26430 (Engine A), Win32:Trojan-gen {Other} (Engine B).

Geschrieben von: bond7 16.09.2008, 19:46

ZITAT
meint Kaspersky No malicious software was found.


passiert schonmal wink.gif



 

Geschrieben von: Xeon 16.09.2008, 19:52

F-Secure haut das Ding (natürlich) auch ins Nirvana. rolleyes.gif

Geschrieben von: Xeon 16.09.2008, 19:59

Ich kann das Ding nicht starten, da kommt ne Fehlermeldung.....ist die File defekt ?

Geschrieben von: stetha 16.09.2008, 20:02

Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. biggrin.gif )

http://www.virustotal.com/de/analisis/f270464149d6bc297b13839f56479dfc ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender stirnklatsch.gif

Geschrieben von: rock 16.09.2008, 20:05

ZITAT(stetha @ 16.09.2008, 21:01) *
Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. biggrin.gif )
http://www.virustotal.com/de/analisis/f270464149d6bc297b13839f56479dfc ein aktueller...


lol...übersehen...

na der mc afee wird mir scho unheimlich...

aber heut nimmer.... guteN8 war'n stresstag....

ph34r.gif

Geschrieben von: Xeon 16.09.2008, 20:10

Das Ding macht gar nichts, außer das es nicht funktioniert. rolleyes.gif

http://www.abload.de/image.php?img=unbenannta6g.jpg

Geschrieben von: hypnosekroete 16.09.2008, 20:17

Das hatte ich bei Kaspersky schon ein paar mal.

War dann meist:
No malicious software found, archive or structure is corrupted.

Und beim ausprobieren in de VM ist dann tatsächlich meist nix passiert...


Geschrieben von: Xeon 16.09.2008, 20:18

Könnte das nochmal jemand testen, so wie es aussieht hat Kaspersky hier mit seiner Aussage recht. ph34r.gif

Geschrieben von: hypnosekroete 16.09.2008, 21:04

Inner VM sowohl unter XP und Vista nicht lauffähig.

Wenn man den VT-Bericht mal bis zum Ende anschaut wird auch klar, das irgendwas mit dem File Strukturmäßig nicht stimmt.


Und wenn's nicht lauffähig ist, wat juck et mich...

Geschrieben von: Solution-Design 16.09.2008, 22:16

ZITAT(Rios @ 12.09.2008, 21:20) *
Schädlicher Codec !! ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2008.09.43w.png


http://img373.imageshack.us/my.php?image=metavideotubegm1.png

Bekanntermaßen (?) ist bei mir der BrowserCache vom OnAccess ausgeschlossen, aber jetzt sieht man mal, wie der von Symantec NIS09 genannte http-SCan funktioniert. Eben wie in Version 2008, nur dass diesmal ich nicht selbst als Angreifer benannt werde lmfao.gif

Geschrieben von: rock 17.09.2008, 18:37

wieder eine infected site...

h__p://inmobiliaria1021.net/index12.html
zuerst ein psyme beim seitenaufruf, und das "video" zum downloaden ist ein Fraudloader! [AVG namen]

zum hochladen komm ich heut nimmer...

ph34r.gif

Geschrieben von: rock 17.09.2008, 18:42

ZITAT(stetha @ 16.09.2008, 21:01) *
http://www.virustotal.com/de/analisis/f270464149d6bc297b13839f56479dfc ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender stirnklatsch.gif


die datei ist auch laut kaspersky mailantwort kaputt!


ZITAT(Xeon @ 16.09.2008, 20:58) *
Ich kann das Ding nicht starten, da kommt ne Fehlermeldung.....ist die File defekt ?


stimmt...Avira hats auch als kaputt geantwortet...

ph34r.gif

Geschrieben von: rock 18.09.2008, 15:24

ZITAT(rock @ 17.09.2008, 19:36) *
h__p://inmobiliaria1021.net/index12.html


tach,

hmm...die siete ist nur mehr "404nicht gefunden".... aber wenn ich den link upload kommt das raus...

Datei pindex_1_.htm empfangen 2008.09.18 16:20:03 (CET)

Ergebnis: 12/36 (33.34%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.18 -
AntiVir 7.8.1.34 2008.09.18 JS/Dldr.Agent.bhn
Authentium 5.1.0.4 2008.09.18 -
Avast 4.8.1195.0 2008.09.18 -

AVG 8.0.0.161 2008.09.18 JS/Psyme.RJ
BitDefender 7.2 2008.09.18 Trojan.Exploit.JS.I
CAT-QuickHeal 9.50 2008.09.17 -
ClamAV 0.93.1 2008.09.18 JS.Psyme-41
DrWeb 4.44.0.09170 2008.09.18 VBS.Psyme.554
eSafe 7.0.17.0 2008.09.17 -
eTrust-Vet 31.6.6091 2008.09.16 JS/SillyDlScript.EB
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.18 -
F-Secure 8.0.14332.0 2008.09.18 -
Fortinet 3.113.0.0 2008.09.18 -
GData 19 2008.09.18 -

Ikarus T3.1.1.34.0 2008.09.18 Trojan.Exploit.JS.I
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.18 -

McAfee 5386 2008.09.17 JS/Spy-Agent.bw.dldr
Microsoft 1.3903 2008.09.18 TrojanDownloader:JS/Adodb.E
NOD32v2 3452 2008.09.18 -
Norman 5.80.02 2008.09.17 -
Panda 9.0.0.4 2008.09.18 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.18 -
Rising 20.62.32.00 2008.09.18 -

Sophos 4.33.0 2008.09.18 Mal/ObfJS-S
Sunbelt 3.1.1645.1 2008.09.17 -
Symantec 10 2008.09.18 -
TheHacker 6.3.0.9.086 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.18 -
VBA32 3.12.8.5 2008.09.17 -

ViRobot 2008.9.18.1381 2008.09.18 JS.Psyme.1152
VirusBuster 4.5.11.0 2008.09.17 -
Webwasher-Gateway 6.6.2 2008.09.18 Script.Dldr.Agent.bhn

however...

ph34r.gif

Geschrieben von: citro 21.09.2008, 14:14

Google hat eine Warnung bei einem Link herausgegeben, massenhaft Malware.

http://www.abload.de/image.php?img=13sq.png

Geschrieben von: Rios 26.09.2008, 18:58

Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!

Geschrieben von: Scrapie 26.09.2008, 19:02

ZITAT(Rios @ 26.09.2008, 19:57) *
Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!


In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL wink.gif

Geschrieben von: blueX 26.09.2008, 19:06

Und was sagt Virustotal zu den drei Files?



Geschrieben von: Scrapie 26.09.2008, 19:08

ZITAT(blueX @ 26.09.2008, 20:05) *
Und was sagt Virustotal zu den drei Files?



18 von 32 detected.
Scheinen VP-Detection zu haben - verweigern zumindest den Dienst hier mit schlecht vorgetäuschten "Fehlermeldungen" und deaktivieren sich ohne groß Aktion zu machen.
Wer hat Virtual Box oder VM am Laufen?

//Edit.
Es werden 3 Dateien gedropped.
Geh jetzt Pizza essen und dan schau ich die Teilchen an smile.gif

Geschrieben von: blueX 26.09.2008, 19:09

Meine Hosts-Datei ist für diese Seite gesperrt ...

Geschrieben von: bond7 26.09.2008, 19:18

ZITAT
In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL


Alle Downloads werden als Trojan Zlob erkannt.

Geschrieben von: Scrapie 26.09.2008, 19:31

ZITAT(bond7 @ 26.09.2008, 20:17) *
Alle Downloads werden als Trojan Zlob erkannt.


DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz

Vorsicht! smile.gif


Scrapie

Geschrieben von: Scrapie 26.09.2008, 19:57

Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:

h++p://scanner.vav-x-scanner.com/36/?advid=0000005378 (Vorsicht)
h++p://scanner.ms-scanner.com/35/?advid=0000005378 (Vorsicht)

Diese werden aber shon recht gut erkannt:
http://www.virustotal.com/de/analisis/f3d261ace7aa290ec54010ad8b94858d

Scrapie

Geschrieben von: bond7 26.09.2008, 20:00

ZITAT
DL des ganzen Bündels (gedroppte Dateien):


ZITAT
Scanstatistik:
Scanzeit: 487 Sek.
Scanoptionen:
Scanziele: C:\Downloads\Eigene Dateien
Zähler:
Gescannte Elemente insgesamt: 18
– Dateien und Laufwerke: 18
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Suspicious.AH.109
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\eigene dateien\5378.exe - Gelöscht


Trojan.Zlob
Typ: Anomalie
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Registrierungseintrag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->System - Repariert
1 Datei
c:\downloads\eigene dateien\codecbho.dll - Gelöscht



ZITAT
Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:


 

Geschrieben von: Rios 26.09.2008, 20:12

Ach ja, der Test-Scanner sagt ja auch noch etwas dazu.

http://www.abload.de/image.php?img=magicalsnap-2008.09.ff1.png

http://www.abload.de/image.php?img=magicalsnap-2008.09.4p6.png

Geschrieben von: Solution-Design 26.09.2008, 20:34

http://img391.imageshack.us/my.php?image=fakecodecme1.pnghttp://g.imageshack.us/thpix.php

Geschrieben von: chris30duew 27.09.2008, 00:19

beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.

Geschrieben von: rock 27.09.2008, 06:31

ZITAT(chris30duew @ 27.09.2008, 01:18) *
beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.


frag ich mich auch, aber eher wie gdata 10 erkennt...der rest sind ja icon und gifbillder ne html und so sachen....

ph34r.gif

mc afee hat übrigens nix gemeldet. sad.gif

guten morgen übrigens! smile.gif

ph34r.gif

Geschrieben von: Solution-Design 27.09.2008, 11:28

ZITAT(Scrapie @ 26.09.2008, 20:30) *
DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz
Vorsicht! smile.gif


Norton Antivirus Autoprotect deaktiviert, Archiv entpackt, die Datei 5378.exe mit Winrar weiter entpackt und die 5378.exe selbst gelöscht. Nach fünf Minuten Scannen (benutzerdefinierter Scan über rechte Maustaste) erzeugt NAV eine Fehlermeldung und bietet den EinKlick-Support an. Bereinigt wurde nichts. Bleibt Autoprotect aktiviert, wird eine codecbho.dll gelöscht. Ein weiterer Scan des Verzeichnisses ergibt kein Ergebnis.

Datei nochmals nach obigem Beispiel entpackt, diesmal lief der Scan ohne Fehlermeldung ab. Es wurde aber dennoch nur eine Datei erkannt. codecbho.dll

Danach habe ich die Datei mit eScan geprüft, mit folgendem Ergebnis:

QUELLTEXT
Sat Sep 27 12:16:46 2008 => ***** Scanning C:\1\Vir Folder *****
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\*.*
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\*.*
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.ico [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.ico [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\4.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\5378\*.*
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5378\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\4.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\5.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\sc.html
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\sc.html
Sat Sep 27 12:16:49 2008 => Scanning File C:\1\Vir\Eigene Dateien\System.dll


Ein weiterer Test der übrig gebliebenen Dateien, ergibt folgendes Ergebnis: http://www.virustotal.com/de/analisis/21f26590f8a5f0ec821c39a9d1991800

Edit: Ikarus von asquared mag die Dateien gar nicht
http://img510.imageshack.us/my.php?image=ikaruscrashru8.pnghttp://g.imageshack.us/thpix.php


Hier das, was von Symantec übersehen wurde:
http://www.virustotal.com/de/analisis/c51d877820560d0242ab7e82016c5714

Ikarus noch eine Chance geb:
QUELLTEXT
C:\1\VIR\rokop\Eigene Dateien\0.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\2.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\2.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\3.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\4.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\0.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\3.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\4.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\sc.html      detected: Trojan.Fakeav.BE!IK
C:\1\VIR\rokop\Eigene Dateien\sc.html   detected: Trojan.Fakeav.BE!IK

Geschrieben von: rock 27.09.2008, 11:31

hmm....den namen antivirus 2008 oder fake av vergebens aber jetzt schon oft bei so düsteren ergebnissen....

ph34r.gif

werds später mal mit avg testen. mc afee sagt wie gesagt nix.

Geschrieben von: rock 27.09.2008, 11:46

okey...avg free meldet auch 2 dinger beim auspacken!
edit: sorry die namen! es meldet die beiden trojan generics in:

 

Geschrieben von: rock 27.09.2008, 14:52

ergebnis von kaspersky:


0.exe, 1.exe, 2.exe, 3.exe, 4.exe, 5.exe, 5378.exe, 7.exe - Trojan-Downloader.Win32.Hoaxer.a
These files are already detected. Please update your antivirus bases.

0.gif, 1.gif, 1.ico, 2.gif, 2.ico, 3.gif, sc.html, System.dll
No malicious code were found in these files.

CodecBHO.dll - Trojan-Downloader.Win32.Agent.ahvq
New malicious software was found in this file. It's detection will be included in the next update

ph34r.gif

Geschrieben von: chris30duew 27.09.2008, 16:07

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded :-D)

Geschrieben von: bond7 27.09.2008, 16:12

Du musst das jetzt nicht übertreiben, immerhin wurde beim Aufrufen der Fakecodec Seite der MalwareDownload blockiert und die Fake-AV Seiten wurden auch erkannt , das Ziel den User zu schützen wurde erreicht.

Geschrieben von: Solution-Design 27.09.2008, 17:06

ZITAT(chris30duew @ 27.09.2008, 17:06) *
hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.


Trojan-Downloader.Win32.Hoaxer.a wurde übersehen. Also ein Code. Was auch immer der überhaupt macht.

Edit: Schlimmer ist, dass die Datei System.dll Ikarus und auch einmal Symantec zum Absturz brachte.

Geschrieben von: rock 01.10.2008, 15:29

hier noch das gewaltige ergebnis/antwort von avira zum paket von scrapie!

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25145663 password.qwertz.rar 575.48 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25147980 sc.html 2.16 KB MALWARE
25147981 0.exe 22.5 KB MALWARE
25147982 1.exe 24.5 KB MALWARE
25147983 2.exe 24.5 KB MALWARE
25147984 3.exe 23.5 KB MALWARE
25147985 4.exe 23.5 KB MALWARE
25147986 5.exe 71.5 KB MALWARE
25147987 5378.exe 325.96 KB MALWARE
25147988 7.exe 73 KB MALWARE
25147989 CodecBHO.dll 152 KB MALWARE

25055259 1.ico 3.19 KB CLEAN
25055260 2.ico 3.19 KB CLEAN
25055249 0.gif 6.59 KB CLEAN
25055251 1.gif 8.05 KB CLEAN
25055253 2.gif 93 Byte CLEAN
25055255 3.gif 297 Byte CLEAN

ph34r.gif

Geschrieben von: rock 01.10.2008, 15:34

Phising.... der link dürft aber leider schon im eimer sein...
daher nur zur info:

Dear Abbey National e-Banking member!

Our Maintenance Division is carrying out a scheduled e-Banking software update

By clicking on the link below please commence the procedure of the client details update:

http://www1.abbeynational.net/CentralLogonWeb/Confirm?base=19bhrkwzkwzDkwdyyhOcn

These instructions are to be emailed and followed by all members of the Abbey National e-Banking

Abbey National does apologize for the problems caused to you, and is very grateful for your help.

If you are not client of Abbey National Bankline please disregard this letter!

*** This is automatically generated email, please do not respond ***

© '08 Abbey National Bank OnLine Banking. All Rights Reserved.

ph34r.gif


Geschrieben von: Sasser 04.10.2008, 00:32

smile.gif Ein alter Hut in formschöner Aufmachung.....

hxxp://online-virus-scanning.com

Geschrieben von: hypnosekroete 04.10.2008, 02:57

ZITAT(Sasser @ 04.10.2008, 01:31) *
smile.gif Ein alter Hut in formschöner Aufmachung.....
hxxp://online-virus-scanning.com



Jetzt muss mir nur nochmal einer erklären, warum ich mich selbst angreife....

Aber solution-design hat da irgendwo schonmal was zu geschrieben, ich bin denn mal suchen...

Edit: http://www.rokop-security.de/index.php?s=&showtopic=17012&view=findpost&p=246582, werd aber, http://www.rokop-security.de/index.php?s=&showtopic=17012&view=findpost&p=249135, nicht schlau draus confused.gif

Geschrieben von: Solution-Design 04.10.2008, 07:29

http://img91.imageshack.us/my.php?image=pleaseexplainwhyamiofthmc9.pnghttp://g.imageshack.us/thpix.php

Kommunikation erfolgt immer in beide Richtungen und TCP/IP wird überwacht. Und wenn dann in diesem Falle Opera etwas zurückschicken soll/will… Dann steht da eben der eigene Rechner als böser Bube. Jetzt müsste mal jemand die Pakete entschlüsseln. wink.gif Da IP sich für die eindeutige Adressierung der Quell- und Zielrechner im Netz verantwortlich zeigt, steht dort wohl oftmals der eigene Rechner. http://www.rvs.uni-bielefeld.de/~heiko/tcpip/tcpip_html_alt/kap_2_1.html

Geschrieben von: rock 04.10.2008, 07:57

ZITAT(Sasser @ 04.10.2008, 01:31) *
smile.gif Ein alter Hut in formschöner Aufmachung.....

http://h__p://h__p://online-virus-scanning.com/

na bestens. GENAU davon haben wir gesprochen, das da popups sind und wenn man die falsch wegklickt hatman den iltis!


http://www.rokop-security.de/index.php?s=&showtopic=17479&view=findpost&p=250000

bei deinem link klappt sofort ien popup auf mit man sei infiziert....wegklicken natürlich beim roten kreuz an der ecke nciht mit ok!!!

menno sasser!!

und ausserdem weis ich auch bald nimmer wo was hinsoll...das ist ja wieder rogue software.....

ph34r.gif

edit: link edit.

Geschrieben von: Solution-Design 04.10.2008, 08:00

ZITAT(chris30duew @ 27.09.2008, 17:06) *
hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded


Ist schon was seltsam, warum die Erkennung da was gedauert hat. Zumal Sym diese Dateien schon lange kennt http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-061114-0840-99




Nach Symantecs Bereinigung bleibt aber noch genügend Futter
http://www.virustotal.com/de/analisis/ee4995cc522fc5cc03f9c1c03e9aa676

Hier das eScan 4.47-Log
0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Edit: Dieses Ergebnis ist umso interessanter, da von anderen AVs alle ausführbaren Dateien von 0-x als "Trojan-Downloader.Win32.Hoaxer.a" erkannt werden. Also kein Unterschied gemacht wird. Bei Symantec dagegen schon, sonst würden sie ja nicht übrig bleiben.

Geschrieben von: Solution-Design 09.10.2008, 20:22

Erledigt http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2008-090422-1952-99

Geschrieben von: citro 09.10.2008, 20:41

ZITAT(Solution-Design @ 09.10.2008, 21:21) *
Erledigt http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2008-090422-1952-99



HI,

wie ist deine Heuristik eingestellt ? aggressiv ?

Bei mir kommen manchmal bei niederer Stufe die eigentlichen Signaturnamen anstatt "Suspicious..."

Geschrieben von: bond7 09.10.2008, 20:55

AH bedeutet übrigens advanced heuristic , Symantec macht sich das einfach und knallt nur paar Zahlen dahinter je nachdem für was die heuristische Erkennung steht ähnlich der Bloodhound.Exploit.XXX Erkennungen (mittlerweile 208 Erkennungen) . Laut den Programmiererteam im NortonForum soll die erweiterte heuristische Erkennung sehr viel erkennen können , so wirklich überzeugt bin ich bis jetzt aber nicht.

Geschrieben von: citro 09.10.2008, 20:59

Es könnte ja so sein oder ähnlich, wie in dieser Meldung von mir

http://www.rokop-security.de/index.php?s=&showtopic=17413&view=findpost&p=251241

Geschrieben von: Sasser 09.10.2008, 21:02

unsure.gif @Rock, hi darf man Gratulieren...Alter unbekannt...nun bekennender Mitdreißiger ?
schmunzel, ja der Angriff ist schon Witzig wenn man sich selber angeblich bedroht, das hat schon was Philosophisches..grins.

Ach ja, wenn man Browser Fenster bei Songbird, ein open Source Programm der Firefox Community, zuläßt und hier einen Song eingibt der nicht
vorhanden ist im Pool, so erscheint diese nette Aufforderung seinen PC sofort zu säubern man wäre infiziert... wegen dem X-Button.

Oder bei "Toggo.de" ohne Script-Blocker und Geswall nicht zu empfehlen, denn hier wird der Firefox infiltriert und auf etliche Ports geleitet.
Der Quick-Time Player sowie der Real-Player sind aber meine heimlichen Favoriten..... lmfao.gif

Geschrieben von: Scrapie 14.10.2008, 15:09

Sehr fieser "Surf-by-Download".
Bitte unbedingt aufpassen!!!
Nutzt einen http://www.virscan.org/report/4276d0728d1581e596b7d92f7f12e0f9.html aus und ich habe auf dem Server eine nahezu unerkannte "http://www.virscan.org/report/4584cefb83f6ce3972f19d173af6a34a.html" aufgespürt.

QUELLTEXT
http://62.16.112.143/e/


Gruß,
Scrapie

Geschrieben von: bond7 14.10.2008, 15:17

Wird als Bloohound.Exploit.196 erkannt .
http://www.symantec.ws/en/th/enterprise/security_response/writeup.jsp?docid=2008-080702-2357-99

und wieder hat der Glitzerstab zugeschlagen *Wusch* wink.gif

Geschrieben von: Scrapie 14.10.2008, 15:19

ZITAT(bond7 @ 14.10.2008, 16:16) *
Wird als Bloohound.Exploit.196 erkannt .
http://www.symantec.ws/en/th/enterprise/security_response/writeup.jsp?docid=2008-080702-2357-99

und wieder hat der Glitzerstab zugeschlagen *Wusch* wink.gif


Hi

bezieht sich auf die PDF oder?
Wie sieht bei dir lokal die Erkennung der EXE aus?


Cheers,
Scrapie

Geschrieben von: bond7 14.10.2008, 15:27

Der Content wird nicht nachgeladen da der Exploit gesperrt wird vom AV , ich vermute mal stark das bezieht sich jetzt auf die doc.pdf wie du Sie bei VT hast scannen lassen. Ich bekam hier nur die AV-Traymeldung der Bloohound.Exploit.196 Erkennung einer "a9r303.tmp" .

Geschrieben von: kurz-pc 14.10.2008, 15:38

hxxp://www.bast-gmbh.com/index14.php

Youtube Fake.
http://www.virscan.org/report/544712afe7ad7f6cd4d552173d89e634.html

Seit gehört anscheinend einer GmbH in Hamburg. Was meint ihr sollte man grundsätzlich die Seiten Inhaber/Provider anschreiben und auf drauf hinweißen?
Und würdet ihr solche Seiten bei siteadvisor negative bewerten? Meisten sind diese ja nach kurzer zeit wider off.

Geschrieben von: raman 14.10.2008, 16:52

Wenn ich solche Spammails bekomme, aus der hervorgeht, das die dort angegebene Seite, nennen wir es mal "gehackt" wurde, bekommt die Hoster Abuse Abteilung eine Mail, sowie der eigentliche Betreiber. Aber ob das im endeffekt sehr viel bringt, wag ich zu bezweifeln.

Geschrieben von: kurz-pc 14.10.2008, 16:55

Wie wunder es wie die das machen die Seite hxxp://www.bast-gmbh.com ist ne ganz einfache seit mit html.
Wie können die so was, dann auf die Seite bekommen. Wird da der ftp gehackt oder wo ist das die schwachstelle?

Geschrieben von: bond7 14.10.2008, 17:07

Beides, mit schwachen Passwörtern gesichert und ungepatchte Software.

Geschrieben von: Rios 19.10.2008, 09:49

Allen bekannt, führt zu Smiley Central !!
http://www.abload.de/image.php?img=magicalsnap-2008.10.vjk.png
http://www.abload.de/image.php?img=magicalsnap-2008.10.xps.png

Geschrieben von: Rios 28.10.2008, 18:36

Kann das mal einer gegentesten, bekomme hier einen HTML Virus!!
hxxp://www.s.asdiskcleaner.com Vorsicht!!

Geschrieben von: Scrapie 28.10.2008, 18:56

Hi

Hier kommt nix durch, sorry.
Wenn man sich den Quelltext aber ansieht, dann finden sich drei (identische da Hashwerte gleich) Downloads, zu denen man entsprechend umgeleitet wird.
Download wurde schon im September bei virustotal hochgeladen. Erkennung dafür ziemlich mies!: http://www.virustotal.com/de/analisis/d6c30d1f0d9034a47326521f508da158
PEiD erkennt hier im Gegensatz zu Virustotal "Nullsoft PiMP Stub [Nullsoft PiMP SFX]" als Packer. Die Jungs dort sollten mal ihre PEiD-Signaturen in Ordnung bringen...

Vielleicht kann dir bond mehr zum HTML-Teil sagen, wenn er auf seiner VM unter AntiBot das Teil anklickt...


Scrapie



PS:
Der Link in deinem Poting ist hier "Klick-Aktiv" wink.gif

Geschrieben von: bond7 28.10.2008, 19:46

In beiden virtuellen XP Maschinen , einmal NIS und einmal NAB die Seite im IE geöffnet passiert nichts weiter , im Hintergrund gedownloadet wird dabei auch nichts .

Geschrieben von: Rios 28.10.2008, 20:13

Scrapie, bond thumbup.gif
Danke!

Geschrieben von: chris30duew 29.10.2008, 01:18

Das sagt Avira zu dieser Seite. Schon beim Aufrufen Popt die Meldung auf das meine Heuristische Malware gefunden wurde. Also ganz koscher scheint es vll doch nicht zu sein, oder Avira hat hier einen FP. Kann ja auch sein.

 

Geschrieben von: Rios 13.11.2008, 13:57

Der Link ist aber schon gar nicht in Ordnung!! Vorsicht ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2008.11.13cwzk.png

http://www.abload.de/image.php?img=magicalsnap-2008.11.13giiu.png]

Geschrieben von: bond7 13.11.2008, 14:05

Welcher Link ? In beiden Bildern erkennt man keinen Hinweis.

Geschrieben von: Rios 13.11.2008, 14:27

Bond, steht ganz groß neben dem grünen Symantec Button in rot!! avg-.....

Geschrieben von: bond7 13.11.2008, 14:49

Alles klar, man sieht den Wald vor lauter Bäumen nicht wink.gif

Der Müll auf der Adresse wird erkannt den man "laden soll" .

ZITAT
Behobene Bedrohungen:
Suspicious.AH.42
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\antivirus.v.1.exe - Gelöscht


Auf Virustotal ist man noch ziehmlich ahnungslos.
http://www.virustotal.com/de/analisis/2e93a2b5aa53dce18743811cd1e5a52b

Der Virus hat eine Virtual PC Erkennung und löscht sich ohne Aktion.

Geschrieben von: Ford Prefect 14.11.2008, 01:13

Hoffe ich bin in diesem thread richtig:
habe nach IGMP.MCAST.NET gegoogelt um mich über multi-cast und die dazugehörige Kommunikation zwischen Endsystem und Router schlau zu machen.

Unter anderem gab´s ein Ergebnis hierzu unter
xxx.geocities.jp/bretyaws/igmp.mcast.net.html

Klick - und gelandet bin ich auf hxxp://scanning-antivirus.com/2009/1/de/_freescan.php?nu=77058301

Dank an den httpScan und Alwil smile.gif

Geschrieben von: bond7 14.11.2008, 11:05

Ich lande dann auf der Seite wenn ich dem Japan Link folge, klingt nach der massiven Facebook Verseuchung über Geocities Links.

http://www.abload.de/image.php?img=aufzeichnenewpc.jpg

Geschrieben von: Julian 14.11.2008, 13:44

Noch tut sich Kaspersky mit diesen a9-Installern etwas schwer. Mit Betaheuristik werden sie aber zum Glück ohne Signatur erkannt.

Geschrieben von: Rios 23.11.2008, 18:18

Dies scheint aber auch wieder so einer zu sein. ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2008.11.23n7q4.png

Geschrieben von: kurz-pc 11.12.2008, 07:27

IE7 0-day exploit:

http://s10.directupload.net/file/u/19580/s6dkghnb_png.htm http://s11b.directupload.net/file/u/19580/uv5chc63_png.htm
as.htm
http://www.virustotal.com/analisis/936f6d5a8b1b0c69d7e1bb51702c3945
1.exe
http://www.virustotal.com/analisis/7fee4ac5bad8cc5bdf532051fc6be317

Geschrieben von: bond7 11.12.2008, 14:19

@kurz-pc

könntest du bitte noch etwas darüber berichten wo das her ist ?

Geschrieben von: dragonmale 11.12.2008, 14:59

@bond7,
die URL sieht man in den Bildern.

http://www.breakingpointsystems.com/community/blog/patch-tuesdays-and-drive-by-sundays z.B. gibt es auch noch ein paar Infos dazu.

Geschrieben von: bond7 11.12.2008, 15:05

Die URL scheint schon geblacklisted , damit kann man nichts mehr anfangen , deshalb hatte ich gefragt .

Nachtrag , hier ist die Heise News dazu.

http://www.heise.de/newsticker/Zero-Day-Luecke-im-Internet-Explorer-7-wird-vermutlich-seit-Oktober-ausgenutzt--/meldung/120298

der genannte Beispiel Exploit auf Milw0rm wird schon als Bloodhound.Exploit.219 erkannt.

http://www.symantec.com/security_response/writeup.jsp?docid=2008-121012-3605-99&tabid=1

http://milw0rm.com/sploits/2008-iesploit.tar.gz

ZITAT
Behobene Bedrohungen:
Bloodhound.Exploit.219
Typ: Komprimiert
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
[2008-iesploit.tar] in[c:\downloads\2008-iesploit.tar.gz] - Gelöscht

Geschrieben von: kurz-pc 11.12.2008, 15:35

ZITAT(bond7 @ 11.12.2008, 15:04) *
Die URL scheint schon geblacklisted , damit kann man nichts mehr anfangen , deshalb hatte ich gefragt .


Hab es in der Reviewer-Zentrale von siteadvisor gesehen.
Da waren noch einiger mehr aufgelistet allerdings sind inzwischen alle off bzw. werden umgeleitet auf eine Fake Seite von plus-antivirus.com.

Hier ist eine Auflistung mit einigen Adressen.
http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20081210
Anscheinend sind aber alle inzwischen abgeschaltet.

Geschrieben von: bond7 11.12.2008, 15:55

Eine Spam-Mail wo man sich ein Foto auf einer Online24 Seite ansehen soll , die Seite ist natürlich voll verseucht und es kommt eine Angriffsmeldung.

http://www.abload.de/image.php?img=aufzeichnen61ss.jpg

Hab ich das ganze mal auf einem nackten VM-XP aufgerufen , da kommen mehrere von PDFs hervor , aus denen dann Malware auf ungepachten Adobe Viewern nachgeladen wird . die PDF werden als
Bloodhound.Exploit.213 erkannt.
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-110718-2219-99&tabid=2

Geschrieben von: kurz-pc 11.12.2008, 16:44

ZITAT(bond7 @ 11.12.2008, 15:54) *
Eine Spam-Mail wo man sich ein Foto auf einer Online24 Seite ansehen soll , die Seite ist natürlich voll verseucht und es kommt eine Angriffsmeldung.

http://www.abload.de/image.php?img=aufzeichnen61ss.jpg

Hab ich das ganze mal auf einem nackten VM-XP aufgerufen , da kommen mehrere von PDFs hervor , aus denen dann Malware auf ungepachten Adobe Viewern nachgeladen wird . die PDF werden als
Bloodhound.Exploit.213 erkannt.
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-110718-2219-99&tabid=2


Hab das gleiche bekommen.
hxxp://sofia16-online24.com
Hier mal das VT Ergebnis von der PDF.
http://www.virustotal.com/analisis/4e396c48340f8c1023c592b9449721b1

Geschrieben von: Scrapie 14.12.2008, 13:13

Hi

Etwas Offtopic, aber hat entfernt hiermit zu tun, weil hauptsächlich von öffentlichen Webseiten stammend:

Habe hier aus den letzten beiden Wochen im November 3.167 verdächtige Dateien (ich nenn es mal bewußt nicht "Samples", da sicher auch ein paar FP, saubere und kaputte dabei sind) in vier Archive mit zusammen 341MB gepackt. Wer die Links haben möchte, der schickt ne PN.
Dateien sind zum Teil durch blueX schon an die AV's gegangen, die letzte Woche aber noch nicht, von daher könnten da noch die ein oder andere Überraschungen dabei sein. Das die Dler diese entsprechend an ihre AV's weiterleitet ist wohl selbstverständlich - oder?


Schönen Sonntag,
Scrapie

Geschrieben von: markus17 15.12.2008, 00:11

GData erkennt 127 Dateien nicht. Bei ein paar kann ich sehen, dass ich sie sogar selber schon mal eingeschickt habe, aber anscheinend hat sich nicht bei allen was getan. :-/
*edit*
A Squared Free (mit Betaupdates) findet noch 47 Objekte.

Geschrieben von: Rios 16.12.2008, 11:31

Scheint eine Phishing Seite zu sein. ph34r.gif
hxxp://virenschutz-center.de

Geschrieben von: bond7 16.12.2008, 14:12

Das dumme dabei ist, das SSL Zertifikat ist echt. Ich denk aber auch man versucht hier nur Daten abzugreifen oder ähnliches zb. Abofallen.

Geschrieben von: DonQuijano 16.12.2008, 20:30

ZITAT(Rios @ 16.12.2008, 11:30) *
Scheint eine Phishing Seite zu sein. ph34r.gif
hxxp://virenschutz-center.de

http://www.siteadvisor.com/sites/interactivebrands.com?ref=safesearch&client_ver=FF_26.6_6275&locale=de-DE&premium=false&aff_id=0
ZITAT
Posted on March 15th, 2008 in New Domains, RBN, fake codecs, rogue antivirus

by dglosser
80 new domains associated with malware, from various sources:
interactivebrands.com
http://malwaredomains.com/?cat=56

Geschrieben von: Kenshiro 16.12.2008, 20:56

http://whois.domaintools.com/virenschutz-center.de

Geschrieben von: devaletin 21.12.2008, 17:12

Hallo
Ich habe mal ne Frage zu der Seite pishtank.com

Sind alle dort gelisteten Seiten Pishingseiten die mein Schutzprogramm erkennen sollte?

Geschrieben von: blueX 21.12.2008, 17:26

Das kommt drauf an. Manche Virenschutzhersteller arbeiten mit solchen Website zusammen und beziehen die Datenbanken davon.


Geschrieben von: bond7 21.12.2008, 17:36

ZITAT
Sind alle dort gelisteten Seiten Pishingseiten die mein Schutzprogramm erkennen sollte?


Im großen und ganzen Ja , wenn auf der Seite zb. Loginfelder sind zum eingeben der zu stehlenden Daten .

Geschrieben von: Rios 22.12.2008, 10:25

Also hier ist einiges nicht in Ordnung. Er wartet auf unvorsichtige User!!
http://www.abload.de/image.php?img=magicalsnap-2008.12.12wvtr.png

http://www.abload.de/image.php?img=magicalsnap-2008.12.22bo43.png

Geschrieben von: blueX 23.12.2008, 00:30

Ich darf auf den Thread hinweisen, indem erklärt wird, wie man mit nur einer E-Mail viele wichtige Virenschutzhersteller erreicht.
-> http://www.rokop-security.de/index.php?showtopic=17635

Es können Textfiles gedownloadet werden; den Inhalt der Textfiles (die Adressen der Virenschutzhersteller) kann man dann bequem in das E-Mail-Programm kopieren.

Man sollte allen Virenschutzherstellern die Möglichkeit geben, für die Schädlinge eine Signatur einzubauen. Dies geht natürlich nur, wenn sie unterstützt werden - egal welches AV man persönlich favorisiert.

Ich bitte daher nochmals, allen AV's die Dateien zur Verfügung zu stellen.

Geschrieben von: Rios 23.12.2008, 10:24

Phishing Seite!!

http://www.anti-virus-solution.com/avg/index.asp

Geschrieben von: Rios 27.12.2008, 15:25

Der Tube Player, dürfte sich mittlerweile auch schon rumgesprochen zu haben.
http://www.abload.de/image.php?img=magicalsnap-2008.12.273555.png

Geschrieben von: Kenshiro 27.12.2008, 15:46

Thx FF
http://www.bilder-space.de/show.php?file=27.12Mv3Up6QtaWIX647.JPG smile.gif

Geschrieben von: rolarocka 27.12.2008, 16:26

Nod4:

http://img267.imageshack.us/my.php?image=2008122716h24m35svn2.jpg

Die .exe selber wird nicht erkannt confused.gif

PrevEdge:

http://img258.imageshack.us/my.php?image=2008122716h25m59sby5.jpg

Geschrieben von: fenriz 31.12.2008, 02:07

ZITAT(bond7 @ 11.12.2008, 15:04) *
Die URL scheint schon geblacklisted , damit kann man nichts mehr anfangen , deshalb hatte ich gefragt .

Nachtrag , hier ist die Heise News dazu.

http://www.heise.de/newsticker/Zero-Day-Luecke-im-Internet-Explorer-7-wird-vermutlich-seit-Oktober-ausgenutzt--/meldung/120298

der genannte Beispiel Exploit auf Milw0rm wird schon als Bloodhound.Exploit.219 erkannt.

http://www.symantec.com/security_response/writeup.jsp?docid=2008-121012-3605-99&tabid=1

http://milw0rm.com/sploits/2008-iesploit.tar.gz

...trotzdem irgendwie ein sehr unangenehmes Gefühl das es runtergeladen wird, entpakt werden kann und dann schreitet Norton erst zur Tat.
Insbesondere wenn man dies von diversen AV´s anders gewohnt ist. Diese blockieren nämlich sofort den Download.
Was ist die rationale Erklärung dafür? Die Ebenen auf denen das AV auf die Dateien zugreift? Also da ist Eset und KIS beispielsweise entwas früher am "Start"...

Geschrieben von: daca 31.12.2008, 11:26

ZITAT(Rios @ 23.12.2008, 10:23) *
Phishing Seite!!

http://www.anti-virus-solution.com/avg/index.asp


http://www.abload.de/image.php?img=unbenanntcek0.jpg

notworthy.gif

Geschrieben von: fenriz 31.12.2008, 14:02

ZITAT(fenriz @ 31.12.2008, 02:06) *
...trotzdem irgendwie ein sehr unangenehmes Gefühl das es runtergeladen wird, entpakt werden kann und dann schreitet Norton erst zur Tat.
Insbesondere wenn man dies von diversen AV´s anders gewohnt ist. Diese blockieren nämlich sofort den Download.
Was ist die rationale Erklärung dafür? Die Ebenen auf denen das AV auf die Dateien zugreift? Also da ist Eset und KIS beispielsweise entwas früher am "Start"...


Schubb´s whistling.gif

Geschrieben von: Rios 03.01.2009, 08:00

Fake Mist!!

http://www.abload.de/image.php?img=magicalsnap-2009.01.033jti.png
http://safeweb.norton.com/report/show?name=youryearcard.com

http://www.abload.de/image.php?img=magicalsnap-2009.01.03qx6r.png

Geschrieben von: Solution-Design 03.01.2009, 09:46

ZITAT(fenriz @ 31.12.2008, 14:01) *
Schubb´s whistling.gif


Möchtest du auf dein "Schubs" jetzt eine Antwort, oder was ist deine Intention?

Geschrieben von: daca 04.01.2009, 11:32

Vermutlich hätte er gerne eine Antwort auf die davor gestellte Frage wink.gif

Geschrieben von: Rios 04.01.2009, 11:33

Ein seriös aussehender Link, zeigt nach diversen Umleitungen das wahre Gesicht. ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2009.01.04mvfi.png

Geschrieben von: Rios 04.01.2009, 12:31

Exploid!! Die Warnung kommt sofort nach aufruf der Seite. Vorsicht!!

http://www.abload.de/image.php?img=magicalsnap-2009.01.04ar6c.png

http://linkscanner.explabs.com/linkscanner/checksite.aspx?NS=ChkOnly&SRC=apps.explabs.com&CS=http://bayan.com.ua

Symantec, Bloodhound Exploit !!

http://www.abload.de/image.php?img=magicalsnap-2009.01.04g1a7.png

Geschrieben von: Kenshiro 04.01.2009, 17:04

Jopp:

Geschrieben von: fenriz 04.01.2009, 17:09

ZITAT(daca @ 04.01.2009, 11:31) *
Vermutlich hätte er gerne eine Antwort auf die davor gestellte Frage wink.gif

Rischtisch !!! wink.gif

Geschrieben von: Solution-Design 04.01.2009, 18:50

ZITAT(fenriz @ 04.01.2009, 17:08) *
Rischtisch !!! wink.gif


OK, zwar OT, aber Gutwill...

Man müsste dazu erstmal wissen, wie der http-scan bei Symantec funktioniert: http://www.rokop-security.de/index.php?showtopic=17222&st=180&p=248114&#entry248114

Symantec benutzt also zum Schutz vor bestimmten WEB-Sites spezielle Signaturen. Eine ähnliche Funktion, welche asquared mit seinem host-Schutz von BIT9 benutzt. Eine Malwaredetektion im üblichen Sinne gibt es also nicht. Die Malware wird spätestens im Browsercache entdeckt (insofern der Cache-Speicher nicht ausgeklammert wurde, wie ich es gerne mache). Der Vorteil liegt auf der Hand, schnelles Surfen, keine doppelten Warnmeldungen, keine seltsamen Downloadspeeds, keine Blockade bei Downloads. Welche Programme ich anspreche? G-Data, welches sogar Archive scannt. Avira mit seltsamer Speed-Anzeige. NOD32 mit Downloadblockade unter Opera und doppelten Warnmeldungen. Lediglich Kaspersky nutzt einen http-scanner, welcher den Namen auch verdient. Trotzdem dürfte bei Online-Games Symantec den geringsten Ping-Verlust vorweisen.

Geschrieben von: Rios 05.01.2009, 18:46

Momentan wieder sehr aktiv!! AV 2009 Bandit ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2009.01.05sdae.png

Geschrieben von: Xeon 05.01.2009, 18:52

ZITAT(Solution-Design @ 04.01.2009, 18:49) *
G-Data, welches sogar Archive scannt.

Das scannen von Archiven kann man, an und ab schalten, wie man das gerne haben möchte. rolleyes.gif

Geschrieben von: fenriz 05.01.2009, 21:05

ZITAT(Solution-Design @ 04.01.2009, 18:49) *
OK, zwar OT, aber Gutwill...

Man müsste dazu erstmal wissen, wie der http-scan bei Symantec funktioniert: http://www.rokop-security.de/index.php?showtopic=17222&st=180&p=248114&#entry248114

Symantec benutzt also zum Schutz vor bestimmten WEB-Sites spezielle Signaturen. Eine ähnliche Funktion, welche asquared mit seinem host-Schutz von BIT9 benutzt. Eine Malwaredetektion im üblichen Sinne gibt es also nicht. Die Malware wird spätestens im Browsercache entdeckt (insofern der Cache-Speicher nicht ausgeklammert wurde, wie ich es gerne mache). Der Vorteil liegt auf der Hand, schnelles Surfen, keine doppelten Warnmeldungen, keine seltsamen Downloadspeeds, keine Blockade bei Downloads. Welche Programme ich anspreche? G-Data, welches sogar Archive scannt. Avira mit seltsamer Speed-Anzeige. NOD32 mit Downloadblockade unter Opera und doppelten Warnmeldungen. Lediglich Kaspersky nutzt einen http-scanner, welcher den Namen auch verdient. Trotzdem dürfte bei Online-Games Symantec den geringsten Ping-Verlust vorweisen.

Erstmal Danke für deinen Antwort. Bleibt dennoch komische Gefühl das erst beim entpacken Alarm gegeben wird. Wobei das dadurch bessere Surfverhalten natürlich auch gut zu Buche schlägt. Und das Kaspersky über den Wirklich einzig wahren http Scanner verfügt der diesen Namen auch verdient läßt sich sicher an anderer Stelle weit & ausführend diskutieren. Wenn man aber von KasperskyIS zBsp. zu NIS wechselt hat man irgendwie das Gefühl alles ist wenig transparent und nebulös. Verlaufsprotokol hin oder her. Da fehlt mir schon etwas die Transparenz wie Kaspersky sie vorweisen kann.
Nichts desto trotz hat NIS ja eone gute Erkennungsrate bei Vergleichsweise wenig FP´s. Also ist das Gefühl der unsicherheit sicher mehr subjektiv.

Geschrieben von: Nightwatch 05.01.2009, 21:29

ZITAT(fenriz @ 05.01.2009, 21:04) *
Und das Kaspersky über den Wirklich einzig wahren http Scanner verfügt der diesen Namen auch verdient läßt sich sicher an anderer Stelle weit & ausführend diskutieren.


Ich glaube, Solution meinte das speziell vom technologischen Standpunkt aus. Nicht primär von der Qualität.

Gruß,
Nightwatch

Geschrieben von: Solution-Design 05.01.2009, 22:22

ZITAT(fenriz @ 05.01.2009, 21:04) *
Bleibt dennoch komische Gefühl das erst beim entpacken Alarm gegeben wird.


Archive werden vom Wächter überhaupt nicht geprüft. Siehe eicar.zip

Geschrieben von: blueX 05.01.2009, 22:53

ZITAT(Rios @ 05.01.2009, 18:45) *
Momentan wieder sehr aktiv!! AV 2009 Bandit ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2009.01.05sdae.png



Weisst du, ob diese URL auch in Firefox-Datenbanken aufgenommen werden, wenn man es meldet?
Hier könnte ja dann die Option "Attackierende Website" greifen.



Geschrieben von: fenriz 06.01.2009, 01:23

ZITAT(Solution-Design @ 05.01.2009, 22:21) *
Archive werden vom Wächter überhaupt nicht geprüft. Siehe eicar.zip

GDATA zBsp. lädt die .zip gar nicht erst runter meinte ich.

Geschrieben von: Solution-Design 06.01.2009, 19:19

Weil, wie ich schon erwähnte, G-Data Archive im http-scanner scannt wink.gif

Geschrieben von: Julian 07.01.2009, 20:51

Ich finde dies gar nicht schlecht, sondern eher komfortabel.

Geschrieben von: Rios 10.01.2009, 12:18

China Town ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2009.01.10199c.png
/Windows. exe

Trojan.Win32.Agent!!

Geschrieben von: Solution-Design 10.01.2009, 12:59

Quelltext: 123 confused.gif

http://www.virustotal.com/de/analisis/06b0b943c6cdbc675993f5333f799000

Interessant. Mal schaun, ob das Ding auch was anstellt

Geschrieben von: Rios 10.01.2009, 13:03

Kommt per Post. smile.gif

Geschrieben von: bond7 10.01.2009, 13:24

Ein bischen ausführlicher könnten die Posts schon ausfallen ..

Geschrieben von: fenriz 14.01.2009, 00:57

ZITAT(Rios @ 27.12.2008, 15:24) *
Der Tube Player, dürfte sich mittlerweile auch schon rumgesprochen zu haben.
http://www.abload.de/image.php?img=magicalsnap-2008.12.273555.png

GDATA blockt da nix whistling.gif

Geschrieben von: Sicherheit 14.01.2009, 01:24

ZITAT(fenriz @ 14.01.2009, 00:56) *
GDATA blockt da nix whistling.gif


Gdata hat momentan auf breiter Front "Super Ergebnisse" mit der Erkennung in Tests.

Kaspersky hat nicht die Traum_Ergebnisse und erkennt @ Der Tube Player, dürfte sich mittlerweile auch schon rumgesprochen zu haben. sofort.

Sobald Kaspersky den neuen Fix am 13.01.2009 angekündigt und noch nicht erschienen, rausbringt, bin ich dabei.

Grüße

Geschrieben von: Sicherheit 14.01.2009, 01:41

@fenriz

wichtig, hast du das rausgefriemelt mit IE7 oder FF???????????

Geschrieben von: Rios 14.01.2009, 08:00

Momentan ist Paris Hilton, wieder eine Gefahr für den User !! auf der Seite versteckt sich ein Trojaner. Mehr dazu hier.

http://www.computerworld.ch/aktuell/news/47067/index.html
Die Erkennung war laut PC Welt, zu dem Zeitpunkt noch nicht gut. Ich habe es selbst nicht getestet.
http://www.pcwelt.de/start/sicherheit/sonstiges/news/190773/paris_hiltons_webseite_gehackt/

Geschrieben von: fenriz 14.01.2009, 14:30

ZITAT(Sicherheit @ 14.01.2009, 01:40) *
@fenriz

wichtig, hast du das rausgefriemelt mit IE7 oder FF???????????


...was meinst du damit "rausgefrimmelt" ??
Ich nutze eigentlich immer den FF3 thumbup.gif

Geschrieben von: Sicherheit 14.01.2009, 14:33

Danke,

/OT

friemeln oder probieren oder... smile.gif

Grüße

Geschrieben von: fenriz 14.01.2009, 16:36

ZITAT(Sicherheit @ 14.01.2009, 14:32) *
Danke,

/OT

friemeln oder probieren oder... smile.gif

Grüße

...ah okay also ich hab dasmit dem FF3 gefrimelt.

Geschrieben von: Kenshiro 25.01.2009, 10:20

hxxp://w*w.total-defender.com

http://www.virustotal.com/analisis/2535f0f49df6b79b61c017d988ef6d45 sad.gif

http://www.abload.de/image.php?img=www.total_defender_com43xt.jpg

Geschrieben von: Rios 25.01.2009, 11:14

Es geht recht flott weiter, nach dem Motto, Leipziger allerlei.

http://www.abload.de/image.php?img=magicalsnap-2009.01.25htjd.png

hxxp://.jobarack.com/

http://www.virustotal.com/de/analisis/d9679e0c98bd20f62b11da60ab287f0b

Geschrieben von: Kenshiro 25.01.2009, 11:50

Avira mag die Seite auch nicht lmfao.gif
http://www.abload.de/image.php?img=http_jobarack_comm05d.jpg

Geschrieben von: fenriz 30.01.2009, 05:20

ZITAT(Scrapie @ 26.09.2008, 19:30) *
DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz

Vorsicht! smile.gif
Scrapie






Feldforschung mit der Agnitum Outpost Security Pro2009 läuft. Respektive dem Virusbuster Scanmodul.
Immerhin funktionieren tut der Virusbuster je wenigstens zumindest whistling.gif
Mal sehen was noch so geht.

Geschrieben von: 240670 30.01.2009, 05:48

ZITAT(fenriz @ 30.01.2009, 05:19) *





Feldforschung mit der Agnitum Outpost Security Pro2009 läuft. Respektive dem Virusbuster Scanmodul.
Immerhin funktionieren tut der Virusbuster je wenigstens zumindest whistling.gif
Mal sehen was noch so geht.



Also Nod hat 10 Sachen gefunden:

30.01.2009 05:38:03 Echtzeit-Dateischutz Datei C:\Users\......\Desktop\Eigene Dateien\5378.exe Mehrere Bedrohungen gelöscht - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:38:02 Echtzeit-Dateischutz Datei C:\Users\......\Desktop\Eigene Dateien\sc.html möglicherweise Variante von Win32/TrojanDownloader.Agent Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:38:02 Echtzeit-Dateischutz Datei C:\Users\......\Desktop\Eigene Dateien\CodecBHO.dll möglicherweise Variante von Win32/TrojanDownloader.Agent Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:38:02 Echtzeit-Dateischutz Datei C:\Users\.......\Desktop\Eigene Dateien\7.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:51 Echtzeit-Dateischutz Datei C:\Users\.....\Desktop\Eigene Dateien\5.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:51 Echtzeit-Dateischutz Datei C:\Users\.....\Desktop\Eigene Dateien\4.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:50 Echtzeit-Dateischutz Datei C:\Users\......\Desktop\Eigene Dateien\3.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:50 Echtzeit-Dateischutz Datei C:\Users\.....\Desktop\Eigene Dateien\2.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:50 Echtzeit-Dateischutz Datei C:\Users\.....\Desktop\Eigene Dateien\1.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.
30.01.2009 05:37:49 Echtzeit-Dateischutz Datei C:\Users\.....\Desktop\Eigene Dateien\0.exe Win32/TrojanDownloader.FakeAlert.JX Trojaner Gesäubert durch Löschen - in Quarantäne kopiert Ereignis beim Erstellen einer neuen Datei durch die Anwendung: C:\Program Files (x86)\WinRAR\WinRAR.exe.

Geschrieben von: Kenshiro 30.01.2009, 18:30

hxxp://w*w.sysantivirus2009.com
http://www.abload.de/image.php?img=www_sysantivirus2009_cyu3w.jpg

Geschrieben von: 240670 30.01.2009, 19:31

ZITAT(Kenshiro @ 30.01.2009, 18:29) *
hxxp://w*w.sysantivirus2009.com
http://www.abload.de/image.php?img=www_sysantivirus2009_cyu3w.jpg



Nod32 meldet nichts aber Windows Defender springt sofort an.

Geschrieben von: teddy247 30.01.2009, 19:36

Norton 360 2.0 rührt sich nicht thumbdown.gif , aber mein kleiner grüner freund KIS 2009 schlägt sofort an smile.gif

Geschrieben von: rolarocka 30.01.2009, 20:43

WOT ist doch noch da:
PrevxEdge:
und NIS2009 nach ausführen:

Geschrieben von: Julian 30.01.2009, 21:12

ZITAT(Kenshiro @ 30.01.2009, 18:29) *
hxxp://w*w.sysantivirus2009.com
http://www.abload.de/image.php?img=www_sysantivirus2009_cyu3w.jpg

Comodo Beta erkennt es ab mittlerer Heuristikstufe:
http://www.ld-host.de/show/1247a40bfa863ac4073cd6d3d92f4ebd.jpg

Ab mittlerer Heuristikstufe steigen aber leider auch die FPs stark an...

Geschrieben von: fenriz 30.01.2009, 22:49

ZITAT(rolarocka @ 30.01.2009, 20:42) *
WOT ist doch noch da:
PrevxEdge:
und NIS2009 nach ausführen:

NIS2009 kommt bei mir gar nicht erst zum Zuge da bei ausführen die .exe keine Rückmeldung mehr gibt.. Hoffentlich hab ich mir da bei dem geteste
jetz nix drauf geholt...

Geschrieben von: rolarocka 30.01.2009, 22:55

Hast du die Datei auf dein "echtes" System ausgeführt? Wenn ja - keine gute Idee.
Ich habs zwar auf meinem Hauptsystem ausgeführt aber in SandboxIE. So kann zu 99% nichts passieren. Ausserdem habe ich noch saubere Images.

PS: in NIS2009 habe ich die Heuristik auf hoch gestellt, vielleicht liegts ja daran.

Geschrieben von: fenriz 30.01.2009, 22:58

ZITAT(rolarocka @ 30.01.2009, 22:54) *
Hast du die Datei auf dein "echtes" System ausgeführt? Wenn ja - keine gute Idee.
Ich habs zwar auf meinem Hauptsystem ausgeführt aber in SandboxIE. So kann zu 99% nichts passieren.

PS NIS2009 habe die Heuristik auf hoch gestellt, vielleicht liegts ja daran.

Naja hab jetzt mal NIS im Vollscann laufen wenn da nix gefunden wird dürfte alles Okay sein *hoff*

Geschrieben von: rolarocka 30.01.2009, 23:00

Am besten ist man probiert diese Malware in VMWare oder Virtualbox aus. Ich bin aber zu faul dazu und probier es wie gesagt in SandboxIE aus.

Geschrieben von: bond7 30.01.2009, 23:05

@fenriz

ZITAT
Hoffentlich hab ich mir da bei dem geteste jetz nix drauf geholt...
Naja hab jetzt mal NIS im Vollscann laufen wenn da nix gefunden wird dürfte alles Okay sein *hoff*

Der Installer sucht nach einer URL auf Port 53 (bzw. will diese über den Port auflösen) , findet die URL aber nichtmehr weil vermutlich gelöscht und gibt eine rechte dumme Fehlermeldung raus . Der Installer selbst trägt sich trotzdem noch in den Autorun ein und an einer anderen Stelle in der Registry, das heisst er bleibt auf dem System resident und wenn die Download URL zur Fakesoftware wieder läuft wird Sie bei dir installiert.

http://www.abload.de/image.php?img=aufzeichnenw1cd.jpg

Geschrieben von: fenriz 30.01.2009, 23:06

Ja stimmt schon, aber ich hab drei Rechenr und einer davon ist mein "Gammelrechner" oder "Testknecht" wie auch immer.

Geschrieben von: fenriz 30.01.2009, 23:08

ZITAT(bond7 @ 30.01.2009, 23:04) *
@fenriz


Der Installer sucht nach einer URL auf Port 53 (bzw. will diese über den Port auflösen) , findet die URL aber nichtmehr weil vermutlich gelöscht und gibt eine rechte dumme Fehlermeldung raus . Der Installer selbst trägt sich trotzdem noch in den Autorun ein und an einer anderen Stelle in der Registry, das heisst er bleibt auf dem System resident und wenn die Download URL zur Fakesoftware wieder läuft wird Sie bei dir installiert.

http://www.abload.de/image.php?img=aufzeichnenw1cd.jpg

hmm was sollte ich tun ?? Autorun durchforsten ?

Geschrieben von: Nightwatch 30.01.2009, 23:10

ZITAT(fenriz @ 30.01.2009, 23:05) *
Ja stimmt schon, aber ich hab drei Rechenr und einer davon ist mein "Gammelrechner" oder "Testknecht" wie auch immer.


Hi smile.gif

Für solche Malware-Spielereien und Tests empfehle ich Dir folgendes kostenloses Programm, damit Du im Nachhinein keine Probleme bekommst:
http://www.returnilvirtualsystem.com/rvspersonal.htm

Ansonsten bleibt und besteht immer ein großes Risiko.

Gruß,
Nightwatch

Geschrieben von: rolarocka 30.01.2009, 23:17

Nur als Info, NIS2009 hat bei mir auf diese datei gemeckert: sysav.exe

Geschrieben von: rolarocka 30.01.2009, 23:23

ZITAT(fenriz @ 30.01.2009, 23:07) *
hmm was sollte ich tun ?? Autorun durchforsten ?

An deiner Stelle würde ich mit http://www.malwarebytes.org/mbam.php und mit http://www.emsisoft.com/en/software/free/ einmal das System scannen. Aber wenns eh nur der Testrechner ist...

Geschrieben von: bond7 30.01.2009, 23:24

@fenriz

wenn du das System so beibehalten willst musst du sicher die 2 Einträge aus der Registry wieder löschen , ich hab das Bild extra so reingestellt das man diese gut sehen kann.

@rolarocka

schon klar aber die URL wo der Setup-Downloader den Müll geholt hat gibts zur Zeit nee , bei dir ging Sie noch.
Die 2 Tools da löschen die Einträge aus der Registry aber nicht raus.

Geschrieben von: fenriz 30.01.2009, 23:51

ZITAT(bond7 @ 30.01.2009, 23:23) *
@fenriz

wenn du das System so beibehalten willst musst du sicher die 2 Einträge aus der Registry wieder löschen , ich hab das Bild extra so reingestellt das man diese gut sehen kann.

Die Schluessel so wie angegeben kann ich nicht bei mir finden, sind scheinbar doch noch nicht gesetz worden!

 

Geschrieben von: bond7 31.01.2009, 00:08

Die Suche im Regedit bemühen und nach dataprotector suchen und dort wo der Autorun ist den Installer löschen , auch das schon versucht ? Wenn du da nicht weiterkommst musst du dir angewöhnen das infizierte System wegzuschmeissen und immer ein Frisches parat zu haben zum testen, es gibt ja verschiedene Möglichkeiten.

Geschrieben von: fenriz 31.01.2009, 00:13

ZITAT(bond7 @ 31.01.2009, 00:07) *
Die Suche im Regedit bemühen und nach dataprotector suchen und dort wo der Autorun ist den Installer löschen , auch das schon versucht ? Wenn du da nicht weiterkommst musst du dir angewöhnen das infizierte System wegzuschmeissen und immer ein Frisches parat zu haben zum testen, es gibt ja verschiedene Möglichkeiten.

Vieln Dank soweit bond7. wink.gif
Die Suche im Registry Editor hat leider auch nichts gebracht. Irgendwie schon seltsam...ich vermute eher da sofort nach Ausführung diese Fehlermeldung kam das es gar nicht bis zu einem Eintrag in der registry gekommen ist.
Habe hier Norton Ghost am start. Werd wohl einen Wiederherstellungspunkt nehmen.

Geschrieben von: citro 31.01.2009, 20:12

ZITAT(teddy247 @ 30.01.2009, 19:35) *
Norton 360 2.0 rührt sich nicht thumbdown.gif , aber mein kleiner grüner freund KIS 2009 schlägt sofort an smile.gif


Gerade durch ein Pulse Update: Downloader MisleadApp (setup 1_1.exe)

Geschrieben von: teddy247 31.01.2009, 20:21

hallo


aber der norton 360 v2 hat doch noch keine pulse update funktion, die kommt erst in v3 smile.gif

Geschrieben von: Rios 01.02.2009, 10:39

Vorsicht !!! bei euch irgendwelche Reaktionen??

http://www.abload.de/image.php?img=magicalsnap-2009.02.016zem.png

Geschrieben von: Poulsen 01.02.2009, 10:47

GDATA meint dazu:


 

Geschrieben von: Stefan 01.02.2009, 10:49

a-squared Anti-Malware findet "Trojan.TDss!IK".

Geschrieben von: Rios 01.02.2009, 10:51

Ist schon mal gut smile.gif

Geschrieben von: Nightwatch 01.02.2009, 11:03

McAfee erkennt den Installer auch:

http://www.abload.de/image.php?img=mcafeedxznz0.jpg


Gruß,
Nightwatch

Geschrieben von: Kenshiro 01.02.2009, 11:26

AntiVir meint dazu:

http://www.abload.de/image.php?img=ia_scanner_prorj5c.jpg

Geschrieben von: Rios 01.02.2009, 11:44

Das Problem mit so einem Teil könnte http://www.dslreports.com/forum/r21840126-Chronic-infection-by-Antispyware-2009 zutreffen.

Geschrieben von: Kenshiro 01.02.2009, 12:22

@Nightwatch
Gehst Du fremd? Was sah ich da? McAfee?
Frau F-Secure wird sauer sein lmfao.gif

Geschrieben von: Nightwatch 01.02.2009, 12:35

ZITAT(Kenshiro @ 01.02.2009, 12:21) *
@Nightwatch
Gehst Du fremd? Was sah ich da? McAfee?
Frau F-Secure wird sauer sein lmfao.gif


Ach was. Die weiß davon lmfao.gif
Nein, habe am Freitag eine Zweijahreslizenz für McAfee geschenkt bekommen. Das werkelt jetzt auf meinem Freizeit-Laptop rum. Auf den produktiven PC´s läuft seit Jahren (und vermutlich auch in den kommenden Jahren) F-Secure.

Gruß,
Nightwatch

Geschrieben von: Rios 01.02.2009, 17:15

Es ist ja nicht mehr sehr lange hin zum Valentinstag. Hier stellt man sich schon darauf ein.

hxxp://.bestlovelong.com
wie immer Vorsicht!!

Geschrieben von: Kenshiro 01.02.2009, 17:22

Gut aufgepasst AntiVir thumbup.gif
http://www.abload.de/image.php?img=bestlovelong9a5m.jpg

Geschrieben von: Kenshiro 01.02.2009, 17:24

Bin beruhigt NightWatch smile.gif

Geschrieben von: Solution-Design 01.02.2009, 18:12

Gut, ok, wird also als Email-Wurm deklariert. http://www.virustotal.com/de/analisis/f52add0f6c87dde89fbedead7ae13792

Ist aber unter Vista gar nicht lauffähig (sofortiger Absturz) und unter XP macht das Ding auch irgendwie nüscht?! whistling.gif

Geschrieben von: Kenshiro 01.02.2009, 18:29

Nüscht? Besser als gar nix lmfao.gif

Geschrieben von: Solution-Design 01.02.2009, 18:58

Na, hauptsache das nüscht machende Ding wird erkannt, warum auch immer lmfao.gif

Geschrieben von: Rios 01.02.2009, 19:15

Das Teil gehört eher in diese Kategorie http://www.f-secure.com/v-descs/trojan_w32_waledac_gen.shtml
Habe das noch dazu gefunden http://www.marshal.com/trace/traceitem.asp?article=853

Geschrieben von: Poulsen 01.02.2009, 19:40

ZITAT(Rios @ 01.02.2009, 10:38) *
Vorsicht !!! bei euch irgendwelche Reaktionen??

http://www.abload.de/image.php?img=magicalsnap-2009.02.016zem.png


Auch NOD32 springt an
http://pic.leech.it/pic.php?id=0c78841beset.jpg

Geschrieben von: tpro 01.02.2009, 20:14

http://www.abload.de/image.php?img=aviradba9.jpg

Geschrieben von: citro 01.02.2009, 20:38

JS.Downloader und Packed.Generic.200

edit: erkennen sowieso fast alle

http://www.virustotal.com/de/analisis/ccae22a9cc08ac0f67b6767492620699

Geschrieben von: Solution-Design 02.02.2009, 02:20

ZITAT(Rios @ 01.02.2009, 17:14) *
Es ist ja nicht mehr sehr lange hin zum Valentinstag. Hier stellt man sich schon darauf ein.
hxxp://.bestlovelong.com


Bei Symantec darf das Teil unter XP erst mal durch die intelligente Firewall
http://img239.imageshack.us/my.php?image=you1nn4.png

Um dann von Sonar aufgehalten zu werden
http://img513.imageshack.us/my.php?image=you2gc5.png

Wobei auch AntiBot meint, dass das Teil nix taugt
http://img239.imageshack.us/my.php?image=you3vs3.png

Bei einem zweiten Aufruf meldet Sonar nichts mehr und lässt die Datei gewähren. Lediglich NAB funktioniert
http://img168.imageshack.us/my.php?image=you4qe5.png

http://img168.imageshack.us/my.php?image=you5ei1.png

Geschrieben von: bond7 02.02.2009, 02:34

Du hast den Autoprotect ausgeschalten ? Das Ding wird nämlich auch so erkannt, siehe Posting über deinem. Irgendwas musst du aber übersehen haben denn trotz deaktivierten "Antivirus" (Erweiterter Schutz wird dabei automatisch mit deaktiviert) hat das Ding schlechte Karten, siehe Bild.

http://www.abload.de/image.php?img=zwischenablage02n48m.jpg

Geschrieben von: Solution-Design 02.02.2009, 06:35

Sorry, hatte falsch gequotet. Es handelte sich um die Dinger von http://www.virustotal.com/de/analisis/f52add0f6c87dde89fbedead7ae13792-

Posting nun editiert

Geschrieben von: Julian 02.02.2009, 11:33

ZITAT(Solution-Design @ 02.02.2009, 02:19) *
Bei einem zweiten Aufruf meldet Sonar nichts mehr und lässt die Datei gewähren.

Wie kann das sein? Hört sich an wie Glücksspiel wink.gif
Oder hat bei der Malware im zweiten Anlauf etwas vll. nicht funktioniert?

Geschrieben von: bond7 02.02.2009, 17:25

@Solution-Design


Hast du mal ein QuickScan nach dem Ausführen der Malware versucht ? Das Ding ist tückisch , das untersucht erst eine Weile die Laufwerke wartet dann einen Moment wie man anhand der Zeitskala im Verlauf sehen kann und versucht dann verbotene Aktionen auszuführen. Währendessen hatte ich aber schon ein Quickscan angeschoben und da wurde das Teil auch erkannt, gleichzeitig meckert Sonar wegen verbotenen Aktionen.


http://www.abload.de/image.php?img=zwischenablage022vhc.jpg

http://www.abload.de/image.php?img=zwischenablage03kx42.jpg

Geschrieben von: Solution-Design 02.02.2009, 18:23

Sonar erkannte erst die temporären Dateien, welche durch Ausführen der Datei erstellt wurden. Beim zweiten mal wurden keine Temps erstellt und Sonar blieb ruhig. Ob die Malware dann funktionierte? Zumindest war sie im Taskmanager und erstellte einen Reg-Eintrag. AntiBot fand sie dennoch. Ist aber interessant, dass Sonar die Datei selbst erst killte, nach Erstellung der Temps. Auch der Eintrag in der Firewall mit "alles zulassen/beide Richtungen" na ja...

Geschrieben von: Scrapie 02.02.2009, 18:42

Hi

Hat schon jemand das Teil vom Hamburger Abendblatt in die Finger bekommen?
Das Ding will mich einfach nicht infizieren, dabei wollte ich's mir mal näher ansehen .... sad.gif


Scrapie

Geschrieben von: bond7 02.02.2009, 19:00

@Solution-Design

Beim zweiten mal macht das Ding nichts mehr weil wie gesagt Temp-Daten bereits noch existieren , nach ein paar Minuten fängt das Ding an Spam zu versenden da meckert Norton dann das der ISP die Mailadresse immer zurückgewiesen hatte, ob und wann weitere Reaktionen einsetzen kann ich nicht sagen , der Quickscan läuft später sowieso automatisch an.

@Scrapie

Bin bereits dran , auf der alten XPsp1 VM kann ich momentan nur nicht checken ob das infiziert ist, da läuft keine AV Software.

Geschrieben von: Scrapie 02.02.2009, 19:10

Okay.

Vielleicht aber schon zu spät:
http://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.abendblatt.de&x=0&y=0
http://www.siteadvisor.com/sites/abendblatt.de

Überall "grün" ....


Scrapie

Geschrieben von: bond7 02.02.2009, 19:15

Sophos / Fsecure Rootkitscanner zeigen nichts an, möglicherweise ist der Spuk schon vorbei.

Geschrieben von: Rios 04.02.2009, 19:36

Nur noch Caramba ölt besser. Versteckter Codec??

http://www.abload.de/image.php?img=magicalsnap-2009.02.0424gc.png

Geschrieben von: bond7 04.02.2009, 19:42

Nett , ich komme garnicht bis zum Lieblingsvideo wenn ich die Hauptseite öffne biggrin.gif

http://www.abload.de/image.php?img=aufzeichnenbvvc.jpg

Geschrieben von: Rios 04.02.2009, 19:44

biggrin.gif

Geschrieben von: rolarocka 04.02.2009, 20:16

Eset 2.7 biggrin.gif

ohne webscanner, mit webscanner, mit webscanner + Active Mode:
PrevsEdge meckert auch

Geschrieben von: Nightwatch 04.02.2009, 20:27

Mittlerweile bin ich froh, dass Artemis so gut funktioniert. Selbst vorm Bundestrojaner hats mich schon gerettet lmfao.gif
Die Erkennung muss einfach 100% sein biggrin.gif

http://www.abload.de/image.php?img=artemiserkennung9924.jpg


Geschrieben von: bond7 04.02.2009, 20:42

Konntest du die Datei noch speichern, Ja oder Nein ? Die Blokade der Infektion scheint hier nicht weit genug zu gehen wenn du die Infektion selber noch speichern kannst bzw. wenn der Exploit den Malwaredownload überhaupt aufrufen und starten kann ?! Norton hat hier gleich den Exploit gestoppt .

Geschrieben von: Nightwatch 04.02.2009, 20:57

ZITAT(bond7 @ 04.02.2009, 20:41) *
Konntest du die Datei noch speichern, Ja oder Nein ?


Nein, das Speichern war nicht möglich. Auch nachträglich nicht (also wenn man beabsichtigt draufklickt).
Ich musste den Download manuell anstoßen, weil ich u.a. NoScript verwende und sowas automatisch geblockt wird. Noch bevor die Speicheraufforderung kam, schlug McAfee an.

Gruß,
Nightwatch

Geschrieben von: Kenshiro 05.02.2009, 08:57

Aviras Statement zu diese Seite: whistling.gif
http://www.abload.de/image.php?img=viewformex_comhfxe.jpg

Geschrieben von: Rios 06.02.2009, 21:59

http://www.abload.de/image.php?img=magicalsnap-2009.02.06jeqq.png

hxxp://.freeantiviruswebscan.com
die neuen AV 360 Versionen setzen zunehmends MBAM zu, in dem sie diesen mal kurz ausser Gefecht zu setzen versuchen.

http://www.virustotal.com/de/analisis/2981984aee8a218470a239097c60fbf5

Geschrieben von: rolarocka 06.02.2009, 22:11

Sauber:

Geschrieben von: Voyager 06.02.2009, 22:17

Die FakeWebseite mit der Sie sind 100pro Infected, ganz erlich kannst mir ruhig glauben! wink.gif erscheint garnicht erst , der Erkennung führt zum Verbindungsabriss der Webseite.

Geschrieben von: rolarocka 06.02.2009, 22:21

Jo ich hab ja auch erst NIS2009 ausgeschaltet um an die Datei zu kommen. Will doch wissen wie sich PrevxEdge schlägt smile.gif

NIS2009 nach dem ausführen:

Geschrieben von: Rios 06.02.2009, 22:37

Weiter gehts hier. Was läuft bei euch?

hxxp://.www.besthqmovies.com/video17637 Vorsicht!

Geschrieben von: rolarocka 06.02.2009, 22:47

Bei mir kommt nur ne Warnung von WOT:

Geschrieben von: Rios 06.02.2009, 22:50

ja bei mir auch, aber wenn man weiter macht, kommt bei mir das

http://www.abload.de/image.php?img=magicalsnap-2009.02.06hc3o.png

Geschrieben von: rolarocka 06.02.2009, 22:52

Dann kommt bei mir ne nette Frau mit Rucksack biggrin.gif

edit: allerdings auch nur wenn ich das pünktchen vor dem www weg mache thumbup.gif

Geschrieben von: Rios 06.02.2009, 22:54

Ist doch was biggrin.gif

Geschrieben von: rolarocka 07.02.2009, 00:04

ZITAT(Rios @ 06.02.2009, 21:58) *
hxxp://.freeantiviruswebscan.com
die neuen AV 360 Versionen setzen zunehmends MBAM zu, in dem sie diesen mal kurz ausser Gefecht zu setzen versuchen.

http://www.virustotal.com/de/analisis/2981984aee8a218470a239097c60fbf5

Mittlerweile wird auch die .exe (InstallAVg_77083909.exe) selber erkannt. Ganz schön fix die Jungs thumbup.gif

Geschrieben von: tpro 07.02.2009, 08:14

ZITAT(Rios @ 06.02.2009, 21:58) *
hxxp://.freeantiviruswebscan.com


http://www.abload.de/image.php?img=ws2g4o.jpg

Geschrieben von: Kenshiro 07.02.2009, 11:08

AntiVir meckert auch - schmeckt ihm ebenfalls nicht lmfao.gif
http://www.abload.de/image.php?img=antimalwarelivescanhgne.jpg

Geschrieben von: Kenshiro 11.02.2009, 10:14

w*w.antispyprotector.com
http://www.abload.de/image.php?img=http_antispyprotector_5trh.jpg

Geschrieben von: markusg 11.02.2009, 14:52

hier auch was von mir. ist unbekannt:
hxxp://www.fastsecurescanner.com/
datei hochgeladen hier:
http://thespykiller.co.uk/index.php/topic,7793.0.html
und zu einigen antivirenherstellern, avira hat zwar geschrieben, das die datei einen trojaner enthält, aber nichts weiter....

Geschrieben von: Stefan 11.02.2009, 15:14

AVG meint dazu:

Geschrieben von: markusg 11.02.2009, 16:13

kann auf bildern nichts erkennen, aber vorhin hat noch kein scanner etwas erkannt...

Geschrieben von: Rios 11.02.2009, 16:16

Rapid Antivirus
http://www.virustotal.com/de/analisis/bbae04c5bd0050e00adb9bcbc05429ca
hxxp://.scanner.rapidantivirus09.com/setup/install_710_MHw0MXwxMDEwMDAwMDAwfHx8fHx8fHw_.exe Vorsicht!!

Geschrieben von: markusg 11.02.2009, 16:19

hxxp://fastsecurescanner.com/downl.php
ist der download wird der auch erkannt?

Geschrieben von: rolarocka 11.02.2009, 16:25

ZITAT(Rios @ 11.02.2009, 16:15) *
Rapid Antivirus

Chrome:

Geschrieben von: Rios 11.02.2009, 16:26

http://www.virustotal.com/de/analisis/97a9bc71c1062f360ce9706f0922b5eb ph34r.gif

Geschrieben von: Stefan 11.02.2009, 16:33

ZITAT(markusg @ 11.02.2009, 16:12) *
... vorhin hat noch kein scanner etwas erkannt...
Was heißt vorhin? Die AVG-Definitionen waren von 09:21 Uhr.

Geschrieben von: markusg 11.02.2009, 16:39

das er die scripts auf der seite erkennt mag ja sein, aber nimm mal den andern link, da kannst dir die malware downloaden, vorhin bedeutet vor ein paar minuten bei vt hochegladen, jetzt zeigen 6 scanner verdächtig an... gestern war es einer

Geschrieben von: markusg 11.02.2009, 16:47

hier die erste antwort (avira hat keine genaue aussage getroffen)
Dear Markus,

Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. Detection will be included in the next regular update.
The sample you submitted will be detected as W32/FakeAV.JK!tr.

Geschrieben von: Anglien 11.02.2009, 16:47

ZITAT(Stefan @ 11.02.2009, 16:32) *
Was heißt vorhin? Die AVG-Definitionen waren von 09:21 Uhr.


Bei mir meckert AVG irgendwie nicht sad.gif . Muss das mal überprüfen.

Geschrieben von: markusg 11.02.2009, 16:51

Welchen link hast du genommen?
den ersten? da kann avg nur meckern, wenn du javascript aktivirt hast. beim 2 kann noch nichts passieren, da avg das file noch net erkennt (zu mindest war das vorhin so)

Geschrieben von: Stefan 11.02.2009, 16:52

ZITAT(markusg @ 11.02.2009, 16:38) *
das er die scripts auf der seite erkennt mag ja sein, aber nimm mal den andern link, da kannst dir die malware downloaden, vorhin bedeutet vor ein paar minuten bei vt hochegladen, jetzt zeigen 6 scanner verdächtig an... gestern war es einer
In deinem alten Posting hattest du aber nur zur Webseite verlinkt. Die wurde ja von AVG gesperrt.
Die runtergeladene "fss_installer.exe" wird hier allerdings weder von AVG noch von a-squared bemängelt.

Du solltest in Zukunft dann besser gleich den richtigen Link posten, um Missverständnisse zu vermeiden. wink.gif

Geschrieben von: Anglien 11.02.2009, 16:55

Danke!
Hab den ersten Link genommen und das File wird auch nicht erkannt. Javascript war deaktiviert, so dass es daran liegen wird.

Geschrieben von: markusg 11.02.2009, 16:56

sorry ist mir auch erst speter aufgefallen ich gelobe besserung! wie gesagt, das file ist schon verteilt und ich warte nur auf antworten... auch spybot und malwarebytes haben eine kopie.

Geschrieben von: Julian 11.02.2009, 17:57

ZITAT(markusg @ 11.02.2009, 16:18) *
hxxp://fastsecurescanner.com/downl.php
ist der download wird der auch erkannt?

Hab es mit KIS in einer VM getestet:
Das Teil versucht im Windows-Ordner eine "iehost.dll" zu erstellen, welche KIS als "Trojan-Downloader.Win32.FraudLoad.vjnh" erkennt. Dann versucht es "hxxp://89.149.194.188/installpack.dat//xppolice.exe" nachzuladen, was KIS als "Trojan.Win32.FraudPack.jzh" erkennt. Nach einem Neustart ist der Spuk dann vorbei smile.gif
Doof ist nur, dass der Taskmanager deaktiviert ist und KIS diesen nicht wieder einschaltet, naja.

Geschrieben von: rolarocka 11.02.2009, 18:27

Antivir
erkennung erst durch ausführen:
(3. erkennung erst durch ondemand scan des install Ordners)

Geschrieben von: markusg 11.02.2009, 18:28

ja, hab ne mail von kaspersky bekommen das sie da in die signatur aufnehmen wollen...

Geschrieben von: Rios 11.02.2009, 19:09

hxxp://.www.pc-scan-av.net ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2009.02.116q8y.png
Firefox zeigt auch rot
http://www.abload.de/image.php?img=magicalsnap-2009.02.11qyb4.png
http://www.virustotal.com/de/analisis/6a67b6a8015db4fd29a4e639d160f0db

Nachschub rollt Warten auf nen Download.
hxxp://.greenantivirus2009.com

Geschrieben von: Voyager 11.02.2009, 19:31

Bei sowas hilft nur eins langfristig , Nein nicht neuaufsetzen , man müsste versuchen die Banden auszuheben die für den Nachschub an FakeAVseiten verantwortlich sind . Mich würde interessieren ob sich da überhaupt etwas bewegt in der Richtung.

Geschrieben von: Rios 11.02.2009, 20:00

Microsoft hat die Sache schon mal angegangen. Ein Problem ist, das die Dinger zum Teil, oder überwiegend aus dem Osteuropäischen Raum kommen.
http://winfuture.de/news,42591.html

Geschrieben von: Voyager 11.02.2009, 20:11

Da muss unsere Miss Merkel eben mal mit Putin reden , ich denke so ein Gespräch würde schon sehr viel bewirken , wenn man sich dort des Problems nach Intervention von ganz oben annimmt.

Geschrieben von: Rios 13.02.2009, 19:59

Das ist ja echt eine Mistseite!! also ich empfehle keinen unerfahrenen User dort hin zu gehen. Link zur Info hier.
https://safeweb.norton.com/report/show?url=http%3A%2F%2Fwww.kenvitech.com&x=0&y=0

Geschrieben von: Kenshiro 13.02.2009, 20:05

Ach Du sch.... Was für eine Drecksseite. AntiVir hatte zu tun whistling.gif

Geschrieben von: Voyager 13.02.2009, 20:09

Bei Norton war die Sache simpel erledigt

http://www.abload.de/image.php?img=aufzeichnengiqg.jpg

http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2007-071010-4808-99

ZITAT
Trojan.Maliframe!html is a generic detection for HTML files containing malicious code that may redirect users to a malicious Web site that may exploit the browser.


Man sperrt einfach den Code der alles erst in Gang setzt.

Geschrieben von: Rios 13.02.2009, 20:10

Ohne NO Script sehr gefährlich!!

Geschrieben von: rolarocka 13.02.2009, 20:16

Wow 35 dateien:

(in Sandboxie aufgerufen - Opera - mit JavaScript)

edit: sorry doch nur 44 Dateien smile.gif

Geschrieben von: Rios 13.02.2009, 20:24

Übrigens, es gibt neues von der Valentin Gang ph34r.gif
hxxp://.lovelifeportal.com

Geschrieben von: fozzy 13.02.2009, 20:32

die webseite kann nicht angezeigt werden.... sad.gif

edit: stirnklatsch.gif den punkt hab ich nimmer gesehen ... passieren tut aber nichts....man kann sich erst eine save.exe runterladen bei: Click here to view your full size e-card.

die webseite selbst geht normal auf....

Geschrieben von: rolarocka 13.02.2009, 20:34

Doch geht wohl.

Geschrieben von: fozzy 13.02.2009, 20:36

ja..habs vorhin bemerkt...siehe edit.

smile.gif

hat wer die save.exe hochgeladen/erkannt/....

ph34r.gif

Geschrieben von: fozzy 13.02.2009, 20:44

Datei save.exe empfangen 2009.02.13 20:40:50 (CET)
Ergebnis: 1/39 (2.57%)

a-squared 4.0.0.93 2009.02.13 -
AhnLab-V3 5.0.0.2 2009.02.13 -
AntiVir 7.9.0.79 2009.02.13 -
Authentium 5.1.0.4 2009.02.13 -
Avast 4.8.1335.0 2009.02.12 -
AVG 8.0.0.237 2009.02.13 -
BitDefender 7.2 2009.02.13 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.13 -
Comodo 976 2009.02.13 -
DrWeb 4.44.0.09170 2009.02.13 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6356 2009.02.13 -
F-Prot 4.4.4.56 2009.02.13 -
F-Secure 8.0.14470.0 2009.02.13 -
Fortinet 3.117.0.0 2009.02.13 -
GData 19 2009.02.13 -
Ikarus T3.1.1.45.0 2009.02.13 -
K7AntiVirus 7.10.629 2009.02.13 -
Kaspersky 7.0.0.125 2009.02.13 -
McAfee 5524 2009.02.12 -
McAfee+Artemis 5524 2009.02.12 -
Microsoft 1.4306 2009.02.13 -
NOD32 3851 2009.02.13 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.13 -
Panda 10.0.0.10 2009.02.13 -
PCTools 4.4.2.0 2009.02.13 -
Prevx1 V2 2009.02.13 -
Rising 21.16.42.00 2009.02.13 -
SecureWeb-Gateway 6.7.6 2009.02.13 Trojan.LooksLike.Backdoor.Hupigon
Sophos 4.38.0 2009.02.13 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.13 -
TheHacker 6.3.2.0.255 2009.02.13 -
TrendMicro 8.700.0.1004 2009.02.13 -
VBA32 3.12.8.12 2009.02.13 -
ViRobot 2009.2.13.1605 2009.02.13 -
VirusBuster 4.5.11.0 2009.02.13 -



Geschrieben von: rolarocka 13.02.2009, 20:46

Bei mir heißt die Datei card.exe
VT:
http://www.virustotal.com/analisis/0226957427b1a99458741d9309a7e6e1

oder auch valentine.exe usw....

Geschrieben von: fozzy 13.02.2009, 20:50

hab die save.exe eingeschickt....

werd's aber heut nimmer abwarten...

smile.gif

Geschrieben von: Rios 14.02.2009, 09:54

Und es geht weiter.
http://www.virustotal.com/de/analisis/7017381a691a294d4fd32efacc17bc79

Geschrieben von: Rios 14.02.2009, 23:11

Valentin's Gang, und deren Botnet Waledac. Es gibt mittlerweile ca. zwei Dutzend Links ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2009.02.14s2ea.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.14k1ng.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.14u36k.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.1484u3.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.1490n8.png

Geschrieben von: Voyager 14.02.2009, 23:21

und die Malware wird ständig verändert um eine Erkennung beim Scannen ohne Ausfürung der Malware zu erschweren , nach der Ausführung ist die Erkennung oftmals gegeben und hier sollten die Scanner gut löschen und reinigen können.

Geschrieben von: fenriz 15.02.2009, 23:58

ZITAT(Voyager @ 14.02.2009, 23:20) *
und die Malware wird ständig verändert um eine Erkennung beim Scannen ohne Ausfürung der Malware zu erschweren , nach der Ausführung ist die Erkennung oftmals gegeben und hier sollten die Scanner gut löschen und reinigen können.

Ein weiteres Argumment für die Abkehr vom Blacklisting hin zum Whitelisting und Propactive Detectioning/Scanning.
thumbup.gif
Kaspersky ist da einer der Vorreiter. Schon mit/seit Einführung der 8.x

Geschrieben von: Solution-Design 16.02.2009, 05:41

Symantecs Sonar hat sich auf die Varianten gut eingeschossen, im Gegensatz zu AntiBot. rolleyes.gif

Geschrieben von: kurz-pc 17.02.2009, 17:20

Hier mal aktuellen Scan vom Valentin's teil.
Result: 2/39 (5.13%)
http://www.virustotal.com/analisis/5b65c24e2aea362b0a5a91355c7ffe89

http://camas.comodo.com/cgi-bin/submit?file=ed728ea1e13fe71b7efe5be4eb4a8fdd4ab376f33afc255be65805e1fa6aaab5
Erkennung wird immer schlechter sad.gif

Geschrieben von: Rios 17.02.2009, 18:12

Neues in Sachen Valentinstag! ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2009.02.17937u.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.17u594.png

Ein Link war noch inaktiv.
http://www.virustotal.com/de/analisis/2c05b7fa43fbce2be65c321be8512a32

Geschrieben von: rolarocka 17.02.2009, 18:36

Sind doch hübsche Bilder biggrin.gif

Geschrieben von: Rios 18.02.2009, 16:52

Einigen wird es jetzt doch zu bunt!! die Bilder wechseln des öfteren.
http://www.abload.de/image.php?img=magicalsnap-2009.02.18o8to.png
http://www.virustotal.com/de/analisis/219e33b3bcdadf23acd1f1982c03d8db
hxxp://.worldnewseye.com

Geschrieben von: rolarocka 18.02.2009, 17:07

TF4:
(und noch ein network rules nicht im screenshot)
VT:
http://www.virustotal.com/analisis/aa94dc8cc901e19966e7ee066737825b

Geschrieben von: Voyager 18.02.2009, 17:30

Auf der Adresse von Rios kommt noch zusätzlich eine file.pdf als Flyby Download hinterher, aus dem Ding werde ich allerdings nicht schlau .
http://www.virustotal.com/de/analisis/cefb969ef96f501f69b278f61f49c2b6
Als Malware erkannt wird erstmal garnichts ,.
Ich dachte mir teste es mal, in der VM über eine extra alte Adobe Version aus dem Jahre 2006 passiert aber nicht viel, das Hijackthislog ist danach noch sauber und NAB sagt auch nichts. Der Adobe Reader stürzt nur ab.

Könnte sich die File.PDF mal jemand anschauen ?

Geschrieben von: Rios 19.02.2009, 18:37

Valentin News ph34r.gif
http://www.abload.de/image.php?img=magicalsnap-2009.02.19e9u0.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.19z277.png


Noch einer
http://www.abload.de/image.php?img=magicalsnap-2009.02.19xt62.png
http://www.virustotal.com/de/analisis/157bb4c79a8e3ae0b5f89b3de9629104
hxxp://.bestadore.com

Geschrieben von: Kenshiro 19.02.2009, 19:07

AntiVir meint dazu:
http://www.abload.de/image.php?img=bestadorebnsg.jpg

Geschrieben von: Rios 19.02.2009, 19:19

Auch da gibt es eine Info.
http://www.abload.de/image.php?img=magicalsnap-2009.02.19cn0b.png

Geschrieben von: rolarocka 19.02.2009, 19:38

Antivir beim aufrufen der Website mit Opera ohne Webguard:
und kit.exe heruntergeladen:
http://www.virustotal.com/analisis/bce4e5a32933c71b0617baa79cf2515a

Geschrieben von: Kenshiro 19.02.2009, 19:44

Heißt ohne WebGuard keine Ekennung durch AntiVir? confused.gif

Geschrieben von: Julian 19.02.2009, 20:01

http://camas.comodo.com/cgi-bin/submit?file=5f94891f9981b83183bd55d226fd04d79860e6a7819997f9d8179f96e5582b8a smile.gif

Geschrieben von: rolarocka 19.02.2009, 20:03

Ohne Webguard wird ja die Webseite nicht blockiert wie auf deinem screenshot zu sehen "zugriff verweigert". Es gibt eine Heur/Html malware aber die Webseite wird gezeigt. Die *.exe werden bis jetzt nicht erkannt. Diesmal gibts die happy_valentine.exe:
VT:
http://www.virustotal.com/analisis/fd65c42b7e1eac839bbd2a2f41ff8780

Geschrieben von: Rios 25.02.2009, 20:33

Verlangt wird hier den Flash Player zu ''Installieren'' ph34r.gif

http://www.abload.de/image.php?img=magicalsnap-2009.02.25wbfx.png
http://www.abload.de/image.php?img=magicalsnap-2009.02.25u4fa.png
Es ist die Angreifer URL.

Geschrieben von: Julian 25.02.2009, 21:15

KIS emfpiehlt es stark zu beschränken, sodass es auch im Automodus erkannt wird.
CAMAS meint auch, es sei nicht nett...
http://camas.comodo.com/cgi-bin/submit?file=0ed152983ba69eab57e85dcf8bb1c4f37c5b707043581f4b8449ed71e08f02e6

Die Erkennungsratenkönige Gdata und McAfee + Artemis sind wahrscheinlich blind:
https://www.virustotal.com/de/analisis/57653f7fbe7df3f741b003c64011ff28

Geschrieben von: Xeon 25.02.2009, 21:41

ZITAT(Julian @ 25.02.2009, 21:14) *
Die Erkennungsratenkönige Gdata und McAfee + Artemis sind wahrscheinlich blind:
https://www.virustotal.com/de/analisis/57653f7fbe7df3f741b003c64011ff28

Nicht wirklich, ein Zugriff auf die Webseite wird sofort unterbunden:

http://www.abload.de/image.php?img=unbenannto1qv.jpg


Geschrieben von: Nightwatch 25.02.2009, 21:47

Hmm..ich komme auf die Website gar nicht drauf
http://www.abload.de/image.php?img=ff5540.jpg
Weder mit FF, noch mit dem IE.

Oder ist das ein fieser Trick mit Drive-Bye?

Geschrieben von: Xeon 25.02.2009, 21:52

ZITAT(Nightwatch @ 25.02.2009, 21:46) *
Hmm..ich komme auf die Website gar nicht drauf

Du mußt die komplette URL eingeben, schau auf das Norton Protokoll (Angreifer URL) von Rios.

Geschrieben von: Nightwatch 25.02.2009, 22:09

ZITAT(Xeon @ 25.02.2009, 21:51) *
Du mußt die komplette URL eingeben, schau auf das Norton Protokoll (Angreifer URL) von Rios.


stirnklatsch.gif
Wie blöd. Danke Dir, Xeon.

Also F-Secure erkennt das Sample von der Signatur her nicht:
http://www.abload.de/image.php?img=fsismalwareerkennunginxcj.jpg

Aber Deepguard blockiert sofort nach der Ausführung:
http://www.abload.de/image.php?img=fsecuredeepguardcsetupaujh.jpg

Fazit: Save smile.gif

Geschrieben von: Julian 25.02.2009, 22:31

ZITAT(Xeon @ 25.02.2009, 21:40) *
Nicht wirklich, ein Zugriff auf die Webseite wird sofort unterbunden:

http://www.abload.de/image.php?img=unbenannto1qv.jpg

Ok, Web-AV hat eine Daseinsberechtigung wink.gif
Allerdings muss sich nur die Adresse um ein Zeichen ändern, dann war es das. Und vielleicht wird die Datei ja auch noch woanders verteilt. Erkennung der Site + Sample wäre das Optimum smile.gif

Gut, dass es diesen Thread gibt, sodass man Ergebnisse von VT präzisieren / korrigieren kann. Manche hier meinen ja immer noch, er sei absolut überflüssig...

Geschrieben von: rolarocka 25.02.2009, 22:38

Nod4:

Geschrieben von: Rios 26.02.2009, 20:42

Die neue Masche der Waledac Pistoleros ph34r.gif
http://www.pcwelt.de/start/sicherheit/virenticker/news/194417/rabatt_coupons_mit_malware/

http://www.abload.de/image.php?img=magicalsnap-2009.02.262y2v.png
Sollte jemand den Link benötigen, dann melden.

Geschrieben von: Julian 26.02.2009, 20:51

Ich finde es erstaunlich, dass Norton so viele unbekannte Malware anhand der Packer erkennt, dabei aber nur sehr wenige Fehlalarme macht.

Könntest du mir das Sample / die Quelle zukommen lassen? smile.gif

Geschrieben von: Rios 26.02.2009, 20:54

Julian du hast Post.

Geschrieben von: Voyager 26.02.2009, 20:57

Ja der PCWelt Artikel veröffentlicht nur ein Jotti Scan wo eine ältere Firmenversion von Symantec läuft , dagegen sollte mal jemand was machen weil das nichtmehr ganz am Stand der Dinge wenn Pcwelt schreibt "Kaum ein Hersteller hat es bislang geschafft eine generische Erkennung zu entwickeln, die halbwegs zuverlässig auch neue Varianten erfasst." Genau das ist aber bei Symantec passiert.

@Rios

Ich hab die Seite the Couponizer , verrät ja schon PCwelt wo das ist aber ich finde da keinen Link zur Malware , könntest du mir helfen ?
Mist, ich hab ja nur die Echte Seite erwischt *schäm*

Edit:
Ok Danke , das scheint immernoch diesselbe Waladec-Malware zu sein die sich hinterher als Promoreg in den Autorun einträgt (hatten wir ja schon) , nur das Symantec hier eine Heuristiksignatur drübergelegt hat die jetzt jede dieser abgeänderten Files erkannt .
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-022522-3032-99

Geschrieben von: Rios 26.02.2009, 21:27

Julian, überrascht mich auch etwas. smile.gif ein anderes Teil.

http://www.abload.de/image.php?img=magicalsnap-2009.02.261b4j.png

Geschrieben von: Voyager 26.02.2009, 21:34

Auch das ist nee neumodische Heuristik Signatur http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-020600-4945-99

Das Ding ist süss ! biggrin.gif
W32.Ackantta.B@mm Massmailingworm http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-022520-1425-99&tabid=2

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)