Infizierte Webseiten Einstellungen

[Rios]

Ach ja, der Test-Scanner sagt ja auch noch etwas dazu.

[Solution-Design]

[chris30duew]

beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.

[Gast_rock_*]

beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.

frag ich mich auch, aber eher wie gdata 10 erkennt...der rest sind ja icon und gifbillder ne html und so sachen....



mc afee hat übrigens nix gemeldet.

guten morgen übrigens!

[Solution-Design]

DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz
Vorsicht!

Norton Antivirus Autoprotect deaktiviert, Archiv entpackt, die Datei 5378.exe mit Winrar weiter entpackt und die 5378.exe selbst gelöscht. Nach fünf Minuten Scannen (benutzerdefinierter Scan über rechte Maustaste) erzeugt NAV eine Fehlermeldung und bietet den EinKlick-Support an. Bereinigt wurde nichts. Bleibt Autoprotect aktiviert, wird eine codecbho.dll gelöscht. Ein weiterer Scan des Verzeichnisses ergibt kein Ergebnis.

Datei nochmals nach obigem Beispiel entpackt, diesmal lief der Scan ohne Fehlermeldung ab. Es wurde aber dennoch nur eine Datei erkannt. codecbho.dll

Danach habe ich die Datei mit eScan geprüft, mit folgendem Ergebnis:

QUELLTEXT

Sat Sep 27 12:16:46 2008 => ***** Scanning C:\1\Vir Folder *****
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\*.*
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\*.*
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.ico [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.ico [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\4.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\5378\*.*
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5378\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\4.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\5.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\sc.html
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\sc.html
Sat Sep 27 12:16:49 2008 => Scanning File C:\1\Vir\Eigene Dateien\System.dll

Ein weiterer Test der übrig gebliebenen Dateien, ergibt folgendes Ergebnis: http://www.virustotal.com/de/analisis/21f2...21c39a9d1991800

Edit: Ikarus von asquared mag die Dateien gar nicht



Hier das, was von Symantec übersehen wurde:
http://www.virustotal.com/de/analisis/c51d...2ab7e82016c5714

Ikarus noch eine Chance geb:

QUELLTEXT

C:\1\VIR\rokop\Eigene Dateien\0.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\2.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\2.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\3.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\4.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\0.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\3.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\4.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\sc.html      detected: Trojan.Fakeav.BE!IK
C:\1\VIR\rokop\Eigene Dateien\sc.html   detected: Trojan.Fakeav.BE!IK

Der Beitrag wurde von Solution-Design bearbeitet: 27.09.2008, 12:11

[Gast_rock_*]

hmm....den namen antivirus 2008 oder fake av vergebens aber jetzt schon oft bei so düsteren ergebnissen....



werds später mal mit avg testen. mc afee sagt wie gesagt nix.

Der Beitrag wurde von rock bearbeitet: 27.09.2008, 11:32

[Gast_rock_*]

okey...avg free meldet auch 2 dinger beim auspacken!
edit: sorry die namen! es meldet die beiden trojan generics in:

Der Beitrag wurde von rock bearbeitet: 27.09.2008, 11:59

Angehängte Datei(en)

 2x.JPG ( 5.41KB ) Anzahl der Downloads: 2
 2x_name.JPG ( 6.38KB ) Anzahl der Downloads: 0

 

[Gast_rock_*]

ergebnis von kaspersky:


0.exe, 1.exe, 2.exe, 3.exe, 4.exe, 5.exe, 5378.exe, 7.exe - Trojan-Downloader.Win32.Hoaxer.a
These files are already detected. Please update your antivirus bases.

0.gif, 1.gif, 1.ico, 2.gif, 2.ico, 3.gif, sc.html, System.dll
No malicious code were found in these files.

CodecBHO.dll - Trojan-Downloader.Win32.Agent.ahvq
New malicious software was found in this file. It's detection will be included in the next update



Der Beitrag wurde von rock bearbeitet: 27.09.2008, 14:54

[chris30duew]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded :-D)

[Voyager]

Du musst das jetzt nicht übertreiben, immerhin wurde beim Aufrufen der Fakecodec Seite der MalwareDownload blockiert und die Fake-AV Seiten wurden auch erkannt , das Ziel den User zu schützen wurde erreicht.

[Solution-Design]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.

Trojan-Downloader.Win32.Hoaxer.a wurde übersehen. Also ein Code. Was auch immer der überhaupt macht.

Edit: Schlimmer ist, dass die Datei System.dll Ikarus und auch einmal Symantec zum Absturz brachte.

Der Beitrag wurde von Solution-Design bearbeitet: 27.09.2008, 17:07

[Gast_rock_*]

hier noch das gewaltige ergebnis/antwort von avira zum paket von scrapie!

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25145663 password.qwertz.rar 575.48 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25147980 sc.html 2.16 KB MALWARE
25147981 0.exe 22.5 KB MALWARE
25147982 1.exe 24.5 KB MALWARE
25147983 2.exe 24.5 KB MALWARE
25147984 3.exe 23.5 KB MALWARE
25147985 4.exe 23.5 KB MALWARE
25147986 5.exe 71.5 KB MALWARE
25147987 5378.exe 325.96 KB MALWARE
25147988 7.exe 73 KB MALWARE
25147989 CodecBHO.dll 152 KB MALWARE
25055259 1.ico 3.19 KB CLEAN
25055260 2.ico 3.19 KB CLEAN
25055249 0.gif 6.59 KB CLEAN
25055251 1.gif 8.05 KB CLEAN
25055253 2.gif 93 Byte CLEAN
25055255 3.gif 297 Byte CLEAN



Der Beitrag wurde von rock bearbeitet: 01.10.2008, 15:30

[Gast_rock_*]

Phising.... der link dürft aber leider schon im eimer sein...
daher nur zur info:

Dear Abbey National e-Banking member!

Our Maintenance Division is carrying out a scheduled e-Banking software update

By clicking on the link below please commence the procedure of the client details update:

http://www1.abbeynational.net/CentralLogon...wzkwzDkwdyyhOcn

These instructions are to be emailed and followed by all members of the Abbey National e-Banking

Abbey National does apologize for the problems caused to you, and is very grateful for your help.

If you are not client of Abbey National Bankline please disregard this letter!

*** This is automatically generated email, please do not respond ***

© '08 Abbey National Bank OnLine Banking. All Rights Reserved.

[Sasser]

Ein alter Hut in formschöner Aufmachung.....

hxxp://online-virus-scanning.com

[hypnosekroete]

Ein alter Hut in formschöner Aufmachung.....
hxxp://online-virus-scanning.com

 Unbenannt.png ( 99.92KB ) Anzahl der Downloads: 10

Jetzt muss mir nur nochmal einer erklären, warum ich mich selbst angreife....

Aber solution-design hat da irgendwo schonmal was zu geschrieben, ich bin denn mal suchen...

Edit: Habs gefunden, werd aber, auch hiermit, nicht schlau draus

Der Beitrag wurde von Joerg bearbeitet: 04.10.2008, 08:00

[Solution-Design]

Kommunikation erfolgt immer in beide Richtungen und TCP/IP wird überwacht. Und wenn dann in diesem Falle Opera etwas zurückschicken soll/will… Dann steht da eben der eigene Rechner als böser Bube. Jetzt müsste mal jemand die Pakete entschlüsseln. Da IP sich für die eindeutige Adressierung der Quell- und Zielrechner im Netz verantwortlich zeigt, steht dort wohl oftmals der eigene Rechner. http://www.rvs.uni-bielefeld.de/~heiko/tcp...lt/kap_2_1.html

[Gast_rock_*]

Ein alter Hut in formschöner Aufmachung.....

hT__p://online-virus-scanning.com/

na bestens. GENAU davon haben wir gesprochen, das da popups sind und wenn man die falsch wegklickt hatman den iltis!


http://www.rokop-security.de/index.php?s=&...st&p=250000

bei deinem link klappt sofort ien popup auf mit man sei infiziert....wegklicken natürlich beim roten kreuz an der ecke nciht mit ok!!!

menno sasser!!

und ausserdem weis ich auch bald nimmer wo was hinsoll...das ist ja wieder rogue software.....



edit: link edit.

Der Beitrag wurde von rock bearbeitet: 04.10.2008, 08:12

[Solution-Design]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded

Ist schon was seltsam, warum die Erkennung da was gedauert hat. Zumal Sym diese Dateien schon lange kennt http://securityresponse.symantec.com/secur...-061114-0840-99




Nach Symantecs Bereinigung bleibt aber noch genügend Futter
http://www.virustotal.com/de/analisis/ee49...3f9c1c03e9aa676

Hier das eScan 4.47-Log
0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Edit: Dieses Ergebnis ist umso interessanter, da von anderen AVs alle ausführbaren Dateien von 0-x als "Trojan-Downloader.Win32.Hoaxer.a" erkannt werden. Also kein Unterschied gemacht wird. Bei Symantec dagegen schon, sonst würden sie ja nicht übrig bleiben.

Der Beitrag wurde von Solution-Design bearbeitet: 04.10.2008, 18:59

[Solution-Design]

Erledigt http://securityresponse.symantec.com/secur...-090422-1952-99

[citro]

Erledigt http://securityresponse.symantec.com/secur...-090422-1952-99

HI,

wie ist deine Heuristik eingestellt ? aggressiv ?

Bei mir kommen manchmal bei niederer Stufe die eigentlichen Signaturnamen anstatt "Suspicious..."