Erkennung von ZLOB.gen mangelhaft, Videocodec enthält obigen Virus. AV-Scanner patzen ... |
Willkommen, Gast ( Anmelden | Registrierung )
Erkennung von ZLOB.gen mangelhaft, Videocodec enthält obigen Virus. AV-Scanner patzen ... |
03.10.2006, 20:34
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.234 Mitglied seit: 08.12.2003 Mitglieds-Nr.: 261 Betriebssystem: WinXP SP3 Virenscanner: KAV 2009 |
An die Profis:
Mir wurde folgende Datei zum Download angeboten: vidcodec.598.exe KAV 5.x mit aktuellen Signaturen erklärt die Datei für sauber. Ein Online-Scan bei Jotti ergab aber folgendes: ZITAT Datei: vidcodec.589.exe Auslastung: Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir: Dropper/Zlob.Gen dropper gefunden ArcaVir: Keine Viren gefunden Avast: Keine Viren gefunden AVG Antivirus: Downloader.Zlob.CO gefunden BitDefender: Keine Viren gefunden ClamAV: Keine Viren gefunden Dr.Web: Keine Viren gefunden F-Prot Antivirus: Keine Viren gefunden Fortinet: Keine Viren gefunden Kaspersky Anti-Virus: Keine Viren gefunden NOD32: Win32/TrojanDownloader.Zlob.AEQ gefunden Norman Virus Control: W32/ZlobNS.gen1 gefunden UNA: Keine Viren gefunden VirusBuster: Keine Viren gefunden VBA32: Keine Viren gefunden Ist das normal? fragt sich MyThinkTank OT: Ich wollte einen Screenshot hochladen. 170KB als jpg. Hat das Forum abgelehnt, weil zu groß. Warum? Mein Anlagen-Ordner ist komplett leer. -------------------- |
|
|
03.10.2006, 20:52
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
Ist völlig normal bei Signaturbasierenden AVs das die verpackte Malware fast täglich geändert und für AVs unsichtbar wird.
Für sowas hatten wir ja kürzlich schon topics gehabt . -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
03.10.2006, 20:53
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Freunde Beiträge: 4.013 Mitglied seit: 27.03.2004 Mitglieds-Nr.: 522 Betriebssystem: Windows 11 Pro Virenscanner: F-Secure IS Firewall: Router, Windows-Firewall |
Ich bin zwar kein Profi, aber wie es aussieht handelt es sich wiedereinmal um eine neue Variante.
Von Antivir und Norman wird sie wohl von der Heuristik erkannt, AVG und NOD32 haben schon Signaturen und der Rest erkennt sie noch nicht. Zum Bilder-Upload: Warum nutzt du nicht erstmal z.B. Bilder-Hosting.de als Alternative? Der Beitrag wurde von Stefan bearbeitet: 03.10.2006, 20:54 -------------------- Gruß
Stefan |
|
|
03.10.2006, 21:22
Beitrag
#4
|
|
Womanizer Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 |
ZITAT(MyThinkTank @ 03.10.2006, 21:33) [snapback]168721[/snapback] Ich wollte einen Screenshot hochladen. 170KB als jpg. Hat das Forum abgelehnt, weil zu groß. Warum? Mein Anlagen-Ordner ist komplett leer. 50 KB pro Beitrag; ist nun erhöht. -------------------- |
|
|
03.10.2006, 21:29
Beitrag
#5
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.234 Mitglied seit: 08.12.2003 Mitglieds-Nr.: 261 Betriebssystem: WinXP SP3 Virenscanner: KAV 2009 |
ZITAT(Manu @ 03.10.2006, 22:21) [snapback]168732[/snapback] 50 KB pro Beitrag; ist nun erhöht. Ah ja, thx! Scheint übrigens heute recht aktiv ztu sein, der zlob. Mittlerweile habe ich die Mail rund 20 mal bekommen. Verschiedene Texte. Dateinamen gleich, aber mit unterschiedlicher Nummerierung. Immer die gleiche Byte-Anzahl. Vielleicht merkt's mein Provider ja noch ... MTT -------------------- |
|
|
03.10.2006, 23:42
Beitrag
#6
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.230 Mitglied seit: 29.12.2003 Mitglieds-Nr.: 295 Betriebssystem: LinuxMint Virenscanner: Virenscanner? Was'n das? |
In einen Fotoforum habe ich jetzt schon den 3. Link gefunden, der als Konsequenz den download eines ZLOB beinhaltet. Den vidcodec.589.exe mit 67,1 KB, und den vidcodec.1040.exe mit 62,9 KB hab ich mir mal geladen. Bei Jotti brennt die Hütte und wenn man
Ist das Ding leicht zu entfernen? Bisher hat sich noch keiner gemeldet, dessen PC verschönert wurde, aber das Procedere scheint zur Zeit in zu sein. Werden wieder Zombies für Angriffe und/oder Spam gebraucht? Warum erkennen erst so wenige Scanner das Ding? mfg StormRider - sich fragend: watt mach ich nu mit dem Ungeziefer? Braucht das jemand der Antivirenhersteller bzw. gibt Jotti das Zeuch weiter? |
|
|
03.10.2006, 23:48
Beitrag
#7
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
die dinger doppelklicken und kucken ob die Filme dadurch wirklich bunter werden
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
04.10.2006, 00:13
Beitrag
#8
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 814 Mitglied seit: 09.09.2006 Mitglieds-Nr.: 5.319 Betriebssystem: W i n d o w s :+) Firewall: Router |
-------------------- $$$$$$ CHAOS - 64 $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
Sicherheit im Internet VirSCAN.org - Multivirenscanner 360 TOTAL Security + SecureAPlus ( abgeriegelter Modus ) |
|
|
04.10.2006, 05:58
Beitrag
#9
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.230 Mitglied seit: 29.12.2003 Mitglieds-Nr.: 295 Betriebssystem: LinuxMint Virenscanner: Virenscanner? Was'n das? |
ZITAT(Chaos64 @ 04.10.2006, 01:12) [snapback]168746[/snapback] Ich denk ja drüber nach, blos reicht mein englisch nicht, um Beschreibungen flüssig und sinnvoll verstehen zu können. Das es sich bei diesen Dingern um Malware handelt, weiß ich doch. Ich frag mich blos, ob man sowas wieder relativ leicht los wird, oder man grundsätzlich eine Neuinstallation empfehlen sollte. Ach ja, mein System ist natürlich nicht betroffen, da es nicht noch schöner, noch bunter, noch sicherer ist, sondern einfach anders mfg StormRider |
|
|
04.10.2006, 07:54
Beitrag
#10
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
@ MyThinkTank
Wird die Datei mittlerweile erkannt ? Wenn nicht, dann hätte ich sie gerne. Domino -------------------- Keep the spirit alive.....
|
|
|
04.10.2006, 08:59
Beitrag
#11
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.234 Mitglied seit: 08.12.2003 Mitglieds-Nr.: 261 Betriebssystem: WinXP SP3 Virenscanner: KAV 2009 |
Sorry, Domino, aber ich habe das Zeug gerade gelöscht. Sollte ich noch eine derartige Mail bekommen, prüfe ich, ob die angehängte Datei bei Jotti erkannt wird. Wenn nicht, bekommst Du eine PM von mir. Ich sende sie Dir gerne zu.
Die letzte Mail mit dem Anhang kam übrigens heute nacht gegen 00.30 Uhr. Danach war Schluss. Insgesamt habe 27 solche Mails bekommen. Alle auf den gleichen, bisher sauberen Mail-Account. Gruß! MyThinkTank -------------------- |
|
|
Gast_rock_* |
04.10.2006, 09:51
Beitrag
#12
|
Gäste |
wäre interessant ob die alle schon aufgenommen wurden:
http://www.rokop-security.de/index.php?sho...0&hl=codecs |
|
|
06.10.2006, 19:19
Beitrag
#13
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Auf eine KeyGen *.net Site kannst du dir jede Menge dieser ZLOBs herunterladen, welche alle irgendwie mehr nicht erkannt, als erkannt werden. Einen seltsamen VideoCodec bekommst gratis dazu. Sogar inkl. Deinstallationdatei Die AV-Programmer bedanken sich zwar ab und zu für die Zusendung und wie im Falle Kaspersky versprechen sie die Einbindung beim nächsten Signatur-Update, aber wie so oft, sie hinken hinterher. Das übliche Katz und Maus-Spiel wie dragonmale jetzt sagen würde. Das momentane Problem scheint wirklich, der hohen Anzahl täglich neu aufkommender Malware Herr zu werden, ohne gleichzeitig die Fehlalarmquote empor zu heben. Warum gerade Symantec da immer besonders gut abschneidet (und auch AVK durch AVAST), verwundert mich immer wieder. Manchmal könnte das ein wenig an Desinteresse erinnern, ich persönlich denke aber eher, dass es sich um das schon oben beschriebene Problem zu handeln. Es wird langsam zuviel des Guten. Ich habe eben mal auf verschiedenen Seiten verschiedene Dinge herunter geladen, NOD32 übersieht sie trotz der hochgelobten dynamisch arbeitenden heuristischen Erkennung allesamt. AVK erkennt sie alle. Tja, man kann nicht alles haben Und nein, die zcodecs werden auch noch übersehen. Die sind einfach zu flott, die bösen Jungs.
-------------------- Yours sincerely
Uwe Kraatz |
|
|
07.10.2006, 13:20
Beitrag
#14
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.230 Mitglied seit: 29.12.2003 Mitglieds-Nr.: 295 Betriebssystem: LinuxMint Virenscanner: Virenscanner? Was'n das? |
Öhm... ich bin von einem User dieses Forums angeschrieben worden, ob ich die weiter oben von mir beschriebenen Dateien bzw. Links dazu noch hätte.
Die Dateien habe ich hier rumliegen, einen Link weiß ich noch auswendig, jedoch kann ich den anderen nicht mehr benennen, da der Admin des Forums, wo darauf verlinkt wurde, diese bereits unkenntlich gemacht hat. Ich schreibe das ganze jetzt öffentlich, da ich mich hüten werde, jemanden, den ich nicht weiter kenne, maliziöses Zeugs oder Links zu senden und ich denke, dass dies in diesem Forum normalerweise auch so gehandhabt wird. So wie es zur Zeit aussieht (habe eben extra nochmal nachgesehen), wird man über mehrere Pornoseiten geleitet und irgendwann landet man dort, wo angeblich Videos kostenlos angeboten werden. Nach anklicken dieser Vorschaubildchen wird ein fehlender Codec moniert und ein Download gestartet. Die Namen scheinen unterschiedlich zu sein; aber ich möchte das jetzt nicht weiter nachprüfen. Wenn es interessant zu sein scheint, dort Nachforschungen anzustellen, möge sich derjenige bitte an einen Moderator dieses Forums wenden. Diesem könnte ich meine Informationen zukommen lassen - alles andere ist ausgeschlossen. Immerhin könnte man sich ein Windows-System bereits vor dem Download der Codecs infiziert haben, und da will ich nicht Schuld dran sein. Außerdem ist das ganze hinter wüstem Porno - nachher verderben sich zu junge User die Augen daran. Vielleicht könnte einer der Moderatoren was dazu sagen? Sorry für meine Verschlossenheit... mfg StormRider |
|
|
07.10.2006, 14:06
Beitrag
#15
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
ZITAT(StormRider @ 07.10.2006, 14:19) [snapback]169304[/snapback] Vielleicht könnte einer der Moderatoren was dazu sagen? StormRider Das hast du genau richtig gemacht, Danke. Aber wer sich einen Codec installiert um angebl. Schmuddel gucken zu können, der schreibt doch seine EC-Nummer auf die Karte. Domino -------------------- Keep the spirit alive.....
|
|
|
Gast_blueX_* |
07.10.2006, 20:48
Beitrag
#16
|
Gäste |
Ich ging davon aus, dass du den Link zu VCODEC nicht öffentlich ins Forum postet, darum die PM.
|
|
|
08.10.2006, 07:39
Beitrag
#17
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 11.168 Mitglied seit: 28.11.2004 Mitglieds-Nr.: 1.621 Betriebssystem: Windows 10 pro x64 Virenscanner: Emsisoft Anti-Malware Firewall: Sandboxie | cFos |
Vielleicht hilft es, wenn das hier:
Homepage: Keine Angabe Geburtsdatum: Keine Angabe Wohnort: Keine Angabe Interessen: Keine Angabe ein wenig ausgefüllt wird, damit man erkennt, dass man nicht mit einem wilden Kiddi redet, evtl. Infos zukommen lässt. -------------------- Yours sincerely
Uwe Kraatz |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 00:41 |