Erkennung von ZLOB.gen mangelhaft, Videocodec enthält obigen Virus. AV-Scanner patzen ... Einstellungen

[MyThinkTank]

An die Profis:

Mir wurde folgende Datei zum Download angeboten: vidcodec.598.exe
KAV 5.x mit aktuellen Signaturen erklärt die Datei für sauber. Ein Online-Scan bei Jotti ergab aber folgendes:

Datei: vidcodec.589.exe
Auslastung:
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir: Dropper/Zlob.Gen dropper gefunden
ArcaVir: Keine Viren gefunden
Avast: Keine Viren gefunden
AVG Antivirus: Downloader.Zlob.CO gefunden
BitDefender: Keine Viren gefunden
ClamAV: Keine Viren gefunden
Dr.Web: Keine Viren gefunden
F-Prot Antivirus: Keine Viren gefunden
Fortinet: Keine Viren gefunden
Kaspersky Anti-Virus: Keine Viren gefunden
NOD32: Win32/TrojanDownloader.Zlob.AEQ gefunden
Norman Virus Control: W32/ZlobNS.gen1 gefunden
UNA: Keine Viren gefunden
VirusBuster: Keine Viren gefunden
VBA32: Keine Viren gefunden

Ist das normal?

fragt sich
MyThinkTank

OT: Ich wollte einen Screenshot hochladen. 170KB als jpg. Hat das Forum abgelehnt, weil zu groß. Warum? Mein Anlagen-Ordner ist komplett leer.

[Voyager]

Ist völlig normal bei Signaturbasierenden AVs das die verpackte Malware fast täglich geändert und für AVs unsichtbar wird.
Für sowas hatten wir ja kürzlich schon topics gehabt .

[Stefan]

Ich bin zwar kein Profi, aber wie es aussieht handelt es sich wiedereinmal um eine neue Variante.
Von Antivir und Norman wird sie wohl von der Heuristik erkannt, AVG und NOD32 haben schon Signaturen und der Rest erkennt sie noch nicht.

Zum Bilder-Upload: Warum nutzt du nicht erstmal z.B. Bilder-Hosting.de als Alternative?

Der Beitrag wurde von Stefan bearbeitet: 03.10.2006, 20:54

[Manu]

Ich wollte einen Screenshot hochladen. 170KB als jpg. Hat das Forum abgelehnt, weil zu groß. Warum? Mein Anlagen-Ordner ist komplett leer.

50 KB pro Beitrag; ist nun erhöht.

[MyThinkTank]

50 KB pro Beitrag; ist nun erhöht.

Ah ja, thx!

Scheint übrigens heute recht aktiv ztu sein, der zlob. Mittlerweile habe ich die Mail rund 20 mal bekommen. Verschiedene Texte. Dateinamen gleich, aber mit unterschiedlicher Nummerierung. Immer die gleiche Byte-Anzahl.

Vielleicht merkt's mein Provider ja noch ...

MTT

[StormRider]

In einen Fotoforum habe ich jetzt schon den 3. Link gefunden, der als Konsequenz den download eines ZLOB beinhaltet. Den vidcodec.589.exe mit 67,1 KB, und den vidcodec.1040.exe mit 62,9 KB hab ich mir mal geladen. Bei Jotti brennt die Hütte und wenn man sehrlange wartet, zeigen etwa 4 Scanner den ZLOB an.
Ist das Ding leicht zu entfernen? Bisher hat sich noch keiner gemeldet, dessen PC verschönert wurde, aber das Procedere scheint zur Zeit in zu sein. Werden wieder Zombies für Angriffe und/oder Spam gebraucht?
Warum erkennen erst so wenige Scanner das Ding?

mfg
StormRider - sich fragend: watt mach ich nu mit dem Ungeziefer? Braucht das jemand der Antivirenhersteller bzw. gibt Jotti das Zeuch weiter?

[Voyager]

die dinger doppelklicken und kucken ob die Filme dadurch wirklich bunter werden

[Chaos64]

Soviel zu vidcodec

Einfach mal nachlesen und drüber nachdenken !!!

[StormRider]

Soviel zu vidcodec

Einfach mal nachlesen und drüber nachdenken !!!

Ich denk ja drüber nach, blos reicht mein englisch nicht, um Beschreibungen flüssig und sinnvoll verstehen zu können. Das es sich bei diesen Dingern um Malware handelt, weiß ich doch. Ich frag mich blos, ob man sowas wieder relativ leicht los wird, oder man grundsätzlich eine Neuinstallation empfehlen sollte.

Ach ja, mein System ist natürlich nicht betroffen, da es nicht noch schöner, noch bunter, noch sicherer ist, sondern einfach anders

mfg
StormRider

[Domino]

@ MyThinkTank

Wird die Datei mittlerweile erkannt ? Wenn nicht, dann hätte ich sie gerne.




Domino

[MyThinkTank]

Sorry, Domino, aber ich habe das Zeug gerade gelöscht. Sollte ich noch eine derartige Mail bekommen, prüfe ich, ob die angehängte Datei bei Jotti erkannt wird. Wenn nicht, bekommst Du eine PM von mir. Ich sende sie Dir gerne zu.

Die letzte Mail mit dem Anhang kam übrigens heute nacht gegen 00.30 Uhr. Danach war Schluss. Insgesamt habe 27 solche Mails bekommen. Alle auf den gleichen, bisher sauberen Mail-Account.

Gruß!
MyThinkTank

[Gast_rock_*]

wäre interessant ob die alle schon aufgenommen wurden:
http://www.rokop-security.de/index.php?sho...0&hl=codecs

[Solution-Design]

Auf eine KeyGen *.net Site kannst du dir jede Menge dieser ZLOBs herunterladen, welche alle irgendwie mehr nicht erkannt, als erkannt werden. Einen seltsamen VideoCodec bekommst gratis dazu. Sogar inkl. Deinstallationdatei Die AV-Programmer bedanken sich zwar ab und zu für die Zusendung und wie im Falle Kaspersky versprechen sie die Einbindung beim nächsten Signatur-Update, aber wie so oft, sie hinken hinterher. Das übliche Katz und Maus-Spiel wie dragonmale jetzt sagen würde. Das momentane Problem scheint wirklich, der hohen Anzahl täglich neu aufkommender Malware Herr zu werden, ohne gleichzeitig die Fehlalarmquote empor zu heben. Warum gerade Symantec da immer besonders gut abschneidet (und auch AVK durch AVAST), verwundert mich immer wieder. Manchmal könnte das ein wenig an Desinteresse erinnern, ich persönlich denke aber eher, dass es sich um das schon oben beschriebene Problem zu handeln. Es wird langsam zuviel des Guten. Ich habe eben mal auf verschiedenen Seiten verschiedene Dinge herunter geladen, NOD32 übersieht sie trotz der hochgelobten dynamisch arbeitenden heuristischen Erkennung allesamt. AVK erkennt sie alle. Tja, man kann nicht alles haben Und nein, die zcodecs werden auch noch übersehen. Die sind einfach zu flott, die bösen Jungs.

[StormRider]

Öhm... ich bin von einem User dieses Forums angeschrieben worden, ob ich die weiter oben von mir beschriebenen Dateien bzw. Links dazu noch hätte.
Die Dateien habe ich hier rumliegen, einen Link weiß ich noch auswendig, jedoch kann ich den anderen nicht mehr benennen, da der Admin des Forums, wo darauf verlinkt wurde, diese bereits unkenntlich gemacht hat.

Ich schreibe das ganze jetzt öffentlich, da ich mich hüten werde, jemanden, den ich nicht weiter kenne, maliziöses Zeugs oder Links zu senden und ich denke, dass dies in diesem Forum normalerweise auch so gehandhabt wird.

So wie es zur Zeit aussieht (habe eben extra nochmal nachgesehen), wird man über mehrere Pornoseiten geleitet und irgendwann landet man dort, wo angeblich Videos kostenlos angeboten werden. Nach anklicken dieser Vorschaubildchen wird ein fehlender Codec moniert und ein Download gestartet. Die Namen scheinen unterschiedlich zu sein; aber ich möchte das jetzt nicht weiter nachprüfen. Wenn es interessant zu sein scheint, dort Nachforschungen anzustellen, möge sich derjenige bitte an einen Moderator dieses Forums wenden. Diesem könnte ich meine Informationen zukommen lassen - alles andere ist ausgeschlossen. Immerhin könnte man sich ein Windows-System bereits vor dem Download der Codecs infiziert haben, und da will ich nicht Schuld dran sein. Außerdem ist das ganze hinter wüstem Porno - nachher verderben sich zu junge User die Augen daran.

Vielleicht könnte einer der Moderatoren was dazu sagen?

Sorry für meine Verschlossenheit...

mfg
StormRider

[Domino]

Vielleicht könnte einer der Moderatoren was dazu sagen?
StormRider

Das hast du genau richtig gemacht, Danke.

Aber wer sich einen Codec installiert um angebl. Schmuddel gucken zu können, der schreibt doch seine EC-Nummer auf die Karte.




Domino

[Gast_blueX_*]

Ich ging davon aus, dass du den Link zu VCODEC nicht öffentlich ins Forum postet, darum die PM.

[Solution-Design]

Vielleicht hilft es, wenn das hier:

Homepage: Keine Angabe
Geburtsdatum: Keine Angabe
Wohnort: Keine Angabe
Interessen: Keine Angabe

ein wenig ausgefüllt wird, damit man erkennt, dass man nicht mit einem wilden Kiddi redet, evtl. Infos zukommen lässt.