Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[drweb-online]

@rock:
Kannst Du mal bitte die Viren zu vms(at)drweb.com hochladen mit dem Kommentar (auf englisch) ?

Danke
Michael

[Gast_rock_*]

edit: abgeschickt!



Der Beitrag wurde von rock bearbeitet: 27.04.2006, 10:32

[Kyu]

der name der .exe sagt mir zwar nix, aber du kannst den leuten bei virustotal einfach mailen und sie selbst fragen. bei mir haben sie (wochentag, vormittags) sehr schnell (jeweils unter 30min) reagiert.

...und uns dann bescheid geben was die antwort war =)

[Gast_rock_*]

könnt ihr euch noch an das thema von zottel oder zausel erinnern mit dem dialer vor kurzem?

den kennt beim hochladen gerade mal ewido und 2 scanner in der heuristik und im mem-scan und nod und panda und auch fortinet verdächtigt...

wurde auch bis zur verglühung abgeschickt und hochgeladen damals.....

ich mach mir garkeine mühe mehr irgendwem zu schreiben...ich sammle den kram...wers haben will, bitteschön! das was ich hab sollte aber schon jeder von denen die nichts erkennt haben..da ich das ja schon wieder hochlade heute...nur so für die zukunft...

vielleicht ist es halt eben nicht der mühe wert...

STATUS: SCANNINGFile "winsis32.exe" received on 04.27.2006 at 17:25:19 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result

AntiVir 6.34.0.24 04.20.2006 Heuristic/Backdoor.Dropper
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.27.2006 no virus found
BitDefender 7.2 04.27.2006 MemScan:Trojan.PornDialer.A
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.27.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2181 04.27.2006 no virus found
Ewido 3.5 04.27.2006 Dropper.Agent.ajc
Fortinet 2.71.0.0 04.27.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.27.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
Microsoft 1.1372 04.27.2006 no virus found
NOD32v2 1.1509 04.27.2006 a variant of Win32/Dialer.PornDial.F
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.27.2006 Suspicious file
Sophos 4.05.0 04.27.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found

[Gast_blueX_*]

Warum schickst du das Zeug nicht ein?

[Gast_rock_*]

was glaubst du hab ich die letzten jahre immer gemacht?

ich habs so manchen gleich ein ganzes packet geschickt...

vieles ist schon vom vorjahr und auch älter...

möglicherweise ist einiges beschädigt oder nicht mehr korrekt lauffähig, was daher nicht mehr in die erkennung aufgenommen wurde....

abgesehen davon - war nicht irgendwo die rede das durch das absenden und treffer es sowieso an die jeweiligen hersteller weitergeschickt wird?

[Gast_blueX_*]

Hast du denn die Datei winsis32.exe auch abgeschickt?

Naja, ich kann mir vorstellen, dass die Virenschutzhersteller schon genügend mit den Einsendungen zu tun haben und Files, die von Jotti oder Virustotal nur in seltenen Fällen einpflegen.

[drweb-online]

@rock:

Wenn Du mir (Dr.Web) einen Gefallen tun willst - lade die Dateien bitte auf unseren FTP-Server hoch - es gibt dafuer einen speziellen Upload account.

Unsere Technik wird dann der Sache jeweils nachgehen, solange bis wir fuer jedes File eine Antwort haben.
Das gilt auch fuer zukuenftige Einsendungen.

*Unsere* Einsendungen werden meist innerhalb von 10 Minuten bis max. 2 Stunden bearbeitet.

Gib Bescheid, ich sende Dir ueber PM dann einen account.

Wenn es Dir zu aufwaendig ist, habe ich auch Verstaendnis dafuer

Danke,
Michael

[Gast_rock_*]

@rock:
Wenn Du mir (Dr.Web) einen Gefallen tun willst - lade die Dateien bitte auf unseren FTP-Server hoch - es gibt dafuer einen speziellen Upload account.

ich hab bereits ein paket gesendet mit 54 files.

alles jetzt wieder entpacken und einzeln abschicken ist eine abendfüllende aufgabe...

hmm....kann ich jetzt aber leider nicht garantieren dran zu bleiben bis zum bitteren ende...

ansonsten gerne...mit dem account per pm...kann ich ja im laufe des tages morgen machen...wenns recht ist...

rock

[drweb-online]

@rock:

nichts entpacken,... das macht unsere Technik.
Einfach rauflegen. Mit so wenig AUfwand wie moeglich

Account kommt.

Micha

[Kenshiro]

...wird immer gefährlicher mit diesen Viren...

[Gast_Scrapie_*]

...wird immer gefährlicher mit diesen Viren...
[right][snapback]145548[/snapback][/right]

Vor allem wenn die Unpackengines schon Rost ansetzen:






Heute kam neue Version von UPX raus.
Scheint immer noch AVs zu geben, die diesen acht Jahre (!) alten, OpenSource- Packer (!) immer noch nicht im Griff haben. Von den drei Schnarchnasen, welche noch nicht mal den originalen MicroJoiner erkennen (obwohl schon vor 1 1/2 Jahre public released) reden wir jetzt mal gar nicht....
Aber vielleicht erkennen die drei ja den extrem verbreiteten Polip.A-Virus

Gruß,
Scrapie

[Gast_rock_*]

hmm..wieder son ergebnis wo ich mich sofort auskenn

was ist es nun...dropper? oder ein passworttool?

oder ein dropper der erst ein passworttool anlegt...??

diesen pinch hab ich schon oft gehört, multijoiner hingegen nicht...

übrigens passwortgeschichten...bei nirsoft gibts passworttools gleich im halben dutzend zum freien download...nur in jedem steckt entweder ein sogenantnes erkanntes passworttool bis hinzum trojaner. mc afee erkennt sie alel schon beim anlachen...

aber bitte...für ganz schlaue...wer bei nirsoft tools ladet und nciht weis was damit anzufangen ist...wenigstens NICHT installieren...wer weis ob die dann nicht erst was droppen...

man kann die sammlung halt ein bissl erweitern...

bei der gelegenheit kann es ja wer einzeln bei virustotal hochladen wenn er sich die mühe machen will....virenscanner ausschalten sonst knallt es dauernd an bei jedem absende versuch der jeweiligen anwendungen...ich wette es werden viele wieder nicht erkennen...es müssten 6 stück sein! eines etwas schärfer!

http://www.pc-special.net/?idart=3189

und hier das zip mit dem ganzen klumpert auf einmal!

http://www.bestfiles.eu/groups/sicherheit_n.html



Der Beitrag wurde von rock bearbeitet: 28.04.2006, 10:28

[Gast_rock_*]

na wer sagts denn...schon der erste kleine asterix logger....mag wohl (kaum) wer erkennen....

STATUS: FINISHEDComplete scanning result of "astlog.exe", received in VirusTotal at 04.28.2006, 11:30:19 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.27.2006 no virus found
Avira 6.34.1.58 04.28.2006 no virus found
BitDefender 7.2 04.28.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.28.2006 no virus found
eTrust-InoculateIT 23.71.141 04.28.2006 no virus found
eTrust-Vet 12.4.2183 04.28.2006 no virus found
Ewido 3.5 04.27.2006 no virus found
Fortinet 2.71.0.0 04.27.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.28.2006 P2P-Worm.Win32.Polipos.a
Kaspersky 4.0.2.24 04.28.2006 no virus found
McAfee 4750 04.27.2006 no virus found
Microsoft 1.1372 04.28.2006 no virus found
NOD32v2 1.1510 04.27.2006 no virus found
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.28.2006 no virus found
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.28.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.27.2006 no virus found
VBA32 3.11.0 04.27.2006 no virus found

Der Beitrag wurde von rock bearbeitet: 28.04.2006, 10:34

[Gast_rock_*]

schon ein bissl besser

STATUS: FINISHEDComplete scanning result of "mailpv.exe", received in VirusTotal at 04.28.2006, 11:33:56 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.27.2006 no virus found
Avira 6.34.1.58 04.28.2006 SPR/PSW.MailPassView.130.4
BitDefender 7.2 04.28.2006 Spyware.Pws.Mailpassview.130
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.28.2006 no virus found
eTrust-InoculateIT 23.71.141 04.28.2006 no virus found
eTrust-Vet 12.4.2183 04.28.2006 no virus found
Ewido 3.5 04.27.2006 Not-A-Virus.PSWTool.Win32.MailPassView.130
Fortinet 2.71.0.0 04.27.2006 PWS.F!tr
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.28.2006 PSWTool.Win32.MailPassView.130
Kaspersky 4.0.2.24 04.28.2006 not-a-virus:PSWTool.Win32.MailPassView.130
McAfee 4750 04.27.2006 Generic PWS.f
Microsoft 1.1372 04.28.2006 no virus found
NOD32v2 1.1510 04.27.2006 no virus found
Norman 5.90.17 04.27.2006 no virus found
Panda 9.0.0.4 04.28.2006 Suspicious file
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.28.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 Trojan/MailPassView.130
UNA 1.83 04.27.2006 no virus found
VBA32 3.11.0 04.27.2006 no virus found

===============

[Gast_2cool_*]

Jo, da wird so einiges nicht entdeckt, ist aber die Frage,
mit welchen Signaturen und Einstellungen gescannt wird:

Wenn irgendwas nicht bei Virustotal gefunden wird heisst das noch lange nicht zwangsweise dass es der Standalone Scanner auch nicht findet.....

Quelle


Ich könnte mir vorstellen, dass bei einem Onlineangebot wie Virustotal oder Jotti
z.B. bei KAV nicht mit den erweiterten Sigs gescannt wird.....

Der Beitrag wurde von 2cool bearbeitet: 28.04.2006, 12:24

[Anubis]

Jo, da wird so einiges nicht entdeckt, ist aber die Frage,
mit welchen Signaturen und Einstellungen gescannt wird:

http://www.rokop-security.de/index.php?sho...ndpost&p=144790
Ich könnte mir vorstellen, dass bei einem Onlineangebot wie Virustotal oder Jotti
z.B. bei KAV nicht mit den erweiterten Sigs gescannt wird.....
[right][snapback]145628[/snapback][/right]

Aber bei NOD32 mit Heuristik und trotzdem wird beide Male nichts gefunden.

[Gast_rock_*]

auch antivir scannt mit heuristik und bitdefender mit mem scan...wie man beides in einen der früheren logs sehen kann...

und erkennt hier nur gering bis nichts...

gerade antivir der oft moralische signturen pflegt, wie zum beispiel sogar das dämliche moorhuhn! (meldet antivir das moorhuhn eigentlcih noch??) brüllll!!!!!!!!

[Gast_2cool_*]

Aber bei NOD32 mit Heuristik und trotzdem wird beide Male nichts gefunden. [right][snapback]145630[/snapback][/right]

Ja, stimmt wohl, ein Keylogger ist imho etwas,
das eine gute Heuristik finden könnte,
auch wenn diese spezielle Datei unbekannt ist.




Dumm'n Spruch:
(nicht verkneifen kann)

Was lernen wir daraus?
Bei dem jetzigen Stand der Entwicklung ist auch eine angeblich gute Heuristik
noch nicht in der Lage, jede Malware an ihrem potentiellen Verhalten zu erkennen.

Oder anders formuliert:
Es geht nichts über gute Signaturen

[Anubis]

Wäre es technisch denn nicht machbar, genau eine solche Heuristik zu fertigen ?