Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[Stefan]

ja schicks einfach mal an .....
[right][snapback]146686[/snapback][/right]

Wat is denn nu @rock?
Erkennt es dein McAfee@Home?

[Gast_rock_*]

nö! leider nicht.

und ich kanns ncihtmal an mc afee schicken...da dieses windows xp keine zip verschlüsseln kann, wie es windows millenium konnte. es kann lediglich verschlüsselte zip von anderen leuten öffnen mit passwort. (ich frag mich anbei bis heute wieso microsoft das feature mit den zipverschlüsseln bei XP eingestellt hat anstatt zu verbessern!) so ist man gezwungen eigens dafür ein programm zu kaufen oder laden....(okey...bald sind wir bei drei seiten nebenbeithema! )

so , also....ich habs dann auf alle arten und möglichkeiten geschickt...auch mit cryptoprogrammen...aber mc afee wollen es nicht um die burg annehmen...wenn es kein stinknormaler verschlüsselter zipordner ist der das eigene passwort infected haben muss.

tja..leider...

[Gast_rock_*]

aber es sieht bei den anderen immer noch so aus: (bei virustotal)

AntiVir 6.34.0.24 04.20.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.05.2006 Win32:Trojan-gen. {VC}
AVG 386 05.05.2006 Dropper.Generic.EFW
Avira 6.34.1.58 05.06.2006 TR/Drop.MultiJoiner.13.J.5
BitDefender 7.2 05.07.2006 no virus found
CAT-QuickHeal 8.00 05.05.2006 no virus found
ClamAV devel-20060426 05.07.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.07.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.1 05.06.2006 no virus found
eTrust-Vet 12.4.2194 05.04.2006 no virus found
Ewido 3.5 05.07.2006 Dropper.MultiJoiner.13.j
Fortinet 2.71.0.0 05.07.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.05.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.05.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.07.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4756 05.05.2006 no virus found
Microsoft 1.1372 05.07.2006 no virus found
NOD32v2 1.1523 05.05.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.05.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.06.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.07.2006 Troj/Mdrop-UO
Symantec 8.0 05.07.2006 no virus found
TheHacker 5.9.7.139 05.05.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.06.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.06.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

[Voyager]

Symantec 8.0 05.07.2006 no virus found

http://www.rokop-security.de/index.php?sho...ndpost&p=146724

hierran kann man bestimmt erkennen das Norton nicht gleich Symantec ist .

[Gast_rock_*]

hmm...ist das gleich? oder wie? wie heist den der scanner...ist doch dr.norton von symantec...(oder steh ich am schlauch?)

welche versionsnummer hat der scanenr im ganzen .... ich hab auf der symantecseite ein liveupdate, 6.mai gesehen bei den aktuellen beschreibungen...

multijioner dürfte es auf den ersten eintrag nicht finden/anzeigen.

[Voyager]

hmm...ist das gleich?

Nicht ganz.

wie heist den der scanner...ist doch dr.norton von symantec

NIS2006

...(oder steh ich am schlauch?)

jap

multijioner dürfte es auf den ersten eintrag nicht finden/anzeigen.

doch tut er hier aber , das ganze ding heisst Bild-Dieter__JPG.com und wird als Hacktool.Exebind erkannt.

[Gast_rock_*]

doch tut er hier aber , das ganze ding heisst Bild-Dieter__JPG.com und wird als Hacktool.Exebind erkannt.
[right][snapback]147139[/snapback][/right]

hmmm...dann stimmts...

was ist dann dieses symantec 8 engine welches bei virsutotal verwendet wird?

ich glaub es war ja nicht das erste mal das du was bestätigen konntest...was beim hochladen nicht gefunden wird.

[Stefan]

so , also....ich habs dann auf alle arten und möglichkeiten geschickt...auch mit cryptoprogrammen...aber mc afee wollen es nicht um die burg annehmen...wenn es kein stinknormaler verschlüsselter zipordner ist der das eigene passwort infected haben muss.
[right][snapback]147118[/snapback][/right]

Ich weiß nicht, warum du solche Schwierigkeiten damit hast, denen ein stinknormales passwortgeschütztes Zip-File zu schicken.

Ich habe denen jetzt mal das File hochgeladen:



Das hat übrigens mit IZArc ganz hervorragend funktioniert.

[Gast_rock_*]

nanu...wo kann man bei mc afee hochladen?

ja...die packprogramme schau ich mir schon ne weile an...aber sieht alles so kompliziert und vielseitig aus.... ob dat gut geht... runtergeladen hab ich auch schon einiges...aber weis nicht sorecht..

[Stefan]

nanu...wo kann man bei mc afee hochladen?
[right][snapback]147153[/snapback][/right]

Hier.

[Gast_rock_*]

boah!...da muss man ja ein buch schreiben....und foto wird keins benötigt??

naja...dann lieber packer weitersuchen....

[Stefan]

So, eine Antwort hat es schonmal von McAfee gegeben:

A.V.E.R.T. Sample Analysis
Issue Number: 2352184
Virus Research Engineer: Babu Nath Giri
Identified: BackDoor-COC.dr

AVERT™ Labs, Bangalore.

Thank you for submitting your suspicious file.

Synopsis -

Attached is a file for extra detection(with 4.4.00 engine), which will be in-cluded in a future DAT set.

Warten wir mal ab, wann die Taten folgen.

Der Beitrag wurde von Stefan bearbeitet: 08.05.2006, 18:54

[Gast_rock_*]

hmm...stand da nicht was von Multidropper NB oder MB?....

müsste am ende der mail sein von mc afee

[Stefan]

Nö.
Einzige Bezeichnung = siehe Fettgedrucktes oben.

[Gast_rock_*]

na abarten....bin auf arbeit....kann mich nur erinnern.....das eigenlich so einigermaßen das slebe wie bei dir stand...nur andere bearbeiter von mc afee...

und ganz am ende bevor die mail aus ist....kommt linksbündig nochmals das wort Multidropper MB oder eben NB vor.

ja werden wir eh sehen...

ich hab die mail aber schon gelöscht daheim...bin aber 100% sicher das dieses wort am ende vorkam!

die "normalsterblichen" bekommen immer mittwochs/donnerstag morgen die ups...also sollte es diese woche ncoh eingebaut sein!

dann kann ichs ja nochmal prüfen...oder wir laden mal hoch... :=

[Gast_rock_*]

@ stef, and interests...

hmm..also bevor ich ins bett geh....also...mei mail schaut da irgendwie nur ein bissl wenig ähnlich aus:

Hi,
Thanks for uploading the file(s):
I've included it under

;---------------------------------
(799) backdoor.log
;---------------------------------
(154.388) DAN6.exe
(144.678) DANZ6.exe
(144.678) DC.exe
(24.576) INT.exe
BackDoor-COC
;---------------------------------
(314.129) multijoiner.exe
(289.518 )6-DATEI.exe
(178.996) da6.exe
(49.183) in.exe
replacement "MultiDropper-NB"
;---------------------------------
(82.008) foto.exe
;---------------------------------

regards,
xxxnamexxx
McAfee Avert
_______________________

[Gast_rock_*]

so...update ist da...erkennung OK!

MultiDropper-NB

best wishes
rock

[Gast_rock_*]

übrigens...stefan...hast du Bitdefender was geschickt??

AntiVir 6.34.1.27 05.10.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.08.2006 Win32:Trojan-gen. {VC}
AVG 386 05.09.2006 Dropper.Generic.EFW
BitDefender 7.2 05.10.2006 no virus found
CAT-QuickHeal 8.00 05.09.2006 no virus found
ClamAV devel-20060426 05.10.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.10.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.4 05.10.2006 no virus found
eTrust-Vet 12.4.2203 05.10.2006 no virus found
Ewido 3.5 05.10.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.10.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.09.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.09.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4758 05.09.2006 MultiDropper-NB
Microsoft 1.1372 05.10.2006 no virus found
NOD32v2 1.1528 05.09.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.10.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.09.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.10.2006 Troj/Mdrop-UO
Symantec 8.0 05.10.2006 no virus found
TheHacker 5.9.7.140 05.08.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.06.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.09.2006 Trojan-Dropper.Win32.MultiJoiner.13.j


eTrust hat's bereits von mir heute erhalten...

[Gast_rock_*]

das ist aber seltsam...eTrust kennt es ja eh zu kennen....schreibt sogar autom. zurück als was es gelistet ist...ganz drunter schreibts aber erst wieder das sie informieren wenn sie es einpflegen...

FILE
------------------------------------------------------------------------
Multidropper!.com
------------------------------------------------------------------------
The Windows PE (I386,EXE) file "Multidropper!.com" has been determined
to be malicious.

Aliases reported by other AV products are listed here:
(Trojan-Dropper.Win32.MultiJoiner.13.j) (MultiDropper-NB)
(Hacktool.Exebind)
CA antivirus products address this malware as follows:
------------------------------------------------------
eTrust Antivirus 6.x/v7 (Vet Engine)

We will inform you by email ASAP when we have a signature update
available providing detection.

[Domino]

Erkennen und eine Signatur erstellen ist etwas anderes als "in den veröffentlichten Signaturen enthalten".


Domino