Trojan-Dropper.Win32.MultiJoiner.13.j, nicht Wert eingepflegt zu werden? Einstellungen

[Stefan]

übrigens...stefan...hast du Bitdefender was geschickt??
[...]
BitDefender 7.2 05.10.2006  no virus found
[...]
[right][snapback]148048[/snapback][/right]

Ja @rock, schon 3 mal.
Ich habe es aufgegeben und werde es mir bis Anfang nächsten Jahres merken. Da läuft nämlich die Lizenz ab und wird dann wohl nicht mehr erneuert.

Der Beitrag wurde von Stefan bearbeitet: 10.05.2006, 22:10

[Gast_rock_*]

eTrust = Win32/MultiDropper

[Gast_rock_*]

alles geht heut verdammt schnell...absendungen werden raqsch beantwortet...eTrust hat es auch bereits BEIDEN engines eingepflanzt...

STATUS: FINISHEDComplete scanning result of "Multidropper_.com", received in VirusTotal at 05.11.2006, 08:31:24 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.10.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.10.2006 Win32:Trojan-gen. {VC}
AVG 386 05.10.2006 Dropper.Generic.EFW
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.10.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.5 05.11.2006 Win32/MultiDropper.OK!Trojan
eTrust-Vet 12.4.2205 05.11.2006 Win32/Multidropper.AG
Ewido 3.5 05.10.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.11.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.11.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4759 05.10.2006 MultiDropper-NB
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1530 05.10.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.10.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.10.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.11.2006 Troj/Mdrop-UO
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.10.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.10.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

bitdefedner bekam nebst absendung nochmals, über den feedback ne anfrage ob da eh nachgeschaut wird einmal - bald ist eh nur bit der einzige der davon nix weis...sofort rückantwort das sie sich ums sample kümmern....

rav hats auch bekommen (ich hoff es betrifft i.d. fall Microsoft), quick auch....und beid er gelgenenheit verteil ich noc ein paar exoten an "nichtsfinder" wie ad aware oder ikarus!

...dann geh ich in die kuschi kuschi dekce!

rock

[Gast_rock_*]

hmm...hab den Multidropper mal gestartet. es droppen drei programme. dc.exe, int.exe, und vgt.exe.

die ersten beiden dateien int.exe und dc.ecewerden von mc afee als backoor coc gemeldet...die vgt.exe ist ein DIALER! und schau her...den erkennt kaum jemand!

ist das stark!

STATUS: FINISHEDComplete scanning result of "vgt.exe", received in VirusTotal at 05.11.2006, 09:30:43 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 DIAL/302327
Avast 4.6.695.0 05.10.2006 Win32:Trojan-gen. {UPX!}
AVG 386 05.10.2006 Dialer.BDK
BitDefender 7.2 05.11.2006 Trojan.Dialer.OE
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Dialer-602
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.10.2006 Trojan.Dialer.oe
Fortinet 2.76.0.0 05.11.2006 W32/Dialer.OE!tr
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 Trojan.Win32.Dialer.oe
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found Norman 5.90.17 05.10.2006 W32/Dialer.ITR
Panda 9.0.0.4 05.10.2006 Suspicious file
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found UNA 1.83 05.10.2006 Trojan.Win32.Dialer
VBA32 3.11.0 05.10.2006 Trojan.Win32.Dialer.oe

also bei mc afee würd ich alt auschauen wenn ich was falsch mach...den dialer lässt er mir in der packung drinnen....wenn ich den ersten alarm ignoriere...weil ich ja denke es ist bloß der dropper....

lustiges spiel!

[Gast_rock_*]

aber stefan...bitdefender findet wenigstens eine der drei schadhaften dropps ....
BitDefender 7.2 05.11.2006 Trojan.Dialer.OE is ja schon mal was...



Der Beitrag wurde von rock bearbeitet: 11.05.2006, 08:49

[Stefan]

Ist jetzt nur die Frage, ob es sich bei der nichtvorhandenen Reaktion auf den Dropper um einen Einzelfall handelt, oder nicht.
Letzteres würde dann ja fast schon das schlechte Abschneiden beim letzten Test von AV-Comparatives erklären.

Der Beitrag wurde von Stefan bearbeitet: 11.05.2006, 08:56

[Gast_rock_*]

ich möcht ja auf das hinauf garnicht wissen...wievielen scanner es so geht...

der unterschied bei dem einen dropper ist ja schon schlimm genug...
aber in dem fall würde ich dir mac afee und bitdefender empfehlen.

mc afee erkennt den dropper und 2 der backdoor exen...und bit die was mc nicht kannte aus dem ordner!

wird so eine sch* im labor wo mans hinschickt nicht wirklich korrekt gecheckt. was soll das eigentlich die primäre hauptdatei zu deklarieren, aber die malware die es droppt...die kemma nimmer...SUPER!

[Gast_rock_*]

sophos ist ganz ein schlauer...meldet mir zurück was er ohnehin schon kannte...ausführen und droppen lassen tuns den wohl in england a net!

naja...egal...

bitdefender schreibt wenigtens schon mal:
vielen Dank für Ihre Nachricht. Wir haben die Datei an unser Virenlabor
weitergeleitet.

mal sehen....

so, für mich erledigt...alle looser haben es nochmal bekommen...ob sie es entpacken und ausführen und somit die anderen backdoors und dialer drinnen finden oder nicht...ist ihr kafee...eventuell wollens scheinbar garnicht...

wenns eh "uns" gibt die es schäufchenweise bringen....

[Kyu]

Hallo =)

mein Erfahrungsbericht dazu.

-Datei um 10.45Uhr aufgetaucht
-Bisschen getestet und festgestellt das bei Aktivierung drei Trojaner nachgeladen werden (Trojan.Dropper.Agent.AAY, Trojan.QHosts.P und Trojan.AVKill.J) und alle drei von BitDefender erkannt werden
-Datei um 12.03Uhr eingesandt (support@bitdefender.de)
-Um 13.52Uhr von BitDefender ne Antwort bekommen:

...vielen Dank für Ihre Nachricht und die Einsendung der Datei.
Die Datei ist tatsächlich ein Virus und wird innerhalb der nächsten zwei Stunden als "Trojan.Dropper.Multijoiner.J" durch ein Update bekannt gemacht....

Wie es zum unterschiedlichen Umgang in der Reaktion und Reaktionszeit gekommen ist, k.A. Kann jeder selbst darüber spekulieren, aber wichtig ist für mich im Endeffekt nur das sich der Support schnell und korrekt bei mir gemeldet hat.

@Stefan, vielleicht klappts ja bei dir beim nächsten mal auch besser =)

[Stefan]

Wie es zum unterschiedlichen Umgang in der Reaktion und Reaktionszeit gekommen ist, k.A. Kann jeder selbst darüber spekulieren, aber wichtig ist für mich im Endeffekt nur das sich der Support schnell und korrekt bei mir gemeldet hat.
[...]
@Stefan, vielleicht klappts ja bei dir beim nächsten mal auch besser =)
[right][snapback]148423[/snapback][/right]

Vielleicht sollte ich die Dateien in Zukunft auch wieder an support... und nicht an virussubmit... schicken.
Aber wer weiß, vielleicht stehe ich ja bei denen auf 'ner Art schwarzen Liste. Von wegen, zu viele Einsendungen und so.
Obwohl ich mir in Zukunft wohl eher schenken werde, denen noch Samples zukommen zu lassen. Denn mein F-Secure erkennt die Schädlinge ja dank der guten Arbeit bei Kaspersky Labs meistens frühzeitig. In diesem Fall hier, wären es dann so ca. knapp 2 Monate eher.

Bitdefender läuft halt noch auf einem von mir betreuten Rechner und da ich die jährliche Lizenz spendiere, werde ich mich dann wohl, nach deren Ablauf, für ein anderes Produkt entscheiden.

Der Beitrag wurde von Stefan bearbeitet: 11.05.2006, 15:57

[Gast_rock_*]

morgen..

hab mir in der früh noch die mühe gemacht...den herstellern (einigen) zu schreiben...ob sie den Multidropper net ein bissl ankjlicken möchten...was dann passiert....ob da nix droppt oder so...

na da meldet sich doch gleich mal vet, inoculate, sophos, der ungarische hersteller...virusbuster...usw...


Troj/Dialer-DL

Win32/SilentCaller.S dropper

BAT/AVKiller.X trojan

so...jetzt mag i nimmer....die anderen belassen es wohl nur beim dropper....



bitdefender antwort fehlt leider noch....

Der Beitrag wurde von rock bearbeitet: 11.05.2006, 16:06

[Stefan]

bitdefender antwort fehlt leider noch....
[right][snapback]148444[/snapback][/right]

Du bist bestimmt mit mir auf der Schwarzen Liste.

[Rios]

Also ich finde es schade wie Bitdefender hier verweilt. Entweder wissen die nicht mehr wo ihnen der Kopf steht, bzw. gibt es evtl. Personal Probleme, aber auf schon vogekautes Futter zu verzichten finde ich dessen nicht würdig. Bin trotzdem noch ein alter Bitdefender Fan, aber die wenn sie so weiter verfahren, gehen den falschen Weg.

[Stefan]

Anscheinend hat der Bitdefender-Support sein Wort gehalten:

STATUS: FINISHEDComplete scanning result of "Bild-Dieter__JPG.com", received in VirusTotal at 05.11.2006, 22:25:54 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 TR/Drop.MultiJoiner.13.J.5
Avast 4.6.695.0 05.11.2006 Win32:Trojan-gen. {VC}
AVG 386 05.11.2006 Dropper.Generic.EFW
BitDefender 7.2 05.11.2006 Trojan.Dropper.Multijoiner.J
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 Trojan.Dropper.Small-51
DrWeb 4.33 05.11.2006 Trojan.MulDrop.3684
eTrust-InoculateIT 23.72.5 05.11.2006 Win32/MultiDropper.OK!Trojan
eTrust-Vet 12.4.2205 05.11.2006 Win32/Multidropper.AG
Ewido 3.5 05.11.2006 Dropper.MultiJoiner.13.j
Fortinet 2.76.0.0 05.11.2006 W32/MultiJoiner.J!tr
F-Prot 3.16c 05.11.2006 destructive program named W32/Trojan.BEN
Ikarus 0.2.65.0 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.J
Kaspersky 4.0.2.24 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j
McAfee 4760 05.11.2006 MultiDropper-NB
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 Win32/TrojanDropper.Agent.AGE
Norman 5.90.17 05.11.2006 W32/Multijoiner.C
Panda 9.0.0.4 05.11.2006 Bck/Gerzidan.A
Sophos 4.05.0 05.11.2006 Troj/Mdrop-UO
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 Trojan/Dropper.MultiJoiner.13.j
UNA 1.83 05.11.2006 TrojanDropper.Win32.MultiJoiner.13
VBA32 3.11.0 05.11.2006 Trojan-Dropper.Win32.MultiJoiner.13.j

Mir ist gerade aufgefallen, dass man sich im Hause "eTrust" nicht mal auf eine gleiche Bezeichnung für die zwei verschiedenen Engines einigen konnte.

[Kyu]

awa schwarze liste... die av-hersteller leben doch davon das sie möglichst früh, möglichst viele samples in die finger bekommen. keine ahnung was da wo, wieso schief gelaufen is, aber das is auf jeden fall für die eher dumm gelaufen als für dich.
is auch egal, die sache is ja nu erledigt... aber eine info hängt damit vielleicht zusammen: durch die expansion war ja der support merklich überlastet. auf dem linuxtag kam das thema im gespräch auch auf. bitdefender hat anscheinend nun neuerdings aber wieder genug leute eingestellt um die frühere reaktionszeit gewährleisten zu können. ich persönlich kann mir vorstellen das es am ehesten damit zu tun hat (würde die rasche reaktion heute mittag erklären).
wie auch immer, nach dem spiel ist vor dem spiel... in diesem sinne: wir lesen uns beim nächsten sample =)

[Gast_rock_*]

edit. stimmt....da habens zwei namen in beiden engines...

aber...
denn jetzt ist auch der letzte inhalt indentifiziert:

With regards to the file "vgt.exe" submitted by you on 11 May 17:36:55
(Australian Eastern Standard Time), we have added detection for
Win32/Qdial.7gs!Trojan to the signature files for the InoculateIT
engine.

eTrust! war der einzige der sich an alle samples korrekt geantwortet hat!
AUCH was sich dann droppt natürlich!

Bitdefender hab ich gestern NOCHMAL angeschrieben/angeschickt...dürfe sich aber schon erledigt haben!

fehlt nur noch CAT....(was immer das für'n scanner ist)



Der Beitrag wurde von rock bearbeitet: 12.05.2006, 07:35

[Gast_rock_*]

ähmm..stefan...will dir ja nicht ganz die laune an bitdefender nehmen...aber den alten clicker will man bis heute nicht so recht akzeptieren...

STATUS: FINISHEDComplete scanning result of "Trojan_Clicker.exe", received in VirusTotal at 05.12.2006, 12:17:33 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.12.2006 ADSPY/AdvertMen.A.5
Avast 4.6.695.0 05.11.2006 Win32:Trojano-CE
AVG 386 05.11.2006 Clicker.CAH
BitDefender 7.2 05.12.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.12.2006 Adware.Advert
eTrust-InoculateIT 23.72.6 05.12.2006 no virus found
eTrust-Vet 12.4.2207 05.12.2006 no virus found
Ewido 3.5 05.12.2006 Hijacker.Agent.hi
Fortinet 2.76.0.0 05.12.2006 Adware/AdvertMen!04
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.12.2006 not-a-virus:AdWare.Win32.AdvertMen.a
McAfee 4760 05.11.2006 no virus found
Microsoft 1.1372 05.12.2006 no virus found
NOD32v2 1.1533 05.12.2006 no virus found
Norman 5.90.17 05.11.2006 W32/Advertmen.D
Panda 9.0.0.4 05.11.2006 no virus found
Sophos 4.05.0 05.12.2006 no virus found
Symantec 8.0 05.12.2006 no virus found
TheHacker 5.9.7.142 05.12.2006 no virus found
UNA 1.83 05.11.2006 TrojanClicker.Win32.Agent
VBA32 3.11.0 05.11.2006 Trojan-Clicker.Win32.Agent.hi

[Rios]

Hallo Rock,

steht doch schon in deiner Liste auf Nr.6
http://www.quickheal.co.in/

[Heike]

Ich habe aus Fun mal ein paar "alte" RATs getested ( release 2004 ), die fallen offenbar wieder raus. Mal ein Beispiel:

Description:
LogIT is an extremely "lite" standalone offline keylogger program. It has the ability to send the log files after they reach a certain size limit ..

Keylogger installiert, server.exe überprüfen lassen.

AntiVir 6.34.1.27 12.05.2006 TR/Spy.Small.BA.2
Avast 4.6.695.0 12.05.2006 Win32:Keylog-011
AVG 386 12.05.2006 PSW.Small.U
BitDefender 7.2 12.05.2006 Trojan.Spy.Small.BA
CAT-QuickHeal 8.00 12.05.2006 TrojanSpy.Small.ba
ClamAV devel-20060426 12.05.2006 Trojan.Small-95
DrWeb 4.33 12.05.2006 Trojan.Logit.10
eTrust-InoculateIT 23.72.6 12.05.2006  no ha encontrado virus
eTrust-Vet 12.4.2207 12.05.2006 Win32/Logit.10.A
Ewido 3.5 12.05.2006 Logger.Small.ba
Fortinet 2.76.0.0 12.05.2006 W32/Keylog.W!tr
F-Prot 3.16c 11.05.2006 security risk named W32/Logit.A@spy
Ikarus 0.2.65.0 12.05.2006  no ha encontrado virus
Kaspersky 4.0.2.24 12.05.2006 Trojan-Spy.Win32.Small.ba
McAfee 4761 12.05.2006 Keylog-Logit
Microsoft 1.1372 12.05.2006 TrojanSpy:Win32/Small.BA
NOD32v2 1.1534 12.05.2006 Win32/Spy.Small.BA
Norman 5.90.17 12.05.2006 W32/KeyLogger.DU
Panda 9.0.0.4 12.05.2006 Trj/Small.HD
Sophos 4.05.0 12.05.2006 Troj/Keylog-W
Symantec 8.0 12.05.2006 Infostealer
TheHacker 5.9.7.142 12.05.2006 Trojan/Spy.Small.ba
UNA 1.83 11.05.2006  no ha encontrado virus
VBA32 3.11.0 12.05.2006 Trojan-Spy.Win32.Small.ba

Sicherheit zu 100% gibt es nicht.

[Stefan]

ähmm..stefan...will dir ja nicht ganz die laune an bitdefender nehmen...aber den alten clicker will man bis heute nicht so recht akzeptieren...
[right][snapback]148755[/snapback][/right]

Warum sollte mir das die Laune vermiesen?

F-Secure bezieht seine Signaturen u.a. von denen hier:

Kaspersky 4.0.2.24 05.12.2006 not-a-virus:AdWare.Win32.AdvertMen.a

Und wie bereits gesagt, läuft Bitdefender auf dem betreuten Rechner nur noch ein halbes Jahr. Dann ist Schluss mit Lustig.

Obwohl ich mir nicht sicher bin, ob in diesem Fall eine 9.5er Windows-Version von Bitdefender den nicht doch vielleicht erkennt.

Der Beitrag wurde von Stefan bearbeitet: 13.05.2006, 08:05