Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Der hat bestimmt schon den Kanal dicke von der ganzen Malware auf dem PC

[Gast_rock_*]

heheheee...

und sowieso:



(ich muss jetzt in die küch ein hühnerschnitzel backen! )

[citro]

und noch paar frische Infos per Email : billing-rechnung-182192711-1.pdf.exe

Erkennt nun Norton diese pdf.exe ?

Laut Virustotal immer noch nicht.
Onlinescanner sind ja nicht unbedingt so vertrauenswürdig wie ein installierter AV, aber mich würde es interessieren.

Datei:
billing-rechnung-182192711-1.pdf_ empfangen 2007.09.23 21:42:20 (CET)

AntiVir;7.6.0.15;2007.09.23;TR/Dldr.iBill.BC
Authentium;4.93.8;2007.09.23;W32/Downloader.gen10
AVG;7.5.0.485;2007.09.23;Downloader.Small.AKY
BitDefender;7.2;2007.09.23;Trojan.Downloader.JIZT
ClamAV;0.91.2;2007.09.23;Trojan.Downloader-13919
DrWeb;4.33;2007.09.23;Trojan.DownLoader.33396
Fortinet;3.11.0.0;2007.09.23;W32/Dloader.CD!tr.dldr
F-Prot;4.3.2.48;2007.09.23;W32/Downloader.gen10
F-Secure;6.70.13030.0;2007.09.21;Trojan-Downloader.Win32.Nurech.cd
Ikarus;T3.1.1.12;2007.09.23;Trojan-Downloader.Win32.Nurech.cd
Kaspersky;4.0.2.24;2007.09.23;Trojan-Downloader.Win32.Nurech.cd
McAfee;5125;2007.09.21;Downloader-AAP
Microsoft;1.2803;2007.09.23;TrojanDownloader:Win32/Small.gen!O
NOD32v2;2545;2007.09.23;probably unknown NewHeur_PE virus
Prevx1;V2;2007.09.23;Malware.Gen
Sophos;4.21.0;2007.09.23;Mal/Heuri-E
Sunbelt;2.2.907.0;2007.09.22;Trojan-Downloader.Win32.Small.gen!O
TheHacker;6.2.5.066;2007.09.22;Trojan/Downloader.Nurech.cd
VBA32;3.12.2.4;2007.09.23;Trojan-Downloader.Win32.Nurech.cd
Webwasher-Gateway;6.0.1;2007.09.23;Trojan.Dldr.iBill.BC

weitere Informationen
File size: 9768 bytes

[Voyager]

Jop , zumindestens einer der Symantec (Norton) AntiMalware Produkte kann es.

Entfernte Dateien:
tro.exe
billing-rechnung-182192711-1.pdf_.exe
rmactive.dll
TRO(1).EXE

Der Beitrag wurde von bond7 bearbeitet: 23.09.2007, 21:50

[citro]

Danke

[Gast_Scrapie_*]

Entweder bei Aufräumarbeiten versch. Hersteller verloren gegangen oder Mut zur Lücke:



Scrapie

[Solution-Design]

Und was soll das sein?

[Rios]

Nachuntersuchung Awola, aus Beitrag #1163

[Gast_Scrapie_*]

Und was soll das sein?

Keylogger mit Dateidatum von 1998 (?) aber wohl eher 2005. Kommt mir praktischen Editor für die Einstellungen.
Google hätte zu der Bezeichnung dies geliefert ...


Scrapie

[Solution-Design]

Keylogger mit Dateidatum von 1998 (?) aber wohl eher 2005. Kommt mir praktischen Editor für die Einstellungen.
Google hätte zu der Bezeichnung dies geliefert ...

Google hatte das "http://www.google.de/search?q=Trojan.DOS.GetLogin.105" geliefert. Aber dann weiß ich immer noch nicht, dass es ein Keylogger ist und schon gar nicht, dass er steinalt und neu modifiziert ist. Und ist das Zeug verbreitet, oder wie die billing-rechnung-182192711-1.pdf.exe innerhalb von einem Tag aus dem Netz verschwunden?

[Gast_Scrapie_*]

Und ist das Zeug verbreitet, oder wie die billing-rechnung-182192711-1.pdf.exe innerhalb von einem Tag aus dem Netz verschwunden?

Keine Ahnung, bin nicht das SANS und kann dir daher nichts über die globale Verbreitung und das mengenmäßige Vorkommen sagen.
Hab ihn als Link zum DL via Mail angeboten bekommen. Hab ihn nur gepostet weil es seit langem mal wieder was exotisches über die Mail kam und weil die Erkennung so abweichend war.


Scrapie

[Rios]

Ein Fall für die genauere Begutachtung. Den werden wir mal im Auge behalten.

[Solution-Design]

Hab ihn als Link zum DL via Mail angeboten bekommen. Hab ihn nur gepostet weil es seit langem mal wieder was exotisches über die Mail kam

Kennst du den Inhalt der Mail noch (welcher sicherlich genauso interessant gewesen wäre, wie das Ergebnis selbst)? Worauf ich hinaus möchte, ist eigentlich ganz einfach. Es macht Sinn, den Inhalt einer Malware-behafteten Email mit dem VT-Scanergebnis zu posten. Ähnlich wie es hier bei Spyware-Seiten durchgeführt wird.

PS: Das du nicht in Maryland wohnst, hatte ich mir schon fast gedacht.
PPS: Verbreitung kann man ergoogeln

[Gast_Scrapie_*]

Hi

Nachfolgend ein FP von VBA32 durch die neue Heuristik (und von Prevx).

File size: 7977299 bytes
MD5: 222c9ecc67249f3fecb6b8f21fdb3af6
SHA1: a5686bf7fdca350e66ce27a76781e46439ef3eb5

Prevx1 - Heuristic: Suspicious Self Modifying File
VBA32 - suspected of Backdoor.XiaoBird.58 (paranoid heuristics)

Könnte jemand event. ein Setup-Programm welches ebenfalls mit dem Inno-Setup-Maker erstellt wurde zum Vergleich hochladen?
Ich kann keines finden und würde gerne wissen ob das Setup-Programm dafür verantwortlich ist oder das mit Armadillo geschützte eigentliche Programm im Setup.

Merci,
Scrapie

[Gast_Eazi_*]

Hallo

@Rios

Ein Fall für die genauere Begutachtung. Den werden wir mal im Auge behalten.

Sophos beschreibt ihn als "Potentiell unerwünschte Anwendung" :

Evidence Eraser ist eine Adware.
Sie behauptet, auf dem Computer gespeicherte Informationen zu besuchten Websites zu löschen.

Sie steht mit verschiedenen anderen PUAs in Zusammenhang, u.a. mit der Adware "Registry Cleaner".

Sobald Evidence Eraser installiert wird, werden die folgenden Dateien erstellt:

<Benutzer>\Cookies\user@194.126.173[1].txt
<Temp>\EEProSetup.exe
<Temp>\~qwertyuiopa.exe
<Windows>\Driver Cache\mcftp.dll
<Windows>\inf\svcwin.dll
<Windows>\setup.exe

(Quelle: http://www.sophos.de/security/analyses/evidenceeraser.html)


Allerdings bemägelt Sophos auf Jotti die Datei nicht.

Wenn man es ganz genau nimmt, können jegliche Clean-Programme PUPS darstellen.

Deswegen meine Einschätzung..auch nach Recherchen und in Anbedacht, dass VBA32 heute eine ganz neue Heuristik veröffentlicht hat, die noch nicht ganz ausgefeilt scheint (s. Scrapies´Beitrag)....das Ding ist "Clean".

EDIT @Scrapie: Sry..habe leider auch kein Programm gefunden bislang. Wenn, dann lade ich es hoch und stelle hier die Ergebnisse rein...


Liebe Grüße,
B.

Der Beitrag wurde von Eazi bearbeitet: 25.09.2007, 20:26

[citro]

Kennst du den Inhalt der Mail noch (welcher sicherlich genauso interessant gewesen wäre, wie das Ergebnis selbst)?

Ist diese Mail gemeint ?

http://www.pcwelt.de/start/sicherheit/vire...ker/news/94545/

Der Beitrag wurde von citro bearbeitet: 25.09.2007, 21:03

[Gast_Eazi_*]

Ist diese Mail gemeint ?

http://www.pcwelt.de/start/sicherheit/vire...ker/news/94545/

F-Secure ---
Kaspersky Trojan-Downloader.Win32.Nurech.ce / Trojan-Spy.Win32.BZub.bma


So etwas passiert, wenn man am Wochenende keine Updates einflegt



Liebe Grüße,
B.

[citro]

F-Secure ---
Kaspersky Trojan-Downloader.Win32.Nurech.ce / Trojan-Spy.Win32.BZub.bma


So etwas passiert, wenn man am Wochenende keine Updates einflegt
Liebe Grüße,
B.

Innerhalb von Stunden haben fast alle AVs das Teil entdeckt (Avast bis heute noch nicht)

http://www.rokop-security.de/index.php?s=&...st&p=214861



citro

[Gast_Eazi_*]

Hey Citro!

Innerhalb von Stunden haben fast alle AVs das Teil entdeckt (Avast bis heute noch nicht)

http://www.rokop-security.de/index.php?s=&...st&p=214861

Hmm..ok...danke. Will nicht lange darauf rum reiten...aber irgend etwas stimmt nicht. Der Artikel ist vom 24.09. und der Beitrag hier im Forum vom 23.09. ! Am 22.09. und 23.09. gab es keine Updates bei F-Secure.

Naja...wie dem auch sei...zumindest scheint es ja doch relativ schnell gegangen zu sein.


Liebe Grüße,
B.

[citro]

Hey Citro!
Am 22.09. und 23.09. gab es keine Updates bei F-Secure.

Naja...wie dem auch sei...zumindest scheint es ja doch relativ schnell gegangen zu sein.
Liebe Grüße,
B.

aber am 21.9.

http://www.abload.de/image.php?img=virusto...ergebnis7y0.png