Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Scrapie_*]

Keylogger aus dem arabischen Sprachraum vom 17.November:

Was auch immer "Messen" sein soll ...???


Ein 0815-RAT vom 22.November:



Scrapie

[citro]

@scrapie

Welche Abkürzung steht denn für "RAT" ?

Danke im Voraus

[Gast_Scrapie_*]

@scrapie

Welche Abkürzung steht denn für "RAT" ?

Danke im Voraus

RAT auf Wikipedia ....

[Gast_blueX_*]

...und die anderen ?

Catweazle

Ist ein Fehlalarm. Fortinet, VBA32 und ArcaVir haben den Fehlalarm inzwischen beseitigt.

[Rios]

Spy Sheriff gibt nach wie vor Gas !!

[Gast_Scrapie_*]

Modernes RAT von heute und nat. noch ohne Signaturen:


Einfacher Downloader in VB von gestern - auch noch ohne Signaturen:



F-Prot beides mal mit dabei, hmmmmmm.


Scrapie

[Rios]

Der IE Defender taucht jetzt wieder etwas modifiziert auf.

wie gehabt

ein neues Spiel.





Erkennung etwas aktualisiert

[citro]

Ein Beispiel:

Es gibt AV-Hersteller welche auf eingesendete Malware sofort reagieren, wie etwa KAV, Microsoft und Antivir.

Einige andere Bsp.: Avast bei mir noch nie, wird dann auch nicht über GData und über den Onlinescanner von Avast erkannt. (wegen der Fehelerquote von Jotti, Virscan ,etc)

Ähnlich bei Dr.Web und VirusBuster auch eher selten. Da kannst du die Dateien x-mal einsenden, fast keine Reaktion.
F-Prot braucht immer eine weile.
Ich finde, es müsste egal sein, ob es jetzt noch diesen falschen zB diesen Codec oder sämtlich andere ähnliche Malware noch gibt oder nicht - am Anfang war die Liste bei Virustotal fast ganz leer als ich die Dateien einsendete.

Hat jemand ähnliche Erfahrungen beim Einsenden von Schädlingen gemacht ?


Beipiel-Datei und v.a. mit den selben/ähnlichen Reaktionen der AVs

Datei codechq4441.exe empfangen 2007.12.09 12:18:38 (CET)


AhnLab-V3;2007.12.8.0;2007.12.07;-
AntiVir;7.6.0.40;2007.12.07;DR/DNSChanger.abj.58
Authentium;4.93.8;2007.12.08;-
Avast;4.7.1098.0;2007.12.08;-
AVG;7.5.0.503;2007.12.08;Downloader.Zlob.KF
BitDefender;7.2;2007.12.09;Trojan.Downloader.Zlob.ABAZ
CAT-QuickHeal;9.00;2007.12.08;Win32.Trojan.DNSChanger.abj
ClamAV;0.91.2;2007.12.09;Trojan.Dropper-3153
DrWeb;4.44.0.09170;2007.12.08;-
eSafe;7.0.15.0;2007.12.06;Win32.DNSChanger.adz
eTrust-Vet;31.3.5361;2007.12.08;-
Ewido;4.0;2007.12.08;-
FileAdvisor;1;2007.12.09;-
Fortinet;3.14.0.0;2007.12.09;W32/Zlobar.ABJ!tr
F-Prot;4.4.2.54;2007.12.08;-
F-Secure;6.70.13030.0;2007.12.09;Trojan.Win32.DNSChanger.abj
Ikarus;T3.1.1.12;2007.12.09;Trojan.Win32.DNSChanger.abj
Kaspersky;7.0.0.125;2007.12.09;Trojan.Win32.DNSChanger.abj
McAfee;5181;2007.12.08;-
Microsoft;1.3007;2007.12.09;Trojan:Win32/Dnschanger.AH
NOD32v2;2711;2007.12.07;-
Norman;5.80.02;2007.12.07;Zlob.AURT
Panda;9.0.0.4;2007.12.09;-
Prevx1;V2;2007.12.09;Generic.Dropper.xCodec
Rising;20.21.42.00;2007.12.07;-
Sophos;4.24.0;2007.12.09;Troj/Zlobar-Fam
Sunbelt;2.2.907.0;2007.12.07;Trojan-Downloader.Zlob.Media-Codec
Symantec;10;2007.12.09;Trojan.Zlob
TheHacker;6.2.9.153;2007.12.07;Trojan/Downloader.Zlob.eie
VBA32;3.12.2.5;2007.12.07;Trojan-Downloader.Win32.Zlob
VirusBuster;4.3.26:9;2007.12.08;-
Webwasher-Gateway;6.6.2;2007.12.08;Trojan.Dropper.DNSChanger.abj.58


citro

[Rios]

Kann ich bestätigen. Deshalb gehen meine Feststellungen nur noch an Avira, und KAV!!

[citro]

Kann ich bestätigen. Deshalb gehen meine Feststellungen nur noch an Avira, und KAV!!

HI Rios !

Probier trotzdem mal die Adresse vom Microsoft Malware Protection Center aus:

https://www.microsoft.com/security/portal/submit.aspx

Per E-Mail kommt die Eingangsbestätigung und eine 2. Mail mit der Analyse der eingsendeten Dateien

[Rios]

Die Erfahrungen eines anderen dazu

[Catweazle]

@ All

Also dann nützt das ganze nichts, wen man die Samples direkt, per Jotti,- Virustotal dort zur verfügung stellt, und dort wird nicht angeziegt, bei den Hochgeladen, und sie werden doch weiter darüber weitergeleidet (werden sie doch, oder ?) Und doch nicht eingepflegt,Warum ? Die verschiedenen Av-Vendors ist das doch Gold wenn die das doch bekommen würden, und sich ran setzen, und das Digitale Unkraut von der Festplatte putzen, oder ?

Und jetzt kommt bitte keiner, und postet hier dort wird nur 90% Müll wird dort eingesetzt,(hochgeladen wird) wenn das Müll war, wie defeniere ich nu Müll, bei Malware Samples ?

Wens Müll, war, na dann wars halr nichts Virus ähnliches...,oder ?

Catweazle

[citro]

HI Catweazle,

Clam AV zeigt es offen in den Daily Updates, von wo die Samples herkommen, sehr viele von Virustotal usw.

Beispiel:

"Added no" heißt dann dort so viel wie nicht dazugenommmen, da ein anderer Uploader schneller war (glaube ich zumindest es so verstanden zu haben)

http://lists.clamav.net/lurker/message/200...1bd1780.de.html


citro

Der Beitrag wurde von citro bearbeitet: 09.12.2007, 22:44

[Catweazle]

HI Catweazle,

Clam AV zeigt es offen in den Daily Updates, von wo die Samples herkommen, sehr viele von Virustotal usw.

Beispiel:

"Added no" heißt dann dort so viel wie nicht dazugenommmen, da ein anderer Uploader schneller war

http://lists.clamav.net/lurker/message/200...1bd1780.de.html


citro

Mir geht es dahin, werden die Samples wenn von 10 AV Programmen, zeigen 5 an das ist wirklich Malware ist(könnte Ja auch FP sein) werden die Samples zu den ander geschickt, und die haben damit Neues Futter, oder wird das nicht gemacht ?

Catweazle

[citro]

Mir geht es dahin, werden die Samples wenn von 10 AV Programmen, zeigen 5 an das ist wirklich Malware ist(könnte Ja auch FP sein) werden die Samples zu den ander geschickt, und die haben damit Neues Futter, oder wird das nicht gemacht ?

Catweazle

Ich glaube nicht, dass die AV-Hersteller sich die Samples untereinander austauschen (außer vllt. die mit der gleichen Engine und noch weitere wie GData, F-secure), sondern jeder wird wohl selber entscheiden, was von Jotti etc. maliziös ist oder nicht. - denke ich mal so -

[Catweazle]

Ich glaube nicht, dass die AV-Hersteller sich die Samples untereinander austauschen (außer vllt. die mit der gleichen Engine und noch weitere wie GData, F-secure), sondern jeder wird wohl selber entscheiden, was von Jotti etc. maliziös ist oder nicht. - denke ich mal so -

Ok, jetzt habe ich es verstanden. Stehe mir manchmal selbst im Wege.

Catweazle

[Gast_rock_*]

na arg.... hab ich garnicht bemerkt... eine mail vom 5.11. mit dem anhang game.exe, betreff "security update" , wurde schon als ***SPAM*** vom provider abgefangen aber die datei selbst erst durch AVG in die Quarantäne geliefert...

und bei vtotal war es schon gescannt am 25.11, daher kam gleich das resultat: (fands eben zufällig in der AVG free quarantäne) (vault).

also swoas hab ich auch noch nie in mails gehabt.... bei den hunderten ***SPAMS*** in der woche, zum ersten mal eine malware dabei...

AhnLab-V3 - - -
AntiVir - - TR/SPY.KeyLogger.RP.16
Authentium - - W32/Downldr2.AIIN
Avast - - Win32:KeyLogger-IY
AVG - - PSW.Generic5.UYW
BitDefender - - Trojan.Kobcka.AI
CAT-QuickHeal - - TrojanSpy.KeyLogger.rp
ClamAV - - Trojan.Dropper-2764
DrWeb - - BackDoor.Bulknet
eSafe - - Win32.KeyLogger.rp
eTrust-Vet - - Win32/Cutwail.BJ
Ewido - - Logger.KeyLogger.rp
FileAdvisor - - -
Fortinet - - W32/KeyLogger.RP!tr.spy
F-Prot - - W32/Downldr2.AOUA
F-Secure - - Trojan-Spy.Win32.KeyLogger.rp
Ikarus - - Trojan-Spy.Win32.KeyLogger.rp
Kaspersky - - Trojan-Spy.Win32.KeyLogger.rp
McAfee - - Spy-Agent.bv.dldr
Microsoft - - TrojanDropper:Win32/Cutwail.H
NOD32v2 - - Win32/TrojanDownloader.Agent.DEU
Norman - - W32/Keylog.CLB
Panda - - W32/Nuwar.JO.worm
Prevx1 - - Rootkit.Rustock.gen
Rising - - Trojan.Win32.Mnless.zbs
Sophos - - Troj/Pushdo-Gen
Sunbelt - - Trojan.Kobcka.AI
Symantec - - Trojan.Pandex
TheHacker - - -
VBA32 - - Trojan-Spy.Win32.KeyLogger.rp
VirusBuster - - Trojan.DR.Pandex.Gen.1
Webwasher-Gateway - - Trojan.SPY.KeyLogger.RP.16

Angehängte Datei(en)

 Unbenannt.JPG ( 106.95KB ) Anzahl der Downloads: 10

 

[Rios]

Vorsicht Download !!! Spyware Sheriff

[Gast_blueX_*]

Kann ich bestätigen. Deshalb gehen meine Feststellungen nur noch an Avira, und KAV!!

Dies ist aber nicht gut. Einige AV's reagieren bewusst nicht mit Antworten auf die Einsendungen, da es aus Zeitgründen nicht möglich ist.
Die Kapazitäten sind voll auf dem einpflegen der Samples gerichtet. Du solltest denen zumindest einen Chance geben, die Samples einzupflegen, indem du die
Dateien auch zu ihnen sendest. Falls sie die Samples dann immernoch nicht einpflegen, ist es denen ihr Problem.

Eine Übersicht über alle wichtigen Adressen findest du hier -> http://www.rokop-security.de/index.php?showtopic=8685 bzw. hypnosekröte oder ich können dir auch eine PlugIn-Datei für Outlook oder Thunderbird zur Verfügung stellen.

Sende doch die Dateien an alle AV's. Dies macht ja auch nicht mehr Arbeit, wenn du eine Verteilerliste bastelst. Dauert höchstens 3 Minuten.

[citro]

Diese Adresse noch für Microsoft:

https://www.microsoft.com/security/portal/submit.aspx