Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

eingesendet und mal abwarten. (bei virscan.org nur Trend Micro noch)

[Rios]

SpySheriff der nächste !!

[Gast_Nightwatch_*]

Hallo Rios.

Immer wieder interessant, wieviele Funde man in diesem Sektor hat.

Entgegen der Anzeigen auf VT findet F-Secure den Schädling auch. Mir ist unklar, warum dort eine so alte Build/ Engine-Version verwendet wird. Das ist mir schon bei vielen Samples aufgefallen, die hier auf dem PC erkannt werden.

Im Anhang der Fund-Beweis

Angehängte Datei(en)

 F_Secure_infectedII.JPG ( 101.59KB ) Anzahl der Downloads: 12

 

[Voyager]

killspy org und net bieten beide spysherrif an unter verschiedenen Fakeangeboten , beide Seiten sind aus den Niederlanden. Diese Art der Malwareverbreitung hat dieses Jahr wieder Rekordergebnisse eingefahren

[Gast_Nightwatch_*]

killspy org und net bieten beide spysherrif an unter verschiedenen Fakeangeboten , beide Seiten sind aus den Niederlanden.

Stimmt. Die org-Domain dürfte relativ neu sein....die net befindet sich schon auf diversen Host-Listen:

http://www.mvps.org/winhelp2002/hosts.txt

[Rios]

Nightwatch

Entgegen der Anzeigen auf VT findet F-Secure den Schädling auch.

Du hast Recht, bei Jotti's erkennt F-Secure die Teile auch immer korrekt.

[citro]

Auch Antivir findet Ad/Spyware häuiger unter Virscan.org und Jotti als bei VT.
Habe schon Antivir angeschrieben, aber die meinten es liege an VT wie der Scanner dort konfiguriert wäre.

Ähnlich war es schon mit a² unter Jotti und Virscan, ein Tipp an emsisoft und das Problem wurde aber von dort aus gelöst.

[Solution-Design]

QUELLTEXT

Hallo, wir sind sehr interessiert an deine Anzeige. Wir sind ein junges Pärchen ich heisse Anna und bin 23 jahre alt Mein Freund Gunter hat dir unsere Fotos zugeschickt mit unsere Telefonnummer, wenn wir dir gefallen ruf uns an ,wir wurden uns sehr freuen.
http://easyalbum.org/members/anna/myalbum.exe

PS.: damit du meine Fotos sehen kannst speicher und starte mein Fotoalbum auf deinen PC.

Vor der Reinigung durch Symantec NAV sah das Ergebnis folgendermaßen aus:

A-Squared 3.0.0.126 2007.12.15 2007-12-15 Backdoor.Win32.Haxdoor.mu 3.818
AhnLab V3 2007.12.15.00 2007.12.15 2007-12-15 - 1.810
AntiVir 7.6.0.45 7.0.1.100 2007-12-16 DR/Haxdoor.MV 8.435
Arcavir 1.0.4 200712151014 2007-12-15 Trojan.Haxdoor.Ha 5.688
Avast 1.0.8 071216-0 2007-12-16 Win32:Haxdoor-JF [Trj] 14.253
AVG 7.5.49.442 269.17.1/1183 2007-12-13 BackDoor.Haxdoor.DJ 12.781
BitDefender 7.60825.960339 7.16325 2007-12-16 Backdoor.Haxdoor.NS 11.880
CA (VET) 9.0.0.143 31.3.5377 2007-12-15 - 8.932
ClamAV 0.91.2 5145 2007-12-16 - 0.000
Comodo 2.11 2.0.0.375 2007-12-16 - 2.202
CP Secure 1.1.0.655 2007.12.16 2007-12-16 - 44.617
Dr.Web 4.44.0.9170 2007.12.16 2007-12-16 BackDoor.Haxdoor.455 11.700
Ewido 4.0.0.2 2007.12.16 2007-12-16 - 3.267
F-Prot 4.4.1.52 20071215 2007-12-15 W32/Backdoor.TVN (exact) 3.341
F-Secure 5.51.6100 2007.12.14.07 2007-12-14 Backdoor.Win32.Haxdoor.mv [AVP] 0.076
Fortinet 2.81-3.11 8.449 2007-12-03 - 0.793
Ikarus T3.1.01.15 2007.12.16.70000 2007-12-16 Virus.Win32.Haxdoor.JF 1.823
JiangMin 10.00.650 2007.12.15 2007-12-15 - 1.835
Kaspersky 5.5.10 2007.12.16 2007-12-16 Backdoor.Win32.Haxdoor.mv 14.364
KingSoft 2007.6.20.249 2007.12.16 2007-12-16 - 1.223
McAfee 5.2.00 5186 2007-12-14 Generic.dx 2.926
mks_vir 2.01 2007.12.16 2007-12-16 - 5.482
NOD32 2.70.10 2725 2007-12-16 a variant of Win32/Haxdoor.GI trojan 1.238
Norman 5.91.08 5.90 2007-12-13 - 8.421
nProtect 2007-12-15.00 1090777 2007-12-15 - 8.998
Panda 9.04.03.0001 2007.12.15 2007-12-15 Bck/Haxdoor.PI 2.938
Prevx V2 20071217 2007-12-17 W32.Malware.gen 16.151
Quick Heal 9.00 2007.12.15 2007-12-15 - 4.312
Rising 19.0 20.22.41.00 2007-12-14 Backdoor.Win32.Haxdoor.pi 1.942
Sophos 2.49.1 4.21 2007-12-15 Mal/Packer 11.232
Symantec 1.3.0.24 20071216.003 2007-12-16 Trojan.Goldun 0.216
The Hacker 6.2.9 v00160 2007-12-14 - 1.021
Trend Micro 8.500-1001 4.890.36 2007-12-16 - 0.049
VBA32 3.12.2.5 20071214.1956 2007-12-14 BackDoor.Haxdoor.300 1.647
ViRobot 20071214 2007.12.14 2007-12-14 - 0.377


Nach der Reinigung

Authentium 4.93.8 2007.12.16 W32/Backdoor.TVN
Avast 4.7.1098.0 2007.12.16 Win32:Trojan-gen {Delphi}
F-Prot 4.4.2.54 2007.12.16 W32/Backdoor.TVN
VBA32 3.12.2.5 2007.12.15 BackDoor.Haxdoor.300

Stellt sich nun die Frage, was erkennen die übrig gebliebenen Programme?

[Catweazle]

Ist bei mir gestern, auch aufgeschlagen, hatte es bei Virustotal, und Jotti hochgeladen. Ergebnisse siehe Solution-Design sein posting.

Wird immer schlimmer das ganze.

Catweazle

[Voyager]

Nach der Reinigung sind nurnoch 6 Bilder (netpics) und 1 Textdatei mit einer Fake Telnummer drinn . Die Nummer entpuppt sich als eine Faxnummer eines Nobel Hotels aus Berlin.

[Gast_Nightwatch_*]

Hoppla....


...sieht mir irgendwie nicht nach einem klassischen Fehlalarm aus. Wenn, dann allerhöchstens nach fehlerhaften Signaturen von Avira.

Aber vlt. ist es auch das einzige Programm, dass die Bedrohung ordnungsgemäß erkennt.

Kann hier leider nicht testen, ob es sich tatsächlich um Malware handelt....F-Secure zumindest bleibt hier stumm.

Angehängte Datei(en)

 adspy.JPG ( 94.08KB ) Anzahl der Downloads: 21

 

[Rios]

Ach ja, fast hätte ich den vergessen. Wieder ein Schrott mehr, der alles auf deinem PC cleanen will.

[Rios]

Ein Codec unter vielen, die ihr Unwesen treiben





Antworten diverser AV's stehen noch aus, auch Microsoft überprüft noch.

[Gast_blueX_*]

Rios, wenn du schon die Dateien immer nur zu bestimmten AV's senden willst, dann lade sie doch wenigstens noch bei Jotti und bei Virscan.org hoch.
Damit aber wenigstens weitere AV's die Chance, das Sample in die Datenbanken einzupflegen.

[Gast_Nightwatch_*]

Rios, wenn du schon die Dateien immer nur zu bestimmten AV's senden willst, dann lade sie doch wenigstens noch bei Jotti und bei Virscan.org hoch.

@Rios: An wen verschickst Du ?
Gibt es nicht vlt. einen Mail-Verteiler?


Zur Datei:
Da sieht man...Engine nicht gleich Signaturen:

[Rios]

Mein Freund blueX,

wenn du meine Uploadergebnisse ansiehst, wirst du feststellen, das Jott's wenn verfügbar ebenfalls dabei ist. Da dieses Teil jedoch notorisch überlastet ist, geht das halt nicht immer.

[Rios]

Hallo Nightwatch
http://www.rokop-security.de/index.php?s=&...st&p=223296

[Gast_Nightwatch_*]

Hey Rios.

Danke! In diesem Fall aber erkennt F-Secure das Ding tatsächlich net (siehe mein Screenshot oben vom manuellen Scan der Datei auf meinem PC).

Na mal schauen...hab das Sample hier...werd´s mal einschicken.

[Rios]

Keine Bange Nightwatch, ich weiß nicht wie schnell die sind, aber er sollte ihn spätestens morgen in der Erkennung sein, es sei denn, die machen auch Wochenende wie bei vielen anderen.

[Gast_Nightwatch_*]

[...] die machen auch Wochenende wie bei vielen anderen.

Nur tagsüber . Die meisten Updates kommen am Wochenende in der Nacht. Aber mehr als 3 sind´s meistens nicht...außer es ist wirklich viel los.

Der Beitrag wurde von Nightwatch bearbeitet: 21.12.2007, 20:40