Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

eingesendet und mal abwarten. (bei virscan.org nur Trend Micro noch)

So, dann melde ich mich mal etwa eine Woche nach dem Einsenden der Malware mit neuem Ergebnis zurück:




edit: die AV, welche nichts bei VT erkannt haben, haben auch kein Ergebnis bei Virscan und Jotti - außer zB. a², das nur eben dort vertreten ist.


Citro

Der Beitrag wurde von citro bearbeitet: 21.12.2007, 21:01

[Rios]

Ein neuer SpySheriff Klon. Erkennung bis jetzt von keinem AV, weder bei Vtt, noch bei Jotti's !!!

[Voyager]

Sieht aus wie die grüne Zyonkali Pille , dürfte zumindestens diesselbe Wirkung haben.

[Gast_blueX_*]

@Rios: An wen verschickst Du ?
Gibt es nicht vlt. einen Mail-Verteiler?

Hier die wichtigsten Submit-Adressen:


Ad-aware: research(at)lavasoft.com
Ahnlab: v3sos(at)ahnlab.com
AntiVir: virus(at)free-av.de
ArcaVir: virus(at)arcabit.com
Avast: virus(at)asw.cz
AVG: virus(at)grisoft.cz
A²: submit(at)emsisoft.com
Bitdefender: virus_submission(at)bitdefender.com
Clam: http://cgi.clamav.net/sendvirus.cgi
Command: virus(at)commandsoftware.com
Comodo BoClean: bocleansubmissions(at)comodo.com
DrWeb: vms(at)drweb.com
Ewido: submit(at)ewido.net
eSafe: virus(at)esafe.com
eTrust: virus(at)ca.com
F-Prot: viruslab(at)f-prot.com
Fortinet: submitvirus(at)fortinet.com
FP-Win: samples(at)percomp.de
F-Secure: vsamples(at)f-secure.com
G-DATA: samples(at)gdatasoftware.com
Hauri: viruslab(at)hauri.co.kr
Ikarus: samples(at)ikarus.at
Kaspersky: newvirus(at)kaspersky.com
McAfee: virus_research_de(at)avertlabs.com
MKS-Vir: wirus(at)mks.com.pl
Microsoft AntiVirus: onecare(at)submit.microsoft.com
Microsoft Anti-Spyware: windefend(at)submit.microsoft.com
Nod32: samples(at)eset.com
Norman: analysis(at)norman.no
Panda: virus(at)pandasecurity.com
PestPatrol: helpdesk(at)pestpatrol.com
Quickheal: viruslab(at)quickheal.com
SecureComputing: samples(at)securecomputing.com
Sophos: samples(at)sophos.com
Spybot: detections(at)spybot.info
Symantec Norton: avsubmit(at)symantec.com
Sunbelt: malware-cruncher(at)sunbelt-software.com
Tauscan: trojans(at)agnitum.com
Trendmicro: VirusLab(at)trendmicro-europe.com
TrojanHunter: submit(at)trojanhunter.com
VBA32: newvirus(at)anti-virus.by
Vexira: virus(at)centralcommand.com
Virudin: labor(at)virudin.com
Virusbuster: virus(at)virusbuster.hu



Wenn du möchtest, dann kann ich dir dies auch in Textform geben, so dass du nur den Text in das "AN:"-Feld deines E-Mail-Programms kopieren musst.
Hypnosekröte hat einen Verteiler gebastelt. Das Verteilerplugin schickt er dir gerne auf Anfrage zu, denke ich mal.

Der Beitrag wurde von Domino bearbeitet: 24.12.2007, 10:23

[Rios]

Es hat mittlerweile schon jemand reagiert.

Hello,
ImmunizrSetup.exe_ - not-a-virus:Downloader.Win32.Agent.u

Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.

[Lonlyness]

Bitte die Adresse von ESET ändern. Die richtige Adresse für den Sample Submit ist samples@eset.com.

[chris30duew]

Avira hat ihn nun auch nachdem ich ihn eingesendet hab als malware erkannt und in die VDFs auf genommen

[citro]

Avira hat ihn nun auch nachdem ich ihn eingesendet hab als malware erkannt und in die VDFs auf genommen

Außerdem AVG und Ikarus

ps: Antivir classic erkannt ihn auch als SPR/Dldr.Agent.U.2 - nicht aber bei Virustotal

[Voyager]

Die Weinachtsgrüße trudeln jetzt per Email ein bis auf den Unterschied das dieses übliche Infektionen sind die auf wichtige Feiertage abzielen.

Datei stripshow.exe empfangen 2007.12.24 11:43:14 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.24.10 2007.12.24 -
AntiVir 7.6.0.46 2007.12.24 Worm/Zhelatin.np
Authentium 4.93.8 2007.12.23 -
Avast 4.7.1098.0 2007.12.24 Win32:Zhelatin-BJQ
AVG 7.5.0.516 2007.12.23 -
BitDefender 7.2 2007.12.24 Trojan.Peed.PE
CAT-QuickHeal 9.00 2007.12.22 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.24 -
DrWeb 4.44.0.09170 2007.12.24 Trojan.Packed.262
eSafe 7.0.15.0 2007.12.23 Suspicious File
eTrust-Vet 31.3.5400 2007.12.24 Win32/Sintun.AT
Ewido 4.0 2007.12.24 -
FileAdvisor 1 2007.12.24 -
Fortinet 3.14.0.0 2007.12.24 -
F-Prot 4.4.2.54 2007.12.23 -
F-Secure 6.70.13030.0 2007.12.24 Email-Worm.Win32.Zhelatin.pd
Ikarus T3.1.1.15 2007.12.24 -
Kaspersky 7.0.0.125 2007.12.24 Email-Worm.Win32.Zhelatin.pd
McAfee 5191 2007.12.21 -
Microsoft 1.3109 2007.12.24 Trojan:Win32/Tibs.gen!ldr
NOD32v2 2744 2007.12.23 -
Norman 5.80.02 2007.12.24 -
Panda 9.0.0.4 2007.12.23 -
Prevx1 V2 2007.12.24 -
Rising 20.24.01.00 2007.12.24 -
Sophos 4.24.0 2007.12.24 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.24 Trojan.Peacomm.D
TheHacker 6.2.9.168 2007.12.22 -
VBA32 3.12.2.5 2007.12.22 -
VirusBuster 4.3.26:9 2007.12.23 -
Webwasher-Gateway 6.6.2 2007.12.24 Worm.Zhelatin.np

weitere Informationen
File size: 135169 bytes
MD5: 532ed8df03ea807c97ff8a06b980e2f7
SHA1: b74b7a6da4683ced538cfa3c93509d3eaf272be0
PEiD: -

Windiger Weihnachts-Wurm verspricht Strip-Show
http://www.heise.de/newsticker/meldung/101052

Der Beitrag wurde von bond7 bearbeitet: 24.12.2007, 15:30

[Rios]

Das nächste Teil im Anmarsch. Bitte nicht mehr bei Avira einreichen.





Hallo Lonlyness,
kann man zu Nod die Funde auch in Deutsch schicken ??

Der Beitrag wurde von Rios bearbeitet: 24.12.2007, 12:15

[Lonlyness]

Wir haben keine direkte Emailadresse für Deutschland, aber wenn Du möchtest, kannst Du uns auch direkt "bedienen".

Bitte die entsprechende Malware in eine ZIP-Datei verpacken, mit dem Passwort "virus" oder "infected" schützen und einfach an mich per Mail senden. Falls vorhanden, bitte Informationen wie Du an das Sample gekommen bist (per Email, Download von Http ... wie auch immer).

Wir gedenken auf eset.de eine direkte Submit-Möglichkeit einzubauen, allerdings müssen dafür noch einige Richtlinien definiert und festgelegt werden. Wenn es sowas gibt, dann sollte nämlich ein Reporting auch zeitgleich mit dabei sein. Das Hauptproblem dabei ist, wir sind nicht ESET ...

[Gast_blueX_*]

Bitte die Adresse von ESET ändern. Die richtige Adresse für den Sample Submit ist samples@eset.com.

Aber samples@nod32.com funktioniert auch bzw. ich erhalte hier sogar manchmal Rückantwort.

[Lonlyness]

Aber samples@nod32.com funktioniert auch bzw. ich erhalte hier sogar manchmal Rückantwort.

Die Adresse funktioniert, allerdings sollte der primäre Weg, Samples zu senden, entweder samples@eset.com oder der jeweilige nationale Distributor (dort ist in der Regel eine schnellere Bearbeitung garantiert) sein. Ich stehe auch gerne für den Sample-Submit zur Verfügung.

[Gast_blueX_*]

Da du für einen deutschen Distributor, Datsec nehme ich an, arbeitest.
Wie ist eure Auffassung von dem ->
http://www.rokop-security.de/index.php?s=&...st&p=224169

[maxos]

Die Adresse funktioniert, allerdings sollte der primäre Weg, Samples zu senden, entweder samples@eset.com oder der jeweilige nationale Distributor (dort ist in der Regel eine schnellere Bearbeitung garantiert) sein.

Beim nationalen Distributor ist in der Regel eine schnellere Bearbeitung garantiert
Der kann ja auch nicht mehr als an Eset weiterleiten.
Was'n dat für Organisation bei Eset.
Normal müsste ja eine zeitnahe/effiziente Behandlung von Samples direkt an die massgebliche Stelle bei einem Virenscannerhersteller der erfolgreichste Weg sein.
Oder ist da alles ein Aspekt der Priorisierung, von wem das Sample kommt ?

[Lonlyness]

Beim nationalen Distributor ist in der Regel eine schnellere Bearbeitung garantiert
Der kann ja auch nicht mehr als an Eset weiterleiten.
Was'n dat für Organisation bei Eset.
Normal müsste ja eine zeitnahe/effiziente Behandlung von Samples direkt an die massgebliche Stelle bei einem Virenscannerhersteller der erfolgreichste Weg sein.
Oder ist da alles ein Aspekt der Priorisierung, von wem das Sample kommt ?

Ich habe das schon mal erklärt, hat ein bisschen gedauert bis ich drauf gekommen bin, wie ich alle meine eigenen Beiträge einsehen konnte... :-)

Ich möchte hier kurz die Prozedur des Sample-Submit erklären:
ESET erhält täglich Samples im fünfstelligen Bereich alleine über die Emailadressen sample@eset.com und samples@eset.com. Zusätzlich kommen noch verdächtige Dateien, die über die programminternen Uploadprozeduren an ESET übermittelt werden sowie Dateien, die bei Online Virenscannern wie Jotti oder Virustotal geprüft und für die Weitergabe freigegeben wurden. Bestätigungen über den Eingang oder die Bearbeitung werden nicht verschickt. Rechnen wir also beispielsweise mal mit einem Samplevolumen von 30.000 Samples. Etwa zwei Drittel (also 20.000) davon können mit mechanischen Mitteln extrahiert, sortiert und klassifiziert werden (idente Dateien, Malware oder Clean Files), der Rest muss manuell getestet und überprüft werden. Idente Samples werden hier bevorzugt behandelt, da von einem höheren Bedrohungspotential ausgegangen wird.
Für die restlichen 10.000 Samples muss eine manuelle Bearbeitung erfolgen, das heisst jede einzelne Datei wird getestet und analysiert. Dass dies nicht unbedingt mit wenig Aufwand verbunden ist, zeigt diese Analyse einer Malware für MacOS.

ESET ist bemüht, Samples schnellstmöglich aufzuarbeiten. Dafür existieren - wie oben bereits erwähnt - zwei verschiedene Emailadressen:

• sample@eset.com - Diese Adresse ist für speziell für Malware, die von ESET Produkten als "unknown NewHeur_PE virus" erkannt werden.
• samples@eset.com - Diese Adresse wurde für unerkannte Dateien und mögliche False Positives eingerichtet. Die schnellste Bearbeitung kann erreicht werden, wenn eine verdächtige Datei in ein ZIP oder RAR-Archiv gepackt und mit dem Passwort "infected" versehen wird.
• Alternativ gibt es auch den Weg über den lokalen Distributor, in speziellen Fällen (z.B. selbst geschriebene Makros, die als Malware erkannt werden, ...) können auch wir weiterhelfen. Bei Bedarf genügt es, eine private Nachricht an mich oder shambler zu schicken, um Informationen über die korrekte Vorgehensweise zu erhalten.

Für Distributoren stehen eigene Kanäle für den Sample-Submit offen, da ja jeder Distributor auch zeitgleich Supporter in seinem jeweiligen Gebiet ist.

[Rios]

Habe so eben eine Titan Rakete gestartet.

[Domino]

Kannst du mir Datei bitte an Virus (at) rokop-security senden ?

Merci.


Domino

[Rios]

Kannst du mir Datei bitte an Virus (at) rokop-security senden ?

Sorry

[Domino]

Ist aber nicht angekommen.



Domino