Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Im Web immer wieder anzutreffen, obwohl schon eine alte Geschichte.






F-Secure kennt ihn auch.

[Rios]

Advanced Cleaner ( Winfixer Familie )

[Voyager]

Irgendwann müssen denen dochmal die technischen Begriffe ausgehen um den Dreck noch unter die Leute verteilen zu können, der Dreck hält sich ja auch nicht ewig weil die AVs den Müll gleich löschen.

[Rios]

Bond, also Einfallsreichtum haben die wirklich. Na ja, die beschäftigen sich auch überwiegend mit dem Müll, und es bringt auch irgendwie Kohle.
Hab mal die Anti Spy Tools scannen lassen, alle wie sie sich nennen SAS, SSW und AVG sind auf dem Auge blind. Die Av's erkennen gut.

Der Beitrag wurde von Rios bearbeitet: 20.01.2008, 18:53

[citro]

realfoto.exe per E-Mail-Link



GData kann ihn nicht erkennen, wohl aber KAV mit der besseren Heuristik.

Nur 1,8 kb klein
Sandboxergebnis:

http://research.sunbelt-software.com/ViewM...aspx?id=2787949

[blubber]

Gerade über MSN erhalten.....

[Gast_rock_*]

das seltsame ding das auch manche eine art/variante "pakes" nennen...hatte ich die letzten drei monate im spam...

na fliegt ja doch eine kleinigeit herum...

[Rios]

Ein neuer Geselle Ultimate Defender Familie.


werde das Teil nochmal hochladen.

[Voyager]

Risikokategorie: Irreführende Anwendung
Gesamtrisikoauswirkung: Mittel
Leistung: Mittel
Datenschutz: Mittel
Entfernen: Mittel
Verbergen: Mittel
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: EliteProtector http://securityresponse.symantec.com/secur...=EliteProtector
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: c:\downloads\syscleaner_installer.exe.jc!

[DonQuijano]

[Voyager]

http://www.phishtank.com/phish_detail.php?phish_id=382767

Die Seite ist interesannt , darüber wird eine nicht wirkliche Phishingseite verlinkt und darauf sind dann gleich zwei gefährliche Exploits "HTTP ANI File Anih Hdr Size BO" und "MSIE CreateTextRange Remote Code Execution" .
Vorsicht ! Nur in sicheren Umgebungen testen .
In der VM mit einem ungeschützten XP sp1 ausgeführt füllt sich der Taskmanager mit Prozessen ohne Ende und die VM issn Zombie.

Drei gescannte Objekte aus der VM.

Datei _svchost.exe empfangen 2008.02.01 05:27:02 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.1.11 2008.02.01 -
AntiVir 7.6.0.59 2008.01.31 TR/Downloader.Gen
Authentium 4.93.8 2008.01.31 -
Avast 4.7.1098.0 2008.02.01 -
AVG 7.5.0.516 2008.01.31 Downloader.Generic6.AFZO
BitDefender 7.2 2008.02.01 Trojan.Downloader.Small.AAJM
CAT-QuickHeal 9.00 2008.01.30 -
ClamAV 0.92 2008.01.31 -
DrWeb 4.44.0.09170 2008.01.31 Trojan.DownLoader.origin
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5501 2008.02.01 -
Ewido 4.0 2008.01.31 -
FileAdvisor 1 2008.02.01 -
Fortinet 3.14.0.0 2008.02.01 -
F-Prot 4.4.2.54 2008.02.01 W32/OnlineGames.W.gen!Eldorado
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.01 Trojan-Downloader.Win32.Tiny.afq
Kaspersky 7.0.0.125 2008.02.01 Trojan-Downloader.Win32.Tiny.agw
McAfee 5220 2008.01.31 -
Microsoft 1.3109 2008.02.01 -
NOD32v2 2841 2008.02.01 a variant of Win32/TrojanDownloader.Tiny.NJ
Norman 5.80.02 2008.01.31 -
Panda 9.0.0.4 2008.02.01 Suspicious file
Prevx1 V2 2008.02.01 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.02.01 Mal/Generic-A
Sunbelt 2.2.907.0 2008.02.01 -
Symantec 10 2008.02.01 -
TheHacker 6.2.9.203 2008.01.30 -
VBA32 3.12.2.6 2008.01.31 -
VirusBuster 4.3.26:9 2008.01.31 -
Webwasher-Gateway 6.6.2 2008.02.01 Trojan.Downloader.Gen

weitere Informationen
File size: 6144 bytes
MD5: 8affa08f8cdbb9fa1ac6f07a8fece450
SHA1: 85b665d5551d726a199b673b331f97f7dbed861a
PEiD: -

Datei netrfds372.exe empfangen 2008.02.01 05:38:03 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.1.11 2008.02.01 -
AntiVir 7.6.0.59 2008.01.31 DR/Delphi.Gen
Authentium 4.93.8 2008.01.31 -
Avast 4.7.1098.0 2008.02.01 -
AVG 7.5.0.516 2008.01.31 -
BitDefender 7.2 2008.02.01 Trojan.Delf.Inject.A
CAT-QuickHeal 9.00 2008.01.30 -
ClamAV 0.92 2008.01.31 -
DrWeb 4.44.0.09170 2008.01.31 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5501 2008.02.01 -
Ewido 4.0 2008.01.31 -
FileAdvisor 1 2008.02.01 -
Fortinet 3.14.0.0 2008.02.01 -
F-Prot 4.4.2.54 2008.02.01 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.01 Virus.Win32.Zapchast.DA
Kaspersky 7.0.0.125 2008.02.01 -
McAfee 5220 2008.01.31 -
Microsoft 1.3109 2008.02.01 VirTool:Win32/DelfInject.gen!AA
NOD32v2 2841 2008.02.01 -
Norman 5.80.02 2008.01.31 -
Panda 9.0.0.4 2008.02.01 -
Prevx1 V2 2008.02.01 -
Rising 20.29.22.00 2008.01.30 Trojan.DL.Win32.Agent.bxw
Sophos 4.25.0 2008.02.01 -
Sunbelt 2.2.907.0 2008.02.01 -
Symantec 10 2008.02.01 -
TheHacker 6.2.9.203 2008.01.30 -
VBA32 3.12.2.6 2008.01.31 -
VirusBuster 4.3.26:9 2008.01.31 -
Webwasher-Gateway 6.6.2 2008.02.01 Trojan.Dropper.Delphi.Gen

weitere Informationen
File size: 36864 bytes
MD5: 47987f02144b0c681da015c7347c5599
SHA1: 6c8dffa62aab68bec8baa0d6a0b00d24e16c696b
PEiD: -

Datei netrfds374.exe empfangen 2008.02.01 05:44:41 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.1.11 2008.02.01 -
AntiVir 7.6.0.59 2008.01.31 TR/Hijacker.Gen
Authentium 4.93.8 2008.01.31 -
Avast 4.7.1098.0 2008.02.01 Win32:Xorpix-AZ
AVG 7.5.0.516 2008.01.31 -
BitDefender 7.2 2008.02.01 -
CAT-QuickHeal 9.00 2008.01.30 -
ClamAV 0.92 2008.01.31 PUA.Packed.UPack
DrWeb 4.44.0.09170 2008.01.31 BackDoor.Bech.origin
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5501 2008.02.01 -
Ewido 4.0 2008.01.31 -
FileAdvisor 1 2008.02.01 -
Fortinet 3.14.0.0 2008.02.01 -
F-Prot 4.4.2.54 2008.02.01 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.01 -
Kaspersky 7.0.0.125 2008.02.01 Heur.Invader
McAfee 5220 2008.01.31 Proxy-Agent.ai
Microsoft 1.3109 2008.02.01 VirTool:Win32/Obfuscator.C
NOD32v2 2841 2008.02.01 a variant of Win32/Agent.OH
Norman 5.80.02 2008.01.31 -
Panda 9.0.0.4 2008.02.01 -
Prevx1 V2 2008.02.01 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.25.0 2008.02.01 Mal/Xorpix-A
Sunbelt 2.2.907.0 2008.02.01 -
Symantec 10 2008.02.01 -
TheHacker 6.2.9.203 2008.01.30 -
VBA32 3.12.2.6 2008.01.31 -
VirusBuster 4.3.26:9 2008.01.31 -
Webwasher-Gateway 6.6.2 2008.02.01 Trojan.Hijacker.Gen

weitere Informationen
File size: 18944 bytes
MD5: 8d67e96b612d76d184a25dcbed1a9ae2
SHA1: 028b7f566f87c80013c8e62b4e0dfdf41a0f30e6
PEiD: -
packers: rsrcPE
packers: Upack
packers: rsrcPE, UPack
packers: UPack

Der Beitrag wurde von bond7 bearbeitet: 01.02.2008, 05:53

[Rios]

Scheint sich auch um einen dieser Aufschneider zu handeln, von denen es mittlerweilen genug gibt. Was das Tool weiter macht, wird sich noch rausstellen.



Vtt und Jotti's sagen noch nichts dazu.
hxxp://www.reghelper.com/rh/default.asp

[Voyager]

Die Seite ist schonmal sehr aufdringlich mit dem Sie sind infiziert Popup und klicken Sie den Run Button , sind die Amis wirklich so doof das die das glauben ?
In der VM im aktuellen XP SP2 reagiert es total verbuggt mit Fehlermeldungen , es kommt nicht mit Pfaden klar und hat keine Berechtigung die Internet Zonen zu verändern . Soso, der will also verbotene Sachen anstelln. Ein Scan wird durch Fehlermeldungen abgebrochen.

[simon2011]

Eine Nullrunde für Symantec und McAfee (wohl weil der Backdoor recht neu ist)...




Ein Trojaner, den ich vor einigen Wochen per E-Mail bekommen habe...




Und noch etwas älteres...

[Rios]

Ein neuer Zlob Verteiler.

[Gast_blueX_*]

Eine Nullrunde für Symantec und McAfee (wohl weil der Backdoor recht neu ist)...

Ich hoffe, du schickst diese Dateien auch an alle Virenschutzhersteller?!

[simon2011]

Ich hoffe, du schickst diese Dateien auch an alle Virenschutzhersteller?!

Jo.

Hier noch etwas ganz Neues (kein False Positive laut Kaspersky Lab):


Der Beitrag wurde von simon2011 bearbeitet: 03.02.2008, 17:42

[Gast_blueX_*]

Na dann nix wie weg damit:


Ad-aware: research(at)lavasoft.com
Ahnlab: v3sos(at)ahnlab.com
AntiVir: virus(at)free-av.de
ArcaVir: virus(at)arcabit.com
Avast: virus(at)asw.cz
AVG: virus(at)grisoft.cz
A²: submit(at)emsisoft.com
Bitdefender: virus_submission(at)bitdefender.com
Clam: http://cgi.clamav.net/sendvirus.cgi
Command: virus(at)commandsoftware.com
Comodo BoClean: bocleansubmissions(at)comodo.com
DrWeb: vms(at)drweb.com
Ewido: submit(at)ewido.net
eSafe: virus(at)esafe.com
eTrust: virus(at)ca.com
F-Prot: viruslab(at)f-prot.com
Fortinet: submitvirus(at)fortinet.com
FP-Win: samples(at)percomp.de
F-Secure: vsamples(at)f-secure.com
G-DATA: samples(at)gdatasoftware.com
Hauri: viruslab(at)hauri.co.kr
Ikarus: samples(at)ikarus.at
Kaspersky: newvirus(at)kaspersky.com
McAfee: virus_research_de(at)avertlabs.com
MKS-Vir: wirus(at)mks.com.pl
Microsoft AntiVirus: onecare(at)submit.microsoft.com
Microsoft Anti-Spyware: windefend(at)submit.microsoft.com
Nod32: samples(at)eset.com
Norman: analysis(at)norman.no
Panda: virus(at)pandasecurity.com
PestPatrol: helpdesk(at)pestpatrol.com
Quickheal: viruslab(at)quickheal.com
SecureComputing: samples(at)securecomputing.com
Sophos: samples(at)sophos.com
Spybot: detections(at)spybot.info
Symantec Norton: avsubmit(at)symantec.com
Sunbelt: malware-cruncher(at)sunbelt-software.com
Tauscan: trojans(at)agnitum.com
Trendmicro: VirusLab(at)trendmicro-europe.com
TrojanHunter: submit(at)trojanhunter.com
VBA32: newvirus(at)anti-virus.by
Vexira: virus(at)centralcommand.com
Virudin: labor(at)virudin.com
Virusbuster: virus(at)virusbuster.hu

[simon2011]

@blueX
Reicht dir ein einfaches "Jo" von einem neuen User nicht?
Muss ich dir mit Screenshots beweisen, dass ich die Viren an alle Hersteller verschicke?

Ist das hier eigentlich üblich, so mit neuen Usern umzugehen?
Selbst wenn ich die Viren nicht an ein einziges Virenlabor schicken würde, ginge es dich nichts an.

Es wundert mich wirklich nicht mehr, dass in dem Forum immer weniger los ist (ja, ich lese schon lange hier mit) und diverse Personen von Virenschutzherstellern das Weite suchen.
Rokop taugt nur noch zum stillen Mitlesen, und das auch immer seltener...

PS: Die empfohlene Submit-Adresse von Avira lautet virus[at]avira.de

[citro]

@simon2011

das war von blueX freundlich gemeint - sei nicht gleich so empfindlich

@blueX

eine aktuelle Submitadresse fehlt, Rückantwort kommt meist auch.

https://www.microsoft.com/security/portal/submit.aspx


citro