Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_rock_*]

wieder mal was "alltägliches"..... am 24.02. schon abgeschickt.... aber nur mal den link wo der scanner schon anspringt!

immer noch:

AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 HEUR/Exploit.HTML
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 -
AVG 7.5.0.516 2008.02.24 JS/Downloader.Agent
BitDefender 7.2 2008.02.24 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.24 -
DrWeb 4.44.0.09170 2008.02.24 -
eSafe 7.0.15.0 2008.02.21 JS.Agent.ib
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 -
F-Prot 4.4.2.54 2008.02.23 -
F-Secure 6.70.13260.0 2008.02.23 -
Ikarus T3.1.1.20 2008.02.24 -
Kaspersky 7.0.0.125 2008.02.24 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 -
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.24 -
Rising 20.32.62.00 2008.02.24 -
Sophos 4.26.0 2008.02.24 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 Heuristic.Exploit.HTML

von allen einsendungen hat nur einer reagiert und bestätigt... aber scheinbar noch nicht in den signaturen...zuminderst so siehe neuerlichen upload der nichts veränderte an den ergebnissen!

nachdem man sie seite offen hat und eine exe auch noch angeboten bekommt (nettes monitorsymbol mit pferdchen drinnen) ebenso recht lasches ergebnis: (von jetzt gerade)

AhnLab-V3 - - -
AntiVir - - DR/Zlob.Gen
Authentium - - -
Avast - - Win32:Zlob-AHS
AVG - - Downloader.Zlob.LI
BitDefender - - Trojan.Zlob.BZM
CAT-QuickHeal - - Win32.Trojan-Downloader.Zlob.few
ClamAV - - Trojan.Dropper-2529
DrWeb - - Trojan.Popuper.origin
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan-Downloader.Win32.Zlob.fgm
Ikarus - - -
Kaspersky - - Trojan-Downloader.Win32.Zlob.fgm
McAfee - - -
Microsoft - - TrojanDownloader:Win32/Zlob.gen!AL
NOD32v2 - - Win32/TrojanDownloader.Zlob.BMS
Norman - - -
Panda - - -
Prevx1 - - Downloader.Zlob.LI
Rising - - -
Sophos - - Troj/Zlobar-Fam
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dropper.Zlob.Gen





Der Beitrag wurde von rock bearbeitet: 04.03.2008, 15:17

[Gast_rock_*]

AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Suspicious:W32/Malware!Gemini
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -


AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-InoculateIT - - -
eTrust-Vet - - -
Ewido - - -
Fortinet - - suspicious
F-Prot - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
UNA - - -
VBA32 - - -
VirusBuster - - -
weitere Informationen
MD5: 94099991bf73f7bf14b63e0a50d30f8c
SHA1: 66fee859ec8c23a68af8d696bf1e9d8e825bec1d
SHA256: 423da0dc59b5a5ac1f837b104e3ad70a12d9ab7fbee02cf1eac055d8a79f073d
SHA512: 01a2a79ae5a2cd5d2ed1ad8d029d466763f40a58d9f12444c9eed0c7ca61eb9e 8db3240396adb53cbe8a06740c926222af516ac557222d880476a4a6970a1e82


AhnLab-V3 - - -
AntiVir - - ADSPY/Adultpage.1
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - not-a-virus:Porn-Tool.MSIL.Agent.a
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Adultpage.1
weitere Informationen
MD5: 9eb210361434de4a19270f2f02348ad2
SHA1: bef62c0a2c3e3c6e5058e19961ed0aba1d18a4d0
SHA256: 84b96060d0c32a6ac27353ba3b444c014701b0d997b30b5dd5d8bb1d46ad6963
SHA512: a1329369e505f495790f8e08c44587e48615b126a9c353dc65e5e5688047726d 967004c3f575c479a7d7f1e0a94bac2a134e20ed767a087b4025ab3747aa7167

[Rios]

Habe mal wieder eine nicht sehr nette Screensaver Seite angeschaut. Es dauerte nicht lange, und man wusste wo hier die Post abging.

[Voyager]

Das in dem Müll in der Regel immer Adware & Spyware (werbefinanzierte Software) drinnsteckt dürfte klar sein .

[Rios]

Hab mal wieder etwas mit dem Windows Live Messenger hin und her getestet, und siehe da, hinter diesem Gesicht verbirgt sich ein Trojan- Downloader. Da werden wieder einige Bluten müssen. In Frankreich und Italien häufen sich mittlerweilen die Infektionen. Der Vorfall ist bereits gemeldet.

[Voyager]

Du meinst da kommen wieder fremde neue Accounts im MSN die dem User ein Download oder Link anbieten wollen ? Erklär das mal etwas näher.

Der Beitrag wurde von bond7 bearbeitet: 08.03.2008, 22:54

[Rios]

Genau, es erscheint ein Fenster mit der Meldung, klicken sie auf den Link...... der Titel lautet dann, oh you and me? Nah its me again the Clown. Nach klick Service exe wird gestartet, mittels IRC dann Richtung Osten. (ru)

[Gast_rock_*]

grmpf... und das gleich sonntag morgen!


edit: wo sind eigentlich die submit-adressen.... könnt ma das nicht irgendwie sticky machen?

Der Beitrag wurde von rock bearbeitet: 09.03.2008, 08:17

[Voyager]

Grad in der VM getestet das Teil , es ist eine Photo9.com . Antibot erkennt es natürlich sofort wie eine Photo9.com etwas heimlich installiert und Services.exe etwas im Dateisystem versteckt , über den Winlogon startet und sich selbst regiistriert . Alle Komponenten werden erkannt und und nach dem Reboot werden die vom Autostart gelösten Komponenten gelöscht.

[Gast_rock_*]

edit: wo sind eigentlich die submit-adressen.... könnt ma das nicht irgendwie sticky machen?

ähm....tja...schon gefunden

[Stefan]

So, nach 14 Tagen ist jetzt die Analyse von Symantec zu dem Sample aus diesem Beitrag eingetroffen.
Die Erkennung wurde hinzugefügt.

Mittlerweile haben fast alle anderen auch nachgezogen:

[citro]

Ein paar sogenannte "Außenseiter" entdecken den Schädling vor den sonst gewohnten Scannern.
Selbe Ergebnisse bei Jotti und Virscan

[Kenshiro]

Nur die "Großen" der Branche nicht

[Stefan]

Wohl eine neuere WinFixer-Variante:

 winfix03.jpg ( 98.69KB ) Anzahl der Downloads: 21

Ergebnis: 18/32 (56.25%)
weitere Informationen:
File size: 251920 bytes
MD5: bc95339e95cef900ab912d83f2f3a4fd
SHA1: 05855e2355568583fa981abfc6538e6a9e2c2ca4
PEiD: ASProtect v1.23 RC1
packers: PE_Patch, Aspack
packers: PE_Patch
Prevx info: http://info.prevx.com/aboutprogramtext.asp...7CC6200431A5A42

Mal ein Sample, welches F-Secure erkennt - Kaspersky aber nicht.

[Rios]

Wie gesagt, WinFixer hat viele Variationen.


F-Secure erkennt ihn natürlich auch.

[Rios]

Auch ein WinFixer

[Rios]

Hijack This ist eben nicht unbedingt Hijack This hier bei Google mal gefunden.

und dann geht es weiter, bis man dahin kommt das Teil zu Downloaden. Ergebnis zu dem !!

[Solution-Design]

Der Spaß scheint aber schon was älter zu sein:
http://securityresponse.symantec.com/secur...-101607-5438-99

[Rios]

Nach dem es ja in Mode kommt diverse Programme mit Toolbars auszustatten auch, ( Security Tools )in dem Fall die Ask Toolbar, sollte man bei deren Installation etwas genauer hinsehen.

[Voyager]

@Rios

Ist das der Kram aus dem NERO Packet ?