Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_rock_*]

jo...schaut generiert aus.... aber die file war verpackert.... (hoff ich mal!) weis nimmer (schluchz - selber schuld? )

zuminderst haben alle möglichen geantwortet..... im vorigen posting zu den ringtones hat sich ja kasperl und fortinent auch gemeldet.....ein anderer habe wieder was drinne gefunden.... aber ich lösch ja immer alles gleich von den mails der verschickerei...

das einzige was ich hab ist das da eventuell:

Final-Recipient: RFC822; name weggenommen@ikarus.at
Disposition: automatic-action/MDN-sent-automatically; deleted
X-MSExch-Correlation-Key: H3TSLU3OyEm2j3CuoIVlbg==
Content-Type: text/plain

[Gast_rock_*]

ich seh grad das ich da gleich einiges abgeschickt habe ausser den ringtones.exe zeugs...

hread-Topic: E-Mail schreiben an: DRDldr.Agent.fwr.1, Trojan.Downloader.Bagle.MN

den rest find ich im quelltext... aber is egal ..... schick ich halt wieder mal as einzeln, vielleicht ists besser so.

[Gast_rock_*]

fly.exe

AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 Win32:Agent-UNM
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 Dropped:Trojan.Generic.59312
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 Trojan.Downloader-19191
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.07 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 Trojan-Dropper.Win32.Flystud.B
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3009 2008.04.08 -
Norman 5.80.02 2008.04.07 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.02.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 Trojan.BAT.KillAV.df
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 1390750 bytes
MD5...: 1f35850790261de8879d7b78fd820598
SHA1..: b3a8be694d20ec006999ed7f392b35c38a563ec3
SHA256: 1885512abc4e6d959d921c5dcd06076119818dbdb614373640307024f3403458
SHA512: e832400db81e8618769d194e72fb780c8b721e3a717aeaa2aa876742a0da9958
5bbb7e35bed2307c96432bca792bf06fe4d929dc73fc708471d2afe3efb51fae
PEiD..: Armadillo v1.71
PEInfo: PE Structure information



edit:

Hello,

fly.exe_ - Trojan.Win32.FlyStudio.bo

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Der Beitrag wurde von rock bearbeitet: 08.04.2008, 16:58

[Gast_rock_*]

Thread-Topic: E-Mail schreiben an: DRDldr.Agent.fwr.1

Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
-----------------
Regards, Namestnikov Yury
Virus Analyst, Kaspersky Lab.

Der Beitrag wurde von rock bearbeitet: 09.04.2008, 15:59

[Gast_rock_*]

fly.exe

AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 Win32:Agent-UNM
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 Dropped:Trojan.Generic.59312
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 Trojan.Downloader-19191
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.07 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 Trojan-Dropper.Win32.Flystud.B
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5268 2008.04.07 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3009 2008.04.08 -
Norman 5.80.02 2008.04.07 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.02.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 Trojan.BAT.KillAV.df
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 Win32.Malware.gen (suspicious)

edit:

Hello,

fly.exe_ - Trojan.Win32.FlyStudio.bo

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Thank you for submitting the sample to Fortinet. Our analysts have analyzed the sample you provided and developed the pattern to detect it. We add detection for this sample in the next update. The sample you submitted will be detected as W32/Flystud.B!tr.dldr.

[Gast_rock_*]

sorry...war bislan in der arbeit.... die beiden ergebnsise sind noch von gestern:

AhnLab-V3 2008.4.8.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 DR/Dldr.Agent.fwr.1
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 Win32:Virtumonde-HQ
AVG 7.5.0.516 2008.04.08 Downloader.Generic6.ALMY
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 Trojan.Downloader-17820
DrWeb 4.44.0.09170 2008.04.08 Trojan.Click.16601
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 W32/Istbar.gen10@dl
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26 2008.04.08 Trojan-PWS.Win32.Delf.og
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5269 2008.04.08 Downloader-XZ
Microsoft 1.3408 2008.04.06 -
NOD32v2 3010 2008.04.08 a variant of Win32/TrojanDownloader.Small.IAW
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.07 Suspicious file
Prevx1 V2 2008.04.08 Heuristic: Suspicious File With Covert Attributes
Rising 20.39.12.00 2008.04.08 Trojan.DL.IstBar.GEN
Sophos 4.28.0 2008.04.08 Troj/Virtum-Gen
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 -
TheHacker 6.2.92.267 2008.04.07 -
VBA32 3.12.6.4 2008.04.06 suspected of Embedded.Trojan-Downloader.Win32.IstBar.gen
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 Trojan.Dropper.Dldr.Agent.fwr.1

weitere Informationen
File size: 2522228 bytes
MD5...: 6daf19ecb1a410bc770e8210eee68f1e
SHA1..: 162d9ddc3c73638cf5bd12baa28b823378957565
SHA256: fe69b6264fff364132917f36b91e47728e7feac8e0a8cb6e1df07e303fc35bf6
SHA512: 0a70c50eacef836ac277776526fde1e88ac1bbcb922d4ec61519f03a289320bc
749261bfc3252aafedde6c1f1b71696dedf78ccfd732a513ccc904a90efbe195
PEiD..: -
PEInfo: -
packers: UPX, UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp...5F2FE001F577888


AhnLab-V3 2008.4.9.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 BDS/Bionet.405
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 Win32:BioNet-C
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 Backdoor.Bionet.4.0.0
CAT-QuickHeal 9.50 2008.04.05 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.08 Backdoor.Win32.Bionet.405
FileAdvisor 1 2008.04.08 High threat detected
Fortinet 3.14.0.0 2008.04.08 W32/BIONET.405!tr
Ikarus T3.1.1.26.0 2008.04.08 Backdoor.Win32.Bionet.405
Kaspersky 7.0.0.125 2008.04.08 Backdoor.Win32.Bionet.405
McAfee 5269 2008.04.08 -
Microsoft 1.3408 2008.04.06 Backdoor:Win32/Bionet.4_05
NOD32v2 3010 2008.04.08 -
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.07 -
Prevx1 V2 2008.04.08 -
Rising 20.39.12.00 2008.04.08 Backdoor.Bionet.s
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.08 Backdoor.Trojan
TheHacker 6.2.92.268 2008.04.08 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.07 -
Webwasher-Gateway 6.6.2 2008.04.08 -

weitere Informationen
File size: 429182 bytes
MD5...: 3d48badc3dd95079a27fa18fd18a6d23
SHA1..: 011a48178cbd582f6685e727d837b73a8ce27910
SHA256: c397e2bf1738ac4a4943f6d64d82b48d2522c413f64c8832242e1fcfceba8f66
SHA512: a139160a6200c0438b0c4d2b27b8fd5945d56c6f09031f8c9e93a04ec275a55c
b96728fc8fb04e431083b883587d7b6d9da021c65a19134a0eec00601b5edfd8
PEiD..: -
PEInfo: -
packers (Kaspersky): Exe32Pack
Bit9 info: http://fileadvisor.bit9.com/services/extin...27fa18fd18a6d23

[Rios]

Der Sturm ist natürlich auch nach dem 1.4. weiter aktiv. Man trifft das Teil immer wieder irgendwo an. Das neueste ist hier.


Bericht

Der Codec wird mittlerweile über eine bestimmte Web- Seite angeboten, wird aber von den gängigsten AV's erkannt.

[Gast_kurz-pc_*]

Was den Storm Codec betrifft. Inzwischen gibt es einige neue Domains wo er zum Download angeboten wird.

Komischer weiße gibt es Unterschiede bei der Erkennungsrate der Virenscanner.

zb:

Erste Version die über XXXXsameas.com gekommen ist.
22 von 32

Datei StormCodec8.zip empfangen 2008.04.10 14:08:43 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.10.2 2008.04.10 -
AntiVir 7.6.0.81 2008.04.10 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.04.10 Possibly a new variant of W32/Storm.gen2
Avast 4.8.1169.0 2008.04.10 Win32:Zhelatin-CNF
AVG 7.5.0.516 2008.04.09 I-Worm/Nuwar.R
BitDefender 7.2 2008.04.10 Trojan.Crypt.AP
CAT-QuickHeal 9.50 2008.04.10 Win32.Email-Worm.Zhelatin.wt.2
ClamAV 0.92.1 2008.04.10 -
DrWeb 4.44.0.09170 2008.04.10 Trojan.Packed.419
eSafe 7.0.15.0 2008.04.09 Suspicious File
eTrust-Vet 31.3.5687 2008.04.10 Win32/Sintun!generic.2
Ewido 4.0 2008.04.10 -
F-Prot 4.4.2.54 2008.04.08 W32/Storm.gen2
F-Secure 6.70.13260.0 2008.04.10 Email-Worm.Win32.Zhelatin.wt
FileAdvisor 1 2008.04.10 -
Fortinet 3.14.0.0 2008.04.10 -
Ikarus T3.1.1.26.0 2008.04.10 Email-Worm.Win32.Zhelatin.wq
Kaspersky 7.0.0.125 2008.04.10 Email-Worm.Win32.Zhelatin.wt
McAfee 5270 2008.04.09 W32/Nuwar@MM
Microsoft 1.3408 2008.04.10 TrojanDropper:Win32/Nuwar.gen!C
NOD32v2 3015 2008.04.10 a variant of Win32/Nuwar.CG
Norman 5.80.02 2008.04.09 Tibs.gen201
Panda 9.0.0.4 2008.04.10 -
Prevx1 V2 2008.04.10 -
Rising 20.39.31.00 2008.04.10 Worm.Mail.Win32.Zhelatin.wrz
Sophos 4.28.0 2008.04.10 Troj/Dorf-BA
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.10 Trojan.Peacomm
TheHacker 6.2.92.271 2008.04.10 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.09 Worm.Zhelatin.Gen!Pac.6
Webwasher-Gateway 6.6.2 2008.04.10 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 138808 bytes
MD5...: 942114e575681be3839342a89a0e4edd
SHA1..: 06c14d270ef5dff0381a1ff986338841380c4cee
SHA256: c989c39af3aff826637d76fb82d8df4fc3681c815dcb330f18aadb3257a10863
SHA512: b5ce98c0f9985d94e38bab429d9e5fc98e14256baf77c616c49c3e4ae5733ac0<br>3203b9c9c5c3e216dd5026d435ce21c756ed14a20fbb64f3f1aab567a0c93145
PEiD..: -
PEInfo: -

und hier mal die der Scan von einer neuen Seite.

13 von 32
Datei StormCodec2.zip empfangen 2008.04.10 14:08:47 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.10.2 2008.04.10 -
AntiVir 7.6.0.81 2008.04.10 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.04.10 -
Avast 4.8.1169.0 2008.04.10 -
AVG 7.5.0.516 2008.04.09 -
BitDefender 7.2 2008.04.10 Trojan.Peed.JEL
CAT-QuickHeal 9.50 2008.04.10 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.10 Trojan.Peed-188
DrWeb 4.44.0.09170 2008.04.10 Trojan.Packed.426
eSafe 7.0.15.0 2008.04.09 Suspicious File
eTrust-Vet 31.3.5687 2008.04.10 Win32/Sintun!generic.2
Ewido 4.0 2008.04.10 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.10 -
FileAdvisor 1 2008.04.10 -
Fortinet 3.14.0.0 2008.04.10 -
Ikarus T3.1.1.26.0 2008.04.10 Email-Worm.Win32.Zhelatin.ww
Kaspersky 7.0.0.125 2008.04.10 -
McAfee 5270 2008.04.09 -
Microsoft 1.3408 2008.04.10 -
NOD32v2 3015 2008.04.10 -
Norman 5.80.02 2008.04.09 -
Panda 9.0.0.4 2008.04.10 -
Prevx1 V2 2008.04.10 -
Rising 20.39.31.00 2008.04.10 Worm.Mail.Win32.Zhelatin.wso
Sophos 4.28.0 2008.04.10 Troj/Dorf-BA
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.10 Trojan.Peacomm
TheHacker 6.2.92.271 2008.04.10 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.09 Worm.Zhelatin.Gen!Pac.6
Webwasher-Gateway 6.6.2 2008.04.10 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 131623 bytes
MD5...: 0da9eec475b95bced4952a74b8f5112e
SHA1..: 347ad6aa3e36184cf4ee4962f03172a031910a69
SHA256: ba8c90a58d1c37b823c8322f856c1ccb2d5cb5ae4c72aa9194d1b71699a9e64e
SHA512: 2691d8757b641b52107e2356b62d3e4d8e65134a34d60ff16d0325362adbe01f<br>75f3944c702a83d3b8919e54077625bd805936e11bf3c06e3252290d62ea0ff0
PEiD..: -
PEInfo: -

Ist ja eigedlich der gleiche Virus wie kommt es zu diesem unterschiedliche Ergebnis?

[raman]

Nein, die sind nicht gleich. Die Varianten wechseln ca alle 1-2 Stunden. Denke daran, das ein Besuch der Seiten meistens schon ausreicht, um infiziert zu werden. Sprich du brauchst nicht aktiv etwas herunterzuladen.

[citro]

Nein, die sind nicht gleich. Die Varianten wechseln ca alle 1-2 Stunden. Denke daran, das ein Besuch der Seiten meistens schon ausreicht, um infiziert zu werden. Sprich du brauchst nicht aktiv etwas herunterzuladen.

Ist das in dem Fall u.a. Browserabhängig ?

[raman]

Ja, zumindest haengt es davon ab, ob (Java)script aktiviert ist oder nicht. Welche Version nun gerade von dieser Luecke betroffen ist, weiss ich allerdings nicht.

[citro]

Danke , raman

[Gast_kurz-pc_*]

Ist das in dem Fall u.a. Browserabhängig ?

Hab gerade mal getestet. Bei Firefox 2.0.0.13 fürt er kein Javascript aus. Bei IE leitet er einen nach paar Sekunden auf die flow.php und diese versucht dann das Javascript auszuführen.

[Domino]

Ich hätte gerne die URL als PN wenn möglich.



Domino

[Gast_rock_*]

hey....probiers mal da u.a.

http://www.google.com/search?q=stormcodec&...amp;rlz=1I7ADBS

[Rios]

Bandit und Erpresser, er will Geld haben für seine Erfundenen Geschichten.



Anmerkung:
F- Secure , Erkennung positiv. Symantec Bericht.

Der Beitrag wurde von Rios bearbeitet: 11.04.2008, 19:09

[Gast_rock_*]

moin moin,

wenn wer lust am nachprüfen hat....: webseite die einige fakecodecs mit bild und recht aktuellen upload-ergebnissen listet:

http://www.jahewi.nl/lists/fakecodecs/fakecodecs.html



edit: weitere liste/n mit 57 rogue software adressen...
http://rbnexploit.blogspot.com/2007/11/rbn...faking-its.html
(bissl kleingeschrieben)

.... (staun!)



Der Beitrag wurde von rock bearbeitet: 12.04.2008, 08:32

[Rios]

Eine SpySheriff Variante. Denen fällt immer was ein. Scheint ziemlich frisch zu sein.

[Voyager]

NAB erkennt das herruntergeladene Teil als Bedrohung .

[Gast_rock_*]

in der heutigen ad aware erkennung drinnen....

http://www.antispywaredeluxe.com/

datei wuirde heute um vor einer stunde schon gecheckt:
letzte ergebnisse:

Datei AntiSpywareDeluxeSetup.exe empfangen 2008.04.14 16:31:10 (CET)
Status: Beendet

Ergebnis: 9/32 (28.12%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - Potentially harmful program Fake_AntiSpyware.OK
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - not-a-virus:.FraudTool.Win32.AntiSpywareDeluxe.a
Kaspersky - - not-a-virus:FraudTool.Win32.AntiSpywareDeluxe.a
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/Adware.AntiSpywareDeluxe
Norman - - -
Panda - - Adware/AntiSpywareDeluxe
Prevx1 - - Heuristic: Suspicious Self Modifying File
Rising - - -
Sophos - - AntiSpywareDeluxe Installer
Sunbelt - - -
Symantec - - AntispyDeluxe
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Riskware.Fakespy.1565191

weitere Informationen
MD5: 2b504550390417b962d6364ec05a52d1
SHA1: 8b0edd416e816953bf6b189793e92969451de040
SHA256: 15d498bb8a86cdcea63ece4c92ff01690e94f0fb26b84b899c068c0944de4772
SHA512: dfc67f6f12e878ef068dc95b0b6714e748198c85e1cca7dc78c308f84b9ea21fe0be9ae52d48
bf86bce2f64a77afb7a76c11d3b96266e094f07a3d4b3ac82512

edit: AVG Free erkennt übrigens nix dran!

Der Beitrag wurde von rock bearbeitet: 14.04.2008, 16:42