Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[raman]

Das Ding ist total auf deutschsprachige User ausgelegt. Es loescht Spyware Terminator, Windowsdefender und Antivir Classic und Premium. Die Datei dropped/erzeugt ein RAR-SFX, welches eigentlich von so gut wie allen AV-Programmen gemeldet wird:

AntiVir DR/Agent.ahv.1
Avast! Win32:Trojan-gen {VC}
AVG Dropper.Agent.AJL (Trojan horse)
BitDefender Trojan.Bat.ZZQ (suspected)
ClamAV Trojan.Dropper.Agent-66
Command W32/Dropper.BJP
Dr Web Trojan.MulDrop.4041
F-Prot W32/Dropper.BJP
F-Secure Trojan-Dropper.Win32.Agent.age
Fortinet W32/Agent.AGE!tr.dr
Kaspersky Trojan-Dropper.Win32.Agent.age
Microsoft TrojanDropper:Win32/Agent
Norman W32/Agent.CDOP.dropper (Sandbox)
Panda Suspicious file
Rising Dropper.Agent.fuk
Sophos Troj/KillAV-EN

Der Rest wird auch gut erkannt. Der Backdoorteil nimmt Kontakt zu einer T-Online IP auf.

[Voyager]

@Xeon (oder raman)

Will das auch mal in der VM untersuchen , schicks ma an cb7dsp ät gmx punkt de . Danke.

Der Beitrag wurde von bond7 bearbeitet: 14.05.2008, 18:19

[Gast_Xeon_*]

Hallo Jens,die Mail an dich ist raus.
Laß dann mal hören was Norton AV und AntiBot dazu sagen.

Gruß Xeon

[chris30duew]

weckt mal wieder super viel vertrauen in den selbstschutz von Avira. das die das in der neuen version als noch nicht hinbekommen ist fast schon zum heulen

[Voyager]

@Xeon

Laß dann mal hören was Norton AV und AntiBot dazu sagen.

Wird nicht erkannt weil der wahrscheinlich nur erstmal was auf die Platte kopiert und startet sonst nichts wie man anhand der Aktivität sieht , aber das isser der böse Bube.


http://www.abload.de/image.php?img=zwischenablage05td7.jpg

Der Beitrag wurde von bond7 bearbeitet: 14.05.2008, 19:11

[Gast_Xeon_*]

Wird nicht erkannt weil der wahrscheinlich nur erstmal was auf die Platte kopiert und startet sonst nichts.........

Hallo bond7,dass wundert mich jetzt etwas.
Hab mal eben zum Test AntiBot installiert und den Echtzeitschutz des AV von BitDefender deaktiviert,dann sieht das ganze so aus wenn ich die JPG.com starte und alles erlaube.






Bei mir erkennt AntiBot hier durchaus den/einen Schädling und kann ihn dann auch so wie es aussieht entfernen,warum reagiert AntiBot bei dir anders ?

Gruß Xeon

Der Beitrag wurde von Xeon bearbeitet: 14.05.2008, 19:41

[Voyager]

Das liegt an der NAB Erkennung

Eine ausführbare Datei mit diesen Merkmalen ist verdächtig.
Die echte SERVICES.EXE-Datei (der legale Windows-Dienststeuerungs-Manager) beispielsweise wird unter C:\WINDOWS\SYSTEM32\SERVICES.EXE ausgeführt. Ein Trojanisches Pferd kann die Bezeichnung SERVICES.EXE aufweisen, wird jedoch als C:\WINDOWS\SERVICES.EXE. installiert. Bei Anzeige im Task-Manager, der den gesamten Pfad der ausführbaren Dateien nicht einblendet, werden beide Dateien als legale SERVICES.EXE-Prozesse dargestellt. Die einzige legale ausführbare Datei, die dieses Merkmal gelegentlich aufweist, ist die Java SDK und JRE. Java wird häufig an vielen verschiedenen Speicherorten auf einem Computer abgelegt, und häufig werden mehrere Versionen installiert. Dies kann dazu führen, dass bestimmte Java-Prozesse dieses Merkmal aufweisen.

Anhand meines Bildes kommt diese Aktion nicht zum tragen.

Beendet Prozesse
Bestimmte schädliche Programme versuchen, Sicherheitsprogramme (z.B. Antivirus- oder Spyware-Programme) zu beenden, um nicht erkannt zu werden. Es ist sehr selten, dass Programme durch normale Programme vorsätzlich beendet werden. Ausnahmen stellen Sicherheitsprogramme und Dienstprogramme wie z.B. Task-Manager dar.

Möglicherweise kommt auch das vor wenn du den Windows Defender laufen hattest , anhand integrierter Batchdateien wird der beendet und teilweise gelöscht. Ich hab ihn nicht in der VM .

Komischerweise ist die Infektion nach dem Reboot nichtmehr vorhanden.
Wiederhole den Vorgang nochmal und mach mal Bilder der Prozessdetails des Fakeprozesses im NAB und der Details im Isoliert-Fenster. NAB sollte genau sagen was da passiert.

Der Beitrag wurde von bond7 bearbeitet: 14.05.2008, 20:03

[Gast_Xeon_*]

Wiederhole den Vorgang nochmal und mach mal Bilder der Prozessdetails des Fakeprozesses im NAB und der Details im Isoliert-Fenster. NAB sollte genau sagen was da passiert.

Du meinst wohl das hier oder ?

[Voyager]

Ja sieht doch Böse genug aus was der für schädliche Aktivitäten mitbringt , ich sehe 3 schwere Regelverstösse . Kann das sein das du nicht diesselbe Malware getestet hast wie ich , mir die falsche geschickt hast ?

Der Beitrag wurde von bond7 bearbeitet: 14.05.2008, 20:25

[Gast_Xeon_*]

Ja sieht doch Böse genug auf was der für schädliche Aktivitäten mitbringt , kann das sein das du nicht diesselbe Malware getestet hast wie ich ?

Die was ich dir per Mail geschickt habe ist die gleiche was ich hier verwendet habe,da ist kein Unterschied.

Der Beitrag wurde von Xeon bearbeitet: 14.05.2008, 20:24

[Rios]

Info. Ein Schurke, und durch ständige Veränderungen auf Anhieb schlecht zu erkennen.

[Gast_kurz-pc_*]

Info. Ein Schurke, und durch ständige Veränderungen auf Anhieb schlecht zu erkennen.

Naja sobald der Downloader anfängt das eigentlich Programm aus dem Netz zu laden. Schlagen ja wenigstens einige Virenscanner Alarm.

[Rios]

Heute so, morgen so. Leicht modifiziert.

Neu.

[markus17]

Mich würde jetzt interessieren, mit welcher Verzögerung GData die Kaspersky Signaturen bekommt, oder ob die in GData eingebaute Engine wirklich nichts entdeckt.
Könntest du vielleicht testweise dieses "Tool" morgen bzw. in ein paar Stunden noch einmal auf VTotal scannen?

[citro]

Gdata und KAV haben Updatenlisten, dort kannst du vergleichen.

http://www.antiviruslab.com/newentries.php?lang=de

http://www.kaspersky.com/viruswatchlite?hour_offset=-2 (Update released)


VT hat mir auch schon bei GDATA keinen Fund angezeigt, am PC mit installiertem Gdata-AV dann doch

[Rios]

Das kommt schon vor, man sieht es öfter am Ergebnis von F-Secure.

[markus17]

Ach, auf Antiviruslab war ich auch schon länger nicht mehr.
Wenn man nicht nachsieht, dann merkt man überhaupt nicht, wie stark die Anzahl der Malware gestiegen ist. Früher waren 100 - 200 neue Einträge extrem viel und heute... über 3000.

>>3393 neue Einträge am 15.5.2008<<
verglichen mit dem Jahr 2004: 52 neue Einträge am 15.5.2004

VT hat mir auch schon bei GDATA keinen Fund angezeigt, am PC mit installiertem Gdata-AV dann doch

VTotal könnte auch ein anderes Updateintervall fahren, was die ganze Geschichte natürlich erklären würde.

[citro]

VTotal könnte auch ein anderes Updateintervall fahren, was die ganze Geschichte natürlich erklären würde.

Die Updates hängen bei VT oft Tage zurück.

Virscan und jotti sind aktuell

[Rios]

Neues gibt es hier.

[Voyager]

Der Fake-Codec der über diese Webseite geladen wird (den Link sieht man im Sunbelt Screenshot) ist ganz schön fleissig , aber NAB kann alles blockieren/beenden und runterschmeissen incl eines angeordneten Reboot der VM .


http://www.abload.de/image.php?img=aufzeichnendqe.jpg