Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

Tja, scheinen noch alle was langsam zu sein.

VirSCAN.org Scanned Report :
Scanned time : 2008/06/29 10:14:33 (CEST)
Scanner results: 19% der Scanner (7/36) haben Malware gefunden!
File Name : AV2009Install.exe
File Size : 135680 byte
File Type : MS-DOS executable (EXE), OS/2 or MS Windows
MD5 : cd5a66dea5c13954fbf5fdc5950bf1a8
SHA1 : 1efab405464c3cf3604100017758124eafdb0384
Online report : http://virscan.org/report/fbb0f233e5b7f573...73fed107d4.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.18 2008.06.28 2008-06-28 4.56 -
AhnLab V3 2008.06.28.00 2008.06.28 2008-06-28 3.02 -
AntiVir 7.8.0.59 7.0.5.18 2008-06-28 22.98 TR/Dropper.Gen
Arcavir 1.0.4 200806281124 2008-06-28 13.98 -
AVAST! 1.0.8 080628-0 2008-06-28 14.76 -
AVG 7.5.51.442 270.4.3/1524 2008-06-28 15.70 -
BitDefender 7.60825.1287097 7.19768 2008-06-29 27.67 -
CA (VET) 9.0.0.143 31.6.5911 2008-06-27 2.89 -
ClamAV 0.93 7554 2008-06-25 0.00 -
Comodo 2.11 2.0.0.569 2008-06-28 2.01 -
CP Secure 1.1.0.715 2008.06.29 2008-06-29 44.55 -
Dr.Web 4.44.0.9170 2008.06.28 2008-06-28 45.38 -
ewido 4.0.0.2 2008.06.27 2008-06-27 5.13 -
F-Prot 4.4.1.52 20080628 2008-06-28 14.79 -
F-Secure 5.51.6100 2008.06.29.01 2008-06-29 0.11 Trojan-Downloader.Win32.FraudLoad.gen [AVP]
Fortinet 2.81-3.11 0.0 2008-06-29 1.85 -
ViRobot 20080627 2008.06.27 2008-06-27 2.63 -
Ikarus T3.1.01.26 2008.06.29.71000 2008-06-29 23.40 Trojan-Dropper
JiangMin 11.0.706 2008.06.17 2008-06-17 2.88 -
Kaspersky 5.5.10 2008.06.29 2008-06-29 0.12 Trojan-Downloader.Win32.FraudLoad.gen
KingSoft 2008.1.14.15 2008.6.29.15 2008-06-29 2.81 -
McAfee 5.2.00 5327 2008-06-27 25.93 -
Microsoft 1.3604 2008.06.25 2008-06-25 7.52 -
mks_vir 2.01 2008.06.29 2008-06-29 26.16 -
Norman 5.92.08 5.92.00 2008-06-25 59.56 -
Panda 9.04.03 2008.06.28 2008-06-28 3.39 -
Trend Micro 8.700-1004 5.364.03 2008-06-24 0.25 -
Quick Heal 9.50 2008.06.28 2008-06-28 4.13 -
Rising 20.0 20.50.61.00 2008-06-29 2.47 -
Sophos 2.74.1 4.30 2008-06-29 21.01 Mal/EncPk-CZ
Sunbelt 3.0.1176.1 2106 2008-06-25 1.79 -
Symantec 1.3.0.24 20080628.004 2008-06-28 0.29 -
nProtect 2008-06-27.00 1558154 2008-06-27 4.19 -
The Hacker 6.2.96 v00364 2008-06-28 1.83 Trojan/Downloader.FraudLoad.gen
VBA32 3.12.6.8 20080629.0138 2008-06-29 10.31 Trojan-Downloader.Win32.FraudLoad.gen
VirusBuster 4.5.11.10 10.79.1/594378 2008-06-19 8.39 -

Unter gleichem Namen AV Antivirus Install.exe 2009 habe ich eine neue Variante per JS PopUp eingefangen:



Der Beitrag wurde von citro bearbeitet: 08.07.2008, 22:52

[Sasser]

Schöne Beispiele...

Der Beitrag wurde von Sasser bearbeitet: 10.07.2008, 08:55

[citro]

Ein vermeintliches Codecpack





ps: bei Virscan erkennen z.T. die o.g. Scanner die Datei nicht

Der Beitrag wurde von citro bearbeitet: 10.07.2008, 17:49

[Gast_kurz-pc_*]

Hab das teil auf einem infizierten PC von einen bekannten gefunden. Das teil hat die den Virenschutz der installiert war (Kaspersky) komplett deaktiviert.

An der Heuristics Analysis von threatexpert sicht man, das es so Programmiert ist das es so ziemlich jeden Prozesse bekannter sicherheits Software, versucht zu killen.

http://www.threatexpert.com/report.aspx?md...f4bb93483fe694b

Leider ist erkennen im Moment noch besonders gut.

[citro]

Nach 2 maligem Einsenden zu KAV, sagen die : "no malicious code" - obwohl die Mehrzahl bei VT und Jotti diese Datei für schädlich hält.
AdAware meint auch es wäre eine Rootkitfunktion dabei.



Der Beitrag wurde von citro bearbeitet: 17.07.2008, 12:45

[Kenshiro]

@citro

und wenn Du mal nen Screenie von VT oder Jotti an KL schickst?

[Gast_Xeon_*]

Nach 2 maligem Einsenden zu KAV, sagen die : "no malicious code" - obwohl die Mehrzahl bei VT und Joot diese Datei für schädlich hält.

Schon merkwürdig das KAV da nichts dazu sagt.
F-Secure meint .....



Der Beitrag wurde von Xeon bearbeitet: 17.07.2008, 12:01

[citro]

HI @Xeon,

sende die Datei auch mal zu KAV, vielleicht hilft's dann.

edit: über einen Anonymisierer bekomme ich dort eine andere Dateigröße welche dann von KAV erkannt wird, aber es geht eben um diese 71kb .exe

[chris30duew]

HI
da ist nichts merkwürdig dran, einmal mehr die Sicherheit mehrere Scan Engines zu haben. Sicher wird da eine andre Engine angesprochen haben, in die f-secure die signatur eingepflegt hat.

ich hoffe inständig das die f-secure 2009er reihe bald fertig ist

nightwatch hast du info?

[Gast_Poulsen_*]

ich hoffe inständig das die f-secure 2009er reihe bald fertig ist

Ich auch

[Gast_Xeon_*]

HI @Xeon,

sende die Datei auch mal zu KAV, vielleicht hilft's dann.

Die Mail an KLAB mit einem Verweis auf die VT Ergebnisse ist raus,mal abwarten was kommt.

[Gast_Xeon_*]

da ist nichts merkwürdig dran, einmal mehr die Sicherheit mehrere Scan Engines zu haben. Sicher wird da eine andre Engine angesprochen haben, in die f-secure die signatur eingepflegt hat.

Darum geht es ja nicht,es geht darum das KLAB nach einem analisieren der Datei sagt,da wäre nichts Malware-Artikes zu finden.

[Rios]

Das fragte ich mich hier auch schon mal.

[Rios]

Man hat einen bekannten Banditen, wieder mal etwas modifiziert. Vers. 3.3
 Magical_Snap___2008.07.17_19.48___001.png ( 188.98KB ) Anzahl der Downloads: 10

[citro]

@Rios

Zufälle gibt's... die gleiche Datei habe ich in ie-av2.exe umbenannt und eingesendet.

Auch auf dieser Seite ist sie zu haben

[Gast_Xeon_*]

Was haben wir den hier schönes erhalten......



In einer VM wurde getestet was dieser Schädling macht, wenn er von dem AV-Scanner nicht erkannt würde. (Wie es z.b. bei Symantec und McAfee der Fall wäre.)
Bei AntiVir Premium (ist auf dem Rechner installiert) hab ich den Guard angehalten damit man den Schädling starten konnte.Zuerst wurde der Guard von AntiVir nicht nur deaktiviert,nein er wurde komplett deinstalliert! Auch der Dienst des Windows Defenders wurde beendet und dann komplett deaktiviert, ja ganz nett das Ding.Auch Norton AntiBot, das nachträglich installiert wurde, als der Schädling schon aktiv war konnte nichts mehr gegen ihn ausrichten...AntiBot erkannte entweder die Aktivität des Schädlings nicht oder wurde eventuell auch manipulliert,eine Meldung kam auch nicht nachdem man 30 Minuten gewartet hatte.

Der Beitrag wurde von Xeon bearbeitet: 17.07.2008, 20:24

[Gast_Xeon_*]

sende die Datei auch mal zu KAV, vielleicht hilft's dann.

Bis jetzt hab ich immer noch, eher untypisch für Kaspersky, noch keine Rückantwort erhalten, aber vielleicht kommt da ja noch was.

[Clinton]

Hallo,

hab gerade mal einen On-Demand Scan mit BitDefender10 gemacht. Das läuft hier hin und wiedere als zusätzliche Kontrolle zu NOD32. BD bemängelt nun plötzlich nach drei Jahren der Existenz auf meinem Rechner den Nvidia-Fileremover als Trojan.

Bei VirusTotal und Jotti hoch geladen ergibt sich dann folgendes:

http://www.virustotal.com/de/analisis/4048...7cbc1b20a31c41e

http://s2.directupload.net/file/d/1494/ilf8bdi3_jpg.htm

Hab das mal zu BD geschickt. Ich denke aber es ist ein Fehlalarm. Aber wie kann es sein das nach so langer Zeit ein Programm plötzlich als Malware erkannt wird?

[citro]

Downloadversuch einer Pokersoftware

Ob's ein F/P ist wird sich herausstellen



der Rest findet nichts

[Voyager]

Video aus Spam-Email , welche als Absender adresse die gleiche benutzt wie für den Empfänger , blacklisten geht sozusagen kaum wenn man sich nicht selbst aussperren will

Risikokategorie: Heuristikvirus
Gesamtrisikoauswirkung: Hoch
Leistung: Hoch
Datenschutz: Hoch
Entfernen: Hoch
Verbergen: Hoch
Klicken Sie hier, um weitere Informationen über dieses Risiko zu erhalten: Packed.Generic.174 http://securityresponse.symantec.com/avcen...o.cgi?vid=23886
Durchgeführte Aktion: Blockiert
Betroffene Bereiche: c:\downloads\video-nude-anjelia.avi.exe.jc!

Der Beitrag wurde von bond7 bearbeitet: 19.07.2008, 13:19