Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[raman]

Oh, wann hattest du den Downloader gestartet? Bei mir war alles schon down!:(

[Voyager]

@raman
Etwas vor 14.20 Uhr war das , die Zeiten der erstellen Dateien im Hijackthis-Backup im Netzwerkordner (also der Spezial-ordner der auf eine Physische Festplatte aus der VM zeigt) sind von 14.23 Uhr, wo ich versucht hatte die Infektionen innerhalb der VM mit Hijackthis wegzubekommen die 56kb DLL wurde also nachgeladen meinst du ?

[raman]

Ja, diese DLL werden immer nachgeladen. Meistens befindet sich der Dropper dieser DLL noch im TIF Die Rechnung.pdf.exe ist ja auch nicht gross genug um diese Datei zu droppen!;)

[Gast_Dylan_*]

Wann hat den Kaspersky diesen neuen Backdoor.Win32.Agent in die Signaturen aufgenommen ?
Wenn die meisten AV Hersteller erst morgen reagieren,ist das aber schon reichlich spät (zu spät)....

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 18:47

[Rios]

Hi Dylan,

Kaspersky 07.01.2007
entdeckt 00:22


Gruß

[Gast_Dylan_*]

Hi Dylan,

Kaspersky 07.01.2007
entdeckt 00:22
Gruß

Danke dir,Rios

[Gast_Dylan_*]

Wieviel Varianten gibt es eigentlich von den Dingern schon?
Die EXE Datei scheint immer wieder verändert zu werden.....

Complete scanning result of "Rechnung.pdf.exe", received in
VirusTotal at 01.07.2007, 22:40:32 (CET).

AntivirusVersionUpdateResult

AntiVir7.3.0.2101.07.2007TR/Drop.EbayBill.W
Authentium4.93.812.30.2006no virus found
Avast4.7.892.012.30.2006no virus found
AVG38601.07.2007no virus found
BitDefender7.201.07.2007no virus found
CAT-QuickHeal9.0001.06.2007(Suspicious) - DNAScan
ClamAVdevel-2006042601.07.2007Trojan.Downloader-466
DrWeb4.3301.07.2007no virus found
eSafe7.0.14.001.07.2007Suspicious Trojan/Worm
eTrust-InoculateIT23.73.10701.06.2007no virus found
eTrust-Vet30.3.330701.06.2007no virus found
Ewido4.001.07.2007no virus found
Fortinet2.82.0.001.07.2007suspicious
F-Prot3.16f01.05.2007no virus found
F-Prot44.2.1.2901.05.2007no virus found
IkarusT3.1.0.2701.07.2007no virus found
Kaspersky4.0.2.2401.07.2007no virus found
McAfee493301.05.2007no virus found
Microsoft1.190401.07.2007no virus found
NOD32v2196001.06.2007a variant of Win32/Haxdoor
Norman5.80.0212.31.2007Suspicious_F.gen
Panda9.0.0.401.07.2007Suspicious file
Prevx1V201.07.2007Virus.Rechnung
Sophos4.13.001.05.2007no virus found
Sunbelt2.2.907.001.05.2007VIPRE.Suspicious
TheHacker6.0.3.14501.07.2007no virus found
UNA1.8301.06.2007no virus found
VBA323.11.101.07.2007suspected of Backdoor.Hupigon.159 (paranoid
heuristics)
VirusBuster4.3.19:901.07.2007novirus:Packed/FSG

Aditional Information
File size: 56058 bytes


EDIT:
Rechtschreibung

Der Beitrag wurde von Dylan bearbeitet: 07.01.2007, 23:11

[Voyager]

File size: 56058 bytes

genau diese Rechnung ist auch gerade eingetrudelt.

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist die Infektion (in der VM) und das bekommt man so auch nichtmehr im abgesicherten Modus runter , die Datei eetvpn.sys ist zwar sichtbar aber nicht lesbar und diese DLL ist vermutlich versteckt weil nicht sichtbar, Rootkit lässt grüssen.

Der Beitrag wurde von bond7 bearbeitet: 08.01.2007, 07:50

[Gast_Scrapie_*]

File size: 56058 bytes

genau diese Rechnung ist auch gerade eingetrudelt.

O20 - Winlogon Notify: eetvpn - C:\WINDOWS\SYSTEM32\eetvpn.dll
Das ist die Infektion (in der VM) und das bekommt man so auch nichtmehr im abgesicherten Modus runter , die Datei eetvpn.sys ist zwar sichtbar aber nicht lesbar und diese DLL ist vermutlich versteckt weil nicht sichtbar, Rootkit lässt grüssen.

@bond7:

Check your PM plz

[Yopie]

md5sum: ad8e76618481ff89e4e9eb54c8c632b9

Heute (gestern nacht) 3 mal eingetrudelt...

[Yopie]

Weiter gehts mit 1&1-Trojanern:

md5sum f3f9be795aa5f256b06d67116e119ea3
File size: 15360 bytes

Virustotal:
AntiVir 7.3.0.21 01.09.2007 HEUR/Crypted
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.08.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.08.2007 no virus found
ClamAV devel-20060426 01.09.2007 Trojan.Downloader-535
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.08.2007 no virus found
Fortinet 2.82.0.0 01.09.2007 suspicious
F-Prot 3.16f 01.08.2007 no virus found
F-Prot4 4.2.1.29 01.09.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 Win32.Outbreak
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4934 01.08.2007 no virus found
Microsoft 1.1904 01.09.2007 TrojanDownloader:Win32/Clagger.gen!B
NOD32v2 1965 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.08.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.08.2007 no virus found

[raman]

Schon komisch, wie die verteilt werden. Mal bekommt man einen Schwung und manchmal nichts.....

[citro]

Hallo, mal nebenbei

das mit dem Update 30.12.06 von Avast (Avast 4.7.892.0 12.30.2006 no virus found) glaube ich nicht, bei AVK hatte ich bis gestern mehrere - auch auf der avast-homepage stehen die Updates neueren Datums.

ein Vergleich mit Jotti's Malwarescan wäre da noch interessant, kann aber auch sein das dort Avast momentan nichts findet.


citro

Der Beitrag wurde von citro bearbeitet: 09.01.2007, 14:06

[Yopie]

ein Vergleich mit Jotti's Malwarescan wäre da noch interessant, kann aber auch sein das dort Avast momentan nichts findet.

Jotti sah genauso aus, Clamav und Avira positiv, sonst Fehlanzeige.

[Gast_Scrapie_*]

Tag

Hier auch jede Menge 'Rechnungen' in GMX-Postfach mit MD5 = f3f9be795aa5f256b06d67116e119ea3
Die kamen von nem Mailserver in Moskau, welcher der / zur Firma w*w.infoline.su gehört...

Gruß,
Scrapie

[markus17]

ein kollege hatte eine datei (rar archiv) auf virustotal geladen, da er einen virusverdacht hatte.
nichts wurde entdeckt. gleichzeitig hat er sie mir nocheinmal zum prüfen geschickt und siehe da -> ein backdoor wurde entdeckt.

sollte keine kritik an virustotal sein, aber 100% gibt es eben nie.

Der Beitrag wurde von markus17 bearbeitet: 09.01.2007, 18:08

[Gast_rock_*]

Für's neue Jahr die besten Wünsche.... möge es gute signaturen geben...

AntiVir 7.3.0.21 12.30.2006 no virus found
Authentium 4.93.8 12.30.2006 W32/Trojan.CXV
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 12.31.2006 no virus found
BitDefender 7.2 12.31.2006 no virus found
CAT-QuickHeal 8.00 12.31.2006 no virus found
ClamAV devel-20060426 12.31.2006 no virus found
DrWeb 4.33 12.31.2006 no virus found
eSafe 7.0.14.0 12.31.2006 no virus found
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3289 12.29.2006 no virus found
Ewido 4.0 12.31.2006 Dropper.Agent.xk
Fortinet 2.82.0.0 12.31.2006 PossibleThreat!06945
F-Prot 3.16f 12.30.2006 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 12.30.2006 W32/Trojan.CXV
Ikarus T3.1.0.27 12.31.2006 Trojan-Dropper.Win32.Agent.XK
Kaspersky 4.0.2.24 12.31.2006 no virus found
McAfee 4929 12.29.2006 no virus found
Microsoft 1.1904 12.31.2006 no virus found
NOD32v2 1949 12.30.2006 no virus found
Norman 5.80.02 12.31.2006 no virus found
Panda 9.0.0.4 12.31.2006 no virus found
Prevx1 V2 12.31.2006 no virus found
Sophos 4.13.0 12.30.2006 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.139 12.29.2006 no virus found
UNA 1.83 12.29.2006 no virus found
VBA32 3.11.1 12.30.2006 no virus found
VirusBuster 4.3.19:9 12.31.2006 no virus found
===========*==========
ENDE

heute: (siehe sig-daten)

AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.09.2007 W32/Trojan.CXV
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.09.2007 no virus found
BitDefender 7.2 01.09.2007 no virus found
CAT-QuickHeal 9.00 01.09.2007 no virus found
ClamAV devel-20060426 01.09.2007 no virus found
DrWeb 4.33 01.09.2007 no virus found
eSafe 7.0.14.0 01.09.2007 no virus found
eTrust-InoculateIT 23.73.109 01.09.2007 no virus found
eTrust-Vet 30.3.3313 01.09.2007 no virus found
Ewido 4.0 01.09.2007 Dropper.Agent.xk
Fortinet 2.82.0.0 01.09.2007 PossibleThreat!06945
F-Prot 3.16f 01.09.2007 destructive program named W32/Trojan.CXV
F-Prot4 4.2.1.29 01.09.2007 W32/Trojan.CXV
Ikarus T3.1.0.27 01.09.2007 Trojan-Dropper.Win32.Agent.XK
Kaspersky 4.0.2.24 01.09.2007 no virus found
McAfee 4935 01.09.2007 no virus found
Microsoft 1.1904 01.09.2007 no virus found
NOD32v2 1967 01.09.2007 no virus found
Norman 5.80.02 12.31.2007 no virus found
Panda 9.0.0.4 01.08.2007 no virus found
Prevx1 V2 01.09.2007 no virus found
Sophos 4.13.0 01.05.2007 no virus found
Sunbelt 2.2.907.0 01.05.2007 no virus found
TheHacker 6.0.3.146 01.08.2007 no virus found
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.2 01.09.2007 no virus found
VirusBuster 4.3.19:9 01.09.2007 no virus found

[Domino]

Schick mir die Datei mal per Mail.




Domino

[Gast_rock_*]

Schick mir die Datei mal per Mail.
Domino

nö!







(nagut! wohin?)

übrigens dürft da der virustotal ein "deja vu" haben.... das er mit der file das selbe ergebnis wie vor 9 tagen ausspuckt...

AVG kennt den nämlich bereits als: Dropper.Agent.XK......zum beispiel...

[Domino]

virus ät rokop-security.de

Kennst du doch.




Domino