Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Julian]

Das sieht mir eher nach Rasenmähermethode bei KIS aus , was keiner Firma aus der Whitelist angehört ist erstmal potentiell gefährlich .

Du sagst es, es sieht dir nach Rasenmähermethode aus, den Eindruck kann man bei der hohen Erkennungsrate natürlich bekommen.
KIS startet das Prog in einer virtuellen Umgebung und analysiert dort das Verhalten des Programms. Die Fehlalarmquote dieser Methode ist laut IBK sehr gering.
Gibt im Kasperskyforum auch nicht mehr Meldungen verwirrter Nutzer als früher mit Version 7, obwohl der Schutz wesentlich höher ist.

Für User die Vista nicht mögen wäre KIS schonmal rein garnichts , die Jungs wollen nicht durch irgend eine gaga Meldung unterbrochen werden.

Du erzählst Quackes. Der Standarduser fährt KIS im Automatikmodus und bekommt bis auf diese (bei cleaner Software sehr selten auftauchenden) Meldungen, die ich hier ab und an mal poste, praktisch gar nichts zu sehen. Es hängt dann davon ab, ob der User (wie KIS es empfiehlt) das Programm beschränkt oder sogar blockt, der Rest geht automatisch.

[Julian]

[attachment=4018:heur.jpg]

Wurd von der erweiterten Heuristik beim Start geblockt

Edit: Danke @ toby

Der Beitrag wurde von Julian bearbeitet: 14.08.2008, 21:46

[toby]

e-card.exe Teil 2:

Ich habe gerade nochmal auf den Link in der Mail geklickt.
(Natürlich) wieder eine e-card.exe, diesmal jedoch 14kb größer.

Bestätigt meine Vermutung mit den regelmäßigen Variationen.

[citro]

e-card.exe Teil 2:

Ich habe gerade nochmal auf den Link in der Mail geklickt.
(Natürlich) wieder eine e-card.exe, diesmal jedoch 14kb größer.

Bestätigt meine Vermutung mit den regelmäßigen Variationen.

Versuche mal mit einem Anonymizer, eine ausländische IP - oft ist dann wieder eine andere Variation möglich.

[toby]

Versuche mal mit einem Anonymizer, eine ausländische IP - oft ist dann wieder eine andere Variation möglich.

Also über einen englischen Proxy erhalte ich derzeit eine .exe derselben Größe. Evtl. werden die Mail-Links oder gar die Mail-Verteilung bereits regional/kontinental "vorsortiert".

[Gast_rock_*]

tja...man sollte in der tat mailaccounts mit vieeeel spam öfters mal statt löschen....aufmachen!

Sehr geehrte Kunden,
Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
Wir warten auf Ihre Entscheidung.



Viruses found in the attached files.
The file Vertrag.zip: Virus found Win32/Heur. The attachment was removed from the mail.

Checked by AVG - http://www.avg.com
Version: 8.0.138 / Virus Database: 270.6.3/1611 - Release Date: 14.08.2008 06:20


das find ich jeil, weil mc afee schon den account (provider) checkt.... hat er wohl überlassen....

[Gast_rock_*]

mann da muss man sich durchwühlen wenn man einen tag nciht reingeschaut hat....

eine "selbe" mail, aber diesmal andere namensgebung für den vertrag, und diesmal hat mc afee schon ausselekiert!

Sehr geehrte Kunden,
Wir haben den Vertrag vorbereitet und die Paragraphen hinzugefugt, die von Ihnen verlangt wurden.
Unsere Juristen haben die letzte Seite verandert. Wenn es zu Ihrer Zufriedenheit ausfaellt, sind wir bereit am Freitag den ersten Warenposten zu bezahlen.
Anbei finden Sie bitte die Datei mit dem angefertigten Vertrag.
Wenn Sie brauchen, konnen wir Ihnen den Vertrag faxen.
Wir warten auf Ihre Entscheidung.


No virus found in this incoming message.
Checked by AVG - http://www.avg.com
Version: 8.0.138 / Virus Database: 270.6.3/1611 - Release Date: 14.08.2008 06:20

--------------------------------------------------------------------------------

-------- Virus Warning Message --------
The virus (Spy-Agent.bw) was detected in the attachment Vertrag.zip. The
attached File Vertrag.zip has been removed.

Nachfolgender Virus (Spy-Agent.bw) wurde im Attachment Vertrag.zip gefunden,
deshalb wurde das Attachment Vertrag.zip gelöscht.
Für Fragen dazu steht Ihnen der chello Helpdesk sehr gerne zur Verfügung.
Weitere Informationen zum Virenschutz: http://portal.chello.at/av-info.html

[Solution-Design]

Irgendwie übersehen mich die Dateianhangversender in den letzten Monaten/Jahren... Bekomme auch nur noch so 30-50 Spams pro Tag, aber Anhänge... nixe..

/OT

[Gast_rock_*]

es waren im ganzen haufen auch nur 2! Anhänge dabei....und das waren die beiden vertragsmails....

sonst immer nur casino, uhren, viagra

[Gast_rock_*]

den vertrag den avg erkannt und mc afee nicht hat wurde schon heut abend gescannt...hab gleich das ergebnis genommen...

Datei Vertrag.zip empfangen 2008.08.14 21:12:43 (CET)
Status: Beendet

Ergebnis: 19/36 (52.78%)

AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.14 TR/Crypt.XDR.Gen
Authentium 5.1.0.4 2008.08.14 W32/Downldr2.DIGN
Avast 4.8.1195.0 2008.08.14 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.14 Win32/Heur
BitDefender 7.2 2008.08.14 Trojan.Gernid.D
CAT-QuickHeal 9.50 2008.08.14 -
ClamAV 0.93.1 2008.08.14 Trojan.Gernid
DrWeb 4.44.0.09170 2008.08.14 Trojan.MulDrop.18335
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6032 2008.08.14 -
Ewido 4.0 2008.08.14 -
F-Prot 4.4.4.56 2008.08.14 W32/Downldr2.DIGN
F-Secure 7.60.13501.0 2008.08.14 Trojan-Downloader:W32/Small.GZZ
Fortinet 3.14.0.0 2008.08.14 -
GData 2.0.7306.1023 2008.08.14 Worm.Win32.AutoRun.lpc
Ikarus T3.1.1.34.0 2008.08.14 Trojan.Win32.Emold.A
K7AntiVirus 7.10.415 2008.08.14 -
Kaspersky 7.0.0.125 2008.08.14 Worm.Win32.AutoRun.lpc
McAfee 5361 2008.08.14 -
Microsoft 1.3807 2008.08.14 -
NOD32v2 3355 2008.08.14 a variant of Win32/Injector.CD
Norman 5.80.02 2008.08.14 W32/Smalltroj.FWBL
Panda 9.0.0.4 2008.08.14 -
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.14 Malicious Software
Rising 20.57.32.00 2008.08.14 -
Sophos 4.32.0 2008.08.14 W32/Autorun-HL
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.14 Trojan.Dropper
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.14 Possible_Movly-1
VBA32 3.12.8.3 2008.08.14 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Crypt.XDR.Gen

[Voyager]

Wenn da schon steht Sehr geehrte Kunden, braucht man garnicht weiterlesen , das ist zu 99,99% Spam bzw. eine Social Engeneering Attacke.

[chris30duew]

Warum stehtn bei AVG bei Virustotal immer die Version 8.0.0.161
die Version gibts ja gar nicht, weder auf Grisoft.de noch sonst wo, bisher stand auch immer die korrekte Version 156 da.
hm naja wundert mich nur seit n paar tagen etwas.

wieder back zum topic

[Kenshiro]

Wie rock schrieb: KL erkennt was jeden "Shit" Und wenn nicht, dann einsenden, und in ein paar Stden, wird der "Shit" in der VDB aufgenommen und man bekommt eine Rückmeldung. Lobenswert die Russen

[Rios]

Was ihn hier betrifft, Er ist in einen ganzen System verwurzelt. Es gibt aber auch da unterschiedliche Varianten, und er könnte auch dahinter stecken. Auch die Preisgestaltung, ist die selbe.

[Gast_rock_*]

moin, fand da drei so dinger....


AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.15 TR/Vundo.Gen
Authentium 5.1.0.4 2008.08.14 W32/DownloaderX.ABOB
Avast 4.8.1195.0 2008.08.14 Win32:Adware-gen
AVG 8.0.0.161 2008.08.15 Downloader.Generic6.ALMY
BitDefender 7.2 2008.08.15 -
CAT-QuickHeal 9.50 2008.08.14 -
ClamAV 0.93.1 2008.08.15 Trojan.Downloader-17820
DrWeb 4.44.0.09170 2008.08.15 Trojan.Virtumod.based.21
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6034 2008.08.15 -
Ewido 4.0 2008.08.14 -
F-Prot 4.4.4.56 2008.08.14 W32/DownloaderX.ABOB
F-Secure 7.60.13501.0 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
Ikarus T3.1.1.34.0 2008.08.15 Trojan-PWS.Win32.Delf.og
K7AntiVirus 7.10.415 2008.08.14 Trojan-Dropper.Win32.Agent.psd
Kaspersky 7.0.0.125 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
McAfee 5361 2008.08.14 Downloader-XZ
Microsoft 1.3807 2008.08.15 SoftwareBundler:Win32/YourSiteBar.A
NOD32v2 3358 2008.08.15 a variant of Win32/Adware.Virtumonde.NAE
Norman 5.80.02 2008.08.14 -
Panda 9.0.0.4 2008.08.14 Suspicious file
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.15 -
Rising 20.57.42.00 2008.08.15 Trojan.DL.IstBar.GEN
Sophos 4.32.0 2008.08.15 Mal/Generic-A
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.15 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 -
VBA32 3.12.8.3 2008.08.14 suspected of Embedded.Trojan-Downloader.Win32.Small.xpq
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Vundo.Gen


AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.15 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.14 W32/Mudrop.BF@dr
Avast 4.8.1195.0 2008.08.14 Win32:Agent-ZII
AVG 8.0.0.161 2008.08.15 Dropper.Delf.CR
BitDefender 7.2 2008.08.15 Trojan.Dropper.Mudrop.DU
CAT-QuickHeal 9.50 2008.08.14 TrojanDropper.Mudrop.du
ClamAV 0.93.1 2008.08.15 Trojan.Dropper-1179
DrWeb 4.44.0.09170 2008.08.15 Trojan.MulDrop.7409
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6034 2008.08.15 -
Ewido 4.0 2008.08.14 Dropper.Mudrop.du
F-Prot 4.4.4.56 2008.08.14 W32/Mudrop.BF@dr
F-Secure 7.60.13501.0 2008.08.15 Trojan-Dropper.Win32.Mudrop.du
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.15 Trojan-Dropper.Win32.Mudrop.du
Ikarus T3.1.1.34.0 2008.08.15 Trojan-Downloader.Win32.Dreamad
K7AntiVirus 7.10.415 2008.08.14 Trojan-Dropper.Win32.Mudrop.du
Kaspersky 7.0.0.125 2008.08.15 Trojan-Dropper.Win32.Mudrop.du
McAfee 5361 2008.08.14 -
Microsoft 1.3807 2008.08.15 TrojanDropper:Win32/Mudrop.V
NOD32v2 3358 2008.08.15 -
Norman 5.80.02 2008.08.14 -
Panda 9.0.0.4 2008.08.14 Trj/Multidropper.RBD
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.15 -
Rising 20.57.42.00 2008.08.15 Trojan.Win32.Mudrop.iy
Sophos 4.32.0 2008.08.15 Mal/DownLdr-O
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.15 Trojan.Vundo
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 PAK_Generic.001
VBA32 3.12.8.3 2008.08.14 Trojan-Dropper.Win32.Mudrop.du
ViRobot 2008.8.14.1337 2008.08.14 Trojan.Win32.MulDrop.923648
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Crypt.XPACK.Gen


AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.15 TR/Vundo.Gen
Authentium 5.1.0.4 2008.08.14 W32/DownloaderX.ABOB
Avast 4.8.1195.0 2008.08.14 Win32:Adware-gen
AVG 8.0.0.161 2008.08.15 Downloader.Generic6.ALMY
BitDefender 7.2 2008.08.15 -
CAT-QuickHeal 9.50 2008.08.14 -
ClamAV 0.93.1 2008.08.15 Trojan.Downloader-17820
DrWeb 4.44.0.09170 2008.08.15 Trojan.Virtumod.based.21
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6034 2008.08.15 -
Ewido 4.0 2008.08.14 -
F-Prot 4.4.4.56 2008.08.14 W32/DownloaderX.ABOB
F-Secure 7.60.13501.0 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
Ikarus T3.1.1.34.0 2008.08.15 Trojan-PWS.Win32.Delf.og
K7AntiVirus 7.10.415 2008.08.14 Trojan-Dropper.Win32.Agent.psd
Kaspersky 7.0.0.125 2008.08.15 Trojan-Dropper.Win32.Agent.ufm
McAfee 5361 2008.08.14 Downloader-XZ
Microsoft 1.3807 2008.08.15 SoftwareBundler:Win32/YourSiteBar.A
NOD32v2 3358 2008.08.15 a variant of Win32/Adware.Virtumonde.NAE
Norman 5.80.02 2008.08.14 Agent.GQCZ
Panda 9.0.0.4 2008.08.14 Suspicious file
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.15 -
Rising 20.57.42.00 2008.08.15 Trojan.DL.IstBar.GEN
Sophos 4.32.0 2008.08.15 Mal/Generic-A
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.15 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 -
VBA32 3.12.8.3 2008.08.14 suspected of Embedded.Trojan-Downloader.Win32.Small.xpq
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Vundo.Gen

[Gast_rock_*]

wieder so ne falschpackung!

http://www.internet-antivirus.com/

AhnLab-V3 2008.8.15.0 2008.08.14 -
AntiVir 7.8.1.19 2008.08.15 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.14 -
Avast 4.8.1195.0 2008.08.14 -
AVG 8.0.0.161 2008.08.14 -
BitDefender 7.2 2008.08.15 GenPack:Trojan.FakeAV.AI
CAT-QuickHeal 9.50 2008.08.14 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.15 -
DrWeb 4.44.0.09170 2008.08.15 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6033 2008.08.15 -
Ewido 4.0 2008.08.14 -
F-Prot 4.4.4.56 2008.08.14 -
F-Secure 7.60.13501.0 2008.08.15 -
Fortinet 3.14.0.0 2008.08.15 -
GData 2.0.7306.1023 2008.08.15 Trojan-Downloader.Win32.FraudLoad.vbdh
Ikarus T3.1.1.34.0 2008.08.15 Generic.Trojan.FakeAV.AI
K7AntiVirus 7.10.415 2008.08.14 -
Kaspersky 7.0.0.125 2008.08.15 Trojan-Downloader.Win32.FraudLoad.vbdh
McAfee 5361 2008.08.14 -
Microsoft 1.3807 2008.08.15 -
NOD32v2 3357 2008.08.14 -
Norman 5.80.02 2008.08.14 -
Panda 9.0.0.4 2008.08.14 -
PCTools 4.4.2.0 2008.08.14 -
Prevx1 V2 2008.08.15 -
Rising 20.57.41.00 2008.08.15 -
Sophos 4.32.0 2008.08.15 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.15 InternetAntivirus
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.15 -
VBA32 3.12.8.3 2008.08.14 -
ViRobot 2008.8.14.1337 2008.08.14 -
VirusBuster 4.5.11.0 2008.08.14 -
Webwasher-Gateway 6.6.2 2008.08.14 Trojan.Crypt.XPACK.Gen

[toby]

Aktuelle Erkennung der beiden e-cards von gestern Abend:

1) Ergebnisse 16/34
http://www.virustotal.com/de/analisis/5567...a19737e2b2b4470

2) Ergebnisse 18/36
http://www.virustotal.com/de/analisis/edb5...f8a6c7b2633e78f

[Rios]

Ein Demo Codec:




hxxp://demo-codec.com Vorsicht, keine Downloads. Die Seite birgt Gefahren!!

[Voyager]

@rock

moin, fand da drei so dinger....

was fandest du denn , möchtest du uns das nicht erklären ? wenn du schon Links zu Malwareseiten setzt mache die bitte nicht anklickbar mit hxxp oder sowas ! wenn ich mich recht erinnere gab es dafür sogar eine Foregel.

Der Beitrag wurde von bond7 bearbeitet: 15.08.2008, 18:48

[Gast_rock_*]

wieder per email ein abbuchungsvertrag wie schon die letzen beiden...diesmal blieb mc afee und avg still beim maildownload - aber nicht nur die beiden....

Datei Vertrag_N3552.zip empfangen 2008.08.16 13:41:10 (CET)

Ergebnis: 10/36 (27.78%)

AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.08.16 W32/Trojan-Gypikon-based.DM2!Maximus
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 -
BitDefender 7.2 2008.08.16 Trojan.Crypt.EE
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 W32/Trojan-Gypikon-based.DM2!Maximus
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 Trojan.Crypt.EE
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 -
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 Suspicious file
PCTools 4.4.2.0 2008.08.15 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Mal/Zbot-F
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 Trojan.Crypt.ULPM.Gen



edit1:
kaspersky:

Vertrag_N3552.exe_ - Worm.Win32.AutoRun.lqj
New malicious software was found in this file. It's detection will be included in the next update.

edit2:
Fortinet - W32/Agent.BYR!tr

edit3:
AVG ohne Namen aber wird aufgenommen:
Dear Sir/Madam,
thank you for your email.
Please let us inform you that the file attached to your previous
e-mail was really infected by new kind on Trojan horse. The detection
will be available with the next AVG virus definitions update.

Thank you for your cooperation.
=====================
Trend Micro:
Please feel free to contact us if we can be of further help.
und TRENDMICRO schickt ne extra pattern....

We are glad to inform you that the detection for TROJ_GYPIKON.BC is now available for
downloading using CPR 5.482.06.

To download the latest Control Pattern Release, please use the following link:
http://www.trendmicro.com/download/pattern...-disclaimer.asp

edit4:
und AVG hat auch schon geupt!

is ja wie in alten zeiten...!!!

Der Beitrag wurde von rock bearbeitet: 16.08.2008, 23:00