Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Till 88]

BitDefender hat der Urlaub richtig gut getan wie es aussieht, jetzt gib er wieder richtig gas.
Was ist eigentlich mit dem PCTools los, der hat ja noch nie was erkannt?

[Gast_rock_*]

Was ist eigentlich mit dem PCTools los, der hat ja noch nie was erkannt?

fällt mir leider auch immer mit 0 auf!
ebenso AhnLab - seit themenbeginn kann man sich die treffer von dem auf einer hand abzählen....sag ich mal grob...

mit der norman sandbox stimmelt was nicht...zuerst sagen si eungezippt, also erkennen keinen inhalt....wenn man dann aber eine einzeldatei schickt schreibt es immer der sicherheitscode wäre falsch eingegeben.... zuvor hatte es ein kompimierten ordner genommen...den hab ich aber "leider" verschlüsselt....



edit: ich habs jetzt mal allen aus der submitadressenrubrik (die klappen) gesendet... ausser symantec natürlich! (LOL!)

Der Beitrag wurde von rock bearbeitet: 16.08.2008, 14:01

[Till 88]

Dafür ist Panda öfters mit von der Partie.

[toby]

Neuer Tag, neue Mail, neue e-card.exe

Diesmal Domain aus Belgien....


Datei e-card.exe empfangen 2008.08.16 21:52:58 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 W32/Dropper.YLQ
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 Dropper.Delf.BII
BitDefender 7.2 2008.08.16 Trojan.Dropper.Delf.Crypt.K
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 W32/Dropper.YLQ
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 Trojan-Downloader.Delf.OAQ
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 TrojanDropper:Win32/Rooter.A
NOD32v2 3360 2008.08.15 a variant of Win32/TrojanDropper.Agent.NMR
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 Suspicious file
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 Malicious Software
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Troj/Meredr-Gen
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 Trojan.Delfinject.Gen.5
Webwasher-Gateway 6.6.2 2008.08.16 -


Was doch irgendwie auffällt:

Avira und Kaspersky und Symantec versagen wieder mit der Heurestik.

Wäre es denkbar, dass man sich in diesem Fall beim Trojaner-Basteln mehr Mühe gibt, die Erkennung der "Großen" auszuhebeln ???

Der Beitrag wurde von toby bearbeitet: 16.08.2008, 21:09

[Gast_rock_*]

du wirst ja noch richtiger kartensammler.... bei mir sinds momentan diese komischen verträge-mails.
http://www.rokop-security.de/index.php?s=&...st&p=245120

ebenso kaspersky, symantec....und viele andere am holzweg....

[citro]

Neuer Tag, neue Mail, neue e-card.exe

Was doch irgendwie auffällt:

Avira und Kaspersky und Symantec versagen wieder mit der Heurestik.

Wäre es denkbar, dass man sich in diesem Fall beim Trojaner-Basteln mehr Mühe gibt, die Erkennung der "Großen" auszuhebeln ???

Bei Virustotal etc. würde ich mich nicht absolut auf die Erkennungen verlassen, ein installiertes KAV mit neuester Engine meldet sich wahrscheinlich
bei dieser e-card.exe .

[toby]

Ich gehe mal davon aus, dass beim Ausführen der Datei die Programme (zumindest mit HIPS) anschlagen werden. Allerdings bin ich etwas verwundert, dass die eigentlichen Loser-AV´s diese E-Cards erkennen oder zumindes als "verdächtig" bewerten und die "Großen" bei V-Total schweigen.

[hypnosekroete]

Ein betrügerischer Kollege...
 Antivir64.JPG ( 75.65KB ) Anzahl der Downloads: 16

Installiert sich via Active-X-Control, die Ausführung wird von NAB nicht bemängelt, die Datei ist von Nooly Systems digital signiert.
Danach nervt das Programm in bewährter Weise mit PopUps und weist auf vermeintlich vorhandene Mängel hin und man solle sich doch bitte schnell registrieren...
Die Hompage des Zertifikataustellers NoolySytems ist übrigens per "403" nicht erreichbar.

Die Installationsdatei kennen noch nicht so viele...

In den Temp.Internetfiles diese beiden Kandidaten:
~4.tmp
setup_1096_MTA1MHwzNXww_

Nach ausführen des ActiveX-Steuerelements wird noch eine Datei nachgeladen, die aber der "setup_1096_..." entspricht (Dateigröße und MD5).

Lustigerweise ist der Uninstaller zwar weniger, dafür aber anderen Programmen bekannt....

Edit: Im Hijackthis-Log lediglich diese Einträge als "Neutral" (gelbes Fragezeichen) bewertet:

O4 - HKCU\..\Run: [Antivir64] C:\Program Files\Antivir64\Antivir64.exe
O16 - DPF: {A072EC12-A40B-41DD-9A1A-CDB848B70F3C} - h**p://scanner.antivir64.com/setup/setup.cab

Der Beitrag wurde von hypnosekroete bearbeitet: 17.08.2008, 10:26

[Rios]

Das ist er. Weg bleiben von da!!

[Rios]

Verschiedene AV's scheinen bei diesen Katz und Maus- Spiel zunehmends zu resignieren. So schnell wie diese Programme aus dem nichts auftauchen, so schnell sind sie auch wieder verschwunden. Und trotzdem, sie werden immer mehr, und immer einfallsreicher. Die Erkennung der Banditen hinkt oft Tage hinterher, mancher User der unerfahren ist, und Downloadet, bekommt das verstärkt zu spüren.

[Kenshiro]

Der Kampf gegen die Windmühlen

[toby]

..Die Erkennung der Banditen hinkt oft Tage hinterher...

Ich habe mir mal meinen Spam-Filter genauer angeschaut.
Versand erfolgt häufig am späten Nachmittag, Nachts, Freitag Abend, Wochenende.

Somit habe ich die typischen "wenig oder gar kein Personal"-Zeiten bei den europäischen AV-Firmen.
Gleichzeitig die typischen "Ich schau mal nach meinen Mails"-Zeiten der durchschnittl. Bevölkerung.

Nach meiner Beobachtung werden eingesandte Malware-Samples am nächsten Werktag sehr schnell eingepflegt.

Durch den time-lag dürfte die Klick-Erfolgsquote jedoch deutlich höher sein.

[Voyager]

@hypnosekroete

Das musst du hier melden.
http://community.norton.com/norton/board/m...;thread.id=3444

ps. ich hab die Antivir64 gerade mal in der VM installiert , die antivir64.exe ist unsigniert und lässt sich von NAB entfernen.

Der Beitrag wurde von bond7 bearbeitet: 17.08.2008, 11:42

[scu]

Die Programmierer dieser Rogueware sind auch sehr kreativ.
Teilweise werden dem User Bluescreens mit anschliessendem Systemneustart simuliert (Kling schwer nach dem hier: BlueScreen Screen Saver) um dem Benutzer zu vermitteln, dass mit seinem System etwas nicht stimmt.

Außerdem kommen solche Programme über Sicherheitslücken in Browserplugins auf das System (z.B. Adobe Flash oder PDF-Reader).
Diese sollten also auch in regelmäßigen Abständen aktualisiert werden.

Dazu kommt, dass diese Programme nicht nur über so genannte "Schmuddelseiten" verbreitet werden, sondern teilweise sogar über ganz normal als vertrauenswürdig eingestufte Internetseiten verteilt werden.
Warum? Weil z.B. die Server auf denen die Werbung liegt gehackt werden und dort einfach die normale Werbung gegen diese Schadprogramme ausgetauscht werden.

[Gast_rock_*]

Datei SmartDownload.exe empfangen 2008.08.17 18:13:21 (CET)
Status: Beendet

Ergebnis: 11/35 (31.43%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.17 W32/Casino.C.gen!Eldorado
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 -
BitDefender 7.2 2008.08.17 -
CAT-QuickHeal 9.50 2008.08.16 Trojan.OnlineBank.46
ClamAV 0.93.1 2008.08.16 Adware.Casino-18
DrWeb 4.44.0.09170 2008.08.17 -
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 W32/Casino.C.gen!Eldorado
F-Secure 7.60.13501.0 2008.08.17 Adware:W32/Casino.C
Fortinet 3.14.0.0 2008.08.17 Misc/CasOnline
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.17 Trojan.Casino.466752
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 -
McAfee 5362 2008.08.15 potentially unwanted program CasOnline
Microsoft 1.3807 2008.08.17 -
NOD32v2 3362 2008.08.17 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.17 Malicious Software
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Casino
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 -
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.17 -

[Rios]

Neuer Codec



Erkennung VTT 6/36 im Moment

hxxp://hq-codec.com

[Rios]

Neuer Bandit!!



Erkennung VTT und Jotti's 17.08. 2/36

[citro]

Datei 1000credits.exe empfangen 2008.08.18 12:14:27 (CET)

Ergebnis: 5/36 (13.89%)


AhnLab-V3 2008.8.15.0 2008.08.18 -
AntiVir 7.8.1.19 2008.08.18 -
Authentium 5.1.0.4 2008.08.18 W32/SecRisk-ProcessPatcher-Sml-based!Maximus
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.18 -
BitDefender 7.2 2008.08.18 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.18 -
DrWeb 4.44.0.09170 2008.08.18 -
eSafe 7.0.17.0 2008.08.17 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.18 W32/SecRisk-ProcessPatcher-Sml-based!Maximus
F-Secure 7.60.13501.0 2008.08.18 -
Fortinet 3.14.0.0 2008.08.18 -
GData 2.0.7306.1023 2008.08.18 -
Ikarus T3.1.1.34.0 2008.08.18 -
K7AntiVirus 7.10.417 2008.08.18 -
Kaspersky 7.0.0.125 2008.08.18 Heur.Trojan.Generic
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.18 -
NOD32v2 3364 2008.08.18 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.18 -
Rising 20.58.02.00 2008.08.18 -
Sophos 4.32.0 2008.08.18 Mal/Basine-C
Sunbelt 3.1.1546.1 2008.08.15 RiskTool.Win32.ProcessPatcher.Sml!cobra (v)
Symantec 10 2008.08.18 -
TheHacker 6.3.0.5.053 2008.08.18 -
TrendMicro 8.700.0.1004 2008.08.18 -
VBA32 3.12.8.3 2008.08.18 -
ViRobot 2008.8.18.1339 2008.08.18 -
VirusBuster 4.5.11.0 2008.08.17 -
Webwasher-Gateway 6.6.2 2008.08.18 -

File size: 11264 bytes

[Gast_rock_*]

Datei 1000credits.exe empfangen 2008.08.18 12:14:27 (CET)

wo hast denn das aufgegabelt?

[citro]

wo hast denn das aufgegabelt?

JS PopUP