Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[markus17]

Sorry, da haben ein Doppelpunkt und ein / gefehlt.
*edit*
Über den falschen Link komme ich zu: http://www.w3.org/Protocols/ Aber egal ^^

Der Beitrag wurde von markus17 bearbeitet: 29.08.2008, 20:18

[scu]

Bei diesem Link sollte es sich eigentlich nur um ein Skript handeln, das das CD Fach öffnet. GDATA 2009 sagt:

hxxp://huhnware.com/Derrick/cupholder.jpg

VTotal:
http://www.virustotal.com/analisis/ad4afda...3ca521fe8a040a4

Wieso wird sowas als Trojaner deklariert xD.

Weil du bestimmt nicht willst, dass dein CD-Romlaufwerk aufgeht, wenn du auf irgendeiner Internetseite bist...

QUELLTEXT

<script language=VBScript>
<!--

Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection

if colCDROMs.Count >= 1 then
    For i = 0 to colCDROMs.Count - 1
        colCDROMs.Item(i).Eject
    Next ' cdrom
End If

-->
</SCRIPT>

<img src="cup.jpg">

Ist aber trotzdem eine Interessante "Grafik"

Funktionieren tuts übrigens im Firefox garnicht, weil der gleich merkt, dass es keine Grafik ist.
Der InternetExplorer lässt sich wie immer an der Nase herumführen und zeigt die Grafik an.
Laufwerke gehen allerdings nicht auf (vermute VB-Script ist deaktiviert).

Der Beitrag wurde von scu bearbeitet: 29.08.2008, 20:27

[markus17]

Ich weiß, dass da ein Skript dabei ist. Aber »Trojan« ist meiner Meinung nach eine etwas übertriebene Ausdrucksweise. Naja, egal. ^^

[Caimbeul]

Kaspersky Online Scan Log:

C:\Programme\MSOCache\All Users\90000407-6000-11D3-8CFE-0150048383C9\ZS561401.CAB/MSCOMCTL.OCX
Infizierte Objekte: not-a-virus:FraudTool.Win32.SpyAway.ag

D:\! MSDN Software !\Office OneNote 2007 (German)\de_office_onenote_2007_cd_X12-19167.iso/ONENOTE.WW/ONOTEWW.CAB/MSCOMCTL.OCX
Infizierte Objekte: not-a-virus:FraudTool.Win32.SpyAway.ag

Infos: Klick

Schaut nach einem False Positiv aus:

Datei MSCOMCTL.OCX empfangen 2008.08.30 00:59:48 (CET)
Status: Beendet
Ergebnis: 0/36 (0.00%)

http://www.virustotal.com/de/analisis/9991...4b5522b6d42ce89


Ansonsten scheinbar ziemlich bitter das Teil. Allerdings da es angeblich in der MSDNaa Software von Microsoft zu finden ist, wohl eher ein FP. Die Dateien oder Registry Keys habe ich auch nirgendwo gefunden.

[Gast_rock_*]

die datei wurde schon heut früh gesannt...nahm erstmal gleich das ergebnis:

Datei video99_1_.exe empfangen 2008.08.30 03:11:59 (CET)
Status: Beendet

Ergebnis: 30/36 (83.33%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win-Trojan/Agent.74752.AG
AntiVir - - TR/Dldr.Exchanger.AB
Authentium - - W32/Downldr2.DIJJ
Avast - - Win32:Trojan-gen {Other}
AVG - - Win32/Heur
BitDefender - - Trojan.Downloader.Exchanger.AK
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - Trojan.DownLoad.3252
eSafe - - Suspicious File
eTrust-Vet - - Win32/Collet.EW
Ewido - - -
F-Prot - - W32/Downldr2.DIJJ
F-Secure - - Backdoor.Win32.Agent.qgc
Fortinet - - W32/Tibs.PACKED!tr
GData - - Backdoor.Win32.Agent.qgc
Ikarus - - Trojan.Crypt.XPACK.EroticPics
K7AntiVirus - - -
Kaspersky - - Backdoor.Win32.Agent.qgc
McAfee - - Tibs-Packed
Microsoft - - -
NOD32v2 - - Win32/Agent.ETH
Norman - - W32/Tibs.CUWV
Panda - - Adware/RogueAntimalware2008
PCTools - - -
Prevx1 - - Malware Dropper
Rising - - Trojan.Win32.Undef.lkf
Sophos - - Mal/EncPk-DA
Sunbelt - - Backdoor.Win32.Agent.qgc
Symantec - - Trojan.Erotpics
TheHacker - - -
TrendMicro - - TROJ_CRYPT.CX
VBA32 - - suspected of Malware-Cryptor.Win32.General.3
ViRobot - - Backdoor.Win32.Agent.74752
VirusBuster - - Trojan.DL.Exchanger.DS
Webwasher-Gateway - - Trojan.Dldr.Exchanger.AB

aktuell:
hier bedarfs noch "erkennungen"....

Datei pornvideo295per_1_.exe empfangen 2008.08.30 09:59:59 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.29 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.29 -
AVG 8.0.0.161 2008.08.29 Win32/Heur
BitDefender 7.2 2008.08.30 -
CAT-QuickHeal 9.50 2008.08.29 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.30 -
DrWeb 4.44.0.09170 2008.08.29 -
eSafe 7.0.17.0 2008.08.28 Suspicious File
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.29 -
F-Prot 4.4.4.56 2008.08.29 -
F-Secure 7.60.13501.0 2008.08.30 -
Fortinet 3.14.0.0 2008.08.30 W32/PolyExchanger.A!tr
GData 19 2008.08.30 Trojan-Downloader.Win32.Exchanger.tp
Ikarus T3.1.1.34.0 2008.08.30 Trojan.Crypt.XPACK
K7AntiVirus 7.10.432 2008.08.29 -
Kaspersky 7.0.0.125 2008.08.30 Trojan-Downloader.Win32.Exchanger.tp
McAfee 5373 2008.08.29 Tibs-Packed
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.29 -
PCTools 4.4.2.0 2008.08.29 -
Prevx1 V2 2008.08.30 -
Rising 20.59.50.00 2008.08.30 -
Sophos 4.33.0 2008.08.30 Mal/EncPk-DA
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.30 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.29 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.8.29.1355 2008.08.29 -
VirusBuster 4.5.11.0 2008.08.29 -
Webwasher-Gateway 6.6.2 2008.08.29 Trojan.Crypt.XPACK.Gen



Der Beitrag wurde von rock bearbeitet: 30.08.2008, 09:04

[Voyager]

@Caimbeul

Das ist ein FP , das könnte ziehmlich übel ausgehen wenn Kaspersky eine aktive Komponente anmeckert.

[Gast_rock_*]

erkennung...hmm.... noch nicht so besonders....

Datei pornovideo729lo_1_.exe empfangen 2008.08.30 14:03:46 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.29 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.30 -
AVG 8.0.0.161 2008.08.29 Win32/Heur
BitDefender 7.2 2008.08.30 Trojan.Peed.Gen
CAT-QuickHeal 9.50 2008.08.29 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.30 -
DrWeb 4.44.0.09170 2008.08.30 -
eSafe 7.0.17.0 2008.08.28 Suspicious File
eTrust-Vet 31.6.6057 2008.08.29 -
Ewido 4.0 2008.08.30 -
F-Prot 4.4.4.56 2008.08.29 -
F-Secure 7.60.13501.0 2008.08.30 -
Fortinet 3.14.0.0 2008.08.30 W32/PolyExchanger.A!tr
GData 19 2008.08.30 -
Ikarus T3.1.1.34.0 2008.08.30 Trojan.Peed
K7AntiVirus 7.10.432 2008.08.29 -
Kaspersky 7.0.0.125 2008.08.30 -
McAfee 5373 2008.08.29 Tibs-Packed
Microsoft 1.3807 2008.08.25 -
NOD32v2 3401 2008.08.30 -
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.30 -
PCTools 4.4.2.0 2008.08.29 -
Prevx1 V2 2008.08.30 -
Rising 20.59.51.00 2008.08.30 -
Sophos 4.33.0 2008.08.30 Mal/EncPk-DA
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.30 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.30 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.29 -
Webwasher-Gateway 6.6.2 2008.08.29 Trojan.Crypt.XPACK.Gen

[citro]

Bei diesem Link sollte es sich eigentlich nur um ein Skript handeln, das das CD Fach öffnet. GDATA 2009 sagt:

hxxp://huhnware.com/Derrick/cupholder.jpg

VTotal:
http://www.virustotal.com/analisis/ad4afda...3ca521fe8a040a4

Wieso wird sowas als Trojaner deklariert xD.

KAV und Panda sagen "no malicious code"

Der Beitrag wurde von citro bearbeitet: 30.08.2008, 13:18

[Voyager]

Solche Jokes funktionierten doch schon mit dem XP Sp1 oder 2 nichtmehr .

[Julian]

erkennung...hmm.... noch nicht so besonders....

Datei pornovideo729lo_1_.exe empfangen 2008.08.30 14:03:46 (CET)

Danke nach Wien
Läuft nicht unter Vista 32, stürzt sofort ab. Unter XP aber schon, leider erkennt es KIS nur im interaktiven Modus
Ganz gemein, das Teil. Hier ein paar der interessanten Pop-Ups, die es bei Comodo hervorruft (insgesamt sind es mehrere Dutzend...):
[attachment=4071:1.JPG] [attachment=4072:2.JPG]
Finde die zwei Pop-Ups besonders interessant, da hier Comodo ziemlich eindeutige und clevere Infos an den User weitergibt, die bei der Entscheidungswahl nicht ganz unerheblich sein sollten.

[Gast_rock_*]

pornovideo729lo[1].exe_ - Trojan-Downloader.Win32.Exchanger.tw
New malicious software was found in this file. It's detection will be included in the next update

[chris30duew]

Julian,
Du erwähnst sehr oft hier bei Deinen Kommentaren oder tests verschiedener Files, das KIS diese oft leider nur im interaktiven Modus erkennt.....diesmal sagst du sogar leider! Nun ich will nix negatives sagen, aber da Kaspersky ja auf der Homepage auch damit wirbt das der Kunde durch den Automatikmodus, bzw allgemein bei der neuen 2009er version von störnenden und nervenden popups verschont werden soll durch den automatikmodus. Jedoch was bringt er mir wenn ich dadurch weniger sicher bin als im interaktiven modus, das kanns doch nicht sein oder? da verlasse ich mich drauf, das KIS im automodus mich beschützt jedoch seinen die automatischen regeln die dann ergriffen werden die sicher auf whitelistes etc basieren ja dann mehr als gefährlich oder hilfreich oder? was meinst du als alter Kenner und Profi von kaspersky dazu?

[Julian]

Jedoch was bringt er mir wenn ich dadurch weniger sicher bin als im interaktiven modus, das kanns doch nicht sein oder? da verlasse ich mich drauf, das KIS im automodus mich beschützt jedoch seinen die automatischen regeln die dann ergriffen werden die sicher auf whitelistes etc basieren ja dann mehr als gefährlich oder hilfreich oder?

Laut IBK emfpiehlt KIS bei 68% der Malware, dass man den Start blockieren lassen solle oder das Programm in die Gruppe "starke Beschränkungen" zu verschieben. Ich vermute, dass es mitlerweile auf Grund von Updates aber wesentlich mehr als 68% sind.
Ich finde, dieser Wert kann ich sehen lassen. Natürlich blockt KIS im Automatikmodus wesentlich weniger als im interaktiven, in dem nahezu 100% erkannt werden. KIS 8 ist für den User, der bei KIS 7 noch den "Basisschutz" wählte, ein erheblicher Sicherheitsgewinn.
Man kann halt nicht alles haben...

Der Beitrag wurde von Julian bearbeitet: 30.08.2008, 23:09

[Gast_rock_*]

AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.30 TR/VB.enc
Authentium 5.1.0.4 2008.08.30 -
Avast 4.8.1195.0 2008.08.30 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.30 Generic11.LIA
BitDefender 7.2 2008.08.31 Trojan.Inject.JI
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6057 2008.08.29 Win32/VMalum.DXUI
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 -
F-Secure 7.60.13501.0 2008.08.31 Trojan.Win32.VB.enc
Fortinet 3.14.0.0 2008.08.31 W32/Inject.CP!tr
GData 19 2008.08.31 Trojan.Win32.VB.enc
Ikarus T3.1.1.34.0 2008.08.31 Trojan-Downloader.Win32.Tonick.B
K7AntiVirus 7.10.433 2008.08.30 Trojan.Win32.VB.enc
Kaspersky 7.0.0.125 2008.08.31 Trojan.Win32.VB.enc
McAfee 5373 2008.08.29 Downloader.gen.a
Microsoft 1.3807 2008.08.25 TrojanDownloader:Win32/Tonick.gen!B
NOD32v2 3401 2008.08.30 probably a variant of Win32/Injector.CJ
Norman 5.80.02 2008.08.29 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 -
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 Troj/Inject-CP
Sunbelt 3.1.1592.1 2008.08.30 Trojan.Win32.VB.enc
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 Trojan/VB.enc
TrendMicro 8.700.0.1004 2008.08.29 -
VBA32 3.12.8.4 2008.08.30 Trojan.Win32.VB.enc
ViRobot 2008.8.30.1357 2008.08.30 Trojan.Win32.VB.40960.V
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.30 Trojan.VB.enc


AhnLab-V3 2008.8.29.0 2008.08.29 -
AntiVir 7.8.1.23 2008.08.30 TR/Drop.Delf.bvf
Authentium 5.1.0.4 2008.08.30 W32/Backdoor2.PMQ
Avast 4.8.1195.0 2008.08.30 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.30 Generic_c.VDO
BitDefender 7.2 2008.08.31 Trojan.Generic.376444
CAT-QuickHeal 9.50 2008.08.29 Worm.Archivarius.b
ClamAV 0.93.1 2008.08.31 -
DrWeb 4.44.0.09170 2008.08.31 -
eSafe 7.0.17.0 2008.08.28 Win32.Delf.bvf
eTrust-Vet 31.6.6057 2008.08.29 Win32/DCKeyg.A
Ewido 4.0 2008.08.31 -
F-Prot 4.4.4.56 2008.08.30 W32/Backdoor2.PMQ
F-Secure 7.60.13501.0 2008.08.31 Trojan-Dropper.Win32.Delf.bvf
Fortinet 3.14.0.0 2008.08.31 W32/Buzus.LHU!tr
GData 19 2008.08.31 Trojan-Dropper.Win32.Delf.bvf
Ikarus T3.1.1.34.0 2008.08.31 Virus.Win32.Trojan
K7AntiVirus 7.10.433 2008.08.30 Worm.Win32.P2P.Archivarius.B
Kaspersky 7.0.0.125 2008.08.31 Trojan-Dropper.Win32.Delf.bvf
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 TrojanDropper:Win32/Agent.BY
NOD32v2 3401 2008.08.30 Win32/Archivarius.B
Norman 5.80.02 2008.08.29 Malware.DENT
Panda 9.0.0.4 2008.08.31 Suspicious file
PCTools 4.4.2.0 2008.08.31 -
Prevx1 V2 2008.08.31 Malicious Software
Rising 20.59.61.00 2008.08.31 -
Sophos 4.33.0 2008.08.31 W32/Archivar-A
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.08.31 -
TheHacker 6.3.0.6.068 2008.08.30 -
TrendMicro 8.700.0.1004 2008.08.29 TROJ_DROPPER.EME
VBA32 3.12.8.4 2008.08.30 Trojan-Dropper.Win32.Delf.bvf
ViRobot 2008.8.30.1357 2008.08.30 -
VirusBuster 4.5.11.0 2008.08.31 -
Webwasher-Gateway 6.6.2 2008.08.30 Trojan.Drop.Delf.bvf

[Caimbeul]

Ganz gemein, das Teil.

Es ist eine .exe die auch noch im vorliegenden "pornovideo729lo_1_" heißt. Also wer da draufklickt ist echt mal selber schuld.

Ich finde, dieser Wert kann ich sehen lassen. Natürlich blockt KIS im Automatikmodus wesentlich weniger als im interaktiven, in dem nahezu 100% erkannt werden.

Sag es mir nur "das blocken wir lieber" oder sagt es mir auch "das ist böse weil es ist ein Virus der Art xy". Sagt es nur das erste bringt es dem geneigten DAU gar nichts, der wird nämlich exakt diese Datei die er gerade geklickt hat auch ausführen wollen.

Der Beitrag wurde von Caimbeul bearbeitet: 31.08.2008, 15:36

[Julian]

Es ist eine .exe die auch noch im vorliegenden "pornovideo729lo_1_" heißt. Also wer da draufklickt ist echt mal selber schuld.

Es kann auch "mickymaus.exe" heißen und wäre noch genau so fies...

Sag es mir nur "das blocken wir lieber" oder sagt es mir auch "das ist böse weil es ist ein Virus der Art xy". Sagt es nur das erste bringt es dem geneigten DAU gar nichts, der wird nämlich exakt diese Datei die er gerade geklickt hat auch ausführen wollen.

Es sagt, dass es mit hoher Wahrscheinlichkeit gefährlich ist und hebt die entsprechende sichere Option hervor.
Das sollte ich in meine Signatur setzen, dann muss ich es vielleicht nicht ständig wiederholen...

[Caimbeul]

Es sagt, dass es mit hoher Wahrscheinlichkeit gefährlich ist und hebt die entsprechende sichere Option hervor.
Das sollte ich in meine Signatur setzen, dann muss ich es vielleicht nicht ständig wiederholen...

Wie hoch ist denn die FP Quote? Ich glaube kaum dass es einen wie Du behauptest 100% Schutz gibt der funktioniert. Es reichen ja 2-3 FPS bei Programmen die absolut zuverlässig sind und schon wird der normale User das gleich machen wie mit allen Schutzhinweisen, weg klicken.

Aber immerwieder schön wieviel Leute glauben der Virenscanner würde tatsächlich Sicherheit bringen.

Ich sehe im Forum übrigens keine Signaturen, das hilft nicht, tut mir leid.

[Julian]

Wie hoch ist denn die FP Quote? Ich glaube kaum dass es einen wie Du behauptest 100% Schutz gibt der funktioniert. Es reichen ja 2-3 FPS bei Programmen die absolut zuverlässig sind und schon wird der normale User das gleich machen wie mit allen Schutzhinweisen, weg klicken.

Wo habe ich gesagt, dass KIS bei ~100% der Malware warnt, dass es sich eventuell um ein gefährliches Programm handeln könnte?
Gar nicht! Es ist laut IBK bei 68% der Malware zum Testzeitpunkt so, der Rest wird mehr oder weniger nur im interaktiven Modus geblockt.
Mehr oder weniger, weil auch im automatischen Modus z.B. bei Treiberinstallationen gewarnt wird.
Wenn was unklar ist, dann besser erst einmal ausführlich lesen und dann eventuell fragen, anstatt voreilig Schlüsse zu ziehen...
Und laut IBK warnt KIS auch kaum bei legalen Programmen, dass sie eventuell gefährlich sind.
Ich wiederhole mich schon wieder...

Aber immerwieder schön wieviel Leute glauben der Virenscanner würde tatsächlich Sicherheit bringen.

Wenn HIPSe, Virenscanner und Firewalls für dich ein und dasselbe sind...

[Caimbeul]

Wo habe ich gesagt, dass KIS bei ~100% der Malware warnt, dass es sich eventuell um ein gefährliches Programm handeln könnte?

Natürlich blockt KIS im Automatikmodus wesentlich weniger als im interaktiven, in dem nahezu 100% erkannt werden.

Mehr oder weniger, weil auch im automatischen Modus z.B. bei Treiberinstallationen gewarnt wird.

Was es für 99% aller Endanwender wieder zum Sicherheitsrisiko macht. Denn wer hat schon das Verständnis von Malware was Leute aus Sicherheitsforen haben. Ich versichere Dir, fast niemand. Nichtmal in Deutschland gerne gelobte Akademiker. Wer PC nicht als Hobby hat, der klickt Warnungen lieber weg. Dazu trägt dann die Treiberbemängelung nur noch bei.

Wenn HIPSe, Virenscanner und Firewalls für dich ein und dasselbe sind...

Nö, aber diesen Hype um HIPS verstehe ich auch nicht.

Meiner Meinung nach fehlt die Endanwenderfähigkeit hier noch gewaltig aber auch ich wiederhole mich glaube ich.

[Julian]

Was es für 99% aller Endanwender wieder zum Sicherheitsrisiko macht.

Nein, denn diese Pop-Ups tauchen nur auf, wenn das Programm, was den Treiber installiert, keine digitale Signatur hat oder nicht in der Whitelist ist.
Das heißt, 99% der Anwender bekommen so ein Pop-Up nie zu Gesicht.

Wer PC nicht als Hobby hat, der klickt Warnungen lieber weg. Dazu trägt dann die Treiberbemängelung nur noch bei.

Sorry, aber wenn KIS sagt, dass das Programm wahrscheinlich gefährlich ist, eine Optionswahl empfiehlt und der Anwender das einfach ignoriert, dann ist er einfach nur selten dämlich.

Meiner Meinung nach fehlt die Endanwenderfähigkeit hier noch gewaltig aber auch ich wiederhole mich glaube ich.

Du blickst durch das System von KIS nicht durch...