Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Xeon_*]

mit kaspersky müsste man prüfen.

Hallo rock, von F-Secure wird das Casino Sample erkannt....also wird es Kaspersky vermutlich auch erkennen.

[chris30duew]

@xeon

nein kaspersky erkennt es nicht und wird es auch nie. ich habe mal mit dem support von ewig langer zeit gemailt, diese casions werden nicht in die signaturen aufgenommen hies es damals. und bis heute hat auch nie kaspersky drauf angesprochen! nicht einmal. Julian wird das sicher bestätigen.
f-secure hat es in seine eignen signaturen aufgenommen, die es ja unabhängig von der K engine noch gibt. von daher macht sich die 2. eigene engine schon mal bemerkbar :-D

[Gast_Xeon_*]

@ chris30duew

OK, aber vielleicht könnte das doch mal jemand mit Kaspersky testen, den bei VTT wird bei F-Secure auch keine Erkennung angezeigt.

[Rios]

Klick

[Gast_Xeon_*]

Klick

Danke Rios, somit ist die Sache klar.

[chris30duew]

das sind glaub ich samples von früher noch bzw signaturen.
die werden heute nicht mehr gepflegt. aber ich stütze mich da auf den e-mail kontakt.
du wirst auch merken, wenn du KIS einsetzen tust, mach dir mal den spass (der der KIS am laufen hat) und checke mal bei jeder mail wo ein casino link drin ist ob kaspersky anschlägt. du wirst sehen, macht es nicht! es sei denn man hat nen exoten dabei der noch von den vorhandenen signaturen erkannt wird.

[toby]

Gerade gefunden:

A9loader_880488.exe

 1.jpg ( 71.88KB ) Anzahl der Downloads: 21



http://www.virustotal.com/de/analisis/744e...9e3f663283108b5

[hypnosekroete]

Gerade gefunden:
A9loader_880488.exe

Ob ich das auch mit der Lizenz von XP Antivirus 2008 nutzen kann?
*schnell ne mail an rouge-av@evil.ru schreib*

SCNR

Der Beitrag wurde von hypnosekroete bearbeitet: 12.09.2008, 22:26

[toby]

Ich hab´ gerade mal die kostenlose (!) Support-Nummer angerufen.

Wenn ich für die ein paar Überweisungen von meinem Konto ins Ausland transferiere, bekomme ich ne 2-jahres-Lizenz kostenlos
Für mich bestehe absolut kein Risiko

[Gast_kurz-pc_*]

Total Secure 2009



--- Setup:---- Programm:

[Rios]

Sehr Anonym


hxxp://www.malwareremovalbot.com

[Rios]

Update






hxxp://spypreventers.com

[Gast_rock_*]

morgen...

auch die mails mit videos die keine sind nehmen kein end...

Datei zcodec.1062.exe

Ergebnis: 5/36 (13.89%)

AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.12 -
AVG 8.0.0.161 2008.09.12 Downloader.Zlob_r.CE
BitDefender 7.2 2008.09.12 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 Suspicious File
eTrust-Vet 31.6.6087 2008.09.12 -
Ewido 4.0 2008.09.12 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.13 Suspicious:W32/Puper!Gemini
Fortinet 3.113.0.0 2008.09.12 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.453 2008.09.12 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.13 -
NOD32v2 3439 2008.09.13 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.12 Suspicious file
PCTools 4.4.2.0 2008.09.12 -
Prevx1 V2 2008.09.13 Malicious Software
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.13 -
Sunbelt 3.1.1628.1 2008.09.12 -
Symantec 10 2008.09.13 -
TheHacker 6.3.0.9.080 2008.09.13 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.12 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.12 -
Webwasher-Gateway 6.6.2 2008.09.13 -

kaspersky:
New malicious software was found in this file. It's detection will be included in the next update
zcodec.1062.exe_ - Trojan.Win32.Crypt.tn
dr.web:
New virus record has been added.
Virus: Trojan.DownLoad.4556.

[Voyager]

Wiedermal eine Rootkitwarnung , Link aus Email
h??p://koen.cupina.be/index1.php (Fakecodec-download)

Wie man Anhand der NAB Erkennung sieht hat es böse Sachen im Sinn
Ich teste das später nochmal mit SONAR , sollte damit auch erkannt werden.

Nachtrag : Sonar erkennt dieses Risiko diesmal nicht , NAB ist hier erforderlich.

Nachtrag2 : Der verdächtige cbevtsvc.exe Service verursacht verbotene Prozessmanipulationen an Windowsprozessen die registriert und unterbunden werden und es wurden Systemänderungen des cbevtsvc.exe Service registriert die man im LogbuchVerlauf nachlesen kann , NIS meldet alle diese Vorkommnisse automatisch über den Community Watch an Symantec. Mittelfristig führt das zu einer automatischen Risikoerkennung.


Der Beitrag wurde von bond7 bearbeitet: 13.09.2008, 19:06

Angehängte Datei(en)

 n.JPG ( 37.48KB ) Anzahl der Downloads: 17

 

[hypnosekroete]

Wiedermal eine Rootkitwarnung , Link aus Email
h??p://koen.cupina.be/index1.php (Fakecodec-download)

Die meisten kennen ihn schon (Erneut ein Fest für NOD32&BD-User )
http://www.virustotal.com/de/analisis/d9c1...901261a8328fffc

Lustig auch hier wieder: Kaspersky kennts, F-Secure nicht, Bitdefender kennt es, G-Data nicht.

[Rios]

QUELLTEXT

Lustig auch hier wieder: Kaspersky kennts, F-Secure nicht, Bitdefender kennt es, G-Data nicht.

Ja Kröte, die Updates sind von F-Secure noch nicht eingepflegt. Denke sind dann beim nächsten dabei. Da liegt halt ein Vorteil bei Väterchen Frost, schnelle Reaktion in Sachen Updates.

[citro]

...und bei VT stimmen die nichterkannten Ergebnisse von GData nicht immer mit dem installierten Scanner überein.

[citro]

Nachtrag : Sonar erkennt dieses Risiko diesmal nicht , NAB ist hier erforderlich.

Nachtrag2 : Der verdächtige cbevtsvc.exe Service verursacht verbotene Prozessmanipulationen an Windowsprozessen die registriert und unterbunden werden und es wurden Systemänderungen des cbevtsvc.exe Service registriert die man im LogbuchVerlauf nachlesen kann , NIS meldet alle diese Vorkommnisse automatisch über den Community Watch an Symantec. Mittelfristig führt das zu einer automatischen Risikoerkennung.

Das heißt jetzt, NAV/NIS unterbindet die Installation des Schädlinges bei Doppelklick doch ?
Norton hat also einen unbekannten Schädling zur Analyse nachhause gesendet ?

Gib mal Bescheid wie lange es dauerte bis die Signatur von Symantec erstellt wurde.
Mich interessieren jetzt die sog. Pulseupdates


MfG citro

[Voyager]

Das heißt jetzt, NAV/NIS unterbindet die Installation des Schädlinges bei Doppelklick doch ?

Nein ? Anhand der Bilder kann man sehen das der Prozess im Systemordner ist . Anhand der Bilder kann man auch sehen das der maliziöse Prozess DLL-Hijacking verursacht mit denen er versucht Windowsprozesse zu nutzen um z.b. ins Internet zu gehen , Aktion wird unterbunden. Community Watch versucht auch noch diese verdächtigen DLL-Aktionen zu melden, das Bild hab ich nicht erstellt.

So sieht aber eine SONAR-Erkennung eines Fakecodec aus , der bereits bekannte Fakecodec wurde im AV Autoprotect aus Ausnahme hinzugefügt.


und nochmal unter Vista eine SONAR-Erkennung

Norton hat also einen unbekannten Schädling zur Analyse nachhause gesendet ?

Ja ? das steht im Bild 2 .

Gib mal Bescheid wie lange es dauerte bis die Signatur von Symantec erstellt wurde.

zu spät, ich hab die virtuelle Maschine bereits beendet und die Änderungen mit dem Virenbefall verworfen. Ich werde es merken wenn der Fakecodec auf Laufwerk F vom AV erkannt wird.

Das Community Watch Feedback fällt auf einer infizierten Maschine jedenfalls reichlich aus womit Symantec bei dutzenden von Infizierten PCs genug Informationen bekommt , bei größeren Ausmaßen hatte Symantec bisher immer am selben Tag reagiert .

ps. blockiert Gdata immernoch die Bilder in Webseiten ?

Der Beitrag wurde von bond7 bearbeitet: 13.09.2008, 20:20

[citro]

ps. blockiert Gdata immernoch die Bilder in Webseiten ?

Bei mir doch nicht, aber ein bisschen Erklärung der/dieser Bilder schadet nicht.

Danke