Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Hier beißt man sich momentan wieder die Zähne aus.

[Gast_rock_*]

Hier beißt man sich momentan wieder die Zähne aus.

Dieses Programm [No Adware] soll es in der erkennung haben:

... klingt auch nicht ganz astrein

Datei noadware.exe empfangen 2008.09.14 03:46:39 (CET)
Status: Beendet

Ergebnis: 3/37 (8.11%)

AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.NtRootKit.103
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
PandaB3 - - -
PCTools - - RogueAntiSpyware.NoAdware
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - Trojan.NtRootKit.103
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - -

[Gast_blueX_*]

...wofür sie dann (hoffentlich) im nächsten Test bestraft werden....

Ich lade bei V-Total hoch, dann evtl. noch mein AV-Anbieter und damit fertig.

Ich mache meinen Job, die machen ihren Job!

Vielleicht noch auf CD brennen, einpacken, Schleifchen drum. Etwas Süßes beilegen, damit die Motivation steigt....

Die AV behandeln Anfragen von Kunden doch bevorzugt, dass es doch klar.
Es gibt hunderte Honeypots oder Sammelbörsen alà Virustotal. Zunächst versucht man doch einmal die Einsendungen der Kunden zu bearbeiten.

Das auf CD brennen usw. finde ich arg an den Haaren herbeigezogen.


Um ein Sample zu submitten ist der offizielle Weg zu nehmen. Du beschreitest nicht einmal den offziellen Weg und dann redet du von Schleifchen rum.

[Gast_rock_*]

Zunächst versucht man doch einmal die Einsendungen der Kunden zu bearbeiten.

ja weils wahrscheinlich peinlich ist!

[Rios]

rock, No Adware !!

[citro]

Malwarebytes (?)

[toby]

Bei der Suche nach einem Adobe-Template bin ich auf eine Datei namens wanted.exe gestoßen.
Nach dem entpacken (ZIP-EXE) erscheint eine .AI-Datei (Template), sowie eine .wri-Datei (Readme).

Bei V-Total schlagen zwei Scanner an.

Dürfte aber eher ein FT sein.

http://www.virustotal.com/de/analisis/2d78...f5aa2d7e5711fa6



------------------------------------------------------------------------------------------------
@ blueX:

Die AV behandeln Anfragen von Kunden doch bevorzugt, dass es doch klar.

Klar!

Es gibt hunderte Honeypots oder Sammelbörsen alà Virustotal

Möglich ?!?

Das auf CD brennen usw. finde ich arg an den Haaren herbeigezogen.

Schon etwas... Wollte Symantec nicht früher mal Samples auf Diskette ???

Um ein Sample zu submitten ist der offizielle Weg zu nehmen.

Oh, da sollte ich mal die Lizenzbedingungen lesen

Ich akzeptiere Deine Meinung, keine Frage. Meine ist jedoch eine etwas andere.
Eine ethische Verpflichtung, meine Samples allen AVlern zur Verfügung zu stellen (zusätzlich zu Jotti/V-Total) sehe ich nicht.

[Rios]

Frisch aus der Saftpresse





hxxp://viruslabs2009.com/

[Gast_rock_*]

hach wie nett... jeden tag nach der arbeit wartet schon ein würmchen im postfach auf verzerr....

und er affe war wieder blind!
==========================

Your internet access is going to get suspended
The Internet Service Provider Consorcium was made to protect the rights of software authors, artists.
We conduct regular wiretapping on our networks, to monitor criminal acts.
We are aware of your illegal activities on the internet wich were originating from
You can check the report of your activities in the past 6 month that we have attached. We strongly advise you to stop your activities regarding the illegal downloading of copyrighted material of your internet access will be suspended.

Sincerely
ICS Monitoring Team
--------------------------------------------------------------------------------
Viruses found in the attached files.
The file user-EA49943X-activities.zip: Trojan horse SHeur.CIKH. The attachment was moved to the Virus Vault.

ergebnis:
Datei user-EA49943X-activities.zip empfangen 2008.09.16 17:08:44 (CET)

Ergebnis: 29/35 (82.86%)
AhnLab-V3 2008.9.13.0 2008.09.16 -
AntiVir 7.8.1.28 2008.09.16 TR/Spy.Goldun.axt
Authentium 5.1.0.4 2008.09.16 W32/Trojan3.T
Avast 4.8.1195.0 2008.09.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.16 SHeur.CIKH
BitDefender 7.2 2008.09.16 Trojan.Banker.LCG
CAT-QuickHeal 9.50 2008.09.16 TrojanSpy.Goldun.axt
ClamAV 0.93.1 2008.09.16 Trojan.Goldun-278
DrWeb 4.44.0.09170 2008.09.16 Trojan.Kllem.1
eSafe 7.0.17.0 2008.09.15 Win32.Goldun.axt
eTrust-Vet None None.. Win32/Ldpinch.PJ
Ewido 4.0 2008.09.16 -
F-Prot 4.4.4.56 2008.09.16 W32/Trojan3.T
F-Secure 8.0.14332.0 2008.09.16 Trojan-Spy.Win32.Goldun.axt
Fortinet 3.113.0.0 2008.09.16 W32/Goldun.AXT!tr.spy
GData 19 2008.09.16 Trojan-Spy.Win32.Goldun.axt
Ikarus T3.1.1.34.0 2008.09.16 Win32.Outbreak
K7AntiVirus 7.10.458 2008.09.16 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.09.16 Trojan-Spy.Win32.Goldun.axt
McAfee None None.. -
Microsoft 1.3903 2008.09.16 Trojan:Win32/Agent.PX
NOD32v2 3445 2008.09.16 Win32/Spy.Goldun.NDJ
Norman 5.80.02 2008.09.16 W32/Goldun.CNC
Panda 9.0.0.4 2008.09.16 Generic Trojan
PCTools 4.4.2.0 2008.09.16 -
Prevx1 V2 2008.09.16 Malicious Software
Rising 20.62.12.00 2008.09.16 -
Sophos 4.33.0 2008.09.16 Troj/Meredrop-A
Sunbelt 3.1.1633.1 None.. Trojan-Spy.Win32.Goldun.axt
Symantec 10 2008.09.16 Trojan.Goldun
TheHacker 6.3.0.9.084 2008.09.15 Trojan/Spy.Goldun.axt
TrendMicro 8.700.0.1004 2008.09.16 TROJ_MEREDROP.GJ
ViRobot 2008.9.16.1377 2008.09.16 -
VirusBuster 4.5.11.0 2008.09.15 TrojanSpy.Goldun.APH
Webwasher-Gateway 6.6.2 2008.09.16 Trojan.Spy.Goldun.axt

warum der affe heute mal bei Vtotal "NONE NONE" dastehen hat weis ich auch net bei den treffern!

edit: hmm....klar erkennt mc afee (laut sich selbst) das ding:
user-ea49943x-activi|current detection |spy-agent.bg |Trojan

na wieso bei mir net? ist zwar nicht mc afee installiert auf dem rechner hier, aber der mailscan ist affig!



Der Beitrag wurde von rock bearbeitet: 16.09.2008, 16:39

[Gast_rock_*]

noch so a mail....

Datei videoPorn218hdy.exe empfangen 2008.09.16 17:15:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 17/36 (47.23%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.16 -
AntiVir 7.8.1.28 2008.09.16 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.09.16 W32/Downldr2.DVIH
Avast 4.8.1195.0 2008.09.15 -
AVG 8.0.0.161 2008.09.16 Downloader.FraudLoad.AM
BitDefender 7.2 2008.09.16 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.09.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.09.16 -
DrWeb 4.44.0.09170 2008.09.16 Trojan.DownLoad.4419
eSafe 7.0.17.0 2008.09.15 Suspicious File
eTrust-Vet 31.6.6090 2008.09.15 -
Ewido 4.0 2008.09.16 -
F-Prot 4.4.4.56 2008.09.16 W32/Downldr2.DVIH
F-Secure 8.0.14332.0 2008.09.16 Trojan-Downloader.Win32.Exchanger.aar
Fortinet 3.113.0.0 2008.09.16 -
GData 19 2008.09.16 Trojan-Downloader.Win32.Exchanger.aar
Ikarus T3.1.1.34.0 2008.09.16 Virus.Win32.Naked-Videos
K7AntiVirus 7.10.458 2008.09.16 -
Kaspersky 7.0.0.125 2008.09.16 Trojan-Downloader.Win32.Exchanger.aar
McAfee 5384 2008.09.16 -
Microsoft 1.3903 2008.09.16 -
NOD32v2 3445 2008.09.16 Win32/Agent.ETH
Norman 5.80.02 2008.09.16 -
Panda 9.0.0.4 2008.09.16 -
PCTools 4.4.2.0 2008.09.16 -
Prevx1 V2 2008.09.16 -
Rising 20.62.12.00 2008.09.16 -
Sophos 4.33.0 2008.09.16 Troj/Dldr-P
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.16 -
TheHacker 6.3.0.9.084 2008.09.15 -
TrendMicro 8.700.0.1004 2008.09.16 -
VBA32 3.12.8.5 2008.09.16 suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
ViRobot 2008.9.16.1377 2008.09.16 -
VirusBuster 4.5.11.0 2008.09.16 Trojan.DL.Exchanger.EM
Webwasher-Gateway 6.6.2 2008.09.16 Trojan.Crypt.XPACK.Gen

[Gast_rock_*]

rock, No Adware !!

avira hat geantwortet - CLEAN.

[Julian]

http://www.virustotal.com/analisis/c7ddadc...c16ca9b85f20bfb
[attachment=4165:d.jpg]

[Voyager]

Dein Popup ist keine wirkliche Erkennung bzw. Schutz in dem Sinne , es verhindert ja nicht das der User sich mit KIS auf dem System ein FAKE-AV Programm installiert und trotzdem auf den Betrug reinfällt.

Der Beitrag wurde von bond7 bearbeitet: 16.09.2008, 17:41

[Rios]

rock, kommen beide von hier.
auch der hier unten.

Die Exe von No Adware ist sauber, aber manche trauen halt keinen mehr der schon mal auf der schwarzen Liste stand.
http://www.siteadvisor.com/sites/noadware.net
http://www.mywot.com/de/scorecard/noadware.net

[Julian]

Dein Popup ist keine wirkliche Erkennung bzw. Schutz in dem Sinne , es verhindert ja nicht das der User sich mit KIS auf dem System ein FAKE-AV Programm installiert und trotzdem auf den Betrug reinfällt.

Woher willst du denn, wissen, dass es sich um ein Fake-AV handelt?
Ist ein Fake-AV 27kb groß, hat kein spezifisches Icon und löscht sich sofort, wenn es in einer VM ausgeführt wird oder ein Sicherheitsprogramm installiert ist?

[Voyager]

Wenn es kein FakeAV war ist es umso schlimmer wenn KIS eine Ausführung erlaubt.

[scu]

Woher willst du denn, wissen, dass es sich um ein Fake-AV handelt?
Ist ein Fake-AV 27kb groß, hat kein spezifisches Icon und löscht sich sofort, wenn es in einer VM ausgeführt wird oder ein Sicherheitsprogramm installiert ist?

Vermutlich weil der Dateiname "antivirus.v.1.exe" ist...
Aber das Verhalten ist durchaus interessant...

[Julian]

Wenn es kein FakeAV war ist es umso schlimmer wenn KIS eine Ausführung erlaubt.

Bist du blind oder d...? Was steht denn in dem Pop-Up...

Ich geb es auf

[hypnosekroete]

Jetzt erst?!?

Das ist doch seit einigen Wochen schon nicht mehr zum Aushalten...

[Rios]

Da haben sie sich doch glatt wieder mal was anderes einfallen lassen.


Erkennung gestern



Heute:

Auf VTT erkennt jetzt auch Symantec

hxxp://eantivirus-payment.com