Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_rock_*]

hxxp://joaocaitano.com.br/index14.php
http://www.virustotal.com/analisis/1b81378...3893e3642fef657

nettes bild!

Mc Afee erkennts nun auch als:

Angehängte Datei(en)

 m_ki.JPG ( 20.81KB ) Anzahl der Downloads: 12

 

[240670]

Bis jetzt findet Norton gar nichts

[citro]

Rapidreleases Signaturen müssten eigentlich beta-Updates sein, welche erst später - wenn überhaupt alle übernommen werden.

Sieht so aus als würde Symantec in VT beta-Updates übernehmen.

Info:

http://www.symantec.com/business/security_...-041717-0829-99

Hier taucht erotpics auf: 08:08:27 PDT October 10

http://www.symantec.com/business/security_...lease/index.jsp

Der Beitrag wurde von citro bearbeitet: 10.10.2008, 20:50

[Gast_rock_*]

wieder so eine mail wie (eine seite vorher) ... aber etwas anderen ergebnissen.
http://www.rokop-security.de/index.php?s=&...st&p=251445

Datei Fees_2008-2009.zip empfangen 2008.10.10 22:20:21 (CET)

AhnLab-V3 2008.10.10.1 2008.10.10 -
AntiVir 7.8.1.34 2008.10.10 HIDDENEXT/Worm.Gen
Authentium 5.1.0.4 2008.10.10 W32/Heuristic-300!Eldorado
Avast 4.8.1248.0 2008.10.10 -
AVG 8.0.0.161 2008.10.10 SHeur.CNWP
BitDefender 7.2 2008.10.10 -
CAT-QuickHeal 9.50 2008.10.10 -
ClamAV 0.93.1 2008.10.10 -
DrWeb 4.44.0.09170 2008.10.10 Win32.HLLW.Autoruner.2640
eSafe 7.0.17.0 2008.10.08 Suspicious File
eTrust-Vet 31.6.6139 2008.10.09 -
Ewido 4.0 2008.10.10 -
F-Prot 4.4.4.56 2008.10.10 W32/Heuristic-300!Eldorado
F-Secure 8.0.14332.0 2008.10.10 Email-Worm.Win32.Druzgl.b
Fortinet 3.113.0.0 2008.10.10 -
GData 19 2008.10.10 -
Ikarus T3.1.1.34.0 2008.10.10 Win32.Outbreak
K7AntiVirus 7.10.490 2008.10.10 -
Kaspersky 7.0.0.125 2008.10.10 Email-Worm.Win32.Druzgl.b
McAfee 5402 2008.10.09 -
Microsoft 1.4005 2008.10.10 Worm:Win32/Emold.E
NOD32 3513 2008.10.10 -
Norman 5.80.02 2008.10.10 -
Panda 9.0.0.4 2008.10.10 -
PCTools 4.4.2.0 2008.10.10 -
Prevx1 V2 2008.10.10 Cloaked Malware
Rising 20.65.42.00 2008.10.10 -
SecureWeb-Gateway 6.7.6 2008.10.10 Virus.HIDDENEXT/Worm.Gen
Sophos 4.34.0 2008.10.10 Mal/EncPk-CZ
Sunbelt 3.1.1708.1 2008.10.10 -
Symantec 10 2008.10.10 -
TheHacker 6.3.1.0.106 2008.10.10 W32/Generic!zip-dobleextension
TrendMicro 8.700.0.1004 2008.10.10 PAK_Generic.001
VBA32 3.12.8.6 2008.10.09 -
ViRobot 2008.10.10.1416 2008.10.10 -
VirusBuster 4.5.11.0 2008.10.10 -

weitere Informationen
File size: 32819 bytes
MD5...: 525299a9cbe6888c6a974b0d5f4654d7
SHA1..: fb55a144d68e7b1673d62af17eb82de7075a32c4
SHA256: 5b2b51c3b1f29defdec571ac5a6034ca008486c777859793bbe4af96f361dc20
SHA512: 0e6d86afa1d17790411a4ebbd1bea4cd8ae8b9919601c38b06ad7b12e6c417a9
e785c52d9609c9ccee2b22b1b44ff79a5164c984ba32a7d56f7b1de60d6ad09d
PEiD..: -
TrID..: File type identification
ZIP compressed archive (100.0%)
PEInfo: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp...37236007C1C0ABB
packers (F-Prot): UPX

edit:
Erkennung von Mc Afee kam um 23.15 Uhr...

fees_2008-2009.doc.e|new detection |downloader-bjp |Trojan |yes


Der Beitrag wurde von rock bearbeitet: 11.10.2008, 06:43

[Voyager]

@chris30duew

Ich hatte dochmal dazu geraten die Symantec Mitarbeiter Jungs auf norton community Quantanamomässig zu befragen was denn überhaupt mit den Pulse Updates übertragen wird, immerhin besteht dort die Möglichkeit .

[Gast_kurz-pc_*]

Die Links sind von malwaredatabase.net.

hxxp://218.93.205.232/l/yenomk.exe
http://www.virustotal.com/analisis/18f0ae8...fc9eda4f19e5647

hxxp://quicksoftupdate.com/cd/462/4/free-key.net.exe
http://www.virustotal.com/analisis/2c85245...a625538deb3cbe2

hxxp://218.93.205.232/l/yenoMgiB.exe
http://www.virustotal.com/analisis/c28a1ff...a6cf812cbdb18e6

[Voyager]

Behobene Bedrohungen:
Suspicious.AH.41
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\yenomk.exe - Gelöscht

Das ist dann noch die Erkennung zu 218.93.205.232/l/yenoMgiB.exe



Möglich das hier Sonar ebenfalls anschlägt, werde ich aber nicht testen.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 11:13

[Gast_kurz-pc_*]

"Antivirus Plasma"
hxxp://antivirusplasma.com/index.php

http://www.virustotal.com/analisis/294c3cf...437263c77dee30a

Erkennung könnte besser ein.

[Voyager]

Das ist ein Katz und MausSpiel , die Kriminellen werfen täglich oder gar stündlich neue Dateien ins Netz was Sie in erster Linie müssen weil die großen AVs diese relativ schnell erkennen , auf der anderen Seite die AV-Hersteller einfach damit beschäftigt werden und das die Datenbanken damit nur aufbläht. Das heisst aber nicht das man vor der kriminellen Energie im Internet resignieren sollte.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 13:05

[Julian]

[attachment=4241:2.JPG] [attachment=4240:1.JPG]
[attachment=4242:3.JPG] [attachment=4243:4.JPG]
[attachment=4244:5.JPG]

Wer bietet mehr?

[Rios]

Codec!!

Virustotal

[Voyager]

@Rios

Ist diese Emsi Software jetzt der FakeAV ?

[Julian]

Siehe meinen Beitrag für KIS-Ergebnis.

[Rios]

Bond, er hat Bewährung Julian dito

[Voyager]

@Rios

hmm Irgendwie hatte ich jetzt gedacht der Fakecodec wäre die mit Emsi benannter Software ? weil du keine sonstige Herkunft genannt hattest und deine FakeAV Bilder meistens die Herkunft der Malware symbolisieren Hätte ja sein können, die Virenschreiber kopieren ja mittlerweile Spybot S&D.

ps. Danke für die (Schein)Malware Hab sie soeben in der VM getestet . Jetzt taucht folgendes Problem auf , der Fakecodec löscht sich offensichtlich nur selbst und NAB schlug dabei nicht an also hab ich meine zweite XP-VM hergenommen und NIS09 darauf installiert , anschliessend die manuelle Komponentenkontrolle aktiviert.
Das Ergebnis ist , der Zcodec ist wirklich nur ein reines Fake und kein Fakecodec, er löschst sich wirklich nur selbst wie man auf dem Bild sehen kann , ansonst macht er nichts weiter kurioses.... das sollte mich sehr wundern wenn die AV-Hersteller den überhaupt aufnehmen in die Datenbank.




Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 14:54

[Voyager]

Bei der Gelegenheit hab ich gleich nochmal 218.93.205.232/l/yenoMgiB.exe nachgetestet , es wird nach der Ausführung allerlei erkannt und blockiert.

Scanstatistik:
Scanzeit: 18 Sek.
Scanoptionen:
Scanziele:
Zähler:
Gescannte Elemente insgesamt: 2.575
– Dateien und Laufwerke: 666
– Registrierungseinträge: 135
– Prozesse und Elemente beim Start: 1.655
– Netzwerk und Browser-Elemente: 115
– Sonstiges: 4
– Vertrauenswürdige Dateien: 4
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Tracking Cookie
Typ: Anomalie
Risiko: Gering (Gering Versteckt, Gering Löschen, Gering Leistung, Gering Datenschutz)
Kategorien: Cookie
Status: Vollständig behoben
-----------
3 Tracking-Cookies
Cookie:jens@microsoftwga.112.2o7.net/ - Gelöscht
Cookie:jens@atdmt.com/ - Gelöscht


Trackware.Webhancer
Typ: Anomalie
Risiko: Gering (Mittel Versteckt, Gering Löschen, Gering Leistung, Gering Datenschutz)
Kategorien: Trackware
Status: Neustarten erforderlich
-----------
11-Dateien
c:\dokumente und einstellungen\jens\lokale einstellungen\temp\n2ewsys.exe - Keine Aktion erforderlich
c:\dokumente und einstellungen\jens\lokale einstellungen\temp\rarsfx0\whinstaller.exe - Keine Aktion erforderlich
c:\programme\webhancer\programs\webhdll.dll - Neustarten erforderlich
c:\programme\webhancer\programs\whagent.exe - Neustarten erforderlich
c:\programme\webhancer\programs\whiehlpr.dll - Neustarten erforderlich
c:\programme\webhancer\programs\whinstaller.exe - Keine Aktion erforderlich
c:\programme\webhancer\programs\webhdll.dll - Neustarten erforderlich
c:\programme\webhancer\programs\whagent.exe - Neustarten erforderlich
c:\programme\webhancer\programs\whiehlpr.dll - Neustarten erforderlich
c:\programme\webhancer\programs - Neustarten erforderlich
C:\Programme\webHancer - Neustarten erforderlich
2 Prozess
c:\dokumente und einstellungen\jens\lokale einstellungen\temp\n2ewsys.exe - Beendet
c:\dokumente und einstellungen\jens\lokale einstellungen\temp\rarsfx0\whinstaller.exe - Beendet

Nachtrag:
Das Risiko yenoMgiB.exe wurde eben 16.27Uhr als Trojan Zlob vom Autoprotect erkannt da das Verzeichnis noch offen war. Genau um 16.27Uhr kamen auch Regelmässige Updates (Pulse Updates) rein laut Tabelle der Hintergrundaufträge , das heisst das Risiko wurde hier erstmalig von den Pulse Updates als Trojaner erkannt. Damit dürfte die Geschichte durch sein was mit den Pulse Updates übertragen wird....

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 15:39

[Gast_kurz-pc_*]

Das Ergebnis ist , der Zcodec ist wirklich nur ein reines Fake und kein Fakecodec, er löschst sich wirklich nur selbst wie man auf dem Bild sehen kann , ansonst macht er nichts weiter kurioses.... das sollte mich sehr wundern wenn die AV-Hersteller den überhaupt aufnehmen in die Datenbank.

Komisch das Ergebnis deckt sich nicht mit der Auswertung durch CWSandbox.

http://www.cwsandbox.org/?page=report&...;password=deoda

Datei scheint eine menge Malware aus netz zu Laden und legt ne menge Dateien und einiges in der Registry an.

[Voyager]

Bei solch massiven Änderungen hätte ich sicher etwas mitbekommen bei NAB bzw. NIS mit aktivierter manueller Komponentenkontrolle . Die müssen irgendwas anderes haben oder der Virenschreiber hat ein neues Sample hochgeladen. Das Dos-Kommando in dem Fenster ist ja eindeutig, lösch dich selbst und nach dem Löschen kanns nixmehr machen.

F:\40\1\zcodec.1113.exe
on Microsoft Windows Vista, Workstation version 6.6001

No file version information available

Creation Date : 11/10/2008 15:21:53
Last Modif. Date : 11/10/2008 15:20:23
Last Access Date : 11/10/2008 15:21:53
FileSize : 55296 bytes ( 54.000 KB, 0.053 MB )

Es gäbe noch die Möglichkeit das der Virus nur bestimmte Systeme wie z.b. Vista oder Sysiteme mit einem bestimmten AV nfizieren will , wenn das System die falschen Ergebnisse liefert löscht sich der Virus nur selbst , sowas soll es ja früher schonmal gegeben haben.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 15:29

[Gast_kurz-pc_*]

Bei solch massiven Änderungen hätte ich sicher etwas mitbekommen bei NAB bzw. NIS mit aktivierter manueller Komponentenkontrolle . Die müssen irgendwas anderes haben oder der Virenschreiber hat ein neues Sample hochgeladen. Das Dos-Kommando in dem Fenster ist ja eindeutig, lösch dich selbst und nach dem Löschen kanns nixmehr machen.

Hab mal im VirtualBox gestartet. Vista Premium SP1, UAC aus, ThreatFire Stufe 3, Datei als Admin gestartet.

Datei: zcodec.1113.exe MD5: 63d204b016098df1c49c4cc0eb41dc3f

Das Ergebnis.




Außerdem Flackert gleich nach Start das Netzwerk und HDD LED wie verrückt.

Der Beitrag wurde von kurz-pc bearbeitet: 11.10.2008, 15:37

[Voyager]

Wir reden von 2 verschiedenen Sachen , den Link hxxp: / / codecdownload.soft4funportal.com/zcodec.1113.exe hab ich von Rios bekommen . Dieser macht nur das was man in dem Bild sieht.
http://www.abload.de/image.php?img=aufzeichnent1s.jpg

Rios hat mir dann irgendwas anderes gegeben und nicht diesen den du hast.

Ich bräuchte dein Modell zum Gegentest.

Der Beitrag wurde von bond7 bearbeitet: 11.10.2008, 15:49