Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_Krond_*]

Nun, 18:00 wiederum die gleiche, zweite GreetingCard.exe zum Vergleich gesendet......

Scan taken on 21 Jan 2007 17:05:44 (GMT)
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Trojan.Downloader-658
Dr.Web Found BackDoor.Groan
F-Prot Antivirus Found W32/Downloader.AYEU
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VirusBuster Found Trojan.DL.Tibs.Gen!Pac18
VBA32 Found nothing


Was ist da los, Wochenende und alle großen AV-Hersteller schlafen?????

[Mainzelmann]

was isn virusbuster für ein teil? woher kommt der, muss man den kennen?
ich habemir mal den spaß gemacht, jotti anzugucken, der scheint öfters mal was zu finden, wenn die meisten anderen einen aussetzer haben.
so teilweise auch bei den hier veröffentlichten scans..

[Gast_rock_*]

VirusBuster Found Trojan.DL.Tibs.Gen!Pac18

kannst du bei norman sandbox, gdata, kaspersky, avast, einzeln scannen lassen.

wenn norman sie nicht erkennt mit den signaturen, bekommst du ein ergebnis von der sandbox was die exe anstellen würde...

wär interessant.

[raman]

Von dieser Art Malware gibt es wohl schon ca 90 Varianten(seit dem 19.01). Das Traurige ist, das Avast darauf noch nicht reagiert hat. Letztes Update war vom 18.01!:(
http://www.f-secure.com/weblog/#00001088

[Gast_Krond_*]

...Schön langsam trudeln die anderen auch ein.....

Scan taken on 21 Jan 2007 18:36:48 (GMT)
AntiVir Found TR/Small.DBY.I
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found Downloader.Tibs
BitDefender Found nothing
ClamAV Found Trojan.Downloader-658
Dr.Web Found BackDoor.Groan
F-Prot Antivirus Found W32/Downloader.AYEU
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bet
NOD32 Found Win32/Fuclip.C
Norman Virus Control Found nothing
VirusBuster Found Trojan.DL.Tibs.Gen!Pac18
VBA32 Found nothing

Der Beitrag wurde von Krond bearbeitet: 21.01.2007, 19:40

[citro]

Von dieser Art Malware gibt es wohl schon ca 90 Varianten(seit dem 19.01). Das Traurige ist, das Avast darauf noch nicht reagiert hat. Letztes Update war vom 18.01!:(

Avast müßte jetzt mit Win32:Tibs dabei sein.

AVKB

citro

[Gast_Scrapie_*]

Morgen

Neue Rechnung.pdf.exe von 1&1 heute im Briefkasten.
Kam heute um 06:00 rein und hatte wohl ihren Ursprung an der 'Silesian University of Technology, Computer Center'
Das tolle - derzeit keine (echte) Erkennung gegeben:



Analyse was das Ding genau treibt mach ich heute Abend.
Bei Bedarf PN an mich...


Gruß,
Scrapie

[Yopie]

edit: Gibts das denn, so früh am morgen war Scrapie eine Minute schneller?

Neue Rechnung.pdf.exe (1&1-Rechnung), versandt aus Vietnam (222.254.130.72)

AntiVir 7.3.0.26 01.23.2007 no virus found
Authentium 4.93.8 01.23.2007 no virus found
Avast 4.7.936.0 01.23.2007 no virus found
AVG 386 01.23.2007 no virus found
BitDefender 7.2 01.24.2007 no virus found
CAT-QuickHeal 9.00 01.24.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.23.2007 no virus found
DrWeb 4.33 01.23.2007 no virus found
eSafe 7.0.14.0 01.23.2007 no virus found
eTrust-InoculateIT 23.73.121 01.24.2007 no virus found
eTrust-Vet 30.3.3346 01.23.2007 no virus found
Ewido 4.0 01.23.2007 no virus found
Fortinet 2.85.0.0 01.24.2007 suspicious
F-Prot 3.16f 01.23.2007 no virus found
F-Prot4 4.2.1.29 01.23.2007 no virus found
Ikarus T3.1.0.27 01.24.2007 Win32.Outbreak
Kaspersky 4.0.2.24 01.24.2007 no virus found
McAfee 4947 01.23.2007 New Win32
Microsoft 1.1904 01.24.2007 no virus found
NOD32v2 2001 01.24.2007 no virus found
Norman 5.80.02 01.23.2007 no virus found
Panda 9.0.0.4 01.24.2007 no virus found
Prevx1 V2 01.24.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 VIPRE.Suspicious
TheHacker 6.0.3.155 01.24.2007 no virus found
UNA 1.83 01.23.2007 no virus found
VBA32 3.11.2 01.23.2007 no virus found
VirusBuster 4.3.19:9 01.23.2007 no virus found

Aditional Information
File size: 13312 bytes
MD5: 1a8cfb29e8958cae9ece54b85aa886d5
SHA1: 015b0da534f8cc00fa60e132f43a72f4c33dd249
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Der Beitrag wurde von Yopie bearbeitet: 24.01.2007, 08:17

[citro]

Genau den hatte ich in der web.de Mailbox, der dortige Virenscanner hat ihn mit New Win32 indentifiziert (wird wohl McAfee sein).
Die waren schneller wie Kaspersky.

heise.de


citro

Der Beitrag wurde von citro bearbeitet: 24.01.2007, 12:01

[Voyager]

File size: 13312 bytes

Die habsch heute auch bekommen, einige AVs erkennen den schon.

[Gast_Scrapie_*]

Huhu

Hab' mir das Ding mal näher angesehen:

QUELLTEXT

Rechnung.pdf.exe:
Größe =     13.132 Bytes
MD5 =         1a8cfb29e8958cae9ece54b85aa886d5
SHA1 =         015b0da534f8cc00fa60e132f43a72f4c33dd249
Versionsinfo =     CompanyName:        Adobe Systems Incorporated
        FileDescription:    Adobe Reader 7.0
        FileVersion:        7.0.5.2005092300

Erstellt:
Datei =     C:\WINNT\system32\attribd.exe
Größe =     13.132 Bytes
MD5 =         1a8cfb29e8958cae9ece54b85aa886d5
SHA1 =         015b0da534f8cc00fa60e132f43a72f4c33dd249
Versionsinfo =     CompanyName:        Adobe Systems Incorporated
        FileDescription:    Adobe Reader 7.0
        FileVersion:        7.0.5.2005092300
Attribute =     Schreibschutz, versteckt, Archiv

Gelöscht:
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\virus\Rechnung.pdf.exe

Irgendwie ist das Teil komisch.
Nicht richtig lauffähig und total zerschossen. So sieht es zumindest in Olly aus. Nach dem löschen und copy in system32 hängt es unmotiviert im Speicher. Kein Nachladen, nichts. Auch einen event. vorhandenen Timer gibt es nicht, zumindest reagiert es auf einen Fake-Zeitspung nicht.
Entweder ein Unfall / versehentliches versenden, unterwegs zerschossen oder es ist so clever, das es eine VM erkennt und sich hier tot stellt - so sieht es aber unter Olly wie gesagt nicht aus...

Ich persönlich hake es mal unter Datenmüll ab

Scrapie

[Gast_rock_*]

hellooo,...

wenn es norman z.B. nicht kennt... kannst du es in die sandbox schicken...da sollten dann ergebnisse kommen was passieren würde...

erkennt es norman aber dann kommt der name der malware und keine analyse...leider...das find ich ein blödes manko!

[Voyager]

Bei mir in der VM verhält sich das so, der abgelegte Name variiert im System32 bei jedem Rechnung.pdf.exe Start (z.b. amcompatb.exe amstreamz.exe), nach dem Reboot ist es eine Leiche auf der Festplatte.

[Gast_Scrapie_*]

Hi

Drei Sandboxen - Drei Dateien werden erstellt,. Attribute gesetzt und das war's dann auch....


Scrapie

[Voyager]

Es könnte auch ein Manöver sein, bei jeder neuen Infektion mit einem anderen Rechungstrojaner wird eine neue Komponente für die gesamte Backdoor abgelegt

Eben kam eine Rechnung.pdf.zip (exe-größe 16kb)
Infektiöse Elemente:
iptb.exe
bild_album.exe
ipv6monl.dll

Datei: bild_album.exe

AntiVir TR/Drop.Ebill.A gefunden
ArcaVir Keine Viren gefunden
Avast Win32:BZub-BO gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.PWS.Tanspy.M gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.PWS.Tanspy gefunden
F-Prot Antivirus dropper for W32/Gamania.ES gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Spy/BZub gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Win32/Spy.BZub.NCK gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Trojan.DR.BZub.Gen.5 gefunden
VBA32 MalwareScope.Trojan-Spy.BZub.3 gefunden


Der Beitrag wurde von bond7 bearbeitet: 24.01.2007, 19:48

[Rios]

Man siehe.
http://www.pcwelt.de/news/sicherheit/69804/index.html

[Heike]

eine ganze nette *.exe

AntiVir 7.3.0.26 24.01.2007 no ha encontrado virus
Authentium 4.93.8 24.01.2007 no ha encontrado virus
Avast 4.7.936.0 24.01.2007 no ha encontrado virus
AVG 386 24.01.2007 no ha encontrado virus
BitDefender 7.2 24.01.2007 BehavesLike:Trojan.RegistryDisabler
CAT-QuickHeal 9.00 24.01.2007 no ha encontrado virus
ClamAV devel-20060426 24.01.2007 Trojan.Dropper.Delf
DrWeb 4.33 24.01.2007 no ha encontrado virus
eSafe 7.0.14.0 23.01.2007 Win32.QuickBatch.c
eTrust-InoculateIT 23.73.121 24.01.2007 no ha encontrado virus
eTrust-Vet 30.3.3347 24.01.2007 no ha encontrado virus
Ewido 4.0 24.01.2007 no ha encontrado virus
Fortinet 2.85.0.0 24.01.2007 no ha encontrado virus
F-Prot 3.16f 23.01.2007 no ha encontrado virus
F-Prot4 4.2.1.29 23.01.2007 no ha encontrado virus
Ikarus T3.1.0.27 24.01.2007 no ha encontrado virus
Kaspersky 4.0.2.24 24.01.2007 no ha encontrado virus
McAfee 4947 23.01.2007 no ha encontrado virus
Microsoft 1.1904 24.01.2007 no ha encontrado virus
NOD32v2 2003 24.01.2007 no ha encontrado virus
Norman 5.80.02 24.01.2007 no ha encontrado virus
Panda 9.0.0.4 24.01.2007 Suspicious file
Prevx1 V2 24.01.2007 no ha encontrado virus
Sophos 4.13.0 24.01.2007 no ha encontrado virus
Sunbelt 2.2.907.0 22.01.2007 no ha encontrado virus
TheHacker 6.0.3.155 24.01.2007 Trojan/Dropper.QuickBatch.b
UNA 1.83 24.01.2007 Trojan.Win32.Agent.7CDE
VBA32 3.11.2 23.01.2007 no ha encontrado virus
VirusBuster 4.3.19:9 24.01.2007 no ha encontrado virus


Información adicional
Tamaño archivo: 154798 bytes
MD5: e10fc36a1adebdd53a2fd99a4f8cb549
SHA1: a9eba0fb482a74edc29e526c1b3e952687b9bcfd

klicken und freuen, endlich Platz auf der Festplatte.



mal ein Beispiel, wie schön leer Ordner durch win.exe werden, so sah nicht nur dieser Ordner aus. Achso, booten lies sich der PC auch nur mit etwas Aufwand. Test-PC sind schon mal ne feine Sache.

[Voyager]

Heike spricht in Rätzeln , wo ist etwas oder 1 Ordner leer ? !
Ich sehe nur ein Ordner mit einer nrb9u Applikation... vermutlich Malwarebaukasten ?!

[Heike]

auf K: ist der Ordner wie er vor dem Start der *.exe war, G: zeigt das fertige Werk.

da ist der Ordner dann leer, wie eigentlich alle Ordner auf der Festplatte.

[DC01]

Hallo,
eben habe ich eine sehr nette *.exe bekommen:(

Das Betreff: Vielen Dank fur Ihren Einkauf der Videosammlung!

Sehr geehrter Kunde!

Wir bedanken Sie fur Ihren Einkauf der Videosammlung in unserem Intimsalon. 399 euro auf Ihrer Kreditkarte wurden abgebucht. Die Quittung ist in der Anlage beigefugt. Der Artikel wird innerhalb 12 Stunden an Ihrer Adresse geliefert werden.

Wir hoffen, dass Sie viel Spass bei dem Fernsehen haben! Wir wunschen Ihnen frohe Feiertage!

P.S. Wenn Sie ein Rabatt haben mochten, bewahren Sie, bitte, die Quittung.

MfG,
Handelabteilung
der Intimsalon
Neckermann.de




Als Anhang gab es die Empfangsschein.exe (scheint eine Variante zu sein)

Diese wird von KAV 6 und vielen anderen derzeit noch nicht erkannt:(



AntiVir 7.3.0.32 01.26.2007 TR/Dldr.iBill.G.1
Authentium 4.93.8 01.26.2007 W32/Downloader.gen10
Avast 4.7.936.0 01.26.2007 no virus found
AVG 386 01.26.2007 no virus found
BitDefender 7.2 01.26.2007 no virus found
CAT-QuickHeal 9.00 01.26.2007 no virus found
ClamAV devel-20060426 01.26.2007 Trojan.Downloader-682
DrWeb 4.33 01.26.2007 no virus found
eSafe 7.0.14.0 01.26.2007 no virus found
eTrust-InoculateIT 23.73.124 01.26.2007 no virus found
eTrust-Vet 30.3.3352 01.26.2007 no virus found
Ewido 4.0 01.26.2007 no virus found
Fortinet 2.85.0.0 01.26.2007 no virus found
F-Prot 4.2.1.29 01.25.2007 W32/Downloader.gen10
Ikarus T3.1.0.27 01.26.2007 Trojan-Downloader.Win32.Harnig.gen
Kaspersky 4.0.2.24 01.26.2007 no virus found
McAfee 4949 01.26.2007 no virus found
Microsoft 1.2101 01.26.2007 no virus found
NOD32v2 2008 01.26.2007 probably a variant of Win32/TrojanDownloader.Small.DYY
Norman 5.80.02 01.26.2007 no virus found
Panda 9.0.0.4 01.26.2007 no virus found
Prevx1 V2 01.26.2007 no virus found
Sophos 4.13.0 01.24.2007 no virus found
Sunbelt 2.2.907.0 01.26.2007 no virus found
TheHacker 6.0.3.158 01.26.2007 no virus found
UNA 1.83 01.26.2007 no virus found
VBA32 3.11.2 01.26.2007 suspected of Downloader.Harnig.39
VirusBuster 4.3.19:9 01.26.2007 no virus found



Der Beitrag wurde von DC01 bearbeitet: 26.01.2007, 13:49