Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Julian]

hmm ok bei dir ist NAB sowieso Ungenau und sowieso Fehlalarm verdächtig , das wiederholst du zwar oft

Fast richtig, aber trotzdem bewusst falsch ausgedrückt...
Mach mal das "NAB" weg und setz dafür "Verhaltensblocker" ein

aber es wird dadurch nicht richtiger.

Nett wie eh und jeh...

Das Teil um was es hier geht ist ein Downloader der ungefragt Schadsoftware ins System installiert , das ist bitte schön gefährlich genug , da gibt es auch nichts daran zu diskutieren ob man den Downloader erkennen sollte oder nicht. Kaspersky liegt hier falsch und Avira richtig.

Ich seh schon, du hast das Teil auf Codebasis auseinandergenommen...

[citro]

gibts hier:
hxxp://load.galaplayer.com/index.php?go=download

Den Link kenne ich mittlerweile und die Datei ist es nicht - ich habe den fake Player per POPup aufgefangen.

edit: kleine Unterschiede in der Dateigröße

Der Beitrag wurde von citro bearbeitet: 05.11.2008, 19:39

[Julian]

Es scheinen aber beide Programme das Gleiche zu machen.

[Voyager]

In der VM mit XP und NIS09 diesen galaplayer reininstalliert wird erkannt das alle 4 Prozesse auf den Internetexplorer zugreifen (Codeeinschleussung) , erkannt wird vom AV oder Sonar bis dato noch nichts , allerdings ein folgender Scan ergibt das Ergebnis.

Behobene Bedrohungen:
AH.Farfli.1
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Virus
Status: Neustarten erforderlich
-----------
2 Registrierungseinträge
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run->Store file readme bash - Gelöscht
HKEY_USERS\S-1-5-21-583907252-1202660629-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Run->Send new - Gelöscht
4-Dateien
c:\dokumente und einstellungen\all users\anwendungsdaten\city about store file\fast bat.exe - Neustarten erforderlich
c:\dokumente und einstellungen\jens\anwendungsdaten\4 mail\dent seek.exe - Gelöscht
c:\dokumente und einstellungen\jens\anwendungsdaten\4 mail\linkpilesoftware.exe - Gelöscht
c:\windows\tasks\ab070fc69180858e.job - Gelöscht

Möglicherweise ist der springende Punkt hier die Heuristik, da diese erst beim manuellen Scanner greift. Das Kürzel AH im Virusname erhärtet das noch.

Der Beitrag wurde von bond7 bearbeitet: 05.11.2008, 19:52

[citro]

Es scheinen aber beide Programme das Gleiche zu machen.

Man sieht aber, dass zB Malwarebytes unterschiedlich reagiert.

@bond7: haste meine PM wegen der >Datei bekommen ?

[Voyager]

@Citro

Die weichen nur ein paar Bytes voneinander ab aber ist dasselbe , auch nurn dreckiger Downloader der das Gelumbe Online zieht.

[Gast_Xeon_*]

http://www.megaupload.com/?d=F3IBXNSG

Das ganze mal mit der ESS geprüft:

Beim starten der "Mahnung.scr", die (vorerst) nicht erkannt wird, reagiert NOD32 folgendermaßen.
Zuerst wird in Temp ein Fake Alert Wurm erkannt.....



Kurze Zeit später, wird ein Trojaner erkannt und die "Mahung.scr" ebenfalls komplett entfernt, eine Infektion kommt hier nicht zu stande.


Gruß Xeon

Der Beitrag wurde von Xeon bearbeitet: 05.11.2008, 20:10

[Gast_Xeon_*]

Der Galaplayer-Installer hat zumindest eine digitale Signatur, was bei Rougeware oft darauf schließen lässt, dass das Programm wohl doch nicht so bitter böse ist und zumindest nicht aktiv Schaden am System anrichtet.

Test mit ESS:

Und zwar läßt sich der "Player" installieren, etwas nachladen kann er dann aber nicht denn.....


(Automatik Modus)

Der Beitrag wurde von Xeon bearbeitet: 05.11.2008, 20:10

[rolarocka]

@Xeon
Die mahnung.scr wird nicht erkannt aber trotzdem entfernt? Das sieht ja fast nach einem behaviour blocker aus.

[Gast_Xeon_*]

@Xeon
Die mahnung.scr wird nicht erkannt aber trotzdem entfernt? Das sieht ja fast nach einem behaviour blocker aus.

Ja so ist es, die mahnung.scr wird dann gleich mit entfernt.

Der Beitrag wurde von Xeon bearbeitet: 05.11.2008, 20:23

[rolarocka]

Sorry dass ich nochmal nachfrage aber war das bis jetzt bei Nod3 immer so und ich habs bisher nicht gemerkt? -.-

Der Beitrag wurde von rolarocka bearbeitet: 05.11.2008, 20:32

[Gast_Xeon_*]

Sorry dass ich nochmal nachfrage aber war das bis jetzt bei Nod3 immer so und ich habs bisher nicht gemerkt? -.-

Keine Ahnung ob das immer so ist...

[markus17]

Gala-Player setup.exe

Avira schreibt:

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as TR/Dldr.Agent.jae

KAV: no malicious code

Auf VT findet noch keiner was.

Von Kaspersky bekomme ich in letzter Zeit auch oft die Meldung "no malicious code".

[Rios]

Zufällig in einem anderen Forum über ein Problem gelesen. Habe es mir dann selbst mal angesehen. Das Problem ist der Flash Player,
Schritt 1 dementsprechende Seite aufrufen,
Schritt 2 dann kommt das

vorher wurde ich weis nicht mehr genau nochmal auf diese Seite umgeleitet.
Der nächste Schritt, dann kommt das

bei klick, lädt man dann die exe herunter.
Ergebnis
VirusTotal

Avira Alarm

[Gast_Scrapie_*]

Hi

Aussenseitererkennung

DrWeb auf einsamer Flur


Samples via PN,
Scrapie


//EDIT_1
Noch ein Exot in Sachen Erkennung


/EDIT_2
Und noch ein alter-neuer Fake-AV: *Klick*

Der Beitrag wurde von Scrapie bearbeitet: 07.11.2008, 22:17

[Julian]

Starke heuristische Erkennung
Nicht ganz so sehr, aber immerhin

Kaspersky erkennt ersteres bei mir in Zusammenspiel mit Heuristik und Signatur.

Edit: Wer selber testen will, gerne PM an mich.

Der Beitrag wurde von Julian bearbeitet: 07.11.2008, 23:35

[Gast_Scrapie_*]

Morgäähn

Ergebnis: 5/35 (14.29%) - Symantec nennt das Kind beim Namen: *Klick*

*frühstückmachenjetzt*

[Solution-Design]

Link?

[Gast_Scrapie_*]

Link?

Kannste per PN haben.
Dort wird wohl jede Stunde ne neue Variante hochgeladen: *Klick*


Scrapie

[Solution-Design]

Dort wird wohl jede Stunde ne neue Variante hochgeladen: *Klick*

Tja, scheint so. Im Moment wieder down. http://www.aladdin.de/ scheint sich darauf eingeschossen zu haben, bei allen anderen ist das eher Prinzip Zufall mit der Erkennung.