Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Deren Einfallsreichtum ist noch lange nicht zu Ende.

[citro]

Gala-Player setup.exe

Avira schreibt:

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as TR/Dldr.Agent.jae

KAV: no malicious code

Hat sich nicht viel getan:

[Gast_Scrapie_*]

Hi

FP oder nicht - das ist hier die Frage: *Klick*

DL Sample: w*w.megaupload.com/de/?d=MA41H8VX
PW = bioland
=> Auf eigene Gefahr <=

Scrapie

[citro]

Auch ein FP oder nicht ?

filewatcher: hxxp://www.filewatcher.com/m/nc.exe.59392.0.0.html

http://www.virustotal.com/de/analisis/c416...02e3f380ce28f16

Der Beitrag wurde von citro bearbeitet: 09.11.2008, 23:53

[chris30duew]

@citro

sorry wenn ich das jetzt net versteh warum du das für n FP hälst oder nachfragst. Bei ner Erkennung von 24/36

[citro]

@citro

sorry wenn ich das jetzt net versteh warum du das für n FP hälst oder nachfragst. Bei ner Erkennung von 24/36

Na eben eine Riskware (?), kein wirklicher Schädling ?

[Gast_Scrapie_*]

Hi

NetCat ist ein mächtiges Werkzeug.
Kann teilweise auch versteckt bedient werden und fällt wohl bei den AV's in die selbe Liga wie Ultr@VNC, Smartsniff und diverse andere, nützliche, Tools von Nirsoft & Co. Ach was red' ich, steht doch alles oben verlinkt bei Wikipedia

Scrapie

[chris30duew]

ja ok, aber sorry n FP ist doch mal was ganz anderes. n FP ist die Falsche Erkennung einer SAUBEREN datei. Es ist doch ausserdem vollkommen ok das malware UND Riskware gemeldet werden

[Voyager]

Wo ist heute noch ein Unterschied zwischen Riskware und Schädling ? Beide sind auf das dicke Geld aus.

[Gast_Scrapie_*]

Wo ist heute noch ein Unterschied zwischen Riskware und Schädling ? Beide sind auf das dicke Geld aus.

NetCat ist Freeware und OpenSource
Wie so oft im Leben gibt es nicht nur Schwarz und Weiß.
Finde daher die Bezeichnung "Not_a_virus:RemoteAdmin." sehr fair und gelungen

Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 10.11.2008, 00:16

[citro]

ja ok, aber sorry n FP ist doch mal was ganz anderes. n FP ist die Falsche Erkennung einer SAUBEREN datei. Es ist doch ausserdem vollkommen ok das malware UND Riskware gemeldet werden

Als Backdoor, Hacktool, Malicious Software usw. wird NetCat von versch. AVs gemeldet.

Not a Virus: RemoteAdmin oder Riskware geht eher in Ordnung...oder nicht ?

Danke @Scrapie für den Wiki-Link, kenne ich, deshalb habe ich nc.exe auch mal bei VT hochgeladen und die Frage gestellt.

[Voyager]

Wieder eine nette Ecard bekommen
????://zonzamas.info/ecard.exe

Wird überwiegend heuristisch/generisch erkannt.

http://www.virustotal.com/de/analisis/6512...98505999fec4c44

Auch mit der Norton Heuristik

Behobene Bedrohungen:
Suspicious.AH.41
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\1\ecard.exe - Gelöscht

[chris30duew]

was mich halt immer stört oder was ich schade finde ist, das die heuristik von norton immer nur bei on demand aktiv wird und heuristisch was findet. grad nun auch diese ecard.exe
warum wird denn diese ja sehr gute heuristik nicht auch on access verwendet? wegen der drohenden geschwindigkeitsverluste?

[Gast_Xeon_*]

Wieder eine nette Ecard bekommen
????://zonzamas.info/ecard.exe

Ist das Ding überhaupt lauffähig, ich bekomme bei Versuch die .exe zu starten eine Fehlermeldung.
Auch sonst ist, nach der Ausführung, nichts "bösartiges" in der VM auf den ersten Blick zu erkennen.



Der Beitrag wurde von Xeon bearbeitet: 11.11.2008, 22:19

[chris30duew]

hm
vill ist das wieder nur so ne fakemeldung das es nicht läuft oder lauffähig ist, aber doch im hintergrund was macht...

[Gast_Xeon_*]

hm
vill ist das wieder nur so ne fakemeldung das es nicht läuft oder lauffähig ist, aber doch im hintergrund was macht...

Hab ich mir auch gerade gedacht, aber auch am Hijack This Log kann man nichts unrechtes erkennen.

[Voyager]

@Xeon

Das Ding schiesst scharf Die Meldung ziehlt darauf ab das der User glaubt die Ecard wäre defekt aber die DLL wird gerade als Winlogon Erweiterung installiert (wenn dies keiner aufhält).




Edit:

aber auch am Hijack This Log kann man nichts unrechtes erkennen.

Vorsicht ! das Ding bringt eine SYS mit , das könnte ein Rootkit-Treiber sein und dieser verbirgt die Infektion vor deinen Augen.

Ich hoffe du hast kein Produktivsystem verwendet sonst bin ich noch schuld wenn ich die URL öffentlich gemacht hab , sollte ein Admin vll. entfernen.

Der Beitrag wurde von bond7 bearbeitet: 11.11.2008, 22:37

[Gast_Xeon_*]

Ich hoffe du hast kein Produktivsystem verwendet sonst bin ich noch schuld wenn ich die URL öffentlich gemacht hab , sollte ein Admin vll. entfernen.

War ne VM.

[Gast_Scrapie_*]

Hi

Vielleicht VM-Erkennung?

@bond:
Kannst du mir das File mal wo hochladen?
Ich schau heute Abend mal nach der VM-Erkennung...


Gruß,
Scrapie

[dragonmale]

@bond:
Kannst du mir das File mal wo hochladen?

Falls du dieses Teil hier

????://zonzamas.info/ecard.exe

meinst -> der Link funktioniert