Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

KIS erkennt auch mit Heuristik ect. nichts.

NIS steht gut da.

Behobene Bedrohungen:
Suspicious.AH.42
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\1\flash_update.exe - Gelöscht

[Julian]

NIS steht gut da.

Muss mich korrigieren: KIS auch.
Es wird ein Programm gedropt und gestartet, danach wird der Installer gelöscht. KIS warnt bei dem gedropten Programm.

[Voyager]

Du hast das jetzt auf einem Produktivsystem gestartet nur um nicht schlechter dazustehen ? Man kanns auch übertreiben .

[Gast_kurz-pc_*]

Ist das wieder so eine Variante die VM erkennt und sich dann sofort löscht?

[Julian]

Du hast das jetzt auf einem Produktivsystem gestartet

Du reimst dir wieder mal einen Stuss zusammen, dass es zum Kotzen ist...
[attachment=4326:vm.jpg]

nur um nicht schlechter dazustehen ?

Gaga...

Man kanns auch übertreiben.

@kurz-pc:
Offenbar nicht...

[Voyager]

@kurz-pc

Das Ding läuft , Norton Antibot scheint aber irgendwie zu schlafen trotz eindeutiger Hinweise . Ich vermute mal das sichtbare Fenster hat die Verhaltensanalyse in die falsche Tendenz gezwungen.



Manuell Entfernt über NAB



Bei NIS wirds erst im Quick-Scan erkannt.



@Julian

sags doch gleich das du eine VM nutzt , solche Mißverständnisse passieren eben wenn andere Leute zu faul sind ein kompletten Satz zu schreiben.

Der Beitrag wurde von bond7 bearbeitet: 15.11.2008, 16:16

[Gast_kurz-pc_*]

@kurz-pc

Das Ding läuft , Norton Antibot scheint aber irgendwie zu schlafen trotz eindeutiger Hinweise . Ich vermute mal das sichtbare Fenster hat die Verhaltensanalyse in die falsche Tendenz gezwungen.

Was mich halt wunder das die Online Sandbox Auswertungen so unterschiedlich sind.

http://www.threatexpert.com/report.aspx?md...06d836b757fa9f3
http://www.cwsandbox.org/?page=report&...;password=gytcc
http://anubis.iseclab.org/?action=result&a...amp;format=html

[Voyager]

Als ich das Flash-Fake zum ersten mal gestartet hatte da konnte ich einen Prozess names Tinyproxy.exe finden , die URL schien jedoch beim 2ten Aufruf offline gewesen zu sein . Danach war eine URL Online die den Prozess Bolivar25 geladen hatte , mittlerweile ist eine URL Online die den Prozess FB25 lädt. h??p://79.132.211.50/fb/first.php , es ist wieder derselbe Prozess.

Daher kommen die Webseiten auf deinen Links auch zu unterschiedlichen Auswertungen.

Die Virenschreiber wissen das man ihre Adressen auf dem der Schadcode liegt schnell abschaltet von daher legt man seit längerer Zeit immer Reserven unterschiedlicher Art an , entweder Festadressen oder Adressen auf P2P Technik.

Der Beitrag wurde von bond7 bearbeitet: 15.11.2008, 17:16

[Gast_Nightwatch_*]

Hallo

Hab nur ganz kurz Zeit, das Ergebnis von FSAV 2009 von dem Malware-Set von Julian zu posten.
Ich weiß nicht genau, was F-Secure gescannt hat, denn die Dateimenge stimmt nicht annähernd mit der Sample-Menge überein. Deswegen lassen sich leider auch keine Prozentzahlen errechnen.
Hatte zu wenig Zeit, das genauer unter die Lupe zu nehmen.

Ergebnis:



Gruß,
Nightwatch

[Gast_Scrapie_*]

Hi

Selbes Set von oben:

QUELLTEXT

----- scan results -----
directories:        1
       files:     4670
      alerts:     4632
  suspicious:        2
    repaired:        0
     deleted:        0
     renamed:        0
   scan time: 00:10:23
--------------------------
Thank you for using AntiVir

QUELLTEXT

AVZ v4.30
Files scanned: 4910
extracted from archives: 81
malicious software found 229
suspicions - 264

Danke @ Julian

Der Beitrag wurde von Scrapie bearbeitet: 16.11.2008, 20:12

[Gast_kurz-pc_*]

key_gen.exe Result: 9/36 (25%)

http://www.virustotal.com/analisis/2a66931...3c4253a93b4da5e

http://anubis.iseclab.org/?action=result&a...amp;format=html
http://www.threatexpert.com/report.aspx?md...8d1cc962c37772e

Is protected with Themida in order to prevent the sample from being reverse-engineered. Themida protection can potentially be used by a threat to complicate the manual threat analysis (e.g. the sample would not run under the Virtual Machine).

Ist so eine Erkennung neu bei threatexpert? Sehe so was heute zum ersten mal bei threatexpert.

[dragonmale]

@markus17,
es ist zwar jetzt etwas OT, aber mich persönlich würden diesbezüglich

Mit Rar komme ich auch auf nicht ganz 30mb

ich hab Winrar 3.8, aber bei mir kommt das fertige Archiv auf 44%

einmal deine WinRAR-Einstellungen interessieren, denn ich hatte im Bekanntenkreis kürzlich einen ähnlichen Fall, welchen man aber leider (System wurde durch Neustart zurückgesetzt) nicht mehr rekonstruieren konnte.

Edit:
Mit WinRAR bekomme ich diese 2373 Dateien (eine dazu gekommen?), von 66 MB auf 267 KB und mit anderen Packern, wie WinRK, WinAce, 7-Zip, Squeez und WinUHA (hier hat dann die Datei sogar nur noch 85,7 KB) z.B. funktioniert dies übrigens ebenso -> nur kann dann leider kaum ein Scanner mehr etwas mit dieser Datei anfangen.
Bei Virustotal sieht dies, mit o.g. Paket, im Moment dann so aus:
gepackt mit WinRAR = 16/29
gepackt mit WinAce = 7/34
gepackt mit 7-Zip = 5/35
gepackt mit WinRK = 0/35
gepackt mit WinUHA = 0/35
gepackt mit Squeez = 0/35

Der Beitrag wurde von dragonmale bearbeitet: 18.11.2008, 02:25

[Solution-Design]

Solid-Archiv wahrscheinlich

[Julian]

So ein Zeug gibts ein Asien wohl häufiger:
http://www.virustotal.com/de/analisis/3ff2...ccd97e69b085182

Ein World of Warcraft Account-Stealer

[Gast_Nightwatch_*]

Ein World of Warcraft Account-Stealer

Kaspersky und F-Secure haben in den letzten Tagen viele "GameThief-Varianten" eingepflegt. Liegt vielleicht an dem Addon-Release. meine Arbeitskollegen sind seit 7 Tagen total "busy" (oder wie nennt man das ?) .

Der Beitrag wurde von Nightwatch bearbeitet: 20.11.2008, 00:33

[Rios]

Seite führt zu einen Fake Player. Er hat was dagegen.

Gegen den Player selbst allerdings noch nicht (noch)

[Voyager]

Hast du die Adresse gelöscht ?

[Julian]

Recht ordentliche heuristische Erkennung:
http://www.virustotal.com/de/analisis/a42f...64646eafa809771

KIS findet nur mit Betaheuristik was:
[attachment=4344:betaheur.jpg]

[olli]

Recht ordentliche heuristische Erkennung:
http://www.virustotal.com/de/analisis/a42f...64646eafa809771

KIS findet nur mit Betaheuristik was:
[attachment=4344:betaheur.jpg]

Wiso Betaheuristik Ich dachte, die wäre in der .506 integriert?

Bis denne
Olli

[Julian]

Wiso Betaheuristik Ich dachte, die wäre in der .506 integriert?

Nein, die Heuristik wird unabhängig von den 8er Versionen geupdatet, man wird sie aber wohl in naher Zukunft über den Updater bekommen.