Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Julian]

@ Julian
Hast du das file gestartet oder gescannt ?

Nur gescant.
Wie gesagt: Selbst auf niedrigster Heuristikstufe wird es bei mir erkannt.

vll liegts daran das Julian die neue Beta Heuristik verwendet, die ja noch nicht final ist, und Nightwatch die aktuelle in KAV. Könnte das sein? denn die neue emulator Heurisitk scheint ja wie Julian immer wieder sagt sehr gut zu sein.

Ich verwende die regulären Updatequellen und damit die Heuristik, die Nightwatch und Domino auch haben sollten.

[Domino]

Schick mir doch bitte "deine" Setup.exe



Domino

[Julian]

http://rapidshare.com/files/178787205/setup.7z.html
Das Passwort ist üblich

[Gast_blueX_*]

Schonmal die Checksummen überprüft? Vermutlich sind es zwei verschiedene Files?!

[Solution-Design]

https://www.virustotal.com/de/analisis/7175...f0983fda01a17f1
hxxp://www.bspltools.com/download.php?id=1909

Man bedenke, Sonar erkennt verdammt viel, die Desktop-Firewall den Rest. Sol heißen, dass WEB-Sites blockiert werden, obwohl für die auf der Site vorhandene Malware noch keine Signatur existiert. Eigentlich ist es völlig egal, welches Schutzmodul greift, Hauptsache überhaupt eines.

Hatte vor einigen Stunden noch der http-Signaturscanner der Desktop-Firewall die Malware erkannt (Sonar sowieso), so erkennt Symantec die Malware nun auch über die Heuristik. Ein Zeichen mehr, dass rein signaturbasiertes Erkennen nicht mehr ausreicht.



PS: Der Link funktioniert noch, die Malware auch

[Julian]

Schonmal die Checksummen überprüft? Vermutlich sind es zwei verschiedene Files?!

Ich hatte aber auch verschiedene Varianten geladen, alle wurden mit der Heuristik erkannt.
Mal gespannt, was Domino oder Nightwatch melden werden.

[Gast_Nightwatch_*]

http://rapidshare.com/files/178787205/setup.7z.html
Das Passwort ist üblich

Herzlichen Dank für´s sharen, Julian! In der Tat...Deine setup.exe wird auch hier erkannt. Die andere, die ich von der Website heruntergeladen hatte, weiterhin nicht.


Gruß,
Nightwatch

Der Beitrag wurde von Nightwatch bearbeitet: 01.01.2009, 21:05

[Julian]

Dann gibt es also Varianten, die nicht erkannt werden.
Schitte...

[Nemo]

Jetzt gibt es auch 'ne Signatur für das kleine Vieh: trojanisches Programm Trojan-Downloader.Win32.Zlob.atbz (KIS 7.0.0.125, Signaturen von 20:17)

[Solution-Design]

Ikarus erkennt das Teil immer. Symantecs Sonar reagierte bisher auch perfekt:


Gleichzeitig wird ein Eintrag in die Desktop-Firewall erstellt




Wenn keine Firewall vorhanden, wie beim reinen AV

Norton AntiBot meldete diesmal nichts. Das Ding wird regelmäßig geändert.

[Rios]

Codec!!





KAV erkennt es noch nicht. Mal sehen, wie lange die anderen brauchen.

[Solution-Design]

NIS blockt die Seite als Fake Codec. Ikarus und NAV können aber nichts mit der Datei anfangen.

Edit: Nach Ausführen wird eine "bits.dll" in AppData/Roaming/Microsoft erstellt, welche von NAV gefunden wird. http://www.virustotal.com/de/analisis/5e09...6a46dbf057c80d5

Der Beitrag wurde von Solution-Design bearbeitet: 03.01.2009, 10:42

[Rios]

Hängs't dich ja schon wieder mächtig in's Zeug.

[Rios]

wmcodec_update.exe_ - Trojan.Win32.Agent.bcsg, Kaspersky Lab.

Der Beitrag wurde von Rios bearbeitet: 03.01.2009, 12:49

[Julian]

Bei mir noch keine Erkennung, beim Start kommt allerdings das:

[Rios]

CC Setup.exe hier!!
VTT

[Julian]

https://www.virustotal.com/de/analisis/ff21...5fc2a68362360ad
hxxp://www.bspltools.com/download.php?id=1100

Fake-Codec

Bevor KAV eine Signatur hatte, wurde es mit der Heuristik erkannt

Habe schon mit der Download-ID etwas rumgespielt, neue Varianten hat es leider nicht ausgespuckt.

[Rios]

Julian,

http://www.virustotal.com/de/analisis/2fd9...17b9cf5b2e6d956

[DonQuijano]

Julian und Rios
http://www.virustotal.com/de/analisis/f9e8...788ee78527a713a
http://www.threatexpert.com/report.aspx?md...a6a172c23143e94

[Solution-Design]

CC Setup.exe

http://securityresponse.symantec.com/secur...-013111-5717-99 So viel zur VirusTotal-Erkennung

Der Beitrag wurde von Solution-Design bearbeitet: 03.01.2009, 19:19