Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Einer findet zumindestens etwas nichtkoscheres an der Suchtoolbar die spamartig über Suchmaschinenspam verbreitet wird.
http://www.virscan.org/report/981eab2e2081...3d8c3f92b4.html

[Gast_Aymibien_*]

gibt es eigentlich mehrere ask toolbars ? es gibt eine ähnlich yahoo oder google, und es gibt eine über die es viele böse berichte im internet gibt , oder ?

[Gast_blueX_*]

Einer findet zumindestens etwas nichtkoscheres an der Suchtoolbar die spamartig über Suchmaschinenspam verbreitet wird.
http://www.virscan.org/report/981eab2e2081...3d8c3f92b4.html

Das dürfte ein False Positive sein ...

[Rios]

Wäre mal Interessant, das Teil in der sicheren Umgebung zu starten. ( KIS ) ich bin noch nicht soweit.
h??p://contraviro.com Erkennung momentan ungenügend, also Vorsicht!!

[Voyager]

NAB wirft die gesamte FakeAV Install (19 Dateien) raus wegen "registriert ein BHO" , Windows Defender meldet auch Erkennung bei der ContraviroInstall.exe und dem BHO.

Norton wirft das BHO über den Autoprotect raus, der FakeAV läuft aber noch. Gdata meckert bei einer Verknüpfung während des ContraviroInstall.exe Start , hier muss man den Vorgang aber von Hand anhalten. Wenn man auf Erlauben (default) drückt wird nichts weiter erkannt.

Der Beitrag wurde von Voyager bearbeitet: 24.06.2009, 19:52

[Rios]

Reaktion Kaspersky, not-a-virus:FraudTool.Win32.Delf.i

[Julian]

KIS ohne Signatur vor dem Start:

[markus17]

Gdata meckert bei einer Verknüpfung während des ContraviroInstall.exe Start , hier muss man den Vorgang aber von Hand anhalten. Wenn man auf Erlauben (default) drückt wird nichts weiter erkannt.

Yep, direkt nach dem Start des Samples kann man es in Quarantäne verschieben lassen. Hier bin ich immer noch dafür, dass die Quarantäneoption als Standard angeführt wird und bis jetzt ist mir auch noch kein gutes Programm untergekommen, bei dem G Data die Quarantäneoption anbietet. Sobald der Nutzer gefragt wird, besteht natürlich immer die Möglichkeit, dass er sich für die falsche Option entscheidet.

*edit*
@ Julian
Kann man dies Meldung von KAV eigentlich mit der Windowsmeldung "unbekannter Herausgeber" vergleichen? Ich denke mal, dass viele Programme, gerade Freeware, oft nicht signiert sind.

Der Beitrag wurde von markus17 bearbeitet: 24.06.2009, 20:55

[Rios]

Jetzt aber Hallo!!

[olli]

Jetzt aber Hallo!!

Ja, das ist doch mal eine gute Reaktion

Bis denne
Olli

[Voyager]

bekommt man da etwas mehr Informationen aus welchem Grund der Installer als gefährliches Programm eingestuft wurde oder ist das Fenster alles ?

[Julian]

*edit*
@ Julian
Kann man dies Meldung von KAV eigentlich mit der Windowsmeldung "unbekannter Herausgeber" vergleichen? Ich denke mal, dass viele Programme, gerade Freeware, oft nicht signiert sind.

Eher nicht, denn die besagte Windows-Meldung kommt ja bei jedem heruntergeladenen, nicht signiertem Programm. KIS bringt so eine Meldung, wenn es meint, dass die Datei verdächtig aufgebaut sei (geht auf AVZ-Skripts zurück). Dass eine gültige Signatur fehlt, macht eben das Programm nicht weniger verdächtig
Wenn der User auf "Ja" klickt, muss nicht unbedingt alles verloren sein. Kann dann sein, dass es später durch den proaktiven Schutz, die neue Cloud oder in Einzelfällen auf XP 32 durch das HIPS (z.B. bei den TDSS-Rootkits) geblockt wird. Manchmal bringt KIS auch noch mal das selbe Pop Up wie oben, wenn es meint, dass sich "ein Program verdächtig verändert habe", was auch immer man sich darunter vorstellen kann.
Bei Rios' Screenshot sieht man leider die schlampige Original-Übersetzung. Eigentlich sollte da der Text aus dem Pop Up, was ich oben gepostet habe drin stehen, auch wenn Rios das Programm in der Sandbox gestartet hat. Abhilfe schafft die alternative Übersetzung von SebastianLE aus dem Kaspersky-Forum.

[olli]

Kann jemand mal das Sample in einer VM mit BitDefender starten? Mich würde mal die Wirkung des Behavioralblockers interessieren (Achtung: der ist per Default) ausgeschaltet.

Bis denne
Olli

[Julian]

Auch nett:
http://www.virustotal.com/de/analisis/7b8e...2041-1245953587

Und dafür installiert man sich eine Systembremse? Am besten noch mit Archiv-Scan beim Guard

[Rios]

Potentiel unerwünschte Programm
Vtt
h??p://adware-professional.com
In sicherer Umgebung mit KIS gestartet, und als nicht nützlich erkannt!

[Rios]

Bandit!!
h??p://.eshymkent.cn/setup_tube.exe Vorsicht!!

[olli]

Liegt das mal wieder an vtt, das laut vtt Kaspersky nichts erkennt? Der Screenshot sagt ja was anderes. Obwohl. Ist das die Meldung von Web-Antivirus oder Datei-Antivirus? Sieht mir nach letzterem aus. Da hätte doch der Web-AV eher anschlagen müssen, oder?

Bis denne
Olli

Nachtrag:

Habe es gerade mit Opera getestet. Der Web-AV meldet sich und verbietet den Zuzgriff. Anschließend meldet sich der Datei-AV, dass in Opera-Cache sich ein Schädling befindet. Wie ist der dahingekommen? Immerhin sollte KIS doch den Zugriff auf die Datei verbieten. Und die Statisitk übertreibt auch. Mit einem Schlag habe ich nun 31 Viren gehabt...

Bis denne
Olli

Der Beitrag wurde von olli bearbeitet: 28.06.2009, 21:08

[Solution-Design]

Jeck, wie gut Morro darauf anspringt und alle andereneben nicht.

a-squared erkennt es beim Ausführen, nicht beim Scan. Mal wieder...

Der Beitrag wurde von Solution-Design bearbeitet: 28.06.2009, 21:53

[Voyager]

NIS 2010 erkennt mit dem Sonar das Setup_Tube.exe .

[markus17]

Gerade habe ich einen angeblichen Crack auf einem PC gefunden ... sehr schön was da mit dem PC passiert ist. ^^

- G Data erkennt noch nichts, außer bei einem der beiden Files eine Änderung an der Hosts Datei, wobei ich noch nicht herausgefunden habe, was wirklich daran geändert wurde. Sieht in der VM normal aus.
- Norton Antibot erkennt und löscht die Gefahr, wobei ich mir nicht sicher bin ob alles weg ist. Nach einem Neustart werden eine benutzername.exe und noch etwas (gerade vergessen, habe gestern getestet ) beseitigt. Dann möchte sich die Malware wieder selbst starten, wodurch Antibot auch noch eine gewissen 8.tmp Prozess beendet.
- Kann wer Sonar testen? Eventuell auch in der Version 2010.

In der Sandbox lässt sich das Teil nicht starten und wenn ich es in der VM ausführe, dann sieht man im Taskmanager noch eine reader_s.exe. Aus diesem Grund weiß ich nicht genau, ob Antibot wirklich alles entfernt hat.

Von dem ganzen habe ich 2 Versionen gefunden:
http://www.virustotal.com/analisis/4767e82...06ce-1246367266
http://www.virustotal.com/analisis/4fddd77...438e-1246367277


Die Files sind im Anhang. Passwort gibts per PN oder ihr ratet.

Der Beitrag wurde von markus17 bearbeitet: 30.06.2009, 14:16