Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Solution-Design]

VT hat scheinbar reichlich Probleme. Die Links werden nicht mehr gespeichert. Ist wohl seit Gestern so.

[Gast_blueX_*]

Vielleicht sollte man Eset darauf hinweisen. Ich glaube, die sind davon nicht so begeistert.
Auch wann das File an sich keine Malware ist.

[Rios]

Aber der ist ein uriger Trojan Vundo!!
h??p://.www.speed-downloading.com Bei Google an oberster Stelle. ( Vorsicht!!)

Kaspersky meldet sich beim starten.
Panda sieht ihn als verdächtig.

[Voyager]

NAB erkennt während der Installation des Programmes ein verdächtigen Einzelprozess (cwiyk.exe) und löscht ihn samt den Autorun Einträgen , das Anwendungsprogramm selbst (ein offensichtlicher Downloadmanager) bleibt dabei unberührt.

Sonar2 geht hier gleich richtig rabiat vor und recht vorbildlich meines erachtens , es killt gleich den Setup-Installer


http://www.abload.de/img/12kv4.jpg

[Solution-Design]

Sonar2 geht hier gleich richtig rabiat vor und recht vorbildlich meines erachtens , es killt gleich den Setup-Installer

Das war bei dieser Malware auch so http://www.rokop-security.de/index.php?sho...mp;#entry278807 Trotzdem war der Rechner anschließend platt. Selbst bei a-squared (oder auch AntiBot), wobei emsisoft dieses Problem aber in zwei Tagen angegangen ist. Dumm ist jetzt, das NAV die Malware wohl jetzt erkennt und Sonar immer noch nicht vom AV entkoppelt werden kann, um einen solchen Test zu wiederholen.

Der Beitrag wurde von Solution-Design bearbeitet: 14.07.2009, 20:44

[Voyager]

Die haben das Sonar jetzt überarbeitet , nachdem ich schon dutzende Erkennungen mit Sonar2 hatte konnte ich keine Änderungen erkennen die diese Malware in der Regel vornimmt. Es gibt sicher irgendwann Ausnahmen.

Du kannst mich aber gern fragen nach was ich suchen soll nach einer Sonar2 Erkennung.

[Solution-Design]

Teste die Malware aus Beitrag 3720. Aber es darf keine signaturbasierende Erkennung erfolgen. Das ist das Problem dabei.

[Voyager]

Funktioniert nicht, beide werden als Virut desinfiziert . Der Autoprotect schaltet immer Sonar mit Aus.

Du hast doch sicher noch so´n unerkannten Virut , jetzt kannst du mir auch mal ein bösen Email Anhang schicken

[Voyager]

Symantec hat das Speed Download Objekt aus RIOS´s Posting als virenfrei markiert , haben die irgend einen Prozess gegen Spywareklitschen verloren !?

Mal schauen was die dazu sagen http://community.norton.com/norton/board/m...id=61368#M61368

[Solution-Design]

Jens,
kannst nicht in der Signaturdatenbank neue Sigs löschen?

[Voyager]

Jetzt rollt die neue Welle von Rootkits an , die sind gegen GMER immun.

http://www.virustotal.com/de/analisis/9d15...7559-1247674776

Gmer schnallt hier garnichts das ein Rootkit auf dem PC ist.

http://www.abload.de/img/31veq1.jpg

Combofix dagegen findet es.

http://www.abload.de/img/3tf6i.jpg

Dumm nur das die (möchtegern)Gurus im Norton Hilfe Forum wenig von Combofix halten.

[Rios]

Voyager, kannst den mal genauer ansehen, Kasperle lässt mich nicht ran. Vtt wäre Interessant?

[Voyager]

Das Teil verhält sich ruhig und macht einen auf Toter Mann , aus dem Grund reagiert NAB bisher auch noch nicht trotz miserablen Verhaltens der Malware.


http://www.abload.de/img/1c5lr.jpg

Mit Sonar2 sieht die Sache schon besser aus , das wird der Brüller ende des Jahres.


http://www.abload.de/img/1u3xm.jpg

Und Uwe , die Ausverkauf.exe hat nichts angelegt , hab nachgesehen.

[Julian]

Das kommt mit HIPS raus:



Edit: Ups, das letzte Teilbild im ersten Bild ist falsch: Da sollte eigentlich stehen, dass ausverkauf.exe winupdate.exe startet.

Der Beitrag wurde von Julian bearbeitet: 15.07.2009, 18:21

[Voyager]

Ähh Julian , mach mal eine Umfrage welches Programm die User nutzen würden mit dem Bild-Beispielen der Ausverkauf.exe , eine Umfrage zwischen Comodo und NIS2010 . Ich glaub die würden dich eher verprügeln wenn man dort 20x klicken muss um das Ding loszuwerden

[Solution-Design]

a-squared meldet auch ein seltsames Verhalten. Jetzt müssen die emsi-Programmierer nur noch dazu überredet werden, dass da als Standard Blockieren ausgewählt wird. So ist es nämlich absoluter Kappes. Ein Klick, und das System ist hin.



Edit: ld-host.de hat seit längerer Zeit starke Server-Probleme. Da ist ja imageshack eine Rakete gegen.

Der Beitrag wurde von Solution-Design bearbeitet: 15.07.2009, 18:49

[Voyager]

Die Erklärung bei der a-squared Meldung ist auch mal völlig Lau , das Teil patcht hier weder Prozesse noch machts Codeinjection, auf sowas würde Antibot reagieren.

[Rios]

Danke euch für das Feedback:)

[Julian]

Ähh Julian , mach mal eine Umfrage welches Programm die User nutzen würden mit dem Bild-Beispielen der Ausverkauf.exe , eine Umfrage zwischen Comodo und NIS2010 . Ich glaub die würden dich eher verprügeln wenn man dort 20x klicken muss um das Ding loszuwerden

Deswegen verhält sich diese Malware hier trotzdem nicht ruhig

[Voyager]

@Julian

Das letzte Bild was du aus deiner Comodo Sammlung beanstandest ist übrigens korrekt , die Winupdate.exe greift nochmal auf die ausverkauf.exe zu und lädt diese in den Speicher , wir haben jetzt also 2 Instanzen dieser Ausverkauf.exe im Speicher . Schau mal wieviel ausverkauf.exe Instanzen das Sonar2 beendet hat.
http://img1.abload.de/img/1u3xm.jpg
Richtig , zwei.