Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Ich sollte hier eines klar stellen. Es ist einer!! Diesbezüglich eine Mail von Kaspersky Lab.
Trojan.Win32.FraudPack.poy
Offensichtlich kam da mit der Eingabe von blueX irgendwas durcheinander.

[Gast_blueX_*]

In der von mir eingereichten Submission sagte man, dass es nichts sei.

[Gast_blueX_*]

Nochmalige Rücksprache:

W32/FraudPack.POY!tr

Obwohl man nicht begeistert davon ist. Es handelt sich um ein Net-Paket-Filter. Zumal sich die ganze Software sogar deinstallieren lässt.

[Voyager]

@blueX

Von was war man nicht begeistert , das du nachgebohrt hast und der Techniker mit runtergezogenen Hosen dastand auf gut deutsch wo er sein Irrtum bemerkt hatte ?


edit:
bei Symantec sind heute zum Sonntag fleissige Bienchen bei der Arbeit , seit Früh bis jetzt 22 Objekte aus dem Virenordner erkannt ... entweder hat einer lange Weile oder der Abteilungschef hat die Är$che mal richtig getreten .. hehe

Der Beitrag wurde von Voyager bearbeitet: 19.07.2009, 19:15

[Voyager]

http://rapidshare.de/files/47899943/svchost.exe.html
http://www.virustotal.com/de/analisis/275f...539c-1248098617
Wir haben hier ein Objekt das 3 identische Kopien (unsichtbar) unter 3 verschiedenen Namen installiert (YmSchAt.exe, WmaPiayRp.exe, WinCqQd.exe) und sich alle 3 im Taskmanager breit machen und CPU Leistung ziehen.
NAB reagiert drauf und wirfts runter , Sonar2 reagiert nicht darauf.
Threatexpert hat noch zu tun mit der Analyse....
Was sagen andere Programme dazu ?

Der Beitrag wurde von Voyager bearbeitet: 20.07.2009, 15:12

[markus17]

Also die von dir gepostete svchost.exe lässt sich bei mir mit G Data starten und sie erzeugt/startet 2 Prozesse. Die Verhaltensüberwachung meldet sich darauf hin auch 2x und bietet die Option "In Quarantäne verschieben" an, wodurch es so aussieht, als ob das System nicht infiziert wird.

Unbekannte Bedrohung: Hosts Detect (WinCqIi.exe) ist ein vermeintlich bösartiges Programm.
Es wird versucht eine Verknüpfung auf Hosts Detect (WinCqIi.exe) anzulegen.

Herausgeber: Unbekannter Herausgeber
Das Programm wurde angehalten und in der Quarantäne gesichert.

Unbekannte Bedrohung: Hosts Detect (YmSchGv.exe) ist ein vermeintlich bösartiges Programm.
Es wird versucht eine Verknüpfung auf Hosts Detect (YmSchGv.exe) anzulegen.

Herausgeber: Unbekannter Herausgeber
Das Programm wurde angehalten und in der Quarantäne gesichert. Zum vollständigen Entfernen des Programms ist ein Neustart erforderlich.

Beide Dateien sind gleich groß -> sogar gleich groß wie die svchost.exe, also gehe ich mal davon aus, dass sie sich sehr ähnlich sind bzw. nur anders heißen. ^^

Der Beitrag wurde von markus17 bearbeitet: 20.07.2009, 20:23

[Voyager]

Die WmaPiayRp.exe hat der übersehen ? die läuft auch mit . Ja sind alle 4 diesselben Daten und die YmSchAt.exe wird immer wieder aufgerufen.

Nach vielen Monden haben wir nun die Analyse

http://www.threatexpert.com/report.aspx?md...a56a0a5335b6c1d

Da ist sogar Netzverkehr .

Der Beitrag wurde von Voyager bearbeitet: 20.07.2009, 20:53

[markus17]

Also ich habe das ganze extra zusätzlich in der Sandbox auch ausprobiert (ohne G Data) und da hab ich alle Prozesse gesehen. Dadurch dass G Data aber die oben genannten Prozesse blockiert, starten keine weiteren Prozesse.

*edit*
Ok, es starten doch alle Prozesse, allerdings verschwinden die anderen wieder und durch das beseitigen der oben genannten Prozesse startet auch keiner mehr davon. Auf der HDD ist auch nichts zu sehen.

Der Beitrag wurde von markus17 bearbeitet: 20.07.2009, 20:50

[Gast_blueX_*]

Fortinet und eSafe haben es nun in der Erkennung.

[Voyager]

Wetten die markieren das Ding als clean weil in den Dateieigenschaften steht :

F:\40\2\svchost.exe

File Version Information :

Version language : Englisch (USA)
CompanyName : Microsoft Corporation
FileDescription : Hosts Detect
FileVersion : 1.2 (xpsp.090113-2121)
InternalName : Hosts
LegalCopyright : Microsoft Coporation ©. All rights reserved.
OriginalFilename : Hosts.exe
ProductName : Hosts
ProductVersion : 1.2

so ein Prozess gibt es aber glaub garnicht , Google spuckt nur Trojaner aus.

[Gast_blueX_*]

Fortinet -> W32/Wintri!tr
Bei eSafe habe ich den Namen noch nicht.

[Gast_Nightwatch_*]

Hi

Online Armor erkennt die Datei per Signatur auch nicht, aber das HIPS ist in der Lage, die Installation komplett zu unterbinden.

Im Falle einer gesperrten (kennwortgeschützten) Oberfläche wird die Ausführung der Datei sogar automatisch verboten:


Wenn die Oberfläche entsperrt ist, wird der Benutzer in die Interaktion eingebunden:

Gleich beim ersten Start wird empfohlen, die Anwendung mit eingeschränkten Rechten zu starten.

Wenn dieses geschieht, sind der Datei ersichtlich die Hände gebunden. Es werden keine Prozesse erstellt. Es kommen zwei weitere Pop-Ups zu Verhaltensabfragen.

Und das sind die automatisch ermittelten Einstellungen für die Datei im Detail:


Gruß,
Nightwatch

[Voyager]

@Nightwatch

du hattest die falsche Datei , die Datei auf MDL ist eine andere.
die richtige ist im Beitrag #3825

[Gast_Nightwatch_*]

die richtige ist im Beitrag #3825

Jepp, genau die hatte ich von rapidshare auch heruntergeladen und ausgeführt

[Voyager]

hmm , dann frage ich mich wo deine Datei das SFX Symbol her hat , die svchost.exe auf MDL hat dieses Symbol , wird hier aber vom AV bereits als Trojaner erkannt.
die svchost hier hat ein anderes Dateisymbol , besser gesagt keins


http://www.abload.de/img/1tb73.jpg

[Gast_Nightwatch_*]

hmm , dann frage ich mich wo deine Datei das SFX Symbol her hat

Hier ist die Datei auf VT:


Erkennung: 3/41 (eSafe/McAfee-GW/Prevx)

Hab keine Ahnung, warum die ein SFX-Symbol hat !?

Gruß,
Nightwatch

[Gast_blueX_*]

Hello,

svchost.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Das schreibt ein bekanntes AV-Labor.

[Voyager]

@Bluex

hast du dem Labor Bursche den Threatexpert Link von weiter oben gezeigt ?

ich hab heute das Ergebnis bekommen

[CLOSING]: Symantec Security Response Automation: Tracking #11938252

We have analyzed your submission. The following is a report of our
findings for each file you have submitted:

filename: svchost.exe
machine: Machine
result: This file is detected as Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data...oor.trojan.html

[Gast_blueX_*]

@Bluex

hast du dem Labor Bursche den Threatexpert Link von weiter oben gezeigt ?

ich hab heute das Ergebnis bekommen

Jetzt ja. Ich frage mich, wie sowas überhaupt passieren kann.
AntiVir hat's jetzt auch in der Erkennung, ebenso Nod32.

[Kenshiro]

Das schreibt ein bekanntes AV-Labor.

KL