Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Do Not open!
hxxp://looool.machiaeljacksondied.com
hxxp://www.freewebtown.com/ba33/IMG18102008.jpg--www.MichaelJackson.com
Do Not open!

We regret to inform you...
This website has exceeded the allowed monthly data transfer limit!
(2.0 GB per month is the standard allowed free data transfer limit)

Haha , jetzt müsste man wissen wieviele tausend mal der Yahoo Worm im IM geladen wurde um das Linit von 2GB Transfer zu erreichen. stellt euch mal vor, die Leute da draussen ausserhalb eines Sicherheitsforums drücken wirklich auf alles was nicht bei 3 auf den Bäumen ist.

By donating as little as $2.00 per 1.0 GB of data transfer, you can instantly make
this website accessible once again.

Für 4 Dollar hat der Bursche ein Botnet aufgebaut womit der Millionen verdiehnt.

Der Beitrag wurde von Voyager bearbeitet: 02.08.2009, 00:58

[Voyager]

Ich hab gerade einen heutigen Email VirenAnhang (UPS Mail) von jemanden bekommen und mir angesehen was der so für lustige Sachen macht.

Jotti zeigt das Gdata ihn nicht erkennt , böse Sache
http://www.virustotal.com/analisis/1dd2978...d594-1249670757

Die Services hier sind total blind , würde mich gern interessieren warum das so ist.
http://anubis.iseclab.org/?action=result&a...amp;format=html
http://www.threatexpert.com/report.aspx?md...c8190a8bd34998c

Testen wir es erstmal mit NAB.


http://www.abload.de/img/20pzrj.jpg

Ohlala , da passiert ja doch etwas . Die Malware rebootet den PC hier übrigens selbst ich muss nichts anklicken.
achtet mal darauf das der Windows Defender hier noch im Tray ist.


http://www.abload.de/img/2jagq.jpg

Böse Sache das , so schauts direkt nach dem Reboot aus . Der Windows Defender ist weg , ein FakeAV ist dafür an der Stelle im Tray und übern Service Host läuft ein Prima Spambetrieb auf Port 25 , die VM versendet Spam.
NAB hat oder konnte hier offensichtlich nicht alle Aktivitäten rückgängig machen was daran liegen könnte das laut den Bereinigungsverlauf von NAB hier vieles über TMP Dateien installiert wurde. Das ist die beliebte Methode um Rootkits über Fakecodecs zu installieren, die Methode erkennt NAB auch nicht.


http://www.abload.de/img/21cb10.jpg

Kicken wir mal schnell das Netzwerk und schauen noch einmal ins System , hier sieht man einiges verdächtiges . Das rote Kreuz im Tray wurde durch Explorer Injection Appinit installiert, reader_s und braviax dürften ebenfalls Malware sein. Hijackthis wird hier übrigens auch blockiert , ich musste den Name mit einer zusätzlichen 2 ändern.

Der Beitrag wurde von Voyager bearbeitet: 07.08.2009, 21:03

[Voyager]

http://www.virustotal.com/de/analisis/7091...3485-1249829217
http://www.virustotal.com/de/analisis/73b0...6fb4-1249829325

Das sind laut Norton Antibot Keylogger , Sie legen einen Autorun auf FF.exe an und hooken Tastatureingaben. Nebenbei werden MeldeFenster ausgegeben die sich auf den Dateiname der Malware beziehen die aber reine irreführende Fälschungen sein dürften .

Tattaa , Sonar2 durchschaut es.


http://www.abload.de/img/23hs4.jpg

Der Beitrag wurde von Voyager bearbeitet: 09.08.2009, 15:51

[Julian]

Original (38/41):
http://www.virustotal.com/de/analisis/0061...6bd8-1249834439

Gepackt (14/41):
http://www.virustotal.com/de/analisis/439b...bae1-1249834737

KAV 9 erkennt es heuristisch. Die NOD32-Heuristik lässt sich aber leicht austricksen, wenn das Ergebnis auch für die Home-Variante gilt.

Der Beitrag wurde von Julian bearbeitet: 09.08.2009, 17:21

[Solution-Design]

Tattaa , Sonar2 durchschaut es.

Mein Vertrauen in Sonar 2 ist noch nicht wiederhergestellt Gemeldet hat es mir schon oft was, nur war das System anschließend auch kompromittiert. OK, war die erste öffentliche Beta. Kann man nur hoffen, dass es nun besser geworden ist.

[Rios]

Immer noch beliebt, Hotbar!

QUELLTEXT

http://www.virustotal.com/de/analisis/e41e1e7a217715ad40e8b01791cddebc11a2a1f1a968af390e05993f743f447c-1250103516

QUELLTEXT

http://www.hotbar.com/Destination/Catalog/Play/Play.aspx?pid=1199126

[Voyager]

Nuja ...


http://www.abload.de/img/2ypl2.jpg

[Rios]

Jetzt hat das Tool auch mal zugeschlagen.

[Gast_blueX_*]

Ich frage mich, warum solch bekannte Software nicht erkannt wird.

[Kenshiro]

Habs an KL gesendet

[Kenshiro]

Antwort von KL um 00:44 h

QUELLTEXT

Hello,

Setup.exe_

No malicious code was found in this file.

Der Beitrag wurde von Kenshiro bearbeitet: 13.08.2009, 10:10

[Gast_blueX_*]

Hier sind sich die AV's überwiegend einig.
Auch AVIRA und Microsoft sagen, dass dies nichts ist.

[Kenshiro]

Anscheinend nicht blueX

[Voyager]

Habt ihr das Bild http://www.abload.de/img/2ypl2.jpg mitgeschickt ? Wenn die Jungs wüssten was dort rauskommt aber scheinbar lassen die das nur durch eine Simulation wie zb. Threatexpert laufen und das zeigt nichts an.

[Gast_blueX_*]

Habt ihr das Bild http://www.abload.de/img/2ypl2.jpg mitgeschickt ? Wenn die Jungs wüssten was dort rauskommt aber scheinbar lassen die das nur durch eine Simulation wie zb. Threatexpert laufen und das zeigt nichts an.

Nein, habe ich nicht.
Lediglich Fortinet hat es in die Erkennung mitaufgenommen. Nod32 schrieb, dass es mit dem nächsten Update erkannt wird.
Kaspersky, MS und Avira sagen es wäre nichts, obwohl ich geziehlt auf Adware.Hotbar hingewiesen habe.

[Voyager]

Vll haben Sie ja gegen eine Spywareklitsche vor Gericht verloren..

[Gast_blueX_*]

Hat jemand noch das File und kann es mal bei Virscan.org und Virustotal hochladen?

[Voyager]

Nach wie vor Ebbe...

http://www.virustotal.com/de/analisis/8a72...6477-1250182795

[Gast_blueX_*]

Fortinet und No32 haben mir heute nacht geantwortet und müssten es nun in der Erkennung haben.
Ich kann es hier leider nicht downloaden. Entweder es ist ein neues Setup-File oder die Updates wurden noch nicht bereitgestellt.
Wie sieht es bei virscan.org aus?

Im Falle bei Kaspersky habe ich extra nochmals nachgefragt, ob die mit ihrer Analyse sicher sind.

[Solution-Design]

a-squared lässt die Seite über hp-hosts blocken, erkennt die Hotbar aber nicht.