Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Voyager]

Also mit etwas Fantasie könnte man aus Gdata´s Kauderwelsch schon das herrauslesen was hinterher mit Norton Antibot vergleichbar ist .

Das Programm hat Aktionen im Namen eines anderen Programmes ausgeführt.

Das könnte eine "schädliche Aktion" hinter der Codeeinschleussung sein, zb. über den Explorer.exe eine HTTP Anfrage gestartet. Genau dafür sind diese Injectionen in andere Prozesse gedacht.

Das Programm wurde im Speicher modifiziert.

das könnte die Aktion des veränderten Prozessspeicher des als Beispiel Explorer.exe sein.

wichtiger wäre hier zu wissen , hat Gdata die konterminierten Prozesse im Speicher beendet damit diese wieder sauber geladen werden können nach einem Reboot. Ich vermute Nein.
Hat Gdata die residente Infektion auch erkannt ? das cleansweeper Fake

Der Beitrag wurde von Voyager bearbeitet: 10.05.2010, 21:36

[markus17]

Ich glaube mit Code-Einschleusung gab es noch einen anderen Punkt bei G Data.

wichtiger wäre hier zu wissen , hat Gdata die konterminierten Prozesse im Speicher beendet damit diese wieder sauber geladen werden können nach einem Reboot. Ich vermute Nein.

Sagen wir mal so, den Explorer schießt es ab, wenn man das Ding in Quarantäne schickt. Wie weit das Sample dann gekommen ist, kann ich leider nicht sagen. Das Cleansweeperfake-Teil existiert auf jeden Fall noch nicht.

[citro]

Threatexpert hat das Ergebnis auch nochmal relativ übersichtlich, der Security-Level ist aber mangels Erkennung noch gering:

>>Klick

[Voyager]

Grade im Postfach eingetroffen

Hallo <falsche Emailadresse>
In Zusammenhang mit dem Kurs des Fallens des Euro, wir sind Ihnen erzwungen, erneuert die Rechnungen-Bezahlungen auszustellen.
Sie sehen das befestigte Dokument.
Best regards,
0210357030-0007nn mailto:<falsche Emailadresse>

Anbei eine Zip http://www.virustotal.com/de/analisis/9e8d...44f6-1274793977


Edit
Nach dem Ausführen kann Gdata nur eine 3.tmp vom AV generisch erkennen , danach stürzt die Rechnung93.doc.exe ab. Unter Norton ist die Rechnung93.doc.exe schon als nicht vertrauenswürdig reputativ eingestuft , Sonar2 löscht das Objekt nach dem Ausführen.

Der Beitrag wurde von Voyager bearbeitet: 25.05.2010, 15:13

[markus17]

@ Voyager
Hast du das File zufällig noch? Wundert mich, dass der BB von G Data nicht anschlägt, obwohl wir hier eine doppelte Dateiendung haben -> .doc.exe

*edit*
Hast du das Ding auf deine normale Maildresse bekommen, oder kennst du eventuell Seiten, auf denen man sich mit einer Wegwerfadresse "registrieren" kann? Ich habe mir hier kürzlich eine erstellt -> 10-15 Spams pro Tag xD

Der Beitrag wurde von markus17 bearbeitet: 25.05.2010, 17:57

[markus17]

Auf manchen Seiten/Gruppen bei Facebook wird ja wieder extremst gespamt:
hxxp://www.smileycentral.com/dl/firefox_install.jhtml?sa=true&hp=true (Vorsicht!)
http://www.virustotal.com/de/analisis/e917...4fde-1274900029

Der Verhaltensblocker von G Data löscht das Teil und die Installation bricht mit einem Fehler ab. Interessant ist, dass hier Avast 5 anschlägt, 4.8 jedoch nicht.

[Voyager]

Soweit ich sehen kann verhält sich die Toolbar in der VM ungefährlich , aber ich glaube das Ding ist in Richtung Adware einzuordnen. Was Gdata daran bemängelt würde mich mal interessieren.

edit:

*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.

Das ist die Gdata Aktion , nur trifft das auf viele Programme zu ... die Verhaltensblocker Regel scheint hier etwas ungenau zu sein und könnte zu False Positives führen.

Der Beitrag wurde von Voyager bearbeitet: 26.05.2010, 20:49

[Rios]

Dürfte die Richtung sein. Rechts steht es. http://www.securelist.com/en/descriptions/old101104

Zwinky kommt auch aus der Ecke.
http://www.virustotal.com/de/analisis/a7c1...07cf-1274902614

[Solution-Design]

Man glaubt es kaum, mal wieder eine Spam-Mail mit Anhang... freu...

Betreff: Thank you for buying iTunes Gift Certificate!
Von: Your iTunes Store <shop@itunes.com>
An: www.polisonis_8@web.de
Datum: 26.05.10 10:58:36
erweiterter Header

Hello!

You have received an iTunes Gift Certificate in the amount of $50.00
You can find your certificate code in attachment below.

Then you need to open iTunes. Once you verify your account, $50.00 will be credited to your account, so you can start buying music, games, video right away.

iTunes Store.

http://www.virustotal.com/de/analisis/49c7...8564-1274903135

[markus17]

Um Malware handelt es sich hierbei nicht, aber um Adware. Anbei das Log von G Data:

*** Prozess ***

Prozess: 2860
Dateiname: mwssetup.exe
Pfad: c:\docume~1\ietest\locals~1\temp\mwssetup.exe

Herausgeber: Fun Web Products
Erstelldatum: 05/26/10 19:55:31
Änderungsdatum: 05/26/10 19:55:31

Gestartet von: smileycentralpfsetup2.3.67.1.sa.hp.znfox000.exe
Herausgeber: Fun Web Products


*** Aktionen ***

Das Programm versucht zu erreichen, dass ein Programm beim Systemstart automatisch gestartet wird.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:
c:\program files\mywebsearch\bar\1.bin\f3cjpeg.dll
c:\program files\mywebsearch\bar\1.bin\f3dtactl.dll
c:\program files\mywebsearch\bar\1.bin\f3histsw.dll
c:\program files\mywebsearch\bar\1.bin\f3hkstub.dll
c:\program files\mywebsearch\bar\1.bin\f3htmlmu.dll
c:\program files\mywebsearch\bar\1.bin\f3httpct.dll
c:\program files\mywebsearch\bar\1.bin\f3imstub.dll
c:\program files\mywebsearch\bar\1.bin\f3popswt.dll
c:\program files\mywebsearch\bar\1.bin\f3reghk.dll
c:\program files\mywebsearch\bar\1.bin\f3reprox.dll
c:\program files\mywebsearch\bar\1.bin\f3restub.dll
c:\program files\mywebsearch\bar\1.bin\f3schmon.exe
c:\program files\mywebsearch\bar\1.bin\f3scrctr.dll
c:\program files\mywebsearch\bar\1.bin\f3wphook.dll
c:\program files\mywebsearch\bar\1.bin\m3auxstb.dll
c:\program files\mywebsearch\bar\1.bin\m3dlghk.dll
c:\program files\mywebsearch\bar\1.bin\m3highin.exe
c:\program files\mywebsearch\bar\1.bin\m3html.dll
c:\program files\mywebsearch\bar\1.bin\m3idle.dll
c:\program files\mywebsearch\bar\1.bin\m3impipe.exe

Folgende Registry Einträge wurden gelöscht:

\REGISTRY\MACHINE\Software\Microsoft\Windows\CurrentVersion\Run || My Web Search Bar

[Voyager]

@markus17

Dummerweise schaffts Gdata aber nicht das Ding zu killen , die Toolbar ist trotzdem da und läuft im IE. Versuch das nochmal nachzuvollziehen , die Toolbar bleibt !

[markus17]

Ich hab natürlich nur im FF nachgeprüft, weil nach der Installation etwas vom Firefox erwähnt wird (wenn man nichts blockt). xD Im IE kommt leider trotzdem eine Toolbar, die allerdings nur teilweise funktioniert. Schade, dass doch nicht alles geblockt wurde.

[citro]

Ein FakeAV aus diesem Thread:

http://www.rokop-security.de/index.php?sho...mp;#entry310351

VT 30/41
http://www.virustotal.com/de/analisis/db95...2dfb-1274955692

Rising schreibt "no malware", KAV aüßeret sich nicht zur Einsendung und keine Erkennung.
F-Secure hat anscheinend die Signatur eines anderen AV

Seltsam, dass man sich so uneinig bezüglich Malware oder nicht sein kann

[markus17]

F-Secure hat anscheinend die Signatur eines anderen AV

F-Secure setzt seit längerem auf Bitdefender, nicht mehr auf Kaspersky.

[Rios]

Kann mal bitte jemand den Download auf Virustotal testen? ich bekomme vom AV einen Virusalarm, und macht dicht. Übrigens, das Teil wird auch auf der Heise Seite zum Download angeboten.

QUELLTEXT

h??p://advanced-registry-doctor.pro.de /ist kein Direktlink!!

[Gast_reuro_*]

Hallo

Hier das Ergebnis.

 29.05.jpg ( 156.8KB ) Anzahl der Downloads: 52


LG Rolf

[Rios]

Hi reuro,
vielen Dank für deine Mühe

[ciacomo]

VG

Der Beitrag wurde von ciacomo bearbeitet: 29.05.2010, 08:41

[citro]

Ist das eine Abzockerseite ?

[markus17]

Heute per Mail erhalten:
Im Mail war folgender Link verpackt:
hxxp://openexe.googlegroups.com/web/Twitter_security_model_setup.zip (VORSICHT!)

... Überraschung -> TDSS lässt grüßen!
http://www.virustotal.com/de/analisis/19a8...2658-1275930339