Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Gast_blueX_*]

Bei einigen Virenschutzherstellern werden Dateien, die bestimmte Packkriterien erfüllen als verdächtig gemeldet.

Bei den meisten AV's, die diese Funktion bieten, kann man diese beliebig aktivieren und deaktivieren.
Bei Virustotal ist diese Funktion bei eSafe offensichtlich aktiviert.


Aber als peinlich würde ich dies nicht bezeichnen ....



EDIT:
Die aktuelle Version wird außerdem gar nicht angemeckert lt. Virustotal.




Der Beitrag wurde von blueX bearbeitet: 17.02.2007, 21:21

[ackermann]

Bei einigen Virenschutzherstellern werden Dateien, die bestimmte Packkriterien erfüllen als verdächtig gemeldet.

Bei den meisten AV's, die diese Funktion bieten, kann man diese beliebig aktivieren und deaktivieren.
Bei Virustotal ist diese Funktion bei eSafe offensichtlich aktiviert.
Aber als peinlich würde ich dies nicht bezeichnen ....
EDIT:
Die aktuelle Version wird außerdem gar nicht angemeckert lt. Virustotal.

Doch wird sie, ich habe dieses Screenshot doch nicht archiviert und eben ausgegraben. Siehst du doch auch am Datum der Signaturen

Poste mal dein Shot

P.S: Bei Jotti kann ja nix kommen, da ist eSafe ja nicht dabei.

Da kommt halt nur:

EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

Der Beitrag wurde von ackermann bearbeitet: 17.02.2007, 21:37

[ackermann]

Scheinbar hast du die EXE gescannt, ich die ZIP. In der ZIP steckt nix anderes als die EXE drinnen, aber eSafe weiß wohl selbst nicht, wohin es steuert:


Obwohl beide den gleichen Packer benutzen, das Archiv an sich ist scheinbar garnicht gepackt......naja

Der Beitrag wurde von ackermann bearbeitet: 17.02.2007, 21:51

[Gast_blueX_*]

Irfan View 3.99:

[ackermann]

Jau, du hattest die EXE, stimmt, da hast du Recht! Da es sowieso False Positive ist...sei es drum ;-)

[Gast_back_*]

Und hier mal ein nächstes (aussagekräftiges und natürlich vollkommen objektivies) Ergebnis.

Angehängte Datei(en)

 Unbenannt_1.gif ( 23.16KB ) Anzahl der Downloads: 75

 

[floman]

Mal wieder eine neue "Rechnung" aus meinem Posteingang von heute.

Complete scanning result of "empfangsschein.exe", received in VirusTotal at 02.19.2007, 13:35:05 (CET).


AntiVir 7.3.1.37 02.19.2007 TR/Agent.2279
Authentium 4.93.8 02.16.2007 W32/Downloader.gen10
Avast 4.7.936.0 02.19.2007 no virus found
AVG 386 02.18.2007 no virus found
BitDefender 7.2 02.19.2007 DeepScan:Generic.Malware.dld!!.91B432A2
CAT-QuickHeal 9.00 02.19.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.19.2007 Trojan.Downloader-1936
DrWeb 4.33 02.19.2007 no virus found
eSafe 7.0.14.0 02.18.2007 no virus found
eTrust-Vet 30.4.3412 02.19.2007 no virus found
Ewido 4.0 02.18.2007 no virus found
FileAdvisor 1 02.19.2007 no virus found
Fortinet 2.85.0.0 02.19.2007 suspicious
F-Prot 4.2.1.29 02.16.2007 W32/Downloader.gen10
F-Secure 6.70.13030.0 02.19.2007 Trojan-Downloader:W32/Nurech.AR
Ikarus T3.1.0.31 02.19.2007 Win32.Outbreak
Kaspersky 4.0.2.24 02.19.2007 Trojan-Downloader.Win32.Tiny.eu
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.19.2007 no virus found
NOD32v2 2069 02.18.2007 probably unknown NewHeur_PE virus
Norman 5.80.02 02.19.2007 W32/DLoader.CBGN
Panda 9.0.0.4 02.18.2007 Suspicious file
Prevx1 V2 02.19.2007 no virus found
Sophos 4.14.0 02.19.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 no virus found
Symantec 10 02.19.2007 Downloader
TheHacker 6.1.6.060 02.19.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.18.2007 suspected of Win32.Trojan.Downloader (http://...)
VirusBuster 4.3.19:9 02.18.2007 no virus found


Aditional Information
File size: 2120 bytes
MD5: 1c5225637cdb2f801a57baf58ec04210
SHA1: 1cfacbe78b4a76daca7217e21a8ef98b2bff9b15

[edit]
Hier der Auszug aus der Norman Sandbox:

empfangsschein.exe : W32/Downloader (Signature: W32/DLoader.CBGN)

[ General information ]
* File length: 2120 bytes.
* MD5 hash: 1c5225637cdb2f801a57baf58ec04210.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\TEMP\zc2.exe.
* Creates file C:\WINDOWS\TEMP\1.exe.

[ Network services ]
* Downloads file from h**p://set19mountain.com/ar/zc2.exe as C:\WINDOWS\TEMP\zc2.exe.
* Connects to "set19mountain.com" on port 80 (TCP).
* Opens URL: set19mountain.com/ar/zc2.exe.
* Downloads file from h**p://set19mountain.com/ar/1.exe as C:\WINDOWS\TEMP\1.exe.
* Opens URL: set19mountain.com/ar/1.exexe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Signature Scanning ]
* C:\WINDOWS\TEMP\zc2.exe (4096 bytes) : no signature detection.
* C:\WINDOWS\TEMP\1.exe (4096 bytes) : no signature detection.

[/edit]


Der Beitrag wurde von floman bearbeitet: 19.02.2007, 14:02

[Rios]

Wäre auch berechtigt gewesen den Empfangsschein abzuholen Ergebnis siehe floman.

[citro]

Die 2 gefundenen Dateien vom Vba32 Thread:

http://www.rokop-security.de/index.php?s=&...st&p=186557






ps: Wenn ich mit dem IE7 diese Seite (Ergebnisse von Virustotal ansehe], ist die untere Bildhälfte verschoben, mit Opera nicht.

Der Beitrag wurde von citro bearbeitet: 19.02.2007, 19:55

[Gast_back_*]

Da nutzen wohl 2 die selbe Engine oder die selbe Virenquelle ;-)

[Gast_back_*]

Hier ein Ausrutscher von Ikarus:

Mein harmloses kleines FTP Progrämmchen (www.derfisch.de -> da gibts den Download)

Angehängte Datei(en)

 Unbenannt_1.gif ( 20.52KB ) Anzahl der Downloads: 38
 Unbenannt_2.gif ( 15.42KB ) Anzahl der Downloads: 42

 

[ackermann]

Schon wieder was lustiges, diesmal anders herum:

Jotti und Virustotal melden nichts, Bitdefender (lokal) meldet den Virenscanner von eScan als Win32.FileInfector


Nunja.....

[ackermann]

Es wird immer doller:

Jetzt wird http://www.mwti.net/products/mwav/mwav.asp --> Escan von Bitdefender UND Esafe bereits als Virus erkannt

*kopfschüttel* Also langsam weiss ich wirklich nicht mehr.


Naja, könnte man fast meinen, dass das irgendwie Konkurrenzhass ist.



Bei Jotti wird übrigends nix erkannt von Bitdefender


Wenn man sich mal ansieht, wie viele unterschiedliche Ergebnisse es gibt, selbst von gleichen Scannern, kann man sich sein Bild über die X Tests machen, und die Z unterschiedlichen Ergebnisse.

[Gast_blueX_*]

Dann sendet doch bitte die Dateien an die AV's; mit dem Hinweis, dass es vermutlich ein False Positive ist.
Adressen gibt es hier:

http://www.rokop-security.de/index.php?showtopic=8685


Schauen wir mal, wer schneller reagiert ..

[Kenshiro]

Hallo,

war eben auf Testvirus.de und habe mal "Win32.Trojan-Proxy.gen bei VT scannen lassen. Hier das Ergebnis
Wieso ich das Ergebnis poste?? Nicht alle AV´s haben ihn erkannt:
Er ist schon ziemlich "alt" [2003/2004]
N.B.
Zitat Testvirus.de
Modifizierter W32/Trojan.Proxy.gen Virus wird normalerweise nur von Programmen erkannt, die auch Trojaner finden. (Bei Norton Antivirus ist es nicht immer der Fall) .
Zitat Ende

Antivirus Version Update Result
AntiVir 7.3.1.38 02.22.2007 TR/Proxy.Mitg.gen.2
Authentium 4.93.8 02.21.2007 W32/Mitglieder.BW
Avast 4.7.936.0 02.22.2007 Win32:Trojan-gen. {UPX!}
AVG 386 02.22.2007 Proxy.11.AK
BitDefender 7.2 02.22.2007 Trojan.Proxy.Mitglieder.CJ
CAT-QuickHeal 9.00 02.21.2007 TrojanProxy.Mitglieder.gen
ClamAV devel-20060426 02.22.2007 Trojan.Proxy.Mitglieder-2
DrWeb 4.33 02.22.2007 Trojan.Proxy.134
eSafe 7.0.14.0 02.22.2007 Win32.Mitglieder.ck
eTrust-Vet 30.4.3420 02.22.2007 Win32/Mitglieder.CA
Ewido 4.0 02.22.2007 Proxy.Mitglieder.ck
FileAdvisor 1 02.22.2007 no virus found
Fortinet 2.85.0.0 02.22.2007 W32/Mitglieder.O!tr
F-Prot 4.3.1.45 02.22.2007 W32/Mitglieder.BW
F-Secure 6.70.13030.0 02.22.2007 Trojan-Proxy.Win32.Mitglieder.ck
Ikarus T3.1.0.31 02.22.2007 Trojan-Proxy.Win32.Mitglieder.ck
Kaspersky 4.0.2.24 02.22.2007 Trojan-Proxy.Win32.Mitglieder.ck
McAfee 4968 02.21.2007 Proxy-Mitglieder
Microsoft 1.2204 02.22.2007 TrojanProxy:Win32/Mitglieder
NOD32v2 2075 02.22.2007 Win32/TrojanProxy.Mitglieder.CJ
Norman 5.80.02 02.22.2007 W32/Mitglied.SA
Panda 9.0.0.4 02.22.2007 W32/Mitglieder.BB.worm
Prevx1 V2 02.22.2007 no virus found
Sophos 4.14.0 02.21.2007 Troj/BagleDl-J
Sunbelt 2.2.907.0 02.22.2007 Trojan.Mitglieder.O
Symantec 10 02.22.2007 Trojan.Mitglieder.O
TheHacker 6.1.6.062 02.21.2007 Trojan/Proxy.Mitglieder.ck
UNA 1.83 02.21.2007 TrojanProxy.Win32.Mitglieder.58EE
VBA32 3.11.2 02.21.2007 Trojan-Proxy.Win32.Mitglieder.ck
VirusBuster 4.3.19:9 02.22.2007 Trojan.DR.Mitglied.BR

Aditional Information
File size: 17920 bytes
MD5: 6cbbd4cf962649a4b51626ae8b603491
SHA1: e2ac21026edb2dc3629d2c3214ec086b6e5499eb
packers: UPX

Der Beitrag wurde von Kenshiro bearbeitet: 22.02.2007, 15:24

[Gast_Delroy_*]

Die beiden die nichts gefunden haben,sind m.M. eher System Tools als klassische Trojaner Jäger.

[Kenshiro]

Prevx:
Prevx1 is a very powerful PC security solution. It safeguards your PC and personal information from theft and attack by Spyware, Rootkits, Trojans, Viruses, Bots, Adware and all other forms of malware and crimeware.
Quelle

FileAdvisor:
Bit9 FileAdvisor is a comprehensive catalog of executables, drivers, and patches found in commercial Windows® applications and software packages. Malware and other unwanted software that affects Windows computers is also indexed. As the largest and the most accurate database of its kind, FileAdvisor enables you to submit a file name or hash and get the following information:

* Original name and size of the file
* Publisher that created the file
* Products in which the file appears
* Sources of distribution
* Likelihood that the file poses a threat
* And more!
Quelle

[Gast_Delroy_*]

jep, soweit die Theorie

Nee, hast ja Recht, das hatte ich anders in Erinnerung.

Wobei :

http://www.bit9.com/products/fileadvisor.php

Wenn ich mir das so durchlese, dann sieht das eher aus wie ein online-Abgleich mit einer monströsen Datenbank.
Unter einem Scanner versteh ich was anderes.

Aber wird schon seinen Grund haben warum dieses Tool bei Virustotal vertreten ist.

Der Beitrag wurde von Delroy bearbeitet: 22.02.2007, 15:57

[Gast_back_*]

Das Konzept File Advisor ist eigentlich sinnlos, da es leicht unterlaufen werden kann. Es müssen nur genug User (Mehrfachanmeldung erlaubt) zustimmen, dass eine bestimmte Datei sauber ist.

Sinnlos ist es eigentlich auch deswegen, weil es neben ausführbaren Dateien (z.B. EXE) auch viele andere Dateien/Formate gibt, die durchaus verseucht sein können.

Ich vermute ja hinter dem Konzept nur eine massenhafte E-Mail bzw. Datensammlung, die später verkauft wird, wie anders lässt es sich erklären, dass man sich da erstmal anmelden muss, um es zu nutzen (ich meine nicht jetzt den integrierten File Advisor bei virustotal.com sondern tatsächlich das eigentliche Tool).


Das ist für einen Virenscanner nicht sinnvoll, sowas zu machen, ein Virus lebt im Grunde davon, abgewandelt zu werden und für jede Variante so einen Zinober durchzuführen, ist sinnlos.

Der Beitrag wurde von back bearbeitet: 22.02.2007, 18:10

[Bjartskular]

AntiVir 7.3.1.38 02.23.2007 TR/Crypt.FSPM.Gen
Authentium 4.93.8 02.23.2007 no virus found
Avast 4.7.936.0 02.23.2007 no virus found
AVG 386 02.23.2007 no virus found
BitDefender 7.2 02.23.2007 no virus found
CAT-QuickHeal 9.00 02.22.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.22.2007 no virus found
DrWeb 4.33 02.23.2007 no virus found
eSafe 7.0.14.0 02.23.2007 Win32.Downloader
eTrust-Vet 30.4.3424 02.23.2007 no virus found
Ewido 4.0 02.23.2007 Trojan.Small
FileAdvisor 1 02.23.2007 no virus found
Fortinet 2.85.0.0 02.23.2007 suspicious
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.23.2007 W32/Suspicious_F.gen
Ikarus T3.1.0.31 02.23.2007 no virus found
Kaspersky 4.0.2.24 02.23.2007 no virus found
McAfee 4969 02.22.2007 no virus found
Microsoft 1.2204 02.23.2007 no virus found
NOD32v2 2077 02.23.2007 unpack error
Norman 5.80.02 02.23.2007 W32/Suspicious_F.gen
Panda 9.0.0.4 02.23.2007 Suspicious file
Prevx1 V2 02.23.2007 no virus found
Sophos 4.14.0 02.21.2007 no virus found
Sunbelt 2.2.907.0 02.22.2007 VIPRE.Suspicious
Symantec 10 02.23.2007 no virus found
TheHacker 6.1.6.063 02.23.2007 no virus found
UNA 1.83 02.22.2007 no virus found
VBA32 3.11.2 02.22.2007 no virus found
VirusBuster 4.3.19:9 02.23.2007 novirus:Packed/FSG

Aditional Information
File size: 2736 bytes
MD5: 9ca0a195f3b4ed99ccf6308d0a063475
SHA1: f7969ba112e3a6ad898e71094800f01f878221ce
packers: FSG
packers: FSG
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.




Der Beitrag wurde von Bjartskular bearbeitet: 23.02.2007, 16:28