Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[Rios]

Es sind die Download's die sich auf dieser Seite befinden.

 Magical_Snap___2010.07.16_17.57___001.png ( 51.07KB ) Anzahl der Downloads: 60


http://www.urlvoid.com

Einer davon:
http://www.virustotal.com/de/analisis/b285...22ea-1279294468

Ein unbedarfter User der echt mal Removen möchte, kommt hier unter Umständen vom Regen in die Traufe.

Der Trost bestünde nur darin, es sind keine so Schweren Dinger.

[Voyager]

Wo sollen sich auf der Seite http://www.urlvoid.com Downloads befinden ? Die Seite sieht eher nur nach Service aus wo man URLs checken lassen kann.

[Rios]

Ich meinte den Link in diesen im Bild.

 Magical_Snap___2010.07.16_18.35___002.png ( 25.05KB ) Anzahl der Downloads: 59

[Voyager]

Und wo spielt das http://www.urlvoid.com jetzt mit rein ?

Der Beitrag wurde von Voyager bearbeitet: 16.07.2010, 18:05

[markusg]

ich nehme mal an, er hatt diesen link scanner genutzt, um damit, wie der name ja aussagt, den link zu scannen :-)

[scu]

Der folgende Link kam per Mail. Scheint Scareware zu sein:
h++p://rapidshare.com/files/437043893/surprise.exe

Signaturerkennung ist derzeit noch recht mager:

VirusTotal:
http://www.virustotal.com/file-scan/report...9939-1292419553

[scu]

Der folgende Link kam per Mail. Scheint Scareware zu sein:
h++p://rapidshare.com/files/437043893/surprise.exe

Signaturerkennung ist derzeit noch recht mager:

VirusTotal:
http://www.virustotal.com/file-scan/report...9939-1292419553

An der Erkennung hat sich in kürzester Zeit einiges getan:

http://www.virustotal.com/file-scan/report...9939-1292448467

Von 3/43 auf 15/43 innerhalb von 7 Stunden...

[markusg]

um diesen thread mal wieder ins leben zu rufen.
cybergate backdoor, vt erkennung =0
http://www.virustotal.com/file-scan/report...1e02-1295375352

[markus17]

So, das habe ich heute auf einem Rechner vorgefunden:
http://www.virustotal.com/file-scan/report...af87-1295857063

Es hat manche Webseiten blockiert und leitete auf eine Smileypage um.


G Data erkennt das Teil bereits per Signatur aufgrund der Bitdefender-Engine. Mit alten Signaturen schlägt allerdings der Verhaltensblocker der 2012 Beta an:

*** Prozess ***

Prozess: 3424
Dateiname: nvsvc32.exe
Pfad: c:\documents and settings\ietest\desktop\ndl\nvsvc32.exe

Herausgeber: Unbekannter Herausgeber
Erstelldatum: 01/21/11 21:33:16
Änderungsdatum: 01/21/11 21:33:16

Gestartet von: nvsvc32.exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***

Das Programm wurde im Speicher modifiziert.
Die Dateiattribute 'system' und 'hidden' sind beide für das Programm gesetzt.


*** Quarantäne ***

Folgende Dateien wurden in Quarantäne verschoben:

... seit heute Mittag sind noch ein paar dazugekommen:
http://www.virustotal.com/file-scan/report...af87-1295898808

Der Beitrag wurde von markus17 bearbeitet: 24.01.2011, 20:59

[Denny]

Heute eine scr Datei bekommen, ich habe sie mal an sämtliche Hersteller weitergeleitet:

http://www.virustotal.com/file-scan/report...db03-1300783765

[markus17]

So, heute habe ich auf einem Rechner ein TDSS Rootkit entdeckt. Leider konnte ich den genauen Infektionsweg nicht nachvollziehen (vermutlich von einer Website heruntergeladen). Im Temordner ließen sich ein paar infizierte Files und das Hauptsetup finden... Aufgrund der eingeschränkten Userrechte an der Maschine scheint nicht viel passiert zu sein. Zusätzlich hat der installierte Virenscanner ein paar Teile bemängelt, allerdings nicht das Setup. Hier mal der Virustotalscan:
http://www.virustotal.com/file-scan/report...7cda-1301081299 (Die Erkennung könnte besser sein...)

Leider ist das File in der VM nicht lauffähig. Da ich meine SSD dieses WE einmal neu installieren werde, teste ich es vielleicht einmal am Hauptsystem, falls ich Zeit finde... die war in letzter Zeit recht knapp. xD

Der Beitrag wurde von markus17 bearbeitet: 25.03.2011, 20:36

[Denny]

Und mal wieder Malware bekommen (Irgendwie lebe ich gefährlich xD )

File name:
Jappy_pikantePrivatfotos.exe
Submission date:
2011-04-30 20:53:24 (UTC)
Current status:
finished
Result:
4/ 41 (9.8%)

http://www.virustotal.com/file-scan/report...0c82-1304196804

Der Beitrag wurde von Denny bearbeitet: 30.04.2011, 21:58

[Kenshiro]

Jappy_pikantePrivatfotos.exe

Tztztz.... gibt schon böse Leute bei Jappy

[markus17]

G Data 2012 löscht die infizierte Datei auch ohne Signaturen. Folgendes hat der BB bemängelt:

*** Prozess ***
Prozess: 3708
Dateiname: svhost.exe
Pfad: c:\windows\temp\svhost.exe

Herausgeber: Microsoft Corporation
Erstelldatum: 05/01/11 11:43:02
Änderungsdatum: 07/25/08 18:17:10

Gestartet von: jappy_pikanteprivatfotos[1].exe
Herausgeber: Unbekannter Herausgeber


*** Aktionen ***
Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm zeichnet alle Tastatureingaben auf.
Das Programm wurde im Speicher modifiziert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Die Dateiattribute 'system' und 'hidden' sind beide für das Programm gesetzt.


*** Quarantäne ***
Folgende Dateien wurden in Quarantäne verschoben:
C:\Documents and Settings\IETest\Local Settings\Temp\rundll32 .exe
C:\Documents and Settings\IETest\Local Settings\Temporary Internet Files\Content.IE5\73BG0VC6\Jappy_pikantePrivatfotos[1].exe

Folgende Registry Einträge wurden gelöscht:
\REGISTRY\USER\S-1-5-21-57989841-789336058-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Run || rundll32

[Kenshiro]

Angeblich einen Plugin
Erkennungsrate: 20/41

VirScan
Erkennungsrate: 8/37

NoVirusThanks
Erkennungsrate: 3/6

Der Beitrag wurde von Kenshiro bearbeitet: 02.05.2011, 14:43

[Solution-Design]

Mal im Spam-Ordner gewühlt

http://www.virustotal.com/url-scan/report....b3b0-1304357639
http://www.virustotal.com/file-scan/report...1199-1304358356

[Voyager]

Ich vermute mal im Scan handelt es sich um das gleiche Objekt ?


http://www.abload.de/img/unbenannt4u5p.jpg

[Solution-Design]

Erkennung sieht schon viel besser aus. EAM erkennt es per Ikarus. Das IDS meckert eine Code-Injektion an (einmalig). Sagt man dann zu und ESET läuft im Hintergrund, dann kommt zuerst die Windows-Firewall und möchte den "Explorer" freigegeben haben (macht man natürlich, ist ja von Microsoft himself), anschließend sperrt ESETs http-Scanner den Zugriff auf eine WEB-Site xyz... Leider werden diese nicht gelogt.

http://www.virustotal.com/file-scan/report...1199-1304447493

Der Beitrag wurde von Solution-Design bearbeitet: 03.05.2011, 19:48

[Julian]

Danke für das Sample, Uwe.

EAM blockt das gedroppte Programm wegen Code-Injection in die taskhost.exe.
Wenn man das erlaubt, scheint das Sample aber nicht viel zu machen. Langweiliges Teil.

Aber gut, dass Sonar es so schön blockt, denn wenn ich mich richtig an den gestrigen Tag erinnere, hat KIS 2012 mit drei Tage alten Signaturen im Automatikmodus versagt.
Ich denke, man kann dahingehend immer noch sagen, dass Norton einfach besser ist als KIS im Automatikmodus. Die Neuerungen für Norton 2012 lesen sich auch ganz nett, sodass sich das wohl sogar eher noch verstärkt.

[Voyager]

Julian wird ein Norton Fan ? war das nicht uncool