Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[raman]

Hm, nur heuristische Treffer. Was ist das, ein Downloader(woher)?

[Bjartskular]

Die Datei war schon 3 Monate alt daher weiß ich leider nicht mehr woher sie ist , sie wurde von Bughunt in meinen Eigenen Dateien gefunden deswegen habe ich sie bei Virustotal prüfen lassen.

Der Beitrag wurde von Bjartskular bearbeitet: 23.02.2007, 16:49

[Gast_rock_*]

schick ihn mal an die norman sandbox live.... per email hast du ihn wenigen minuten ein ergebnis wo stehen könnte was passiert nachdem es gestartet wird...
http://sandbox.norman.no/live_4.html

[Bjartskular]

rock tut mir leid ich hab die datei leider gelöscht aber in sandboxie hat sie nichts gemacht

[Gast_rock_*]

no problem... ich hätte vermutet es wäre etwas in temp gelagert nach dem ausführen....

aber da ja norman das nicht kannte.... steht immer dabei (No Virus) by norman dedection oder so... aber darunter steht meistens was doch wäre wenn.... klickklack genmacht wird damit.

[citro]

Es gibt da noch die sunbelt sandbox

sunbelt



citro

[raman]

Die CW/Sunbelt Sandbox arbeitet wesentlich effektiver als die Norman Sandbox. Teilweise gibt es die Ergebnisse sofort, sofern die Datei bereits vorher eingesand wurde

[Gast_rock_*]

thx für link! wird bei nächster gelegenheit gleich genutzt!

[Stefan]

Habe mal eine Datei scannen lassen, die zeigt, wie unterschiedlich die Scans bei VirusTotal und Jottis sein können.
Die Datei stammt übrigens von einer Seite, die einem ein sog. Schutzprogamm vorgaukelt.
Da ich auf der Seite einen Schädling vermutete, hatte ich mir aus Neugier die Datei runtergeladen.
Enttäuscht, dass AntiVir sich nicht rührte, habe ich sie damals bei V-Total scannen lassen.

Hier das Ergebnis von Heute:

Jottis:


V-Total:


Anscheinend laufen z.B. AntiVir, Bitdefender und F-Secure bei beiden mit unterschiedlichen Einstellungen.
Hätte ich die Datei gleich bei Jottis gescannt, hätte ich mir die Einsendung an Avira sparen können.
Mein AntiVir erkennt die Datei nämlich auch, ich musste nur unter den erweiterten Gefahrenkategorien den Haken bei "Security Privacy Risk (SPR)" setzen, da die Erkennung nicht standardmäßig aktiviert ist.

Übrigens der Scan bei V-Total ist nicht ganz vollständig, da er sich nach Sophos aufgehängt hat.
Bei einem zweiten Versuch, war bei Prevx1 Schluss und ich habe keine Lust stundenlang auf das ganze Ergebnis zu warten.


Edit raman: Links geaendert

[Gast_bazze_*]

Kann es sein, dass JOTTI die LINUX Versionen verwendet und VIRUSTOTAL die Windows Versionen?

Einer von beiden hat agressivere Einstellungen, würde meinen Jotti

[Gast_blueX_*]

Jotti nutzt meines Wissens Linux, Virustotal Windows.

[Gast_bazze_*]

Wobei es komisch ist, eigentlich sollten beide auf die gleichen Signaturen zurückgreifen.

Daher vermute ich unterschiedliche...

- Heuristik
- Häufigkeit bei der Signature Einpflegung
- Bei Jotti geht das Datum der Signatur ja auch nicht so klar hervor wie bei virustotal

[Gast_back_*]

Eben grad per Mail bekommen per Link:

http://downloads.poisonville.net/mods/Monk...ymod-client.zip

Wird wie folgt erkannt



Und noch das NORMAN SANDBOX Ergebnis:

mmclient.exe : Not detected by Sandbox (Signature: NO_VIRUS)

[ General information ]
* Display message box () : can't load Kingpin.
* File length: 22528 bytes.
* MD5 hash: 600f53351cde3c1212ec08091d0a9581.

[ Network services ]
* Opens URL: http://www.poisonville.net/mm/version.
* Connects to "www.poisonville.net" on port 80 (TCP).
* Opens URL: www.poisonville.net/mm/version.
* Opens URL: http://www.kingpinforever.com/mm/version.
* Connects to "www.kingpinforever.com" on port 80 (TCP).
* Opens URL: www.kingpinforever.com/mm/version.


Scheint ein Spiele Client oder so zu sein.

Der Beitrag wurde von back bearbeitet: 25.02.2007, 13:19

Angehängte Datei(en)

 Zwischenablage01.gif ( 130.88KB ) Anzahl der Downloads: 39
 Unbenannt_1.gif ( 24.37KB ) Anzahl der Downloads: 29

 

[Gast_Scrapie_*]

Hi

Neue 'Rechnung' von Amazon über Notebookkauf

Vielen Dank fur Ihre Bestellung bei Amazon.de!

Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
wird in kurze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
Bestellung entnahmen Sie bitte der angefugten Rechnung. Falls Sie
die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.


Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
werden. Antworten Sie nicht auf diese Nachricht.

Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.

Mail kam über Mailserver in China, genauer aus Henan.
Im Anhang ist ne '13915.zip' MD5 = a052f03a5268563535be7b6f8df44e7b
In der Zip eine '13915.exe' MD5 = 2edf772344c8fa43c0e6897eccfd3340
Scheint nicht wirklich etwas Neues zu sein, denn es erkennen doch ein Paar das Ding mit Signatur:




- Erstellt 'C:\WINDOWS\system32\ws**.exe'
- Erstellt 'C:\WINDOWS\system32\ipv6monl.dll' (???)
- Schaltet 'C:\Program Files\Internet Explorer\IEXPLORE.EXE' vollständig in der Win-XP-FW frei
- Erkennt die 'Herkunft' des Systems anhand des in der Reg hinterlegten KeyboardLayouts
-
Scrapie

Der Beitrag wurde von Scrapie bearbeitet: 25.02.2007, 13:52

[raman]

Meine Mail kam aus Polen. Gespamt halt.....

[Gast_back_*]

Enttäusch bin ich da mal wieder von Bitdefender, den ich übrigends selbst nutze, McAfee, NOD32!

Naja, schade halt. Sogar ClamAV erkennt das Ding

[olli]

Upps...

das erste Mal dass F-Secure was erkennt, was Kaspersky auslässt.

Da machen sich die 4 Engines dann doch mal bemerkbar.

Bis denne
Olli

[Stefan]

das erste Mal dass F-Secure was erkennt, was Kaspersky auslässt.

Wo denn, Olli?

[DC01]

habe heute auch eine Amazon-Rechnung bekommen.

Mit Updates von heute morgen erkannte es Antivir als HEUR/CRYPT und KAV, dass so gegen 12 Uhr bei mir im Postfach eintrudelte mit folgendem Text:



Vielen Dank fur Ihre Bestellung bei Amazon.de!

Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
wird in kurze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
Bestellung entnahmen Sie bitte der angefugten Rechnung. Falls Sie
die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.


Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
werden. Antworten Sie nicht auf diese Nachricht.

Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.

Amazon.de Kundenservice
http://www.amazon.de


__________ NOD32 2080 (20070225) Information __________

Diese E-Mail wurde vom NOD32 antivirus system geprüft

http://www.nod32.com


NOD meckert SELBST JETZT NOCH NICHT!!!!!




Jottis




VirusTotal



Der Beitrag wurde von DC01 bearbeitet: 25.02.2007, 21:09

[Gast_back_*]

Bitdefender ist auch noch still....

Wie schaut es bei Virustotal aus?