Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[DonQuijano]

Von meinem PC.
genauer temp- Ordner nach Internet.

[markus17]

Wieder mal E-Mail Malware, die mittlerweile beinahe täglich in allen möglichen Varianten eingeht:
https://www.virustotal.com/file/1d6d07c4041...59239/analysis/ ...
Scan ein paar Stunden später: https://www.virustotal.com/file/1d6d07c4041...sis/1344277602/

G Data macht in diesem Fall leider überhaupt keinen Mucks. Das einzige was nach 1-2 Minuten angezeigt wird ist, dass G Data Mails prüft, die versendet werden... die das Sample verschickt.

[lotion]

Wieder mal E-Mail Malware, die mittlerweile beinahe täglich in allen möglichen Varianten eingeht:
https://www.virustotal.com/file/1d6d07c4041...59239/analysis/ ...
Scan ein paar Stunden später: https://www.virustotal.com/file/1d6d07c4041...sis/1344277602/

G Data macht in diesem Fall leider überhaupt keinen Mucks. Das einzige was nach 1-2 Minuten angezeigt wird ist, dass G Data Mails prüft, die versendet werden... die das Sample verschickt.

Die Erkennung ist noch sehr nüchtern ,würdest du mir den Sample zusenden per PN zum Testen.

[markus17]

*delete* ... sollte eine pm sein xD

Der Beitrag wurde von markus17 bearbeitet: 09.08.2012, 18:58

[240670]

Avast verschiebt alle in Container. W32Karagany-JI Trojan usw.

[markus17]

Bei den bisherigen Mailanhängen hat es maximal ein bis zwei Tage gedauert, dann haben die meisten der Großen alle Samples erkannt. Wenn Avast mittlerweile anschlägt, müsste sich wohl G Data auch melden.

[simracer]

Die Reaktion von AVG als ich versuchte so einen Anhang zu öffnen:

[markus17]

@simracer
Ich hoffe mal, dass du nicht jedes Sample einfach so auf deinem Produktivrechner startest. (außer du hast das Sample im Screenshot nicht doppelgeklickt).

[simracer]

Eher selten markus17 hab vorhin das Zip runtergeladen, aufs Desktop verschoben und dort dann mit 7zip entpackt. danach den Ordner geöffnet und mal 2 Files angeklickt, bei beiden reagierte AVG wie auf dem Bild. Sollte ich mir doch mal was heftiges einfangen(was bisher nicht geschah), dann hab ich immer noch das:

Der Beitrag wurde von simracer bearbeitet: 09.08.2012, 21:44

[markus17]

Naja, für den Zweck ob AVG das Sample erkennt, reicht auch ein Scan per Kontextmenü... da passiert im Falle des Falles noch nichts. ^^

[simracer]

Das:

Sollte ich mir doch mal was heftiges einfangen(was bisher nicht geschah), dann hab ich immer noch das: http://www.abload.de/image.php?img=bild446uzw.jpg

bezog sich ja auch nicht auf besagte Files sondern wenn mal wirklich was richtig böses auf mein System gelänge.

[markus17]

Wieder mal E-Mailmalware...
Erkennung vom letzten V-Totalscan (ich war scheinbar nicht der erste Uploader ): https://www.virustotal.com/file/1dada4b76b2...1a520/analysis/
Erkennung ein paar Stunden später: https://www.virustotal.com/file/1dada4b76b2...sis/1347469121/

Das Mail wurde nicht mit G Data abgerufen, von daher kann ich nicht sagen, ob es vielleicht schon durch das Outbreak Shield geblockt worden wäre. Beim Ausführen meldet sich jedoch der BB und löscht das Sample. Scheinbar verbirgt sich hinter den DHL/UPS/... Mails immer wieder ein ähnlicher Malwaretyp und die Samples werden nur leicht verändert, damit die signaturenbasierende Erkennung der AV-Programme nicht mehr greift.

[markusg]

ne, die wechseln auch schon manchmal die verteilte malware :-)
wenn du mal wieder so was reinbekommst kannst es mir ja mal weiterleiten.
http://markusg.trojaner-board.de

[markus17]

Also die Dateigrößen schwanken meistens, aber vom grundsätzlichen Vorgehen der Malware kommt es mir so vor, als ob es so 2-3 verschiedene Typen gibt. (also die Art wie sich das Sample auf dem System breit macht) Ein Scan bei V-Total zeigt dann schon hin und wieder, dass etwas neues dabei ist.

[ciacomo]

hxxp://www.chip.de/downloads/c1_downloads_hs_getfile_v1_16103867.html?t=1347738530&v=3600

Gdata's BB block die Installation

VT: hxxps://www.virustotal.com/file/0bba82622096b7bcc957d78b1bc195594122ccde997b65f7ba48695322f97a09/analysis/

Fehlalarm?

[Solution-Design]

www.chip.de/downloads/c1_downloads_hs_getfile_v1_16103867.html?t=1347738530&v=3600
Gdata's BB block die Installation
www.virustotal.com/file/0bba82622096b7bcc957d78b1bc195594122ccde997b65f7ba48695322f97a09/analysis/
Fehlalarm?

Wohl durch den Packer hervorgerufener Fehlalarm. So sieht das Installationsergebnis aus (Programm aus C:\Programme als ZIP gepackt): https://www.virustotal.com/file/2b351f95c96...sis/1347747560/

[markus17]

Ich denke auch, dass das Programm wahrscheinlich sauber ist. Anbei mal ein Auszug aus dem Protokoll von G Data:

*** Aktionen ***
Ein Packer wurde auf die Programmdatei angewandt. Möglicherweise um schädliche Inhalte zu verbergen.
Der Header der Programmdatei enthält Fehler.
Das Programm stellt eine Verbindung über ein Netzwerk her.
Das Programm hat Dateien im Systemordner gespeichert.
Das Programm hat eine ausführbare Datei angelegt oder manipuliert.
Das Programm hat eine Kopie von sich selbst angelegt.
Das Programm hat sich in den Windows Ordner kopiert.
Das Programm hat eine ausführbare Datei im Windows-Ordner angelegt oder manipuliert.

*** Quarantäne ***
Folgende Dateien wurden in Quarantäne verschoben:
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\Exif-Viewer-2.51D-Setup.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\_ZupSfx0\setup.exe
C:\WINDOWS\uninstall\Exif-Viewer\setup.exe

Scheinbar gibt es schon die Version 2.51. Das einzige was mich wundert, ist, dass das Setup am Anfang online möchte und es sich unter "C:\WINDOWS\uninstall\Exif-Viewer\setup.exe" einträgt.

[Catweazle]

Schadhafter code oder nicht, Quelle; http://www.findthatzip.com/search-339321-h...-adsspy.zip.htm

Erster versuch das zu überprüfen, https://www.virustotal.com/file/a98043ceb84...11a49/analysis/

Zweiter versuch, https://www.virustotal.com/file/a98043ceb84...sis/1349902974/

Oder irrt sich da mal öfters VT ?

Catweazle

[markus17]

Ich hätte noch mal E-Mail Malware:
https://www.virustotal.com/file/e7618e3e91d...63f32/analysis/
https://www.virustotal.com/file/98ceeade52f...64a88/analysis/
https://www.virustotal.com/file/7c7a110b6e4...e0370/analysis/

G Data blockt alle drei Samples über den BB. Neuere V-Totalscans zeigen mittlerweile auch schon bessere Ergebnisse.

@catweazle
Du könntest das File zur Sicherheit an z.B: Kaspersky senden, dann bekommst du eine Antwort ob die Datei sauber ist oder nicht.

[Gast_Scrapie_*]

Drive-by DL auf einer gängigen Pornoseite, welche durch AdblockPlus, Proxomitron, Outpost Werbeblocker und EAM in FF durch kommt und die PDF im Standard-Viewer öffnet:
Klick

Hatte ich bis dato so noch nie gefunden - alle Achtung an die Tüfftler. Leider scheint der Exploit nicht mit dem PDF-Xchange Viewer zu funktionieren...
Wer die PDF will, kann mir ne PN schicken. Webseite leider schon gefixed oder weitergezogen

Scrapie