Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[raman]

Die haben die Datei bestimmt schon sehr schnell erhalten ( von uns auch um ca 11.00), warum sie das noch nicht eingebaut haben, wundert mich schon. Da ist Antivir und KAV doch um einiges schneller.
AUch die Dinge, die dieser Downloader herunterlaedt und installiert werden von beiden noch nicht erkannt. Komischerweise werden diese Dinge von einigen, die den Downloader nicht melden wohl erkannt, wie z.B. Mcafee.

Aber das soll wohl bei andere Malware wieder komplett anders sein.

[DC01]

@ back wurde soeben editiert

Mcafee und Microsoft erkennen das Ding also auch nicht..und eben leider auch NOD meckert hier bei mir nicht

@raman

Meine Mail kam um 11:25

Antivir hat es auch ohne Signaturen Update erkannt..KAV hatte da schon eine Signatur bereitgestellt(5minütliche Updates eingestellt in Kav 6 )

Der Beitrag wurde von DC01 bearbeitet: 25.02.2007, 21:12

[Gast_back_*]

Also bei Bitdefender häuft sich die Sache in letzter Zeit extrem, wie ich finde......ich bin mal auf die AV Comparatives gespannt, da dürften die ja deutlich nach unten gerutscht sein.

[citro]

citro


edit: genau 5 Minuten nach dem Einsenden der Datei zu Kaspersky bekam ich die Antwort:

Hello, no malicious code was found in this file.

--

Der Beitrag wurde von citro bearbeitet: 26.02.2007, 19:29

[Gast_Xeon_*]

das panda symantec und mc afee da immer noch nichts gemacht hat wundert....
edit: hier wars:
http://img417.imageshack.us/my.php?image=zcodecuo6.jpg
http://www.rokop-security.de/index.php?sho...odecs&st=20

symantec erkennt sie auch wirklich nicht! (norton2005se, signaturen vn 24.1)!

damals sagte nod ZLOB zur selben datei, heute in deinem ergebnis heissts aufeinmal: probably a variant of Win32/Small.FB

Ab heute wird die aktuelle Datei,die anscheinend laufend verändert wird,von Symantec erkannt.

28.02.2007 00:56:14,Auto-Protect,Trojan.Flush.K,Blockiert,Datei,Nicht zutreffend,10.2.0.30,SYSTEM,CORE-2-DUO,"Quelle: C:\Dokumente und Einstellungen\+++++++++\Desktop\ZCodec1000.exe,Risikokategorie Virus,Gesamtrisikoauswirkung: Hoch,Leistung: 1,Datenschutz: 1172620574,Durchgeführte Aktion: Blockiert"

Im Gesamten sieht das aktuell dann so aus...

Complete scanning result of "ZCodec1000.exe", received in VirusTotal at 02.28.2007, 01:10:18 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.27.2007 no virus found
Authentium 4.93.8 02.27.2007 no virus found
Avast 4.7.936.0 02.27.2007 no virus found
AVG 7.5.0.441 02.27.2007 no virus found
BitDefender 7.2 02.28.2007 Dropped:Trojan.DNSChanger.IH
CAT-QuickHeal 9.00 02.27.2007 no virus found
ClamAV devel-20060426 02.28.2007 no virus found
DrWeb 4.33 02.27.2007 no virus found
eSafe 7.0.14.0 02.27.2007 no virus found
eTrust-Vet 30.4.3440 02.28.2007 no virus found
Ewido 4.0 02.27.2007 no virus found
FileAdvisor 1 02.28.2007 no virus found
Fortinet 2.85.0.0 02.27.2007 no virus found
F-Prot 4.3.1.45 02.26.2007 no virus found
F-Secure 6.70.13030.0 02.28.2007 Trojan.Win32.DNSChanger.ih
Ikarus T3.1.1.3 02.27.2007 Trojan.Win32.DNSChanger.ih
Kaspersky 4.0.2.24 02.27.2007 Trojan.Win32.DNSChanger.ih
McAfee 4972 02.27.2007 no virus found
Microsoft 1.2204 02.27.2007 password protected
NOD32v2 2083 02.27.2007 the file is probably password protected.
Norman 5.80.02 02.27.2007 no virus found
Panda 9.0.0.4 02.27.2007 no virus found
Prevx1 V2 02.28.2007 no virus found
Sophos 4.14.0 02.26.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 no virus found
Symantec 10 02.28.2007 Trojan.Flush.K
TheHacker 6.1.6.065 02.26.2007 Trojan/DNSChanger.ik
UNA 1.83 02.27.2007 no virus found
VBA32 3.11.2 02.27.2007 no virus found
VirusBuster 4.3.19:9 02.27.2007 no virus found

[raman]

Diese DAtei ist ein Nsis Installer. Wenn die MalwareDatei selber geprueft wuerde, waere die Erkennung besser, da viele Nsis installer nicht entpacken koennen.

[Kenshiro]

Hallo Leute,

kurze Frage: FP oder nicht
Danke

Complete scanning result of "CD.exe", received in VirusTotal at 02.28.2007, 16:37:30 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.38 02.28.2007 no virus found
Authentium 4.93.8 02.27.2007 no virus found
Avast 4.7.936.0 02.28.2007 no virus found
AVG 7.5.0.441 02.27.2007 no virus found
BitDefender 7.2 02.28.2007 no virus found
CAT-QuickHeal 9.00 02.28.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.28.2007 no virus found
DrWeb 4.33 02.28.2007 no virus found
eSafe 7.0.14.0 02.28.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3441 02.28.2007 no virus found
Ewido 4.0 02.28.2007 no virus found
FileAdvisor 1 02.28.2007 no virus found
Fortinet 2.85.0.0 02.28.2007 no virus found
F-Prot 4.3.1.45 02.28.2007 no virus found
F-Secure 6.70.13030.0 02.28.2007 no virus found
Ikarus T3.1.1.3 02.28.2007 no virus found
Kaspersky 4.0.2.24 02.28.2007 no virus found
McAfee 4972 02.27.2007 no virus found
Microsoft 1.2204 02.28.2007 no virus found
NOD32v2 2085 02.28.2007 no virus found
Norman 5.80.02 02.28.2007 no virus found
Panda 9.0.0.4 02.28.2007 no virus found
Prevx1 V2 02.28.2007 no virus found
Sophos 4.14.0 02.26.2007 no virus found
Sunbelt 2.2.907.0 02.24.2007 VIPRE.Suspicious
Symantec 10 02.28.2007 no virus found
TheHacker 6.1.6.065 02.26.2007 no virus found
UNA 1.83 02.27.2007 no virus found
VBA32 3.11.2 02.27.2007 no virus found
VirusBuster 4.3.19:9 02.28.2007 no virus found

Aditional Information
File size: 399872 bytes
MD5: c214925a6e327165f985aaeef29bd7f3
SHA1: b5dedc1cb4b327d1155c10fd44c0f27136f4ba86
packers: ASPACK, UPX
packers: Aspack
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

[Gast_back_*]

Sieht nach einem FP aus, der Packer wurde vermutlich falsch erkannt, was sagt die Sandbox von z.B. Norman dazu? Jotti dürfte die beiden Scanner, die meckern nicht dabei haben, aber kannst es ja nochmal hochsenden, müsste aber nix anderes im Ergebnis bringen.

Würde aber auch FP tippen!

[raman]

Ohne die Datei zu kennen, wuerde ich auf Fehlalarm tippen, da die, die etwas melden nur die Packer melden. Allerdings, warum man ein "regulaeres" Programm so packen muss, weiss ich auch nicht.

[Kenshiro]

Ok danke

[Gast_back_*]

Hab ich letztens auch schonmal erlebt, dass ein normales Tool so gepackt war und da hab ich mich auch gefragt. Der Hersteller wurde auf meine Anfrage hin noch pampig, was ich ihm da unterstellen würde, dabei hab ich ihm nur das Testergebnis von Jotti bzw. Virustotal mitgeteilt, mehr nicht.

Installiert hab ich mir die Testversion davon dann nicht, war irgend ein FTP Client

[citro]

Warum gibt es Unterschiede zwischen Jotti und Virustotal in der Erkennung ? Heuristik ?

Ich habe über mehrere Tage die gleiche Datei scannen lassen - am Update kann es nicht liegen.
Genauer gesagt geht es um den Scanner von Fortinet.
Auf der dortigen Homepage wird beim Hochladen diese Datei als Malware erkannt, genauso wie bei Virustotal aber bei Jotti nicht. (sei es drum ob sie wirklich eine ist oder nicht)




citro

[Gast_back_*]

Da hatten wir hier irgendwann mal angesprochen, die Vermutung war folgende

Jotti setzt wahrscheinlich Linux ein, Virustotal setzt Windows ein. Dann ist wahrscheinlich die Heuristik entsprechend weniger agressiv eingestellt.....bei Signaturen kanns auch noch die unterschiedliche Updatehäufigkeit sein.

[Gast_Scrapie_*]

Hi

Neuer Webdownloader - veröffentlicht vor 4 Stunden - Erkennung rein heuristisch:



Scrapie

[Voyager]

selbst umgepackte Malware ?

[Gast_back_*]

Hi

Neuer Webdownloader - veröffentlicht vor 4 Stunden - Erkennung rein heuristisch:



Scrapie

Soviel zur angeblichen Spitzenheuristikengine von NOD, der Antivir hinterherhinken soll

[Gast_Poulsen_*]

Soviel zur angeblichen Spitzenheuristikengine von NOD, der Antivir hinterherhinken soll

Ist schon erstaunlich. Die wird doch immer wieder angepriesen und hervorgehoben
Wie war das doch? Es ist halt nicht alles Gold, was glänzt

Der Beitrag wurde von Poulsen bearbeitet: 02.03.2007, 09:07

[Kenshiro]

Ist schon erstaunlich. Die wird doch immer wieder angepriesen und hervorgehoben
Wie war das doch? Es ist halt nicht alles Gold, was glänzt

Moin Poulsen,
heißt es bleibst AntiVir P R E M I U M nun treu Nix mehr nod32

[Gast_Poulsen_*]

Moin Poulsen,
heißt es bleibst AntiVir P R E M I U M nun treu Nix mehr nod32

Wie heißt es doch so schön

[Kenshiro]

Wie heißt es doch so schön

Du hast jewonnen