Uploadergebnisse v-total + jotti, viel spass :) Einstellungen

[citro]

Ist das KIMS oder ein Online Scanner was du verwendest

KIMS ?

virscan ist seit kurzem im Forum bekannt.

http://www.rokop-security.de/index.php?showtopic=15055

edit: AVK erkennt mit AVAST die Datei bei mir nicht, aber a²free

[Rios]

Sunbelt erkennt diese Soft nun auch, der Rest... nothing to do

habe es vergessen. Kaspersky sagt, da ist nichts.

[Rios]

Screensaver

[Rios]

Hier klaffen erhebliche Lücken.





der Player

[Sasser]

Darauf haben wir alle gewartet, Antivir langsamer als Bitdefender und F-Secure, das tut gut.

[Rios]

Toolbar

[citro]

Microsoft und ClamAV erkennen die Datei beim Einsenden aber nicht bei VT, jotti etc.

Microsoft reagierte so schnell wie KAV mit der Antwort, allerdings mit unterschiedlichen Meinungen. (KAV: "no malicious code")

http://www.rokop-security.de/index.php?s=&...st&p=207468

[Rios]

Bisher nur die 3 Scanner, die das Teil erkennen. Kaspersky wie immer sehr schnell reagiert.

[Kenshiro]

Jetzt bin ich sprachlos, daß darunter ClamAV es auch erkannt hat!!

[Rios]

Also Surf Side Kick, ist schon allen wesentlichen Scannern bekannt. Dr.Web Link Checker erkennt ihn ebenfalls.

[citro]

Interessant ist die unterschiedliche Meinung zweier AVs

KAV sagt "no malicious code",

Avira: demnächst TR/Crypt.FKM.Gen



http://www.abload.de/image.php?img=1rsfw4.jpg

(Microsofts AV und Symantec bei VT erkennen die Datei auch)

Der Beitrag wurde von citro bearbeitet: 01.08.2007, 21:27

[Rios]

Das schreibt Symantec dazu.

[Rios]

So erfreulich ist es nun auch wieder nicht.

[Solution-Design]

So erfreulich ist es nun auch wieder nicht.

Natürlich stellt sich auch hier die Frage, inwieweit diese Adware schädlich ist. OK, es wird eine Toolbar als auch WhenU installiert. Allerdings wird der Nutzer dieser Software auch während der Installation darauf hingewiesen. Und mit "next" nimmt er die Nutzungsbedingungen, wie im Text auch zu lesen, an.

Hier die Toolbar


Hier ist sie in "Software" zu finden und auch deinstallierbar


Nach erfolgter Deinstallation wird man noch gefragt, warum eine Deinstallation erfolgte


Der Screensaver funktioniert weiterhin. Das Verzeichnis mit der Toolbar, sowie WhenU bleibt erhalten. HijackThis findet nichts mehr, lediglich Kaspersky bemeckert die SN.exe als WhenU.a. Die Toolbar findet KAV aber nicht schädlich.


Hier noch einige Screens








Der Beitrag wurde von Solution-Design bearbeitet: 03.08.2007, 01:33

[Rios]

Watch Porn Movies.exe



ContraVirus Installer.exe

[Solution-Design]

SDTrestore.exe wird auf Virustotal von BitDefender 7.2 2007.08.05 als Virtool.SDTPatc.A gefunden. und zwar nur von BitDefender. Lokal installiert bemeckert dieses Tool allerdings auch ein Kaspersky 7. Alles seltsam mit diesen Online-Scannern.

[Rios]

Verwandlungskünstler SpySheriff

[Gast_Scrapie_*]

Hi

Kleiner MIRC-Wurm frisch aus der Presse oder aber das Märchen von der Heuristik


Oder alternativ das selbe in einer kleinen Webseite für willige Besucher verpackt:



Scrapie

[Bjartskular]

Vorher:

AhnLab-V3 2007.8.9.2 2007.08.09 Win32/Bagle.worm.AM
AntiVir 7.4.0.57 2007.08.09 Worm/Bagle.AP
Authentium 4.93.8 2007.08.09 W32/Bagle.DR@mm
Avast 4.7.1029.0 2007.08.09 Win32:Beagle-AQ
AVG 7.5.0.476 2007.08.09 I-Worm/Bagle
BitDefender 7.2 2007.08.10 Win32.Bagle.AX@mm
CAT-QuickHeal 9.00 2007.08.09 W32.Bagle.AT
ClamAV 0.91 2007.08.10 Worm.Bagle.AT
DrWeb 4.33 2007.08.10 Win32.HLLM.Beagle.18848
eSafe 7.0.15.0 2007.07.31 Win32.Bagle.at
eTrust-Vet 31.1.5045 2007.08.09 Win32/Bagle.AQ
Ewido 4.0 2007.08.09 Worm.Bagle.at
FileAdvisor 1 2007.08.10 -
Fortinet 2.91.0.0 2007.08.09 W32/Bagle.BC@mm
F-Prot 4.3.2.48 2007.08.09 W32/Bagle.DR@mm
F-Secure 6.70.13030.0 2007.08.09 Email-Worm.Win32.Bagle.at
Ikarus T3.1.1.12 2007.08.09 Email-Worm.Win32.Bagle.AT
Kaspersky 4.0.2.24 2007.08.10 Email-Worm.Win32.Bagle.at
McAfee 5094 2007.08.09 W32/Bagle.bb@MM
Microsoft 1.2704 2007.08.10 Worm:Win32/Bagle.AS@mm!CME473
NOD32v2 2448 2007.08.10 Win32/Bagle.AS
Norman 5.80.02 2007.08.09 -
Panda 9.0.0.4 2007.08.09 W32/Bagle.BC.worm!CME-473
Prevx1 V2 2007.08.10 -
Rising 19.35.33.00 2007.08.09 Worm.Mail.Bagle.nf
Sophos 4.19.0 2007.08.01 Junk/Bagle-AU
Sunbelt 2.2.907.0 2007.08.10 VIPRE.Suspicious
Symantec 10 2007.08.10 W32.Beagle.gen
TheHacker 6.1.7.166 2007.08.09 W32/Bagle.BB@MM
VBA32 3.12.2.2 2007.08.09 -
VirusBuster 4.3.26:9 2007.08.09 I-Worm.Bagle.AY
Webwasher-Gateway 6.0.1 2007.08.09 Worm.Bagle.AP


Nachher:


AhnLab-V3 2007.8.9.2 2007.08.09 -
AntiVir 7.4.0.57 2007.08.09 -
Authentium 4.93.8 2007.08.09 -
Avast 4.7.1029.0 2007.08.09 Win32:Beagle-AQ
AVG 7.5.0.476 2007.08.09 -
BitDefender 7.2 2007.08.10 -
CAT-QuickHeal 9.00 2007.08.09 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.10 -
DrWeb 4.33 2007.08.10 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5045 2007.08.09 -
Ewido 4.0 2007.08.09 Worm.Bagle.at
FileAdvisor 1 2007.08.10 -
Fortinet 2.91.0.0 2007.08.09 -
F-Prot 4.3.2.48 2007.08.09 -
F-Secure 6.70.13030.0 2007.08.09 Email-Worm.Win32.Bagle.at
Ikarus T3.1.1.12 2007.08.09 Trojan.Win32.Agent.oh
Kaspersky 4.0.2.24 2007.08.10 Email-Worm.Win32.Bagle.at
McAfee 5094 2007.08.09 New Malware.n
Microsoft 1.2704 2007.08.10 -
NOD32v2 2448 2007.08.10 -
Norman 5.80.02 2007.08.09 W32/Suspicious_U.gen
Panda 9.0.0.4 2007.08.09 Suspicious file
Prevx1 V2 2007.08.10 -
Rising 19.35.33.00 2007.08.09 -
Sophos 4.19.0 2007.08.01 Mal/EncPk-Q
Sunbelt 2.2.907.0 2007.08.10 VIPRE.Suspicious
Symantec 10 2007.08.10 -
TheHacker 6.1.7.166 2007.08.09 -
VBA32 3.12.2.2 2007.08.09 -
VirusBuster 4.3.26:9 2007.08.09 -
Webwasher-Gateway 6.0.1 2007.08.09 Win32.Malware.gen#Upack (suspicious)

[hypnosekroete]

Vor- und nach was?

Repacking?