Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Trojan-Mailfinder.Win32.Agent.ri in Mail
Rokop Security > Security > Trojaner, Viren und Würmer
christian4u2
Hallo Leute,

habe heute per Mail folgenden Schädling bekommen. Kaspersky hat die gezippte Datei allerdings durchgelassen und nichts gesagt, bis sie (auf Testsystem) ausgeführt wurde! Die Datei heißt: Rechnung.scr und beinhaltet folgendes:

24.10.2008 21:19:47 C:\Dokumente und Einstellungen\user\LOKALE EINSTELLUNGEN\TEMP\rdl105.tmp Rechnung.scr Gelöscht: Trojan-Mailfinder.Win32.Agent.ri

Wie kommt es, dass Kasperky diesen Schädling nicht sofort erkennt? Auch ein manueller Scan hat zuvor nichts auffälliges gemeldet....

Es handelte sich nebenbei um eine angebliche Rechnung von Stayfriends, die meine Frau erhalten hat.

Grüße Chris.

Voyager
Dürfte dasselbe wie das sein. http://www.rokop-security.de/index.php?s=&...st&p=252776
Julian
Wurde der Schädling denn aktiv?
Ich hatte bei ein paar Samples schon mal das Phänomen, dass der Scanner nichts fand, beim Start aber trotzdem blockiert wurde mit einer signaturbasierten Erkennung als Begründung.
christian4u2
Jepp nachdem das Programm ausgeführt wurde ist Kaspersky aktiv geworden...deswegen weis ich ja, umwas es sich gehandelt hat :-) Allerdings war es schon sehr abenteuerlich, da dann erstmal gar nichts mehr ging und Systemmeldungen kamen, dass Kaspersky (und etliche andere keine WIN32-Anwendungen seien. Dann wurde (weiß nicht ob von Kaspersky oder einer anderen Macht) ein reboot durchgeführt, und das System scheint wieder sauber.....

christian4u2
Habe mir mal die Berichte genauer angeschaut :

zunächst hat der proaktive Schutz gemeckert (ich habe "abbrechen" gewählt!)
24.10.2008 21:19:40 Abgeschlossen: Suspicious driver installation Rechnung.scr C:\DOKUMENTE UND EINSTELLUNGEN\USER\DESKTOP\RECHNUNG.SCR
24.10.2008 21:19:40 Gefunden: Suspicious driver installation Rechnung.scr C:\DOKUMENTE UND EINSTELLUNGEN\USER\DESKTOP\RECHNUNG.SCR
24.10.2008 21:19:30 Gefunden: Suspicious driver installation Rechnung.scr C:\DOKUMENTE UND EINSTELLUNGEN\USER\DESKTOP
\RECHNUNG.SCR

Dann 5 sec. später ist antivirus aktiv:
24.10.2008 21:19:45 C:\Dokumente und Einstellungen\user\LOKALE EINSTELLUNGEN\TEMP\rdl105.tmp Rechnung.scr Gefunden: Trojan-Mailfinder.Win32.Agent.ri
24.10.2008 21:19:45 C:\WINDOWS\system32\DRIVERS\aec.sys Rechnung.scr Gefunden: Trojan-Mailfinder.Win32.Agent.ri
24.10.2008 21:19:47 C:\Dokumente und Einstellungen\user\LOKALE EINSTELLUNGEN\TEMP\rdl105.tmp Rechnung.scr Gelöscht: Trojan-Mailfinder.Win32.Agent.ri

christian4u2
Habe gerade von Kaspersky folgendes erhalten (ungefähr 20 min nachdem ich es geschickt hatte.):

Hello,

Rechnung.scr_ - Trojan.Win32.Inject.jiq

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.
olli
Bedeutet also, dass Kaspersky durch die proaktive Erkennung den Trohaner doch geblockt hat. Aber wieso hat Kaspersy dann doch einen Namen für den Schädling...?

Bis denne
Olli
Julian
ZITAT(ntvolli @ 25.10.2008, 09:09) *
Bedeutet also, dass Kaspersky durch die proaktive Erkennung den Trohaner doch geblockt hat. Aber wieso hat Kaspersy dann doch einen Namen für den Schädling...?

Das wundert mich auch...
christian4u2
Habe eben mal die Datei bei Virustotal geladen mit folgenden Ergebnis:

AhnLab-V3 2008.10.24.3 2008.10.25 -
AntiVir 7.9.0.9 2008.10.25 TR/Dldr.iBill.BF
Authentium 5.1.0.4 2008.10.25 W32/Trojan3.EN
Avast 4.8.1248.0 2008.10.25 -
AVG 8.0.0.161 2008.10.25 SHeur.CQOD
BitDefender 7.2 2008.10.25 -
CAT-QuickHeal 9.50 2008.10.25 -
ClamAV 0.93.1 2008.10.25 Trojan.Agent-57254
DrWeb 4.44.0.09170 2008.10.25 -
eSafe 7.0.17.0 2008.10.23 Suspicious File
eTrust-Vet 31.6.6168 2008.10.25 -
Ewido 4.0 2008.10.25 -
F-Prot 4.4.4.56 2008.10.25 W32/Trojan3.EN
F-Secure 8.0.14332.0 2008.10.25 Trojan.Win32.Inject.jiq
Fortinet 3.113.0.0 2008.10.25 -
GData 19 2008.10.25 -
Ikarus T3.1.1.44.0 2008.10.25 Win32.Outbreak
K7AntiVirus 7.10.507 2008.10.25 -
Kaspersky 7.0.0.125 2008.10.25 Trojan.Win32.Inject.jiq
McAfee 5415 2008.10.25 -
Microsoft 1.4005 2008.10.25 VirTool:Win32/Obfuscator.CZ
NOD32 3555 2008.10.25 -
Norman 5.80.02 2008.10.24 -
Panda 9.0.0.4 2008.10.25 -
PCTools 4.4.2.0 2008.10.25 -
Prevx1 V2 2008.10.25 -
Rising 21.00.52.00 2008.10.25 -
SecureWeb-Gateway 6.7.6 2008.10.25 Trojan.Dldr.iBill.BF
Sophos 4.35.0 2008.10.25 Troj/Agent-IAS
Sunbelt 3.1.1753.1 2008.10.25 -
Symantec 10 2008.10.25 W32.Auraax
TheHacker 6.3.1.1.129 2008.10.25 -
TrendMicro 8.700.0.1004 2008.10.24 -
VBA32 3.12.8.8 2008.10.25 -
ViRobot 2008.10.24.1436 2008.10.24 -
VirusBuster 4.5.11.0 2008.10.25 -

Mittlerweile hat sich der Name bei Kaspersky von "Trojan-Mailfinder.Win32.Agent.ri", wie die Datei zunächst bei mir genannt wurde, in "Trojan.Win32.Inject.jiq" umbenannt. Vielleicht ist der erste Name eine Wortschöpfung, die Kaspersky bei verdächtigen Dateien anwendet. Später nach ausführlicher Analyse bekommen sie dann ihren richtigen Namen.....ist aber nur eine Vermutung.
Die Datei scheint ja immer noch ziemlich unbekannt zu sein......
blueX
@christian4u2

Sende die Datei doch auch an die anderen Virenschutzhersteller -> http://www.rokop-security.de/index.php?showtopic=17635



christian4u2
Gemacht :-)
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.