Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Ist das wirklich Malware?
Rokop Security > Security > Trojaner, Viren und Würmer
flexibel44
Bei meiner Kollegin auf dem Laptop hat Antivir Malware gefunden. Ich habe das bei Jottis hochgeladen mit folgendem Ergebnis:

A-Squared Keine Viren gefunden
AntiVir TR/Dropper.Gen gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Trojan-gen {Other} gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
G DATA Keine Viren gefunden
Ikarus Virus.Win32.Trojan gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Ich habe das Teil dann noch mal bei Kaspersky hochgeladen und da kam heute die Antwort, dass es keine Malware sei. Dann hab ich es noch einmal bei Avira hochgeladen und "Fehlalarm" gewählt, aber die haben heute bestätigt, dass es sich um Malware handelt.
Ist das nicht merkwürdig?
Inzwischen ist der Laptop neu aufgesetzt worden und gut ist, aber dass die "Großen Zwei" sich so unterschiedlich äußern, ist doch schon komisch.

Ach so, ich habe es eben noch mal bei Virustotal hochgeladen und da erkennen es schon ein paar mehr.

AhnLab-V3 2008.10.28.3 2008.10.29 -
AntiVir 7.9.0.10 2008.10.29 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.29 -
Avast 4.8.1248.0 2008.10.29 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.29 -
BitDefender 7.2 2008.10.29 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.29 -
DrWeb 4.44.0.09170 2008.10.29 -
eSafe 7.0.17.0 2008.10.29 -
eTrust-Vet 31.6.6179 2008.10.29 -
Ewido 4.0 2008.10.29 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.29 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.29 Win32:Trojan-gen {Other}
Ikarus T3.1.1.44.0 2008.10.29 Virus.Win32.Trojan
K7AntiVirus 7.10.511 2008.10.29 -
Kaspersky 7.0.0.125 2008.10.29 -
McAfee 5417 2008.10.28 -
Microsoft 1.4005 2008.10.29 -
NOD32 3566 2008.10.29 -
Norman 5.80.02 2008.10.29 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.29 -
Prevx1 V2 2008.10.29 -
Rising 21.01.22.00 2008.10.29 -
SecureWeb-Gateway 6.7.6 2008.10.29 Trojan.Dropper.Gen
Sophos 4.35.0 2008.10.29 -
Sunbelt 3.1.1764.1 2008.10.29 -
Symantec 10 2008.10.29 -
TheHacker 6.3.1.1.133 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.29 -
VBA32 3.12.8.8 2008.10.28 -
ViRobot 2008.10.29.1443 2008.10.29 -
VirusBuster 4.5.11.0 2008.10.28 -

Möchte jemand die Datei zur Ansicht haben, bitte melden.
Voyager
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt und wo es sich auf der Platte befindet , ein frühzeitig erstelltes hijackthislog würde auch helfen.

Ohne die Informationen ist es kaum möglich zu sagen was das ist.
flexibel44
ZITAT(bond7 @ 29.10.2008, 19:59) *
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt und wo es sich auf der Platte befindet , ein frühzeitig erstelltes hijackthislog würde auch helfen.

Ohne die Informationen ist es kaum möglich zu sagen was das ist.


Leider alles weg wegen Neuaufsetzung.
Voyager
Lade es mal als RAR bei Rapidshare.de hoch mit einem Passwort versehen , das Passwort kannst du mir und anderen Interesenten dann per PN schicken .
Rene-gad
ZITAT(bond7 @ 29.10.2008, 19:59) *
es wäre erstmal schon interesannt zu wissen um welches Objekt es sich handelt

Ich tippe auf einen False-Positive in einer Setup-Datei ph34r.gif
flexibel44
Hier der Download Link: http://rapidshare.de/files/40791477/_Untitled.rar.html
Voyager
Es ist ein False Positive , ein kleines Spiel -> Reifen Rodeo

ZITAT
Version language : Englisch (USA)
Comments :
CompanyName : Rocketsnail Games
FileDescription :
LegalCopyright : Copyright © 2000-2002 RocketSnail Games
LegalTrademarks :
ProductName : Reifen Rodeo
FileVersion : 1.00.1591
ProductVersion : 1.00.1591
InternalName : Player
OriginalFilename : Player.exe


Antibot sieht auch keine verdächtige Aktion in dem Prozess.
rolarocka

Shot at 2008-10-29
thumbup.gif
ok ok hat nichts mit dem thread zu tun.....
Julian
Wie lang hast du denn das gespielt? Mir wurd sofort langweilig biggrin.gif
rolarocka
k.A. bin fast eingeschlafen. Ist ja schneller nachher geworden smile.gif
olli
ZITAT(Rene-gad @ 29.10.2008, 21:12) *
Ich tippe auf einen False-Positive in einer Setup-Datei ph34r.gif



Moin zusammen!

Dieses "Virustoal-Phänomen" wird auch in der c´t beschrieben. Irgendein Hersteller meldet einen FP, die anderen Hersteller schreiben erstmal eine Signatur und dann erst wird das Sample analysiert und ggfsl der FP korregiert. Aber um erstmal bei Virustotal gut auszusehen wird das Teiler erstmal erkannt. Es wäre interessant das Sample nun in 1-2 Tagen nochmal bei VT hochzuladen. Dann könnte man sehen, ob an der Aussage der ct was dran ist.

Bis denne
Olli
blueX
ZITAT(ntvolli @ 30.10.2008, 09:15) *
Moin zusammen!

Dieses "Virustoal-Phänomen" wird auch in der c´t beschrieben. Irgendein Hersteller meldet einen FP, die anderen Hersteller schreiben erstmal eine Signatur und dann erst wird das Sample analysiert und ggfsl der FP korregiert. Aber um erstmal bei Virustotal gut auszusehen wird das Teiler erstmal erkannt. Es wäre interessant das Sample nun in 1-2 Tagen nochmal bei VT hochzuladen. Dann könnte man sehen, ob an der Aussage der ct was dran ist.



Das habe ich ja schon mehrmals beschrieben. Ich habe auch den Eindruck.
Und ich habe auch den Eindruck, dass die False Positives dann doch nicht mehr gefixt werden.

Übrigens: AVIRA sagt erneut, dass es sich um Malware handelt.



Voyager
Avira reagiert nur auf den exe-packer typ , prinzipiell könntest du den jetzt jede Systemdatei andrehen wenn du Sie nur in so´n Müll einpackst wink.gif

Naja solche Schlampereien macht echt jeder AV, muss an den Leuten liegen .
citro
@flexibel44

Sende die Datei an heuristik2at@avira.com at=@ in einer .zip mit Passwort.

..und schreibe was dazu

Anleitung Avira-Forum
blueX
Habe das gerade mit AVIRA geklärt - die nehmen das File mit dem nächsten Update aus der Erkennung heraus.



olli
Moin zusammen!

Lässt jemand das File nochmal in den nächsten Tage bei VT scannen? Würde mich interessieren, wie schnell die Hersteller die Siganturen bereinigen.

Bis denne
Olli
Kenshiro
Habs eben jetzt nochmals hochgeladen!
Ergebnis
Voyager
@Kenshiro

Du musst die RAR erst entpacken , 2 von den Scannern können kein RAR entpacken und den Inhalt dadurch nicht scannen.

http://www.virustotal.com/de/analisis/4091...bcae640b1b6a087

Einer hat reagiert , vorher waren es 6 Erkennungen und jetzt nurnoch 5.
Kenshiro
Danke bond7 smile.gif ich -> stirnklatsch.gif
blueX
Nur noch F-Secure erkennt das File als Trojaner. stirnklatsch.gif
Alle anderen haben den Fehlalarm gefixt.



Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.