|
unbekannter Plagegeist, 135.168 Bytes Guten Tag, nach gaaaanz vielen Hinweisen und Anleitungen habe ich es nun bis zur Threaderöffnung geschafft. Mir kam eine verdächtige Datei auf den PC und kein Scanner erkennt sie. Sie kam als "[pl]Top 20 Ringtones 1-2010 .scr" und hat ein Ordner-Icon. Der Dateiname zusammen mit dem Icon läßt alle Alarmlampen bei mir angehen. Mein AntiVir findet nichts, auch Malwarebytes Antivirus nicht. (natürlich beide zuvor upgedated) Sunbelts Onlinescanner meldet mir diese auffälligen Angaben: Windows/Run Regsitry Key Set: YES Connects via WinSock: YES Creates Hidden Executable: YES Creates Mutex: YES Starts EXE in Documents: YES Die Dateigröße ist 135.168 Bytes und der Hashwert (MD5) ist: c069a206ec32bdc86491742200b7688f Bei Start in einer Sandbox werden Kopien der Datei mit zufälligen (?) Namen erstellt wie z.B. yoavuok.exe - diese Dateien haben die Attribute r,a,h und s. Ich bin mir ziemlich sicher, dass es Malware ist, aber keiner findet sie :-( Kann mir jemand die Ergebnisse erklären: h**p://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12055756&cs=52ED75C969EAB9AD6F641AD6EBBE4C1F Bei Google habe ich bei Eingabe des Hashwertes diese Seite gefunden: h**p://www.threatexpert.com/report.aspx?md5=c069a206ec32bdc86491742200b7688f Dort wird von einem Registryeintrag und automatischen Start berichtet. Was ist das für ein Plagegeist? Gruß Andreas P.S.: ich hatte die Überschrift vergessen :-( es kam immer die Meldung "Der Beitrags-Text ist zu kurz! - (bitte min. 10 Zeichen!)" und ich habe lange gebraucht, um zu erkennen, dass statt "Beitrags-Text" wohl vielmehr "Überschrift" gemeint ist. P.P.S.: Jotti findet auch nichts: h**p://virusscan.jotti.org/de/scanresult/168ebb0de104be29b8e41331a0245e8d82d690ac |
Zitat:
Virustotal. MD5: c069a206ec32bdc86491742200b7688f Suspicious file lg. |
Hallo lg! ein ganz klares Jein :-) Bei Panda scheint die Erkennung tagesform-abhängig zu sein, denn hier erkennt er (sie?) nichts: [Panda Antivirus] 2010-02-07 Nichts gefunden yoavuok.exe - Jottis Malwarescanner Und "suspiciuos" ist ja nur eine "ich-weiß-nicht-genau"-Meldung. :-( Unter Erkennung würde ich sowas verstehen wie z.B. "Trojaner: xyz1234; erstellt ungefragt Dateien, schreibt in die Registry, will Schadcode von Example Web Page herunterladen, etc..." Gruß Andreas |
Zitat:
Der Log von TAV. sagt schon einiges aus, was diese Datei tut. lg. |
Hallo lg! Wer oder was ist TAV? Ich habe mir was zusammengereimt: # Outgoing Connections * Plain Communication Data o Receive + Dump Line: # ASCII: :.dl http://prin # ASCII: gles8674.com:808 Der Bösewicht wollte nachhause telefonieren und dieses Zuhause scheint h**p://pringles8674.com zu sein. Der Besitzer Sport Co LTD Address: Volodarskiy City: Izjevsk Province/state: IZJEVSK Country: CN Postal Code: 519000 (Auskunft gemäß whois-Server: http://www.todaynic.com/whois/domaincheck.php?language=en ) hört sich eher russisch als chinesisch an. Es gibt in China auch keine Stadt oder Provinz mit dem Namen, dafür gibt's in Russland Izhevsk! Hm... mal warten, wann der erste Antivirushersteller dem Bösewicht einen Namen gibt. Gruß Andreas |
erster Erkennungserfolg: Kaspersky 7.0.0.125 2010.02.08 Trojan.Win32.Sasfis.aecg |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:45 Uhr. |
Copyright ©2000-2024, Trojaner-Board