Trojaner-Board - wie zuverlässig sind die einzelnen virenscanner bei virustotal?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - wie zuverlässig sind die einzelnen virenscanner bei virustotal? (https://www.trojaner-board.de/95302-zuverlaessig-einzelnen-virenscanner-virustotal.html)

wie zuverlässig sind die einzelnen virenscanner bei virustotal?

wie zuverlässig sind die einzelnen virenscanner bei virustotal? würdet ihr sowas ausführen, selbst wenn die quelle vertrauenswürdig ist?

AhnLab-V3 2011.01.27.01 2011.01.27 -
AntiVir 7.11.2.50 2011.02.01 -
Antiy-AVL 2.0.3.7 2011.01.28 -
Avast 4.8.1351.0 2011.02.01 -
Avast5 5.0.677.0 2011.02.01 -
AVG 10.0.0.1190 2011.02.02 -
BitDefender 7.2 2011.02.02 -
CAT-QuickHeal 11.00 2011.02.02 (Suspicious) - DNAScan
ClamAV 0.96.4.0 2011.02.02 PUA.Packed.PECompact-1
Commtouch 5.2.11.5 2011.02.02 -
Comodo 7564 2011.02.02 -
DrWeb 5.0.2.03300 2011.02.01 Trojan.Siggen2.16874
Emsisoft 5.1.0.2 2011.02.02 -
eSafe 7.0.17.0 2011.02.01 -
eTrust-Vet 36.1.8136 2011.02.02 -
F-Prot 4.6.2.117 2011.02.01 -
F-Secure 9.0.16160.0 2011.02.02 -
Fortinet 4.2.254.0 2011.02.02 -
GData 21 2011.02.02 -
Ikarus T3.1.1.97.0 2011.02.02 -
Jiangmin 13.0.900 2011.02.02 -
K7AntiVirus 9.80.3717 2011.02.02 -
Kaspersky 7.0.0.125 2011.02.02 -
McAfee 5.400.0.1158 2011.02.02 Artemis!B56310DCEC32
McAfee-GW-Edition 2010.1C 2011.02.02 Artemis!B56310DCEC32
Microsoft 1.6502 2011.02.02 -
NOD32 5838 2011.02.01 -
Norman 6.06.12 2011.02.01 -
nProtect 2011-01-27.01 2011.02.01 -
Panda 10.0.3.5 2011.02.01 -
PCTools 7.0.3.5 2011.01.31 -
Prevx 3.0 2011.02.02 -
Rising 23.43.02.02 2011.02.02 -
Sophos 4.61.0 2011.02.02 -
SUPERAntiSpyware 4.40.0.1006 2011.02.02 -
Symantec 20101.3.0.103 2011.02.02 -
TheHacker 6.7.0.1.122 2011.01.30 -
TrendMicro 9.120.0.1004 2011.02.02 -
TrendMicro-HouseCall 9.120.0.1004 2011.02.02 -
VBA32 3.12.14.3 2011.02.01 -
VIPRE 8283 2011.02.02 -
ViRobot 2011.2.2.4288 2011.02.02 -
VirusBuster 13.6.176.0 2011.02.01 -

MFG

Um jetzt in Deinem speziellen Fall eine Aussage treffen zu können, musst Du das gesamte Ergebiss incl. MD5 etc posten.

ich habe den absichtlich nicht mitgeschickt, da ich gerne eine neutrale meinung unter den oben gegebenen tatsachen hätte;)
ich finde es immer schwer, virustotal zu interpretieren wenn er selbs bei vermeintlich seriösen dingen anschlägt.

mfg

Ohne komplettes Ergebniss kann man ich Dir keine Einschätzung geben.
Das ganze hat ja einen Sinn, sonst würde VT ja nicht am Ende z.b. die PE Struktur und Packer anzeigen.

okay:

Antivirus Version Last Update Result
AhnLab-V3 2011.01.27.01 2011.01.27 -
AntiVir 7.11.2.50 2011.02.01 -
Antiy-AVL 2.0.3.7 2011.01.28 -
Avast 4.8.1351.0 2011.02.01 -
Avast5 5.0.677.0 2011.02.01 -
AVG 10.0.0.1190 2011.02.02 -
BitDefender 7.2 2011.02.02 -
CAT-QuickHeal 11.00 2011.02.02 (Suspicious) - DNAScan
ClamAV 0.96.4.0 2011.02.02 PUA.Packed.PECompact-1
Commtouch 5.2.11.5 2011.02.02 -
Comodo 7564 2011.02.02 -
DrWeb 5.0.2.03300 2011.02.01 Trojan.Siggen2.16874
Emsisoft 5.1.0.2 2011.02.02 -
eSafe 7.0.17.0 2011.02.01 -
eTrust-Vet 36.1.8136 2011.02.02 -
F-Prot 4.6.2.117 2011.02.01 -
F-Secure 9.0.16160.0 2011.02.02 -
Fortinet 4.2.254.0 2011.02.02 -
GData 21 2011.02.02 -
Ikarus T3.1.1.97.0 2011.02.02 -
Jiangmin 13.0.900 2011.02.02 -
K7AntiVirus 9.80.3717 2011.02.02 -
Kaspersky 7.0.0.125 2011.02.02 -
McAfee 5.400.0.1158 2011.02.02 Artemis!B56310DCEC32
McAfee-GW-Edition 2010.1C 2011.02.02 Artemis!B56310DCEC32
Microsoft 1.6502 2011.02.02 -
NOD32 5838 2011.02.01 -
Norman 6.06.12 2011.02.01 -
nProtect 2011-01-27.01 2011.02.01 -
Panda 10.0.3.5 2011.02.01 -
PCTools 7.0.3.5 2011.01.31 -
Prevx 3.0 2011.02.02 -
Rising 23.43.02.02 2011.02.02 -
Sophos 4.61.0 2011.02.02 -
SUPERAntiSpyware 4.40.0.1006 2011.02.02 -
Symantec 20101.3.0.103 2011.02.02 -
TheHacker 6.7.0.1.122 2011.01.30 -
TrendMicro 9.120.0.1004 2011.02.02 -
TrendMicro-HouseCall 9.120.0.1004 2011.02.02 -
VBA32 3.12.14.3 2011.02.01 -
VIPRE 8283 2011.02.02 -
ViRobot 2011.2.2.4288 2011.02.02 -
VirusBuster 13.6.176.0 2011.02.01 -
Additional information
Show all
MD5 : b56310dcec32c925ed987947b9eb9fd1
SHA1 : acaedec95da0034ebfad4f0aec4ac90f1ff9ca43
SHA256: 158f79e65a9dbaa27e4ab52581fcacbf45781212d69c7e2a0cee596fc16ee4c8
ssdeep: 12288:Qw22dIMezsykUzu2AODgpBhglZW2vxoLPKi47T:IMAwwSBOlIaorOT
File size : 602624 bytes
First seen: 2011-01-26 10:23:06
Last seen : 2011-02-02 09:30:59
Magic: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
TrID:
Win32 EXE PECompact compressed (v2.x) (48.0%)
Win32 EXE PECompact compressed (generic) (33.8%)
Win32 Executable Generic (6.9%)
Win32 Dynamic Link Library (generic) (6.1%)
Win16/32 Executable Delphi generic (1.6%)
sigcheck:
publisher....: OldTimer Tools
copyright....:
product......: OTL
description..:
original name: OTL.exe
internal name: OTL.exe
file version.: 3.2.20.6
comments.....: Public Release
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: PECompact 2.xx --> BitSum Technologies
packers (F-Prot): PecBundle, PECompact
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1000
timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)
machinetype......: 0x14C (Intel I386)

[[ 2 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x249000, 0x8FE00, 8.0, 705616c83c83fd367094b4683ef1b3a3
.rsrc, 0x24A000, 0x3000, 0x3000, 5.25, fcf8f4b6e04f294b95c914031b94a36e

[[ 1 import(s) ]]
kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
ExifTool:
-
Symantec reputation:Suspicious.Insight

wie unschwer zu erkennen ist, war es das oldtimer tool. was ich damit bezwecken wollte ist folgendes: ich finde es sehr erschwerend, dass virustotal offensichtlich sichere software als schädlich dar stellt. ich persönlich scanne jede noch so legitime exe vor der insallaion mit virustotal ab. leider kommt es immer häufiger vor, dass irgendetwas gefunden wird und ich weiß dann nicht wie ich damit umgehen soll.
deswegen würde ich hier gerne irgendwelche anhaltspunkte erfahren.
mfg

Ich kann Dir auch so, ohne dies Vorspiel, einen neutrale Antwort geben.

Die OTL verwendet einen erst mal nur auffälligen Packer.
Dieser Packer ist kostenlos verfügbar und wurde und wird auch von Virenschreibern benutzt um Dateiinhalte für Virenscanner unlesbar zu machen.

Daher schreibt Dir Vt unten ja noch alles mögliche hin, damit man interpretieren kann. Das kann ich Dir auch nicht in einem Satz erklären, wobei auch für mich noch Sachen drin stehen, die ich oft suchen muss.

Und das Dr.Web einen fiesen Trojaner erkennt, liegt nicht an OTL, dass liegt an anderen Routinen...

P.S.: Einige Scanner verwenden die gleiche ScanEngine, dass führt dann zu mehr positiven Ergenissen bei einem Scan.

könntest du mir vllt sagen ob du diese software als sicher ansiehst? wiel ich würde sie gerne installieren!

hxxp://www.virustotal.com/file-scan/report.html?id=77763018072adb9e864f06deac9ae588a7ec4ea1a112f9f82c6201d5b7973e84-1296618641

Würde ich als sicher einstufen, hier wird wohl eine der Funktionen (Sprachübertragung) als Muster erkannt.

okay danke.
woran hast dz das erkannt?? ich hab mir das auch alles nochmal ganz genau angesehen aber sehe einfach nicht, dass die sprachübertragung das problem ist!!
mfg

Das ist an sich auch nur ein Tipp ins blaue, aber die (wahrscheinlich) heuristische Erkennung von eSafe hat eine Appl.Agent, also der Erfahrung nach eine Applikation die eine andere Funktion mitbringt.
An sich ist die eSafe Engine aber nicht die Beste, der Rest hat nich angeschlagen, das sagt mir erst mal, im Kontext mit der vertrauenswürdigen Quelle, dass es ok sein sollte.