Trojaner in .rar Datei! Bitte um Analyse dieser Datei!!!

KTS · 10.08.2009, 17:16

Guten Abend,

ich habe heute (mal wieder) eine .rar Datei von einem bekannten, womöglich gehackten Musikproduzenten aus Amerika bekommen (produziere selber Musik).

Habe mir wie immer die .rar heruntergeladen um zu gucken ob es sich (mal wieder) um einen Trojaner handelt oder ob endlich mal wieder echte Arbeit gepackt wurde um mir diese zu zeigen.

Naja, zur Tarnung haben die erst einmal eine echte .mp3 mit rein gepackt und die 2 Datei war eine .exe (die aber auch auf den ersten Blick wie eine .mp3 aussehen könnte (für Leihen), da das .exe ganz weit nach hinten verschoben wurde wie ihr ja gleich sehen könnt) die ich habe leider mit KEINER Virusprogramm identifizieren kann wie es eigentlich sonst der Fall ist (File wurde auch auf Virustotal hochgeladen).

Wollte nun euch um Hilfe bitten das dieses File identifiziert wird und die Leute damit nicht noch jemandem schaden können.

Hoffe ihr bekommt irgendwelche Ergebnisse mit dem File. Ich habe auf alle Fälle nichts machen können weil ich mich mit Programmierung eh nicht so auskenne.

Habe das File in eine .rar gepackt. Das Passwort lautet: kaspersky!

THE CLUTCH.mp3.rar ... at uploaded.to - Free File Hosting, Free Image Hosting, Free Music Hosting, Free Video Hosting, ...

Viel Glück und bitte um Antwort!

PS: In der .rar Datei waren auch noch andere Komische Files drin (eine .dll z.B.)! Ich hoffe das diese jetzt nicht so wichtig war. Habe nämlich das ganze .rar gelöscht und auch aus meine E-Mail entfernt!

Scheiß Hacker

john.doe · 10.08.2009, 19:07

Hallo und

Ziemlich eindeutig.

ThreatExpert Report

Sunbelt Security - CWSandbox Report

Da möchte jemand Vollzugriff auf deinen Rechner.

Bifrost (trojan horse) - Wikipedia, the free encyclopedia

Du bist entlassen.

ciao, andreas

KTS · 10.08.2009, 19:17

Danke

...hab seine Mail mal bei google gemeldet

Hab die Datei NICHT gestartet. Mein System müsste also sauber sein oder?

john.doe · 10.08.2009, 20:07

Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

john.doe · 11.08.2009, 21:29

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.11 20:37:46 (UTC)
Status: Beendet 
Ergebnis: 0/41 (0.00%)
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.11	-
AhnLab-V3	5.0.0.2	2009.08.11	-
AntiVir	7.9.1.0	2009.08.11	-
Antiy-AVL	2.0.3.7	2009.08.11	-
Authentium	5.1.2.4	2009.08.11	-
Avast	4.8.1335.0	2009.08.10	-
AVG	8.5.0.406	2009.08.11	-
BitDefender	7.2	2009.08.11	-
CAT-QuickHeal	10.00	2009.08.11	-
ClamAV	0.94.1	2009.08.11	-
Comodo	1944	2009.08.11	-
DrWeb	5.0.0.12182	2009.08.11	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6672	2009.08.11	-
F-Prot	4.4.4.56	2009.08.10	-
F-Secure	8.0.14470.0	2009.08.11	-
Fortinet	3.120.0.0	2009.08.11	-
GData	19	2009.08.11	-
Ikarus	T3.1.1.64.0	2009.08.11	-
Jiangmin	11.0.800	2009.08.11	-
K7AntiVirus	7.10.816	2009.08.11	-
Kaspersky	7.0.0.125	2009.08.11	-
McAfee	5706	2009.08.11	-
McAfee+Artemis	5706	2009.08.11	-
McAfee-GW-Edition	6.8.5	2009.08.11	-
Microsoft	1.4903	2009.08.11	-
NOD32	4326	2009.08.11	-
Norman	6.01.09	2009.08.11	-
nProtect	2009.1.8.0	2009.08.11	-
Panda	10.0.0.14	2009.08.11	-
PCTools	4.4.2.0	2009.08.11	-
Prevx	3.0	2009.08.11	-
Rising	21.42.14.00	2009.08.11	-
Sophos	4.44.0	2009.08.11	-
Sunbelt	3.2.1858.2	2009.08.11	-
Symantec	1.4.4.12	2009.08.11	-
TheHacker	6.3.4.3.380	2009.08.11	-
TrendMicro	8.950.0.1094	2009.08.11	-
VBA32	3.12.10.9	2009.08.10	-
ViRobot	2009.8.11.1879	2009.08.11	-
VirusBuster	4.6.5.0	2009.08.11	-
weitere Informationen
File size: 102400 bytes
MD5   : 835ce8fd141be518cb21586fb1b86040
SHA1  : 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10C4
timedatestamp.....: 0x4A6CEFEC (Mon Jul 27 02:08:12 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447C 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3A0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2CD0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xA000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports )

> msvbvm60.dll: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6bq9vw4/t
PEiD  : -
RDS   : NSRL Reference Data Set

Beobachten wir die Reaktion der AVP-Hersteller.

ciao, andreas

john.doe · 12.08.2009, 16:53

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.12 15:54:35 (UTC)
Status:   Beendet 
Ergebnis: 6/40 (15%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.12	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2009.08.12	-
AntiVir	7.9.1.0	2009.08.12	BDS/Bifrose.zzo
Antiy-AVL	2.0.3.7	2009.08.12	-
Authentium	5.1.2.4	2009.08.12	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.12	-
BitDefender	7.2	2009.08.12	-
CAT-QuickHeal	10.00	2009.08.12	-
ClamAV	0.94.1	2009.08.12	-
Comodo	1955	2009.08.12	-
DrWeb	5.0.0.12182	2009.08.12	-
eSafe	7.0.17.0	2009.08.11	-
eTrust-Vet	31.6.6673	2009.08.12	-
F-Prot	4.4.4.56	2009.08.12	-
F-Secure	8.0.14470.0	2009.08.12	Trojan.Win32.VB.uew
Fortinet	3.120.0.0	2009.08.12	-
GData	19	2009.08.12	-
Ikarus	T3.1.1.64.0	2009.08.12	Trojan.Win32.VB
Jiangmin	11.0.800	2009.08.12	-
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.12	Trojan.Win32.VB.uew
McAfee	5706	2009.08.11	-
McAfee+Artemis	5706	2009.08.11	-
McAfee-GW-Edition	6.8.5	2009.08.12	Trojan.Backdoor.Bifrose.zzo
Microsoft	1.4903	2009.08.12	-
NOD32	4329	2009.08.12	-
Norman	6.01.09	2009.08.12	-
nProtect	2009.1.8.0	2009.08.12	-
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.12	-
Rising	21.42.23.00	2009.08.12	-
Sophos	4.44.0	2009.08.12	-
Sunbelt	3.2.1858.2	2009.08.12	-
Symantec	1.4.4.12	2009.08.12	-
TheHacker	6.3.4.3.381	2009.08.11	-
TrendMicro	8.950.0.1094	2009.08.12	-
VBA32	3.12.10.9	2009.08.12	-
ViRobot	2009.8.12.1881	2009.08.12	-
VirusBuster	4.6.5.0	2009.08.12	-
weitere Informationen
File size: 102400 bytes
MD5...: 835ce8fd141be518cb21586fb1b86040
SHA1..: 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6
bq9vw4/t
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4a6cefec (Mon Jul 27 00:08:12 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447c 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3a0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2cd0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xa000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040' target='_blank'>http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040</a>

Ein Tag später.

ciao, andreas

john.doe · 13.08.2009, 19:33

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.13 18:38:33 (UTC)
Status:    Beendet 
Ergebnis: 14/41 (34.15%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.13	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2009.08.13	-
AntiVir	7.9.1.1	2009.08.13	BDS/Bifrose.zzo
Antiy-AVL	2.0.3.7	2009.08.13	Trojan/Win32.VB
Authentium	5.1.2.4	2009.08.13	-
Avast	4.8.1335.0	2009.08.12	-
AVG	8.5.0.406	2009.08.13	Generic14.VHC
BitDefender	7.2	2009.08.13	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.13	-
Comodo	1967	2009.08.13	-
DrWeb	5.0.0.12182	2009.08.13	-
eSafe	7.0.17.0	2009.08.13	-
eTrust-Vet	31.6.6675	2009.08.13	-
F-Prot	4.4.4.56	2009.08.13	-
F-Secure	8.0.14470.0	2009.08.13	Trojan.Win32.VB.uew
Fortinet	3.120.0.0	2009.08.13	W32/VB.UEW!tr
GData	19	2009.08.13	-
Ikarus	T3.1.1.64.0	2009.08.13	Trojan.Win32.VB
Jiangmin	11.0.800	2009.08.13	Trojan/VB.naq
K7AntiVirus	7.10.817	2009.08.12	-
Kaspersky	7.0.0.125	2009.08.13	Trojan.Win32.VB.uew
McAfee	5708	2009.08.13	-
McAfee+Artemis	5708	2009.08.13	Artemis!835CE8FD141B
McAfee-GW-Edition	6.8.5	2009.08.13	Trojan.Backdoor.Bifrose.zzo
Microsoft	1.4903	2009.08.13	-
NOD32	4332	2009.08.13	-
Norman	6.01.09	2009.08.13	W32/VBTroj.BCKH
nProtect	2009.1.8.0	2009.08.13	-
Panda	10.0.0.14	2009.08.13	Suspicious file
PCTools	4.4.2.0	2009.08.12	-
Prevx	3.0	2009.08.13	-
Rising	21.42.34.00	2009.08.13	-
Sophos	4.44.0	2009.08.13	-
Sunbelt	3.2.1858.2	2009.08.13	-
Symantec	1.4.4.12	2009.08.13	-
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.13	-
VBA32	3.12.10.9	2009.08.13	-
ViRobot	2009.8.13.1883	2009.08.13	-
VirusBuster	4.6.5.0	2009.08.13	Trojan.VB.GXOZ
weitere Informationen
File size: 102400 bytes
MD5...: 835ce8fd141be518cb21586fb1b86040
SHA1..: 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6
bq9vw4/t
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4a6cefec (Mon Jul 27 00:08:12 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447c 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3a0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2cd0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xa000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040' target='_blank'>http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040</a>

Zwei Tage später. Geht doch.

ciao, andreas

john.doe · 15.08.2009, 19:32

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.15 18:16:26 (UTC)
Status:    Beendet 
Ergebnis: 17/41 (41.47%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.15	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2009.08.15	-
AntiVir	7.9.1.1	2009.08.14	BDS/Bifrose.zzo
Antiy-AVL	2.0.3.7	2009.08.14	Trojan/Win32.VB
Authentium	5.1.2.4	2009.08.14	-
Avast	4.8.1335.0	2009.08.14	-
AVG	8.5.0.406	2009.08.15	Generic14.VHC
BitDefender	7.2	2009.08.15	-
CAT-QuickHeal	10.00	2009.08.13	-
ClamAV	0.94.1	2009.08.15	-
Comodo	1980	2009.08.15	TrojWare.Win32.VB.uew
DrWeb	5.0.0.12182	2009.08.15	-
eSafe	7.0.17.0	2009.08.13	-
eTrust-Vet	31.6.6678	2009.08.14	-
F-Prot	4.4.4.56	2009.08.14	-
F-Secure	8.0.14470.0	2009.08.15	Trojan.Win32.VB.uew
Fortinet	3.120.0.0	2009.08.15	W32/VB.UEW!tr
GData	19	2009.08.15	-
Ikarus	T3.1.1.64.0	2009.08.15	Trojan.Win32.VB
Jiangmin	11.0.800	2009.08.15	Trojan/VB.naq
K7AntiVirus	7.10.819	2009.08.14	-
Kaspersky	7.0.0.125	2009.08.15	Trojan.Win32.VB.uew
McAfee	5710	2009.08.15	-
McAfee+Artemis	5710	2009.08.15	Artemis!835CE8FD141B
McAfee-GW-Edition	6.8.5	2009.08.15	Trojan.Backdoor.Bifrose.zzo
Microsoft	1.4903	2009.08.15	-
NOD32	4337	2009.08.15	-
Norman	6.01.09	2009.08.14	W32/VBTroj.BCKH
nProtect	2009.1.8.0	2009.08.15	-
Panda	10.0.0.14	2009.08.15	Suspicious file
PCTools	4.4.2.0	2009.08.15	-
Prevx	3.0	2009.08.15	-
Rising	21.42.52.00	2009.08.15	-
Sophos	4.44.0	2009.08.15	-
Sunbelt	3.2.1858.2	2009.08.15	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.08.15	Trojan Horse
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.14	-
VBA32	3.12.10.9	2009.08.15	-
ViRobot	2009.8.14.1885	2009.08.14	-
VirusBuster	4.6.5.0	2009.08.15	Trojan.VB.GXOZ
weitere Informationen
File size: 102400 bytes
MD5...: 835ce8fd141be518cb21586fb1b86040
SHA1..: 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6
bq9vw4/t
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4a6cefec (Mon Jul 27 00:08:12 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447c 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3a0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2cd0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xa000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040' target='_blank'>http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040</a>

Vier Tage später. Symantec hat es mittlerweile auch geschafft.

ciao, andreas

john.doe · 17.08.2009, 19:07

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.17 17:31:31 (UTC)
Status:    Beendet 
Ergebnis: 21/41 (51.22%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.17	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2009.08.17	Win-Trojan/Xema.variant
AntiVir	7.9.1.1	2009.08.17	BDS/Bifrose.zzo
Antiy-AVL	2.0.3.7	2009.08.17	Trojan/Win32.VB
Authentium	5.1.2.4	2009.08.17	-
Avast	4.8.1335.0	2009.08.17	-
AVG	8.5.0.406	2009.08.17	Generic14.VHC
BitDefender	7.2	2009.08.17	-
CAT-QuickHeal	10.00	2009.08.17	-
ClamAV	0.94.1	2009.08.17	-
Comodo	2002	2009.08.17	TrojWare.Win32.VB.uew
DrWeb	5.0.0.12182	2009.08.17	-
eSafe	7.0.17.0	2009.08.17	-
eTrust-Vet	31.6.6681	2009.08.17	-
F-Prot	4.4.4.56	2009.08.16	-
F-Secure	8.0.14470.0	2009.08.17	Trojan.Win32.VB.uew
Fortinet	3.120.0.0	2009.08.17	W32/VB.UEW!tr
GData	19	2009.08.17	-
Ikarus	T3.1.1.68.0	2009.08.17	Trojan.Win32.VB
Jiangmin	11.0.800	2009.08.17	Trojan/VB.naq
K7AntiVirus	7.10.820	2009.08.17	Trojan.Win32.VB.uew
Kaspersky	7.0.0.125	2009.08.17	Trojan.Win32.VB.uew
McAfee	5712	2009.08.17	-
McAfee+Artemis	5712	2009.08.17	Artemis!835CE8FD141B
McAfee-GW-Edition	6.8.5	2009.08.17	Trojan.Backdoor.Bifrose.zzo
Microsoft	1.4903	2009.08.17	-
NOD32	4343	2009.08.17	-
Norman	6.01.09	2009.08.17	W32/VBTroj.BCKH
nProtect	2009.1.8.0	2009.08.17	-
Panda	10.0.0.14	2009.08.17	Trj/CI.A
PCTools	4.4.2.0	2009.08.17	-
Prevx	3.0	2009.08.17	-
Rising	21.43.04.00	2009.08.17	-
Sophos	4.44.0	2009.08.17	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.08.17	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.08.17	Trojan Horse
TheHacker	6.3.4.3.383	2009.08.13	-
TrendMicro	8.950.0.1094	2009.08.17	-
VBA32	3.12.10.9	2009.08.17	Trojan.Win32.VB.uew
ViRobot	2009.8.17.1887	2009.08.17	-
VirusBuster	4.6.5.0	2009.08.17	Trojan.VB.GXOZ
weitere Informationen
File size: 102400 bytes
MD5...: 835ce8fd141be518cb21586fb1b86040
SHA1..: 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6
bq9vw4/t
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4a6cefec (Mon Jul 27 00:08:12 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447c 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3a0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2cd0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xa000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set

6 Tage später. Was ist mit Avast, Bitdefender, DrWeb, Microsoft, McAfee und Prevx?

ciao, andreas

Puma1408 · 17.08.2009, 21:31

@ John.doe: Ich hätte ein paar Fragen:
1, Wie konntest du wissen, dass es sich hier um den Bifrose handelt, wenn es noch kein AV erkannte??
2, Nun kennen es ja die meißten AV, kam dies, weil KTS diese Mail bei Google meldete, oder hast du mit dieser Datei irgendetwas gemacht??

lg

john.doe · 17.08.2009, 21:44

Zitat:

1, Wie konntest du wissen, dass es sich hier um den Bifrose handelt, wenn es noch kein AV erkannte??

Das haben mir die Analysen von Threatexpert und CWSandbox verraten.

Zitat:

oder hast du mit dieser Datei irgendetwas gemacht??

Ja, im Uploadchannel hochgeladen und von dort aus an die AVP-Hersteller verschickt.

ciao, andreas

Puma1408 · 17.08.2009, 21:46

Danke =)
lg

john.doe · 23.08.2009, 17:43

Code:

ATTFilter

Datei THE_CLUTCH.mp3___________________ empfangen 2009.08.23 14:14:56 (UTC)
Status:    Beendet 
Ergebnis: 31/41 (75.61%) 
 Filter 
Drucken der Ergebnisse  Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.08.23	Trojan.Win32.VB!IK
AhnLab-V3	5.0.0.2	2009.08.23	Win-Trojan/Xema.variant
AntiVir	7.9.1.3	2009.08.21	BDS/Bifrose.zzo
Antiy-AVL	2.0.3.7	2009.08.21	Trojan/Win32.VB.gen
Authentium	5.1.2.4	2009.08.22	W32/Trojan2.IIQJ
Avast	4.8.1335.0	2009.08.22	Win32:VB-NBN
AVG	8.5.0.406	2009.08.23	Generic14.VHC
BitDefender	7.2	2009.08.23	-
CAT-QuickHeal	10.00	2009.08.22	Win32.Trojan.VB.uew.4
ClamAV	0.94.1	2009.08.23	-
Comodo	2070	2009.08.23	TrojWare.Win32.VB.uew
DrWeb	5.0.0.12182	2009.08.23	-
eSafe	7.0.17.0	2009.08.23	-
eTrust-Vet	31.6.6694	2009.08.21	-
F-Prot	4.4.4.56	2009.08.22	W32/Trojan2.IIQJ
F-Secure	8.0.14470.0	2009.08.23	Trojan.Win32.VB.uew
Fortinet	3.120.0.0	2009.08.23	W32/VB.UEW!tr
GData	19	2009.08.23	Win32:VB-NBN 
Ikarus	T3.1.1.68.0	2009.08.23	Trojan.Win32.VB
Jiangmin	11.0.800	2009.08.23	Trojan/VB.naq
K7AntiVirus	7.10.825	2009.08.22	Trojan.Win32.VB.uew
Kaspersky	7.0.0.125	2009.08.23	Trojan.Win32.VB.uew
McAfee	5717	2009.08.22	Generic VB.bd
McAfee+Artemis	5717	2009.08.22	Generic VB.bd
McAfee-GW-Edition	6.8.5	2009.08.23	Trojan.Backdoor.Bifrose.zzo
Microsoft	1.4903	2009.08.23	VirTool:Win32/Vbcrypt.AB
NOD32	4360	2009.08.23	a variant of Win32/Injector.XP
Norman	6.01.09	2009.08.21	W32/VBTroj.BCKH
nProtect	2009.1.8.0	2009.08.23	Trojan/W32.Agent.102400.GC
Panda	10.0.0.14	2009.08.23	Adware/AccesMembre
PCTools	4.4.2.0	2009.08.23	-
Prevx	3.0	2009.08.23	-
Rising	21.43.50.00	2009.08.22	-
Sophos	4.44.0	2009.08.23	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.08.22	Trojan.Win32.Generic!BT
Symantec	1.4.4.12	2009.08.23	Trojan Horse
TheHacker	6.3.4.3.386	2009.08.22	Trojan/VB.uew
TrendMicro	8.950.0.1094	2009.08.22	-
VBA32	3.12.10.9	2009.08.23	Trojan.Win32.VB.uew
ViRobot	2009.8.22.1897	2009.08.22	-
VirusBuster	4.6.5.0	2009.08.22	Trojan.VB.GXOZ
weitere Informationen
File size: 102400 bytes
MD5...: 835ce8fd141be518cb21586fb1b86040
SHA1..: 5d5d1b3345734a2a82a4dba599e8f23b5320ccc7
SHA256: f2f600f59dca601026b7fd644c30faaea57b7bebdb18f94e352daffac446ae55
ssdeep: 1536:qWd0aDyPabhqJlqGYRB6btEALyvwBbX+HO8BnSgZ:qQ0aDyPabhqJlqGY/6
bq9vw4/t
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (57.6%)
Win32 Executable MS Visual FoxPro 7 (15.2%)
Generic Win/DOS Executable (13.5%)
DOS Executable Generic (13.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10c4
timedatestamp.....: 0x4a6cefec (Mon Jul 27 00:08:12 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x447c 0x5000 4.33 befc56a707b19604d00f4b27088349d1
.data 0x6000 0x3a0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x7000 0x2cd0 0x3000 4.75 27127a245d8177e38355e46fe7936b27
.d___G$H 0xa000 0x1000 0x10000 4.08 ce91329d2f93e00abcb6ca76296f8cbf

( 1 imports ) 
> MSVBVM60.DLL: MethCallEngine, -, -, EVENT_SINK_AddRef, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -, -, -

( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040' target='_blank'>http://www.threatexpert.com/report.aspx?md5=835ce8fd141be518cb21586fb1b86040</a>

12 Tage später. Microsoft hat es auch geschafft. :aplaus:

Bitdefender, DrWeb und Prevx pennen weiterhin in der Tonne.

PCTools (Spyware Doctor, Registry Mechanic) läuft eh unter der Kategorie: Deinstallieren. TrendMicro glänzt auch nicht gerade.

ciao, andreas

Trojaner in .rar Datei! Bitte um Analyse dieser Datei!!!

Plagegeister aller Art und deren Bekämpfung: Trojaner in .rar Datei! Bitte um Analyse dieser Datei!!!