Danke Michael ! Ich hab das Ding nicht verstanden, weil ich das Französische nicht zu übersetzen wußte. Außerdem ist die von Hendrik versendete Datei, nicht mit der auf der Seite downloadbaren Datei identisch.

</font><blockquote>Zitat:</font><hr />Original erstellt von Gladiator the green guy:
Eugene wird sicherlich seine Freude damit haben *ROFL*</font>[/QUOTE]Ok, Alexei hat z.Zt. die Freude Jetzt auch offiziell Antwort von Kaspersky.

&gt;&gt;Added as 'not-virus:Joke.Win32.Farce&lt;&lt;

LOL yo so heisst der bei mir auch
Ich bin nur grade beim Engine Update fertig machen - Forge77 wird sich freuen sonst haette ich das Update (wenn es denn wirklich was gefaehrliches gewesen waere) als Daily gleich rausgehaun, aber duemmliche Joke "Viren" koennen warten

Michael

Hallo Leute,

Von der Art her, wie das Ding bei Hendrik angekommen ist und wie es sich präsentiert, kann es nur ein Wurm, Trojaner oder eine Kombination von beidem sein.
Der Code ist höchst verdächtig, die Spur führt allerdings auf eine französische Seite mit einer Art Virensimulation o.ä.
Ich werde nicht ganz schlau daraus, die Datei ähnelt vom Code her stark an eine Datei die man dort herunterladen kann.
Ich hab das File auf jedem Fall einmal zu Kaspersky eingeschickt.

Übrigens hat die Datei im Code das Datum vom 22.03.03, könnte also durchaus sein das es etwas ganz Neues und bisher Unerkanntes ist.

Hallo, bei Rokop war trotz der späten Stunde noch nicht Einsendeschluß: die Datei schreibt unter anderem einen Reg Eintrag zum Autostart. Sobald Kaspersky sich gemeldet hat, gibt's mehr Neuigkeiten.

@mmk: willst Du im Ernst die neue OE-Version testen? [img]graemlins/crazy.gif[/img]

Hallo, eigentlich doch prima, daß das nix gefährliches ist. Sowas fehlt ja auf der Welt eigentlich nicht...

Aber wenn das sich nicht selber vermehrt, sprich in eMails verschickt, dann hat doch ein krankes blitzblödes Hirn das manuell bewerkstelligen müssen?

Ich kenne den Absender bloß garnicht.

Gruß Hendrik

Jetzt wird das Teil durch KAV erkannt... [img]graemlins/daumenhoch.gif[/img]

Hallo Ihrs,

ich habe schon wieder dieses "Virus" gekrigt, diesmal von einem anderen Absender, diesmal als Aufruf für eine Unterschriftensammlung gegen Antisemitismus. Hier mal der Mailheader:

Return-path: &lt;klvliles@hotmail.com&gt;
Envelope-to: meineaddi@canl.nc
Delivery-date: Sat, 29 Mar 2003 01:28:57 +1100
Received: from postfix3-2.free.fr ([213.228.0.169])
by mail.canl.nc with esmtp (Exim 4.12)
id 18yuqT-0002Ry-00; Sat, 29 Mar 2003 01:28:38 +1100
Received: from moiir8lzskh76r (strasbourg-4-a7-62-147-194-172.dial.proxad.net [62.147.194.172])
by postfix3-2.free.fr (Postfix) with ESMTP
id C1AF8C0F6; Fri, 28 Mar 2003 15:27:07 +0100 (CET)
Message-ID: &lt;00c401c2f536$1dc8e760$aec3933e@moiir8lzskh76r&gt;
From: "VOEGELE Camille" &lt;klvliles@hotmail.com&gt;
To: kzimir@voila.fr
Subject: LANCEMENT D'UNE GRANDE PETITION INTERNATIONALE
Date: Fri, 28 Mar 2003 14:39:33 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_008E_01C2F537.D8E4B9B0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Delivered-To: meineaddi@canl.nc

Ob Hotmail wirklich über postfix3-2.free.fr seine eMails laufen lässt? Bei den anderen Mails, die ich kriegte, war eine andere Hotmail-Absenderaddi angegeben, auch über postfix3-2.free.fr

Ich kann irgendwo überhaupt nicht glauben, daß das manuell durch einen Menschen verschickt wird. Ich habe mir anderntags dieses Scherz-Erstellungsprogramm von der Seite
http://www.appstmd.com/index.php?pag...ad&VoirDown=fa
gesaugt, der dafür verantwortlich sein soll. Allerdings kann man damit die erstellten .exe keine Icons, im Gegensatz zu dem "Win32.Farce". Auch werden die damit erstellten exe nicht von KAV erkannt.

Ich kriege den Eindruck nicht los, daß das in Wirklichkeit doch eine echte Malware ist und kein Scherzprogramm. Ob sich unsere Profis nochmal genauer damit befassen?? Vielleicht auf Testrechner richtig ausprobieren?

Gruß Hendrik

Doppelposting gelöscht...

[ 30. M&auml;rz 2003, 12:15: Beitrag editiert von: Hendrik ]

Dann ist da echt ein Mensch mit vieeeelll Langeweile und kleinem Hirn der von Hand solchen Kram verschickt... Ich schick' Euch mal die zweite Datei mit anderem Icon und bisschen anderer Grösse zu, für die Briefmarkensammlung...
Warum die auch von KAV erkannt wird und die von mir mit dem downloadbaren Generator erstellten nicht? "Meine" zeigen auch kein buntes Icon, im Gegensatz zu dennen, die ich per eMail kriege. Ob die Signatur von KAV vielleicht zu gut/spezifisch ist und die besser bloß das dumme gelbe Kopf-Icon, das in den Dateien allen drin ist, hätten nehmen sollen (oder sonst was allgemeineres)? Dann wären die alle erkannt, und nicht bloß die, die ich immer kriege?
Viele Grüße Hendrik

Die Datei war nicht nur bei Gladi sondern auch bei KAV zur Analyse. Also wird es auch keine Malware sein. Die Datei von Dir unterscheidet sich in der Tat von der Datei, die man auf der Seite herunterladen kann. Daher hatte ich auch zuerst angenommen, es sei eine "modifizierte Scherzdatei". Die Signatur hat Kaspersky von der eingesandten Datei erstellt und nicht von der Download Datei. Daher wird diese vermutlich auch nicht erkannt.

Also um dem nochmal Nachdruck zu geben wir (ich kann hier zumindest das von mir sagen) haben die Datei gestartet und genauer angesehen und das was ich von Dir hatte ist 100%ig nur insofern malware das Du dieses duemmliche Scherzprogram per Email erhalten hast. Das ist alles es kann sich weder selber ausbreiten (sprich versenden) noch richtet es irgendwelchen wirklichen Schaden an. Wenn ich mich recht entsinne legt das teil sogar einen UNINSTALL EINTRAG im Software Menu an.