Batch to Exe zaubert Trojaner?

al_borland

Hallo Community,

ich benutze das Programm "TrueCrypt" auf meinem USB Stick.

Zudem ist "TrueCrypt" auf diesem Stick in "Portable Apps" eingebunden. Um nun meinen Datencontainer im 1- klick Verfahren mounten bzw. dismounten zu können, habe ich mir zwei bat Dateien erstellt. Um diese bat Datei auch in Portable Apps anzeigen zu können, habe ich sie mit dem Programm "Batch2Exe" konvertiert.

Das Ergebniss: Stick rein- "Portable Apps" (Menü) öffnet sich- "TrueCrypt" lässt sich separat auswählen (TC Format/ TC Hauptprogramm) bzw. Container lässt direkt ansprechen (Mount/ Dismount).

Das Promlem: Windows Defender (Vista Ultimate 64 bit) erkennt Win32/ Agent, sowohl bei der Mount, als auch bei der Dismount.exe.

Trojan Guard, Ad Aware, Spybot Search& Destroy erkennen nichts.

Aber bei VirusTotal.com da wird eine ganze Menge erkannt...

Ich hab hier mal den Log drangehängt

AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 W32/Backdoor.AFNU
Avast 4.8.1248.0 2008.10.28 Win32:Agent-AAJA
AVG 8.0.0.161 2008.10.28 Generic10.BEEV
BitDefender 7.2 2008.10.28 Trojan.Dropper.SGR
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 -
DrWeb 4.44.0.09170 2008.10.28 -
eSafe 7.0.17.0 2008.10.27 Suspicious File
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 Trojan.KillWin.cz
F-Prot 4.4.4.56 2008.10.27 W32/Backdoor.AFNU
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.28 Trojan.Dropper.SGR
Ikarus T3.1.1.44.0 2008.10.28 Backdoor.Win32.Ciadoor.123
K7AntiVirus 7.10.510 2008.10.28 Trojan.Win32.Malware.New
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 -
Microsoft 1.4005 2008.10.28 Trojan:Win32/Agent
NOD32 3562 2008.10.28 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 -
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 Cloaked Malware
Rising 21.01.12.00 2008.10.28 -
SecureWeb 6.7.6 2008.10.28 -
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 -
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 PAK_Generic.001
VBA32 3.12.8.8 2008.10.27 suspected of Embedded.Trojan.BAT.Agent.j
ViRobot 2008.10.28.1441 2008.10.28 -
VirusBuster 4.5.11.0 2008.10.27 -


weitere Informationen
File size: 35155 bytes
MD5...: 8d9cd3d872ab3d02cb957196ddcf6aec
SHA1..: 86c362a8ddc46890cf9772bbd6417727d6c9cb14
SHA256: cee4e8359e4fb7ca5f4a9b8cc87a6fb344c624e216b2b7b25979f5b9f36b0615
SHA512: 00390f928bdb34e8d107043096229235d18c6cb4afe10f76090d705cf1ada489
396fccb59b11664b1f433e5ca2255c892186d19b2030a2b0707747c93346a8f0
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x414f30
timedatestamp.....: 0x4904c927 (Sun Oct 26 19:46:47 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x11000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x12000 0x4000 0x3200 7.82 78eca6750f21705f892d638cb062962d
.rsrc 0x16000 0x4000 0x3800 6.38 aa7b895fdf9a2906e4fdc00f72cf55ea

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> MSVCRT.DLL: _iob

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D016FA5D53F9B25F1DAB00260165B6001EF41766
packers (Kaspersky): PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, Batch2Exe
packers (Authentium): UPX
packers (F-Prot): UPX

Das Log ist von der Mount.exe, der Log von der Dismount.exe ist vergleichbar.

Ich bin an dem PC mit Admin Rechten. Ich bin der alleinige Nutzer. Die Bat Datei ist von mir umgewandelt worden.

Kann mir jemand von Euch helfen, diese unterschiedlichen Ergebnisse zu bewerten?

Bis später


Al Borland