tr/dropper.gen, fehlalarm?

phx81 · 25.03.2009, 16:35

hallo
avira hat bei mir in einer datei den trojaner tr/dropper.gen gefunden!

"In der Datei 'C:\Sound sachen\Vstplugins\eqing mastering\urs max bundle\Equalizer\URS BLT EQ.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden."

ich habe daraufhin die datei an virus total gesendet und volgendes ergebniss erhalten:

"Datei URS_BLT_EQ.dll empfangen 2009.03.25 16:02:20 (CET)
Status: Beendet

Ergebnis: 0/40 (0.00%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.25 -
AhnLab-V3 5.0.0.2 2009.03.25 -
AntiVir 7.9.0.126 2009.03.25 -
Antiy-AVL 2.0.3.1 2009.03.25 -
Authentium 5.1.2.4 2009.03.24 -
Avast 4.8.1335.0 2009.03.24 -
AVG 8.5.0.283 2009.03.25 -
BitDefender 7.2 2009.03.25 -
CAT-QuickHeal 10.00 2009.03.25 -
ClamAV 0.94.1 2009.03.25 -
Comodo 1084 2009.03.25 -
DrWeb 4.44.0.09170 2009.03.25 -
eSafe 7.0.17.0 2009.03.25 -
eTrust-Vet 31.6.6416 2009.03.25 -
F-Prot 4.4.4.56 2009.03.24 -
F-Secure 8.0.14470.0 2009.03.25 -
Fortinet 3.117.0.0 2009.03.25 -
GData 19 2009.03.25 -
Ikarus T3.1.1.48.0 2009.03.25 -
K7AntiVirus 7.10.680 2009.03.24 -
Kaspersky 7.0.0.125 2009.03.25 -
McAfee 5563 2009.03.24 -
McAfee+Artemis 5563 2009.03.24 -
McAfee-GW-Edition 6.7.6 2009.03.25 -
Microsoft 1.4502 2009.03.25 -
NOD32 3961 2009.03.25 -
Norman 6.00.06 2009.03.24 -
nProtect 2009.1.8.0 2009.03.25 -
Panda 10.0.0.10 2009.03.24 -
PCTools 4.4.2.0 2009.03.25 -
Prevx1 V2 2009.03.25 -
Rising 21.22.21.00 2009.03.25 -
Sophos 4.39.0 2009.03.25 -
Sunbelt 3.2.1858.2 2009.03.25 -
Symantec 1.4.4.12 2009.03.25 -
TheHacker 6.3.3.5.290 2009.03.25 -
TrendMicro 8.700.0.1004 2009.03.25 -
VBA32 3.12.10.1 2009.03.24 -
ViRobot 2009.3.25.1663 2009.03.25 -
VirusBuster 4.6.5.0 2009.03.24 -
weitere Informationen
File size: 3059712 bytes
MD5...: 46557756783f0cc0ba2542648394515a
SHA1..: 0ab1f3ccf6652421403e9646d5000e473e2c825f
SHA256: 780673be6b8a205df5f6c84e46a8f8e6544e36389e264896637099f97379ad19
SHA512: 37d7e85850988e1cd4326985c5ffad307ed9ec353ca9b593ef0400f48315e711
3a499033f37ff18f6511f090251a9869042f578daa15941fefccbc7158b53f66
ssdeep: 6144:ES78leUtQ6w/OCTBqV0vz627d0STEC8M7kpxXu8zc3O20W9JfDAmGMAzVro
v8KmV:Evt22CTsmD+SNSp9zcF0csmbAZM8

PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2e82cd
timedatestamp.....: 0x44bcef3c (Tue Jul 18 14:25:00 2006)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x20000 6.48 fdd5875a134614134687f55d05cd69af
.rdata 0x21000 0x7000 0x7000 5.26 559ecaf014c186a92419e4261c239236
.data 0x28000 0x3000 0x3000 4.63 b068a400e0885c9420869c356a65a518
.rsrc 0x2b000 0x2b9000 0x2b9000 1.65 908b7df4c78fac92d42032c9d1c0a40b
.reloc 0x2e4000 0x4000 0x4000 4.18 c2375fa8b822bcc27e97c4b281595427
.code 0x2e8000 0x1000 0x1000 2.01 9fdf3ef03dbe512f2db6d18b34f20b86
.idata 0x2e9000 0x2000 0x2000 2.04 f2d947298774e73d7559eb03f005553e

( 7 imports )
> KERNEL32.dll: FindResourceA, LockResource, SizeofResource, LoadResource, GetProcAddress, FreeLibrary, LoadLibraryA, LeaveCriticalSection, GetVersionExA, GetLastError, InitializeCriticalSection, EnterCriticalSection, DeleteCriticalSection, Sleep, GetTickCount
> USER32.dll: PeekMessageA, RegisterClassA, GetDoubleClickTime, CallWindowProcA, SetWindowTextA, GetAsyncKeyState, GetWindowLongA, SetFocus, SendMessageA, SetWindowLongA, CreateWindowExA, DestroyWindow, GetWindowTextA, ReleaseDC, GetDC, DispatchMessageA, GetWindowRect, FillRect, DrawTextA, LoadBitmapA, GetCursorPos, BringWindowToTop, GetParent, MapWindowPoints, GetClassNameA, GetSystemMetrics, SetWindowPos, SetCursor, LoadCursorA, GetUpdateRect, BeginPaint, EndPaint, DefWindowProcA, UnregisterClassA, GetSysColorBrush, GetCursor
> GDI32.dll: LineTo, BitBlt, CreateFontIndirectA, DeleteDC, SetBkMode, GetCurrentObject, DeleteObject, CreatePenIndirect, SetROP2, SelectObject, CreateRectRgn, MoveToEx, SelectClipRgn, GetStockObject, CreateBitmap, CreateSolidBrush, DPtoLP, CreateDIBSection, GetObjectA, CreateCompatibleDC, CreateCompatibleBitmap, SetBkColor, CreateBrushIndirect, SetTextColor
> SHELL32.dll: DragQueryFileA
> ole32.dll: RevokeDragDrop, RegisterDragDrop, OleInitialize, OleUninitialize
> MSVCRT.dll: __dllonexit, strtod, _iob, fprintf, longjmp, fread, _onexit, abort, __CxxLongjmpUnwind, _setjmp3, _initterm, _except_handler3, sprintf, _CIsinh, __2@YAPAXI@Z, _CIfmod, _CIpow, floor, strncat, strncpy, _ftol, _purecall, __3@YAXPAX@Z, __CxxFrameHandler, free, malloc, _terminate@@YAXXZ, _isnan, _adjust_fdiv, sscanf
> MSVCP60.dll: __0_Winit@std@@QAE@XZ, __1Init@ios_base@std@@QAE@XZ, __1_Winit@std@@QAE@XZ, __0Init@ios_base@std@@QAE@XZ

( 2 exports )
VSTPluginMain, main

RDS...: NSRL Reference Data Set
-"

hier nochmal der link zum ergebniss: h**p://w*w.virustotal.com/de/analisis/6162ad1b775c67254157de809b95e68e

soweit ich aus dem ergebnis erkennen kann ist die datei sauber!

also ein fehlalarm! liege ich da jetzt mit der vermutung richtig oder ist die datei eventuell doch versäucht?

john.doe · 25.03.2009, 16:56

Hallo und

Lade die Datei bei Submit your sample hoch. Benutze als Namen: http://www.trojaner-board.de/71387-tr-dropper-gen-fehlalarm.html und gib als Grund an: Verdacht auf Fehlalarm. Poste bitte den Link, den du von Avira bekommst.

ciao, andreas

phx81 · 25.03.2009, 17:08

danke andreas

! ich bin wie von dir beschrieben vorgegangen und habe die datei an antivir hochgeladen! die datei wird momentan untersucht!

hier ist der link zum status/ergebniss:

http://analysis.avira.com/samples/de...identid=285161

john.doe · 25.03.2009, 18:06

Jetzt heißt es: Abwarten, Tee trinken.

ciao, andreas

tr/dropper.gen, fehlalarm?

Plagegeister aller Art und deren Bekämpfung: tr/dropper.gen, fehlalarm?