Hallo liebe Trojaner-Board User,
Heute habe ich zum ersten mal, seitdem ich dieses Programm nutze, eine Virusmeldung zu diesem bekommen. Das Programm nutze ich jetzt bereits schon seit etwa einem Jahr. Dazu habe ich diese angeblich verseuchte Datei bei Virustotal hochgeladen und diese einmal prüfen lassen.

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.26 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 SPR/Tool.NetCat.B
Antiy-AVL 2.0.3.7 2009.10.26 RemoteAdmin/Win32.NetCat.gen
Authentium 5.1.2.4 2009.10.26 W32/Netcat
Avast 4.8.1351.0 2009.10.26 -
AVG 8.5.0.423 2009.10.26 RemoteAdmin.BX
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 Trojan.Agent.WC
ClamAV 0.94.1 2009.10.26 PUA.NetTool.Netcat-6
Comodo 2742 2009.10.26 ApplicUnsaf.Win32.RemoteAdmin.NetCat
DrWeb 5.0.0.12182 2009.10.26 Tool.Netcat
eSafe 7.0.17.0 2009.10.25 Win32.Banker
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 W32/Netcat
F-Secure 9.0.15370.0 2009.10.22 Riskware:W32/NetCat.C
Fortinet 3.120.0.0 2009.10.26 HackerTool/Nt110
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 -
Jiangmin 11.0.800 2009.10.26 Trojan/VulnWatch.a
K7AntiVirus 7.10.879 2009.10.24 Non-Virus:RemoteAdmin.Win32.NetCat
Kaspersky 7.0.0.125 2009.10.26 not-a-virus:RemoteAdmin.Win32.NetCat.a
McAfee 5783 2009.10.26 -
McAfee+Artemis 5783 2009.10.26 -
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.LooksLike.Win32.NetCat.L
Microsoft 1.5202 2009.10.26 -
NOD32 4545 2009.10.26 Win32/RemoteAdmin.NetCat
Norman 6.03.02 2009.10.26 W32/NetCat.C
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 Backdoor.NetCat32.C
Prevx 3.0 2009.10.26 -
Rising 21.53.04.00 2009.10.26 Backdoor.Win32.Gpigeon.dkl
Sophos 4.46.0 2009.10.26 NetCat
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.054 2009.10.26 Aplicacion/NetCat
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.26.2005 2009.10.26 Not_a_virus:RemoteAdmin.NetCat.61440
VirusBuster 4.6.5.0 2009.10.26 Backdoor.NetCat32.C
weitere Informationen
File size: 61440 bytes
MD5 : ab41b1e2db77cebd9e2779110ee3915d
SHA1 : 4122cf816aaa01e63cfb76cd151f2851bc055481
SHA256: 7379c5f5989be9b790d071481ee4fdfaeeb0dc7c4566cad8363cb016acc8145e
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4AC3
timedatestamp.....: 0x41D2F254 (Wed Dec 29 19:07:16 2004)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x996E 0xA000 6.48 014f752b6e761829411f992e0f124480
.rdata 0xB000 0x27AA 0x3000 4.61 b91b2055581dccc9493b9abe4e260eb6
.data 0xE000 0x1E04 0x1000 1.19 b159ba52d81d69143e0d3b16b760c17a

( 2 imports )

> kernel32.dll: GetSystemTimeAsFileTime, CreateFileA, GetNumberOfConsoleInputEvents, PeekConsoleInputA, LCMapStringW, LCMapStringA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, HeapSize, SetStdHandle, SetFilePointer, SetEnvironmentVariableA, GetOEMCP, GetACP, CompareStringW, GetCPInfo, MultiByteToWideChar, CompareStringA, VirtualQuery, InterlockedExchange, GetLastError, CloseHandle, CreateProcessA, DuplicateHandle, GetCurrentProcess, ExitThread, Sleep, ReadFile, PeekNamedPipe, WriteFile, CreatePipe, DisconnectNamedPipe, TerminateProcess, WaitForMultipleObjects, TerminateThread, CreateThread, GetStdHandle, FreeConsole, ExitProcess, HeapFree, HeapAlloc, GetProcAddress, GetModuleHandleA, SetEndOfFile, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WideCharToMultiByte, SetHandleCount, GetFileType, GetStartupInfoA, FlushFileBuffers, RtlUnwind, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, LoadLibraryA
> ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=ab41b1e2db77cebd9e2779110ee3915d
ssdeep: 1536:8LJg1OAEuxWhXTmNquG9L0RT/ADGRMlu:8LJlAEuxAWqu3ZMlu
PEiD : -
PDFiD : ['-', None, None]
CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ab41b1e2db77cebd9e2779110ee3915d
RDS : NSRL Reference Data Set
-

Nun ist meine Frage, ob das einfach ein Fehlalarm meines Antiviren-programmes (Avira Antivir) ist, oder ob das Programm wirklich verseucht ist, und wenn, warum es mein Antivirenprogramm nicht vorher erkannt hatte. Ich hoffe, dass euch das Ergebnis des Scans dabei helfen kann.

Ich hoffe auf eure Ratschläge.

mfg
Adiot

Hallo und Herzlich Willkommen!

wie nennt sich die Datei genau (mit Pfadangabe) die Du geprüft hast?

Zitat:

Zitat von Adiot

Nun ist meine Frage, ob das einfach ein Fehlalarm meines Antiviren-programmes (Avira Antivir) ist,

Nein.

Zitat:

oder ob das Programm wirklich verseucht ist,

Vermutlich nein.

Zitat:

und wenn, warum es mein Antivirenprogramm nicht vorher erkannt hatte.

Neue Heuristik, neue Signaturen, sowas in der Art.

SPR heißt security privacy risk, und das ist netcat ja auch. Ein potentiell schädliches Programm, potentiell deshalb, weil es auch schadhaft eingesetzt werden kann. Vor Jahren teilte psexec das gleiche Schicksal, weil scriptkiddies damit Blödsinn anstellen wollten/konnten.

Ob dein nc verseucht ist, kann ich dir nicht sagen. Das hängt von der Vertrauenswürdigkeit der Quelle ab.

Danke an euch beide...

Hmm .. die Datei nennt sich Nc.exe.
Hab grad mal anch dem Begriff Netcat gegoogelt .. und erkannt, dass diese Nc.exe dieses Netcat ist.

Also nehme ich mal an, dass es keinen Schaden verursachen wird

Dankesehr

Zitat:

Zitat von Adiot

Heute habe ich zum ersten mal, seitdem ich dieses Programm nutze, eine Virusmeldung zu diesem bekommen. Das Programm nutze ich jetzt bereits schon seit etwa einem Jahr.

Zitat:

Zitat von Adiot

Hmm .. die Datei nennt sich Nc.exe.
Hab grad mal anch dem Begriff Netcat gegoogelt .. und erkannt, dass diese Nc.exe dieses Netcat ist.

Also nehme ich mal an, dass es keinen Schaden verursachen wird

Wie paßt das zusammen? Nutzt du netcat bewußt? Wenn nicht, dann runter damit und lasse von den Experten hier mal einen Blick auf dein System werfen. -> coverflows Frage nach dem Speicherort der Datei hast du noch nicht beantwortet

http://www.trojaner-board.de/69887-f...en-web-pc.html

Hört sich nach Cryptload, da wird die Nc.exe für bestimmte Router benutzt um diese neu zu starten. (damit der Client eine andere IP bekommt um z.B. die Download-limitierung von Rapidshare zu umgehen...)

Falls mein verdacht richtig ist, kannst du die Datei ohne bedenken nutzen. (würde dir nur empfehlen nichts Illegales damit zu laden.)

hi

CryptLoad - router\FRITZ!Box\nc.exe " not-a-virus:RemoteAdmin.Win32.NetCat"

- hier kannst Du nachlesen...Info/CA und hier