unbekannter Plagegeist, 135.168 Bytes

andreas211

Guten Tag,
nach gaaaanz vielen Hinweisen und Anleitungen habe ich es nun bis zur Threaderöffnung geschafft.

Mir kam eine verdächtige Datei auf den PC und kein Scanner erkennt sie.

Sie kam als
"[pl]Top 20 Ringtones 1-2010 .scr"
und hat ein Ordner-Icon.
Der Dateiname zusammen mit dem Icon läßt alle Alarmlampen bei mir angehen.
Mein AntiVir findet nichts, auch Malwarebytes Antivirus nicht. (natürlich beide zuvor upgedated)

Sunbelts Onlinescanner meldet mir diese auffälligen Angaben:
Windows/Run Regsitry Key Set: YES
Connects via WinSock: YES
Creates Hidden Executable: YES
Creates Mutex: YES
Starts EXE in Documents: YES

Die Dateigröße ist 135.168 Bytes und der Hashwert (MD5) ist: c069a206ec32bdc86491742200b7688f

Bei Start in einer Sandbox werden Kopien der Datei mit zufälligen (?) Namen erstellt wie z.B. yoavuok.exe - diese Dateien haben die Attribute r,a,h und s.

Ich bin mir ziemlich sicher, dass es Malware ist, aber keiner findet sie :-(

Kann mir jemand die Ergebnisse erklären:
h**p://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=12055756&cs=52ED75C969EAB9AD6F641AD6EBBE4C1F

Bei Google habe ich bei Eingabe des Hashwertes diese Seite gefunden:
h**p://www.threatexpert.com/report.aspx?md5=c069a206ec32bdc86491742200b7688f

Dort wird von einem Registryeintrag und automatischen Start berichtet.

Was ist das für ein Plagegeist?
Gruß
Andreas

P.S.:
ich hatte die Überschrift vergessen :-(
es kam immer die Meldung
"Der Beitrags-Text ist zu kurz! - (bitte min. 10 Zeichen!)"
und ich habe lange gebraucht, um zu erkennen, dass statt "Beitrags-Text" wohl vielmehr "Überschrift" gemeint ist.

P.P.S.:
Jotti findet auch nichts:
h**p://virusscan.jotti.org/de/scanresult/168ebb0de104be29b8e41331a0245e8d82d690ac