Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Dropper gefunden, welches Risiko ? (https://www.trojaner-board.de/71636-tr-dropper-gefunden-welches-risiko.html)

bereal 02.04.2009 13:09
TR/Dropper gefunden, welches Risiko ?
 
Hallo zusammen,
nach Jahren des virenfreien Lebens unter MacOSX habe ich nun doch wieder einen Rechner mit Windows in den Fingern und direkt meldet sich AntiVir recht freundlich :)
Direkt nach dem Download eine Datei die infizierte Datei entdeckt ... löschen funktioniert soweit. Das System hat also noch nichts ab bekommen. Nachdem ich hier im Forum ein wenig zum Dropper laß, habe ich die Datei mal bei virustotal.com testen lassen. Mich verwundert, dass nur so wenige Engines diesen Trojaner erkennen ( 5 von 40 ). Sind die Engines wirklich so unterschiedlich in der Erkennung oder kann es sich hierbei auch nur um eine versehentliche Einstufung als Trojaner handeln ? Was mich auch wundert ist, dass verschiedene Trojaner erkannt wurden.

Schon mal danke für Eure Hilfe !

Hier das Protokoll von VirusTotal.com:

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.101        2009.04.02        -
AhnLab-V3        5.0.0.2        2009.04.02        -
AntiVir        7.9.0.129        2009.04.02        TR/Dropper.Gen
Antiy-AVL        2.0.3.1        2009.04.02        Trojan/Win32.Chifrax
Authentium        5.1.2.4        2009.04.01        -
Avast                4.8.1335.0        2009.04.01        -
AVG                8.5.0.285        2009.04.02        -
BitDefender        7.2        2009.04.02        -
CAT-QuickHeal        10.00        2009.04.01        -
ClamAV        0.94.1        2009.04.02        -
Comodo        1093        2009.04.01        -
DrWeb        4.44.0.09170        2009.04.02        -
eSafe        7.0.17.0        2009.04.02        -
eTrust-Vet        31.6.6430        2009.04.02        -
F-Prot        4.4.4.56        2009.04.01        -
F-Secure        8.0.14470.0        2009.04.02        -
Fortinet        3.117.0.0        2009.04.02        -
GData        19        2009.04.02        -
Ikarus        T3.1.1.49.0        2009.04.02        -
K7AntiVirus        7.10.690        2009.04.01        -
Kaspersky        7.0.0.125        2009.04.02        -
McAfee        5571        2009.04.01        -
McAfee+Artemis        5571        2009.04.01        -
McAfee-GW-Edition        6.7.6        2009.04.01        Trojan.Dropper.Gen
Microsoft        1.4502        2009.04.02        -
NOD32        3983        2009.04.02        -
Norman        6.00.06        2009.04.01        -
nProtect        2009.1.8.0        2009.04.02        Trojan/W32.Chifrax.559024
Panda        10.0.0.14        2009.04.01        -
PCTools        4.4.2.0        2009.04.01        -
Prevx1        V2        2009.04.02        -
Rising        21.23.32.00        2009.04.02        -
Sophos        4.40.0        2009.04.02        -
Sunbelt        3.2.1858.2        2009.04.02        Trojan-Dropper.Gen
Symantec        1.4.4.12        2009.04.02        -
TheHacker        6.3.4.0.298        2009.04.01        -
TrendMicro        8.700.0.1004        2009.04.02        -
VBA32        3.12.10.2        2009.04.02        -
ViRobot        2009.4.2.1673        2009.04.02        -
VirusBuster        4.6.5.0        2009.04.01        -
weitere Informationen
File size: 2078005 bytes
MD5...: ba3cf4e80842db8a6327547ae7a8a23c
SHA1..: 8c4cb39e887d5654994a780db01f66c0796ae00b
SHA256: dd8223a703f2c6c2f3ea391132d1275796d270456e5112b5db2ee891f7af411f
SHA512: be480c7ecbe33e86b9c8ca7fb1cac00760493b07696d6d64fd5d0ef8d1ace7fb
773bceebb0229211320500e8b6b296559f9c9321e3047b68e169f42287d2a9ba
ssdeep: 49152:R1zXh1sAviw81TdgyHmJsyRDHDH/4r2rYfDo//mWhCB7:tBKwcTdfmJbHD
H/4r2MLo//GB7
PEiD..: -
TrID..: File type identification
WinRAR Self Extracting archive (96.2%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Generic Win/DOS Executable (0.3%)
DOS Executable Generic (0.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x4894133d (Sat Aug 02 07:56:45 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x13a00 6.48 b4fb79885c55492e7af6d4be13b922cf
.data 0x15000 0x8000 0xa00 4.94 6b3642729564e92f38646d9f50a5c940
.idata 0x1d000 0x2000 0x1200 4.79 4223794b90a12cb19ec33fbd0cd56503
.rsrc 0x1f000 0x19764 0x19800 7.54 81984b448e3bd8d0a16a103cdf3060dc

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleFileNameW, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetSystemTime, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )

undoreal 02.04.2009 15:22
Hallöle.

Was hast du dir da runtergeladen?

Hast du die Datei ausgeführt? Oder nur gescannt? Denn nur weil AntiVir irgendwas löscht heisst das nicht, dass das System nicht doch infiziert wurde.
Das ist nämlich eher die Regel als die Ausnahme.

Risiko eines Droppers: Sehr hoch! Da du keine Ahnung hast was gedroppt wurde.

Über Virenscanner

AV-Programme schützen dich nur rudimentär. Den rest muss dein Hirn und ein abgesichertes System übernehmen.

grandnic11 02.04.2009 16:30
HIHO

undoreal hat recht das Risiko ist riesig. Hatte das selbe Problem mit einer Datei die irgendwie A00irgendwas.exe hieß und 2 weitere A00irgendwas.exe Dateien gedroppt hat. Diese wiederum waren ein Trojaner und ein Rootkit. Das hat sich dann auf eine Neuaufsetzung belaufen weil die Datei mit nichts verschwunden ist. Neuaufsetzen empfehle ich dir aber noch lange nicht denn nicht jeder Virus kann nur mit einer Neuaufsetzung gelöscht werden :)

Ob es in deinem Fall eine Fehlermeldung war ist schwer zu sagen denn 5 / 40 antivirus programmen können lügen , müssen es aber nicht! Deswegen bist du noch nicht auf der sicheren Seite wenn du "Löschen" drückst!! Der Virus kann sich wiederherstellen oder neu downloaden oder es war tatsächlich eine Fehlermeldung und du hast eine wichtige Datei gelöscht? Man schiebt infizierte Daten grundsätzlich in quarantäne und guggt im Internett ob es Fehler war oder nicht. Wenn es mit mehrfacher (!) bestätigung ein Fehler ist dann wieder freigeben ansonsten Löschen!

grandnic11 02.04.2009 16:33
FORTSETZUNG


Aber wie gesagt der Virus kehrt warscheinlich zurück. Mit Neuaufsetzen ist man mit 99% auf der sicheren Seite.

Die Viren heißen anders weil manche antivir programme den genauen Namen des Virus wussten die anderen nicht und eben nur als Dropper einstuften.

bereal 02.04.2009 17:30
Danke erstmal für eure Antworten. Wie ich bereits im ersten Post geschrieben hatte, habe ich die Datei nicht ausgeführt. Direkt nach dem Download und vor irgendeiner Interaktion meinerseits mit der Datei hat sich AntiVir gemeldet. Demnach ist der Trojaner auch noch nicht zur Ausführung gekommen. Zum Glück hat der Firefox ja nicht so eine "Autostart"-Funktion wie beispielsweise Safari.

Ich denke mal, dass das Thema sich damit erledigt hat und ich den Download direkt nach /dev/null verschieben werde ;)

Danke nochmal.

grandnic11 03.04.2009 10:02
HI,

also nur weil du nichts ausgeführt hast bedeutet das nicht das du schon damit fertig bist. Viren können sich nach dem Download in autoexc.bat kopieren , dann werden sie automatisch beim nächsten Neustart aktiv. Dein Dropper könnte auch gedroppt haben. Hast du bei einem Avira Suchlauf etwas gefunden? Wenn du keinen gemacht hast, mach bitte einen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19