[GastForen Web allgemein Kampf gegen Spam und Terror im Internet Wer kennt W32/Malware.KKH

  • Suche
  • Hilfe
  • Lesezeichen
  • Benutzerliste
Themen
Beiträge
Moderatoren
Letzter Beitrag

Wer kennt W32/Malware.KKH

FSt
Beiträge gesamt: 1961

10. Mär 2007, 13:33
Beitrag # 1 von 6
Bewertung:
(5239 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Leute

Ich habe gestern auf einer Kiste einen Trojaner(?) gefunden und zur Identifikation zwecks Gegenmassnahmen an Norman gesenden. Folgenden Bericht hab ich erhalten:
Zitat A0107834.exe : W32/Malware (Signature: W32/Malware.KKH)

[ General information ]
* File length: 19968 bytes.
* MD5 hash: 379f59608def1a3ac58b96942bec7d0c.

[ Changes to filesystem ]
* Deletes file c:\sample.exe.

[ Process/window information ]
* Attemps to open http://www.adobe.com/shockwave/download/triggerpages_mmcom/default.html NULL.
* Modifies other process memory.
* Creates a remote thread.


Leider versteh ich diese doch recht kurze Analyse überhaupt nicht. Kann mir da jemand weiterhelfen?
Oder kennt jemand noch ein "gutes Tool", wo man seinen "Virus" hinschicken kann und wenigsten so was wie eine "Entfernungs-Hilfe-Seite" erhält. Symantec hatte fürher sowas ähnliches, oder nicht?

Danke und Grüsse
Martin
X

Wer kennt W32/Malware.KKH

FSt
Beiträge gesamt: 1961

10. Mär 2007, 14:16
Beitrag # 2 von 6
Beitrag ID: #280886
Bewertung:
(5229 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Bei Virustotal.com hab ich das File auch nochmals scannen lassen:
Zitat STATUS: FINISHEDComplete scanning result of "A0107834.exe", received in VirusTotal at 03.10.2007, 13:55:51 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.09.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.09.2007 no virus found
AVG 7.5.0.447 03.09.2007 no virus found
BitDefender 7.2 03.10.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.10.2007 no virus found
DrWeb 4.33 03.10.2007 no virus found
eSafe 7.0.14.0 03.08.2007 no virus found
eTrust-Vet 30.6.3469 03.10.2007 no virus found
Ewido 4.0 03.10.2007 no virus found
FileAdvisor 1 03.10.2007 no virus found
Fortinet 2.85.0.0 03.10.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.09.2007 W32/Malware.KKH
Ikarus T3.1.1.3 03.10.2007 no virus found
Kaspersky 4.0.2.24 03.10.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2204 03.10.2007 no virus found
NOD32v2 2106 03.10.2007 no virus found
Norman 5.80.02 03.09.2007 W32/Malware.KKH
Panda 9.0.0.4 03.09.2007 no virus found
Prevx1 V2 03.10.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.10.2007 no virus found
TheHacker 6.1.6.073 03.09.2007 no virus found
UNA 1.83 03.09.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.09.2007 no virus found

Aditional Information
File size: 19968 bytes
MD5: 379f59608def1a3ac58b96942bec7d0c
SHA1: 131ab4db6d955dc89e8883fed513c32ae77ad3ee

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.


Aber eine Idee was ich hier habe, habe ich trotzdem noch nicht. Es scheint als ob F-Secure meinen "Trojaner" als evtl. Falsch-Positive-Datei kennzeichnet, nur so für den Fall, dass es vielleicht doch einen Virus enthalten würde?

Gruss
Martin


als Antwort auf: [#280885]

Wer kennt W32/Malware.KKH

Mütze
Beiträge gesamt: 3

10. Mär 2007, 16:28
Beitrag # 3 von 6
Beitrag ID: #280891
Bewertung:
(5218 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo, :o)

ich kann dir zwar leider Nichts über diesen Übeltäter sagen, aber ich kann dir aus langjähriger Erfahrung eines versichern: wenn F-Secure etwas moniert, ist es nie falscher Alarm.
Habe viele Jahre Symantec/Norton und 1 Jahr G-DATA benutzt und bin immer wieder auf F-Secure zurückgekommen, weil es extrem gründlich ist.


als Antwort auf: [#280886]

Wer kennt W32/Malware.KKH

minou
Beiträge gesamt: 135

10. Mär 2007, 16:34
Beitrag # 4 von 6
Beitrag ID: #280894
Bewertung:
(5214 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hallo Martin,

ich habe dieses Schadprogramm nicht gefunden (jedenfalls nicht in Google). Wenn du dir nicht sicher bist und das System mal überprüfen möchtest, so kannst du auf folgendem Link den Hijacker herunterladen. Auf gleicher Site hast du die Möglichkeit das Logfile auswerten zu lassen.
http://www.hijackthis.de/de

Es könnte es sich wirklich um eine Fehlleistung der Scanner handeln. *hoffentlich*

Gruss

minou


als Antwort auf: [#280886]

Wer kennt W32/Malware.KKH

FSt
Beiträge gesamt: 1961

10. Mär 2007, 16:39
Beitrag # 5 von 6
Beitrag ID: #280895
Bewertung:
(5211 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Halo

@Mütze
Danke für Deine aufbauenden Worte ;-)

@ minou
Danke. Den HighJacker hab ich gestern noch laufen lassen. Da hab ich nichts "böses", unbekanntes gefunden.

Was mich wirklich erstaunt ist ja die von Norman gemeldete URL ( * Attemps to open http://www.adobe.com/shockwave/download/triggerpages_mmcom/default.html)
Das Shockwave Player Download Center? Mit der Meldung im <title> "Installation Complete"

Gruss
Martin


als Antwort auf: [#280894]

Wer kennt W32/Malware.KKH

FSt
Beiträge gesamt: 1961

11. Mär 2007, 19:43
Beitrag # 6 von 6
Beitrag ID: #280975
Bewertung:
(5191 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen
Hab gerade ein E-Mail von F-secure erhalten ...
Zitat Hello,

Thank you for your e-mail.

The file you submitted is indeed clean. A database update will be released to
resolve this issue.

For the meantime, you may exclude this file from Real-time Scanning.
Instructions for exclusions can be found through this link:
http://support.f-secure.com/enu/home/supportissue/fsis2007/virus_q06.shtml

We apologize for any inconveniences that this may have brought you.

Should you have further questions, please do not hesitate to email us again.

Have a nice day!


Scheint ein Sturm im Wasserglas, bzw. Fehlalarm gewesen zu sein. Gruss speziell an Mütze - hier hast Du Deinen ersten F-Secure-Fehlalarm!
Das ist keineswegs Schadenfreude, sondern Erleichterung! Buh ...

Gruss an alle
Martin


als Antwort auf: [#280895]
X

Aktuell

PDF / Print
Wolken_300

Veranstaltungskalender

Hier können Sie Ihre Anlässe eintragen, welche einen Zusammenhang mit den Angeboten von HilfDirSelbst.ch wie z.B. Adobe InDesign, Photoshop, Illustrator, PDF, Pitstop, Affinity, Marketing, SEO, Büro- und Rechtsthemen etc. haben. Die Einträge werden moderiert freigeschaltet. Dies wird werktags üblicherweise innert 24 Stunden erfolgen.

pdf-icon Hier eine kleine Anleitung hinsichtlich Bedeutung der auszufüllenden Formularfelder.

Veranstaltungen
01.12.2022

Online
Donnerstag, 01. Dez. 2022, 10.00 - 10.45 Uhr

Webinar

Die drei ColorLogic-Programme ZePrA, CoPrA und ColorAnt sind in neuen Versionen mit vielen neuen Funktionen im Jahr 2022 veröffentlich worden oder werden in Kürze veröffentlicht (ColorAnt 9). In unserem ca. 45 minütigen kostenlosen Webinar zeigen wir Ihnen einige dieser neuen Funktionen mit dem Schwerpunkt auf Automatisierung und Produktivitätssteigerungen.

Ja

Organisator: Impressed GmbH

Kontaktinformation: Silvia Noack, E-Mailsnoack AT impressed DOT de

https://www.impressed.de/schulung.php?c=sDetail&sid=311

ColorLogic Update-Webinar ZePrA 10, CoPrA 9 und ColorAnt 9
Veranstaltungen
02.02.2023

Prozesse optimieren und effizient gestalten

Zürich
Donnerstag, 02. Feb. 2023, 08.00 - 10.00 Uhr

Digitalisierung, Webauftritt

Digitalisierung mitgestalten - Worauf kommt es an? Wie wichtig ist die Webseite? Webseite mit Word Press? Interne Prozesse optimieren

Ja

Organisator: B. Isik - SNF Academy

Kontaktinformation: Birol Isik, E-Mailinfo AT bkcc DOT ch

https://digitalisierung-heute.ch/digitalisierung-informationstag-schweiz/