Hallo,
Habe vor ca. 2 Tagen eine *.exe Datei an Kaspersky Lab geschickt (Kennwort verschlüsselt).
Nun diese Datei wurde via "wireshark" von einem User in einem Forum als "Sniffer" erkannt.

Nun Kaspersky Virus analyst meinte dazu:

(> > Zitat von mir)
Aber Avira meinte zum dieser Datei:

(Datei Name mit *** Ausgetauscht)
Nun, was soll ich jetzt tun. (Bin mir sicher das es nen Virus/Malware ist)

p.s: Die Datei habe ich (glaube) nicht mehr. //Edit: Doch hab die Datei noch.. Dank Email Postausgang ;-)

lg

Was soll man dazu sagen, ich vertraue auch am Besten immer mehreren Aussagen, z.B. lade ich dann die Datei zu Virus Total oder jotti.org hoch und vertaue nicht nur einem Lab.

Vor 2 Tagen gemacht und Heute ..
0/41 erkannt.
Das Ergebnis von Heute:
http://www.virustotal.com/de/analisis/95e8...2b2e-1247499221

Jotti.org
http://virusscan.jotti.org/de/scanresult/b...4b2a56f19d9944e

Dann hat eben AVIRA sich vertan.... so what ?

Das glaube ich kaum.

"Glauben " tue ich schon lange nichts und niemanden mehr.....

Interessant ist, dass sich die Aussagen des Virenlabors von Avira und ihres eigenen Produkts AntiVir widersprechen. Da auch alle anderen Scanner nichts gefunden haben, würde ich davon ausgehen, dass die Datei nicht gefährlich ist.

Ein Sniffer ist nicht per se gefährlich; seine Aufgabe ist es eben, Pakete im Datenstrom zu identifizieren und darzustellen.

Hab es nochmal geprüft:
http://www.virustotal.com/de/analisis/95e8...2b2e-1247688014


Bei diese Programm muss man Username und Passwort eingeben.

Wenn Du die anderen Hersteller (per Mail) abfragen willst, dann mach doch das. Anhand der Anzahl der "Erkennungen" musst Du aber dann selbst entscheiden, wie Du damit umgehst.

Hi,

erstmal kannst Du davon ausgehen das die Datei keinen schädlichen Code enthält. Ein Sniffer muss keinen "echten schädlichen Code" enthalten, somit wird dieser auch nicht von den Virenanalysten als Virus/... eingestuft und erkannt.
Gutes Beispiel sind z.b. Cracks und Keygens. Einige von diesen kleinen Tools sind verseucht (es gibt Seiten, die verseuchen die standardmäßig), viele wiederum auch nicht, werden jedoch von einige AV-Engines als schädlich eingestuft. Dies ist nicht immer korrekt. "Nur" weil Sie einen Kopierschutz umgehen oder Seriennummern berechnen können, sind diese dennoch nicht schädlich; einige Hersteller sind hier anderer Meinung. Die Kaspersky AV-Engine z.b. erkennt nicht standardmäßig irgenwelche Cracks/keygens nur weil es "solche" Programme sind.


Solltest Du dennoch eine Meinung aller AV-Hersteller wünschen hier eine komplette Liste:

Ad-aware: research@lavasoft.de
Ahnlab: v3sos@ahnlab.com
AntiVir: virus@free-av.de
ArcaVir: virus@arcabit.com
Astonsoft: support@astonsoft.com
Avast: virus@asw.cz
AVG: virus@grisoft.cz
A²: submit@emsisoft.com
Bitdefender: virus@bitdefender.de
Clam: http://cgi.clamav.net/sendvirus.cgi
Command: virus@commandsoftware.com
DrWeb: vms@drweb.com
Ewido: submit@ewido.net
eSafe: virus@esafe.com
eTrust: virus@ca.com
FireAV: service@fireav.com
F-Prot: viruslab@f-prot.com
Fortinet: submitvirus@fortinet.com
FP-Win: samples@percomp.de
F-Secure: vsamples@f-secure.com
Hauri: viruslab@hauri.co.kr
Ikarus: analyse@ikarus.at
Kaspersky: newvirus@kaspersky.com
McAfee: virus_research_de@avertlabs.com
MKS-Vir: wirus@mks.com.pl
Nod32: samples@nod32.com
Norman: analysis@norman.no
Panda: virussamples@pandasoftware.com
PestPatrol: helpdesk@pestpatrol.com
Quickhel: viruslab@quickheal.com
RAV: ravteam@ravantivirus.com
Sophos: samples@sophos.com
Spybot: detections@spybot.info
Symantec Norton: avsubmit@symantec.com
Sybari: submit_virus@research.sybari.com
Tauscan: trojans@agnitum.com
TDS-3: submit@diamondcs.com.au
Trendmicro: avservice@tmlab.de
TrojanHunter: submit@trojanhunter.com
Twister: virus@filseclab.com
UNA: newvirus@unasoft.com.ua
VBA32: newvirus@anti-virus.by
Vexira: virus@centralcommand.com
Virusbuster: virus@virusbuster.hu

snipped from trojaner-board

Nein es ist kein Keygen oder nen Crack...

Dieses Programm wurde in einem Forum vorgestellt als "Rapidshare Punkte Generator" dazu muss man den Username und Passwort eingeben und man erhält soviele Punkte wie man möchte. (Geht ja nicht, da man nur Punkte für Download bekommt)



Danke habe ne Email an alle geschickt.

Die ersten Antworten:

CA:



Dr.Web:

Genau. Wenn ich schon "Rapidshare Points Generator" lese wird mir alles klar ;-) Dann hätt ich Dir auch vorher sagen können das es sich um einen PasswordStealer handeln wird... Merke: Solche Tools funktionieren nicht und werden auch nicht funktionieren, egal wieviele User im "hack/cracker/underground/elite"-Board schreiben das es wunderbar bei ihnen funktioniert.

Und nein, der D2 CallYa Guthaben Generator geht auch nicht ;-)

Die Frage ist und die Ausgangsfrage war ja, warum KL diese Datei dennoch nicht als schädlich einstuft. Ich finde das auch merkwürdig - da ich durch eigene Erfahrungen eigentlich nur gutes von den KL Analytikern berichten kann.

QUOTE(dawinci)

Gutes Beispiel sind z.b. Cracks und Keygens....Nur weil Sie einen Kopierschutz umgehen oder Seriennummern berechnen können, sind diese dennoch nicht schädlich; einige Hersteller sind hier anderer Meinung. Die Kaspersky AV-Engine z.b. erkennt nicht standardmäßig irgenwelche Cracks/keygens nur weil es "solche" Programme sind.

Mir ist nur 1 "Signaturenhersteller" bekannt, der solche Tools "nur weil es solche" sind erkennt bzw. nicht als FP einstuft. Zumeist beruht die Erkennung jedoch auf der kryptischen Art mit der diese exe Dateien kompiliert sind...

Stimmt.


Es sind schon 3(auf VirusTotal jetzt mehrer seht so aus als hätte Avira Signaturen irgend wie weitergeleitet):



VirusTotal.com Scan: http://www.virustotal.com/de/analisis/95e8...2b2e-1247753753

Wenn man schon punkte haben will bei Rapidshare muss man etwas uploaden und nicht solche Sachen benutzen. Und nicht vergessen nur legale Sachen uploaden!! Oder Premium Kunde werden.

Mir ging es um die Behauptung Hersteller würden "Keygens einstufen, nur weil es Keygens sind" - und da kenne ich nur einen.

Edit:
VT leitet die hochgeladenen Sachen auch weiter.

Aber das fortlaufende VT Update etc. bringt hier nichts. Ich wundere mich auch warum KL die Datei nicht als schädlich einstuft - aber gut.

Es gibt auch genug Gegenbeispiele, die zum eine die frühe Erkennung von KL und vor allem die schnelle Einpflege neuer Malware zeigen.

Und ich mindestens 3, aber das ist ja auch egal... und wenn du mit "kryptischer Art" ThemeIDA usw meinst dann tut das Kaspersky z.B. auch (hier nur ein kleiner Auszug):

...
Packed.Win32.Black.a –Themida with illegal key
Packed.Win32.Black.d –ASProtect with illegal key
...

Virustotal.com sendet weiterhin die Samples an alle Virenhersteller, damit diese die in ihre Datenbank mit aufnehmen können. Die Option "Do not send to Anti-Virus-Labs" gibts zum Glück schon lange nicht mehr bei VT, da viele "Malware-Coder" und ScriptKiddies ihre FUDs gegen die AV-Lösungen gecheckt haben.

Okey, danke. (Ich hoffe das diese Datei nochmal von Kaspersky Analysiert, ich meine 3 AV Hersteller erkennen die Datei als "schädlich". Wenn es auch nur ein "Sniffer" ist)



Habe ein Premium Account.

Diese Liste ist aber nicht sehr aktuell.
Eine aktuelle Liste, die auch ständig gepflegt wird, gibt es hier: http://www.rokop-security.de/index.php?showtopic=17635

OK Du hast einen Premium Account, nur verstehe ich nicht warum wolltest du solche Programme benutzen? Hast du denn keine Angst wenn dein Zugang gestohlen wird? Für den down und Upload benutze ich den Original Rapidshare Manager der kommt von Rapidshare selber und der wird meinen Premium Account auch nicht stehlen.

Habe es es nicht benutzt. Wollte ich auch nicht. (Sehe unten)
Also: Das Programm wurde in einem Forum "vorgestellt".
Nun wie will das "per Programm" machen das man 1k oder 20k Punkte hat => geht nicht ^^ (3h Reloadet Sperre ect.)
Da nun ein User via "Wireshark" da Programm mal getestet hat kam heraus das es ein Sniffer ist.

Ich finde es gut, wenn solche "Vorstellungen" gleich bei den AV's landen.

OK jetzt verstehe ich was du meinst, das Programm will nur die Premium Accounts haben. Wie es Punkte machen will geht da so, man tipp das Premium Account ein (man sollte zwei Premium Accounts haben) und dann tut es die Datei laden dann unterbricht es denn Download und ladet es noch einmal und so geht das ganze so ist die Vorstellung von den Punkte sammeln. Denn wenn man einmal per Premium ladet wird sofort als Punkt gutgeschrieben und so kann man dann mehrere punkte abkassieren. Nur geht das nicht.

Ich hab mit dem Virenlabor gesprochen. Künftig wird man die Datei als Trojan-PSW erkennen.