Kan een virus bij roboform passwords? - Privacy en beveiliging

dinsdag 13 november 2007 04:20

Acties:

0 Henk 'm!

Topicstarter

Ik heb de schrik van mijn leven momenteel. Ik gebruik Roboform voor mijn passwords op te slaan. Nu was het zo dat ik via edonkey een file had gedownload, omdat ik iets wilde uittesten. Domdom, maar ik klik die file aan. Geen meldingen van mcafee, maar wel ineens een verdachte vraag van zonealarm. Ineens zie ik heel even het warningsicoon van windows XP.

Direct de pc hard uitgezet. Veilige modus booten wilde niet meer (bluescreen), normaal booten tot aan het inlogscherm ging wel goed?. Besloten om de disk eerst te clonen naar een andere, om niet nog meer schade aan te richten. Na het terugzetten van de laatste settings die werkten, in het xp opstartmenu, kon ik in elk geval weer veilig opstarten.
Hijackthis logjes gemaakt, spybot S&D gedraaid, en alle verdachte plekjes eens met de hand nagelopen. Daarna normaal ingelogd, zonder netwerk, en eigenlijk weinig aan het handje. Alleen virusscanner vertrouwde ik niet. Die opnieuw geïnstalleerd. Na een reboot was alles van mcafee weer weg.
Toen dus maar besloten dat er morgen een nieuwe dag is, en de pc uitgezet. MAAR!!
Mee dat ik de lichten uitdeed en naar bovenging, startte de pc ineens op! Nu is het zo dat ik intern wel eens met WOL speel, en ik heb een webservertje waar een wolscriptje op draait. De pc was daarop ingericht, de modem aan de buitenkant echter niet, en dat scriptje is beveiligd met een password!

Mijn eerste conclusie was dat de wachtwoorden uit roboform op de een of andere manier zijn weggelekt. Er zat uiteraard een encryptiewachtwoord overheen, maar uit voorzorg ben ik dus alle wachtwoorden die ik had gaan wijzigen, met uitzondering van een paar ww. van de familie. Dat is dus nu de reden dat het zo godsgruwelijk laat is.

Het zit me in elk geval TOTAAL niet lekker, ik kan op internet weinig vinden hierover. Ik vind dit ineens ook wel een eng idee, al mijn fijne passwords, misschien is er echt wel een roboform spyware tool! Het vanzelf starten van die pc was echt bizar, omdat ik 100% zeker weet dat de poort die op de router nodig is, dicht staat. Zodra ik in elk geval dit gepost heb gaat de kabel eruit, en ik neem morgen toch maar een half dagje zeker vrij want anders trek ik het niet.

Als iemand mij gerust kan stellen zou ik dat ZEER op prijs stellen.

Het virus heb ik nog wel gescand, maar die pagina ben ik alweer kwijt. Hij werd op verschillende manieren gerapporteerd, in elk geval zat bagle.ft (extensie niet zeker) ertussen. Ik kan morgen evt nog eens scannen.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

dinsdag 13 november 2007 06:27

Acties:

0 Henk 'm!

Verwijderd

Scan het virus nog eens op www.virustotal.com en bewaar de resultaten.

Daarna aan de hand van die resultaten een online virusscanner kiezen die het virus dus wel herkende en daarmee je hele systeem scannnen. En dan nog eens met een andere online scanner...

Er is ook een piepkleine kans dat je door slaapgebrek niet op Uitschakelen maar op Opnieuw opstarten hebt gedrukt....

dinsdag 13 november 2007 10:30

Acties:

0 Henk 'm!

Mistraller

Topicstarter

Verwijderd schreef op dinsdag 13 november 2007 @ 06:27:
Scan het virus nog eens op www.virustotal.com en bewaar de resultaten.

Daarna aan de hand van die resultaten een online virusscanner kiezen die het virus dus wel herkende en daarmee je hele systeem scannnen. En dan nog eens met een andere online scanner...

Er is ook een piepkleine kans dat je door slaapgebrek niet op Uitschakelen maar op Opnieuw opstarten hebt gedrukt....

neen, helaas gebeurde het opnieuw opstarten tot twee keer toe, ongeveer 3 minuten nadat het systeem uitstond.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

dinsdag 13 november 2007 10:32

Acties:

0 Henk 'm!

Verwijderd

Ja, een virus kan bij roboform wachtwoorden en ja, een virus kan deze direct naar z'n maker verzenden, hier is maar maximaal 1 sec voor nodig de kans is dus groot dat je niet op tijd was met het uitschakelen.

En je weet: Na een virus altijd een complete herinstall doen, dat is de enige manier om er echt vanaf te komen.

[ Voor 22% gewijzigd door Verwijderd op 13-11-2007 10:32 ]

dinsdag 13 november 2007 10:33

Acties:

0 Henk 'm!

Cloud

FP ProMod

Ex-moderatie mobster

Noem mij een nuchtere fries, maar trek anders eerst eens de netwerkstekker er uit.

Download al je tools op een andere pc, brand ze op een niet-RW schijf en gebruik die in de betreffende computer. Zo weet je in elk geval zeker dat niets van die wachtwoorden jouw pc verlaat.

edit:
gezien het bovenstaande zou het inderdaad wel eens te laat kunnen zijn, maar beter laat dan nooit

[ Voor 17% gewijzigd door Cloud op 13-11-2007 10:34 ]

Never attribute to malice that which can be adequately explained by stupidity. - Robert J. Hanlon
60% of the time, it works all the time. - Brian Fantana

dinsdag 13 november 2007 15:57

Acties:

0 Henk 'm!

Mistraller

Topicstarter

tja, het zou dan wel een specifiek op roboform gericht virus moeten zijn, want alle wachtwoorden zijn aes encrypted. Als een virus dus gebruik weet te maken van de roboform engine gaat het dus mis. Ik heb de file nog eens opgezocht in elk geval en op virustotal.com krijg ik het volgende resultaat:

code:

AhnLab-V3 2007.11.13.1 2007.11.13 - 
AntiVir 7.6.0.34 2007.11.13 TR/Crypt.CFI.Gen 
Authentium 4.93.8 2007.11.13 - 
Avast 4.7.1074.0 2007.11.12 - 
AVG 7.5.0.503 2007.11.13 IRC/BackDoor.SdBot3.UZO 
BitDefender 7.2 2007.11.13 Win32.Worm.Bagle.ZKB 
CAT-QuickHeal 9.00 2007.11.12 TrojanDownloader.Bagle.ft 
ClamAV 0.91.2 2007.11.13 PUA.Packed.Themida 
DrWeb 4.44.0.09170 2007.11.13 Win32.HLLM.Beagle.45143 
eSafe 7.0.15.0 2007.11.08 - 
eTrust-Vet 31.2.5291 2007.11.13 - 
Ewido 4.0 2007.11.13 - 
FileAdvisor 1 2007.11.13 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.4.2.54 2007.11.13 - 
F-Secure 6.70.13030.0 2007.11.13 Trojan-Downloader.Win32.Bagle.ft 
Ikarus T3.1.1.12 2007.11.13 Trojan-Downloader.Win32.Bagle.ft 
Kaspersky 7.0.0.125 2007.11.13 Trojan-Downloader.Win32.Bagle.ft 
McAfee 5161 2007.11.12 - 
Microsoft 1.3007 2007.11.12 - 
NOD32v2 2655 2007.11.13 - 
Norman 5.80.02 2007.11.13 SDBot.gen8 
Panda 9.0.0.4 2007.11.13 - 
Rising 20.18.11.00 2007.11.13 - 
Sophos 4.23.0 2007.11.13 - 
Sunbelt 2.2.907.0 2007.11.13 VIPRE.Suspicious 
Symantec 10 2007.11.13 - 
TheHacker 6.2.9.124 2007.11.13 Trojan/Downloader.Bagle.ft 
VBA32 3.12.2.4 2007.11.11 - 
VirusBuster 4.3.26:9 2007.11.12 Trojan.DL.Bagle.QK 
Webwasher-Gateway 6.0.1 2007.11.13 Trojan.Crypt.CFI.Gen 
Extra informatie 
File size: 620928 bytes 
MD5: eca264bdb8d86a6feb79a97dfe776936 
SHA1: f997a079b7a255d18456c211917e0abdd3dbf176 
packers: Themida 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Voor de goede orde, ik heb dus zelf mcafee...

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

dinsdag 13 november 2007 16:14

Acties:

0 Henk 'm!

Verwijderd

Heb je het bij roboform zo dat je iedere keer je eigen wachtwoord moet invullen en dat roboform dan het wachtwoord voor je invult?

Of heb je het zo dat je eenmalig je roboform wachtwoord invult en dan vervolgens overal je wachtwoorden ingevuld zijn?

In het laatste geval is het absoluut niet veilig, in het eerste geval lijkt het me inderdaad onwaarschijnlijk dat je wachtwoorden bij de virusmaker liggen (maar je weet het nooit zeker).

dinsdag 13 november 2007 17:17

Acties:

0 Henk 'm!

Mistraller

Topicstarter

Verwijderd schreef op dinsdag 13 november 2007 @ 16:14:
Heb je het bij roboform zo dat je iedere keer je eigen wachtwoord moet invullen en dat roboform dan het wachtwoord voor je invult?

Of heb je het zo dat je eenmalig je roboform wachtwoord invult en dan vervolgens overal je wachtwoorden ingevuld zijn?

In het laatste geval is het absoluut niet veilig, in het eerste geval lijkt het me inderdaad onwaarschijnlijk dat je wachtwoorden bij de virusmaker liggen (maar je weet het nooit zeker).

Nee hij blijft het wachtwoord wel in het geheugen houden bij mij. tot ie standby is geweest, screensaver etc, maar dat was op dat moment niet zo. Volgens mij stond ie open dus, op het moment supreme. Maar dan zou het wel een specifiek op roboform gericht virus moeten zijn, want anders zou het alleen via een backdoor de files kunnen overhalen, en de master key snifferen. En daar ben ik iets minder bang voor. De virussen die werden gewonden, duiden echter niet echt op een specifiek op roboform gericht virus.
Het vanzelf booten van de computer is wellicht te verklaren door de Last known good settings terug te zetten. Ik denk dat mijn netwerkkaart ingesteld stond op magic packet, en na de settings teruggezet te hebben, stond ie op OS controlled. Ik kan me voorstellen dat ie dan op elk packet reageert.

Ik heb inmiddels de restjes van bagle gevonden; onder system32/drivers/hidr.exe en srosa.sys.
Eens zien of ik nog leven in dit systeem kan blazen of dat een herinstall beter is...

update: Ik heb antwoord van Roboform gekregen wat me weer iets meer gerust stelt:

The password that is stored in memory is encrypted, a virus cannot just take it from memory.
The passcard files are not unencrypted at all when you have the master password stored in memory.

Ik leid hieruit af dat het dus normaliter alleen mogelijk zou zijn als je via een backdoor alsnog gaat snifferen tijdens het gebruik. En dat was bij mij niet het geval.

[ Voor 13% gewijzigd door Mistraller op 13-11-2007 17:20 ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

dinsdag 13 november 2007 17:25

Acties:

0 Henk 'm!

Verwijderd

Mistraller schreef op dinsdag 13 november 2007 @ 17:17:
[...]
Ik heb inmiddels de restjes van bagle gevonden; onder system32/drivers/hidr.exe en srosa.sys.
Eens zien of ik nog leven in dit systeem kan blazen of dat een herinstall beter is...
[...]

Een compromised machine/account->reinstall. Je weet nooit wat er niet gevonden is. Het virus kan wel iets achter gelaten hebben op je PC wat de heren van de McAfee en concurrenten nog niet kennen. Je hebt in ieder geval een tijdje geen controle over je eigen pc gehad.

dinsdag 13 november 2007 22:16

Acties:

0 Henk 'm!

Mistraller

Topicstarter

Verwijderd schreef op dinsdag 13 november 2007 @ 17:25:
[...]

Een compromised machine/account->reinstall. Je weet nooit wat er niet gevonden is. Het virus kan wel iets achter gelaten hebben op je PC wat de heren van de McAfee en concurrenten nog niet kennen. Je hebt in ieder geval een tijdje geen controle over je eigen pc gehad.

Nou het is hardnekkig genoeg om voor deze optie te gaan. Zit niks anders op potverdorie. Kost me weer wat kostbare avondjes

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

woensdag 14 november 2007 09:19

Acties:

0 Henk 'm!

Verwijderd

Wat avondjes? Dan heb je weinig tijd op een avond.

Vista installatie is met een 30 min maximaal wel afgerond, dan zeg nog een uurtje of 2 om de programma's te installeren en alles naar je wens in te stellen.

Als het langer duurt dan 2 uur om je programma's te installeren kun je maar beter eens wat minder rommel op je PC zetten, dat werkt een stuk beter

Het is echt een kleine moeite en veel veiliger.

woensdag 14 november 2007 21:59

Acties:

0 Henk 'm!

Mistraller

Topicstarter

Verwijderd schreef op woensdag 14 november 2007 @ 09:19:
Wat avondjes? Dan heb je weinig tijd op een avond.

Vista installatie is met een 30 min maximaal wel afgerond, dan zeg nog een uurtje of 2 om de programma's te installeren en alles naar je wens in te stellen.

Als het langer duurt dan 2 uur om je programma's te installeren kun je maar beter eens wat minder rommel op je PC zetten, dat werkt een stuk beter

Het is echt een kleine moeite en veel veiliger.

Ik heb nog geen licentie voor vista in huis, dus dat zal toch xp worden:
- XP cd slipstreamen met sp2
- XP installeren
- drivers installeren
- Office erop, synchronisatie met outlook en activesync met pda werkend krijgen (GRRR)
- Alle grote en kleine meuk herinstalleren en zorgen dat het weer werkt
- Zorgen dat vrouwlief kan werken zonder dat ze lastiggevallen wordt met een dik startmenu

Het terugzetten van 180 GB aan files kost alleen al een hele tijd. Dat zijn films die in bewerking zijn, foto's, etc.
Maw; dat kost me zeker een week.
Internet explorer is bij mij dus duidelijk niet het meest gebruikte programma

Maar ik ben inderdaad wel overtuigd van een reïnstall, al had ik dat eigenlijk pas willen doen bij het uitkomen van xp sp3 of vista sp1. Dan kon dat mooi meteen mee.

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

donderdag 22 november 2007 01:35

Acties:

0 Henk 'm!

Cyb

Heb vandaag hetzelfde soort probleem gehad als de topicstarter

Ik had een tool gedownload via Emule. Voordat ik de tool startte, schakelde ik zoals gewoonlijk de virusscanner (Node32) en personal firewall (Comodo 3.0) aan, verder was Windows Defender ook aan. (Ik draaide Vista met UAC disabled.)
Bij het starten zag ik de systray een melding van security wijzingen van Windows Security Center. Na wat verder te kijken bleek dat Nod32 door het virus was uitgeschakeld en verwijderd! Ook Windows Defender en Security Center services waren door het virus uitgeschakeld. De nieuwe Comodo 3.0 was gelukkig nog aan, maar heeft verder geen melding gegeven. Het kan zijn dat het virus langs Comodo is geglipt gezien ik Comodo3 vandaag voor het eerst heb installed.

Na en reboot van de PC kreeg ik bootproblemen met ntoskrnl.exe, waardoor ik Vista moest repairen met de originele Vista DVD. Na een reboot ook maar meteen de netwerk connectie disabled. Na de reboot lukte het me niet om Kaspersky of Nod32 te installeren. Dit kwam misschien door Comodo, maar zou ook door het virus kunnen komen.

Dankzij Comodo's nieuwe Defense+ (host applicatie defense) zag ik dat de gedownloade tool srosa.sys had installed in de system directory, waardoor ik het virus kon identificeren.

Heb maar meteen Vista opnieuw installed. Dit keer maar braaf met UAC aan, en een pass op de virusscanner.

Alleen irritant dat ik niet weet wat het virus/trojan heeft gedaan, en of Comodo het heeft geblocked. Ik had zelf ook Roboform draaien alleen zonder masterpass (nu wel met masterpass).

Misschien dat ik het virus opnieuw ga draaien in een test-omgeving, om te checken wat het gedaan zou kunnen hebben. (Iets wat ik wel eens eerder heb gedaan met packet analysers op een trojan. Deze bleek toen op een irc kanaal in te loggen vol met zombie's.)

donderdag 22 november 2007 01:58

Acties:

0 Henk 'm!

Cyb

Virustotal.com resultaat:

Tordex_Wheel_1.0.exe == hidr.exe

code:

Bestand Tordex_Wheel_1.0.exe ontvangen op 2007.11.22 01:39:37 (CET)

Antivirus Versie Laatst geüpdatet Resultaat 
AhnLab-V3 - - - 
AntiVir - - - 
Authentium - - - 
Avast - - - 
AVG - - IRC/BackDoor.SdBot3.VPP 
BitDefender - - Win32.Bagle.STK 
CAT-QuickHeal - - - 
ClamAV - - PUA.Packed.Themida 
DrWeb - - Win32.HLLM.Beagle 
eSafe - - - 
eTrust-Vet - - - 
Ewido - - - 
FileAdvisor - - - 
Fortinet - - W32/Bagle.FX!tr.dldr 
F-Prot - - - 
F-Secure - - Trojan-Downloader.Win32.Bagle.fx 
Ikarus - - - 
Kaspersky - - Trojan-Downloader.Win32.Bagle.fx 
McAfee - - - 
Microsoft - - - 
NOD32v2 - - - 
Norman - - SDBot.gen8 
Panda - - - 
Prevx1 - - Heuristic: Suspicious Self Modifying EXE 
Rising - - - 
Sophos - - - 
Sunbelt - - VIPRE.Suspicious 
Symantec - - - 
TheHacker - - Trojan/Downloader.Bagle.fx 
VBA32 - - - 
VirusBuster - - Trojan.DL.Bagle.QP 
Webwasher-Gateway - - Win32.Malware.gen (suspicious) 
Extra informatie 
MD5: 371639a70a2851ffec9e7be6efa667cd

srosa.sys

code:

Antivirus Versie Laatst geüpdatet Resultaat 
AhnLab-V3 - - - 
AntiVir - - TR/Rootkit.Gen 
Authentium - - - 
Avast - - - 
AVG - - - 
BitDefender - - Win32.Bagle.STK 
CAT-QuickHeal - - - 
ClamAV - - - 
DrWeb - - Win32.HLLM.Beagle 
eSafe - - - 
eTrust-Vet - - - 
Ewido - - - 
FileAdvisor - - - 
Fortinet - - - 
F-Prot - - - 
F-Secure - - Trojan-Downloader.Win32.Bagle.fx 
Ikarus - - - 
Kaspersky - - Trojan-Downloader.Win32.Bagle.fx 
McAfee - - - 
Microsoft - - Trojan:WinNT/Bagle.gen 
NOD32v2 - - - 
Norman - - - 
Panda - - - 
Prevx1 - - Heuristic: Suspicious File With Anti-Security Technology 
Rising - - - 
Sophos - - - 
Sunbelt - - VIPRE.Suspicious 
Symantec - - - 
TheHacker - - - 
VBA32 - - - 
VirusBuster - - - 
Webwasher-Gateway - - Trojan.Rootkit.Gen 
Extra informatie 
MD5: 27707a1a8c7c8dd4205ff3771c1f9c50

Het virus bij mij is dus Trojan-Downloader.Win32.Bagle.fx. Een variant op die van de topicstarter (Trojan-Downloader.Win32.Bagle.ft).

Nod32 ziet het virus dus gewoon helemaal niet. Toch maar weer Kaspersky installen, dat had me een hoop gezeik gescheeld.

donderdag 22 november 2007 10:10

Acties:

0 Henk 'm!

Verwijderd

Cyb schreef op donderdag 22 november 2007 @ 01:35:
(Ik draaide Vista met UAC disabled.)

/me mompelt iets over boontjes en loontjes...

Het beste wat je nu kunt doen is een volledige format, dat is de enige manier om zeker te weten dat alles weg is.

Als je overigens de protected desktop van UAC uitzet is ie 10000x fijner om mee te werken terwijl je maar een minimaal beetje veiligheid in hoeft te leveren.

[ Voor 19% gewijzigd door Verwijderd op 22-11-2007 10:11 ]

vrijdag 23 november 2007 23:28

Acties:

0 Henk 'm!

Mistraller

Topicstarter

Cyb schreef op donderdag 22 november 2007 @ 01:58:
Virustotal.com resultaat:

....

Het virus bij mij is dus Trojan-Downloader.Win32.Bagle.fx. Een variant op die van de topicstarter (Trojan-Downloader.Win32.Bagle.ft).

Nod32 ziet het virus dus gewoon helemaal niet. Toch maar weer Kaspersky installen, dat had me een hoop gezeik gescheeld.

Tja, dat lijkt wel heel erg op die uitkomst die ik kreeg.

Verwijderd schreef op donderdag 22 november 2007 @ 10:10:
[...]

/me mompelt iets over boontjes en loontjes...

Eensch is...en * Mistraller denkt ook nog over zoiets als schade en schande en zo Pc draait hier ook nog steeds niet...

[ Voor 91% gewijzigd door Mistraller op 23-11-2007 23:33 ]

My solar panels | Soladin loggen? | Strava
---------------
Gemak dient de mens, moeite dient de mensheid.

zaterdag 24 november 2007 03:48

Acties:

0 Henk 'm!

Cyb

Verwijderd schreef op donderdag 22 november 2007 @ 10:10:
[...]

/me mompelt iets over boontjes en loontjes...

Het beste wat je nu kunt doen is een volledige format, dat is de enige manier om zeker te weten dat alles weg is.

Als je overigens de protected desktop van UAC uitzet is ie 10000x fijner om mee te werken terwijl je maar een minimaal beetje veiligheid in hoeft te leveren.

Als ik XP had gedraaid zou ik UAC niet eens hebben. Het enigste wat ik dan had kunnen doen is als user draaien (wat zuigt), en daarnaast een password op Nod32 (zodat het process niet gemakkelijk gestopt kan worden).

Mijn vertrouwen in Nod32 is nu alleen wel weg.

maandag 31 december 2007 14:24

Acties:

0 Henk 'm!

Cyb

Mijn neefje belde net voor een virusprobleem vergelijkbaar met de mijne.

Result:

Bestand Tabula_WYSIWYG_HTML_editor_2.2__C ontvangen op 2007.12.31 13:38:17 (CET)
Huidig status: Laden ... In wachtrij Wachtende Aan het scannen Einde NIET GEVONDEN GESTOPT

Resultaat: 9/32 (28.13%)

Antivirus Versie Laatst geüpdatet Resultaat
AhnLab-V3 2008.1.1.10 2007.12.31 -
AntiVir 7.6.0.46 2007.12.31 -
Authentium 4.93.8 2007.12.30 -
Avast 4.7.1098.0 2007.12.30 -
AVG 7.5.0.516 2007.12.30 -
BitDefender 7.2 2007.12.31 DeepScan:Generic.Malware.SP!VPkWkg.470DE77F
CAT-QuickHeal 9.00 2007.12.29 -
ClamAV 0.91.2 2007.12.31 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.12.31 -
eSafe 7.0.15.0 2007.12.30 -
eTrust-Vet 31.3.5417 2007.12.31 -
Ewido 4.0 2007.12.31 -
FileAdvisor 1 2007.12.31 -
Fortinet 3.14.0.0 2007.12.31 -
F-Prot 4.4.2.54 2007.12.31 -
F-Secure 6.70.13030.0 2007.12.31 SDBot.gen8
Ikarus T3.1.1.15 2007.12.31 -
Kaspersky 7.0.0.125 2007.12.31 Trojan-Downloader.Win32.Bagle.hi
McAfee 5195 2007.12.28 -
Microsoft 1.3109 2007.12.31 -
NOD32v2 2758 2007.12.31 -
Norman 5.80.02 2007.12.31 SDBot.gen8
Panda 9.0.0.4 2007.12.30 -
Prevx1 V2 2007.12.31 Backdoor.SdBot.gen
Rising 20.24.52.00 2007.12.29 -
Sophos 4.24.0 2007.12.31 -
Sunbelt 2.2.907.0 2007.12.30 VIPRE.Suspicious
Symantec 10 2007.12.31 -
TheHacker 6.2.9.175 2007.12.29 W32/Behav-Heuristic-064
VBA32 3.12.2.5 2007.12.29 -
VirusBuster 4.3.26:9 2007.12.31 -
Webwasher-Gateway 6.6.2 2007.12.31 Win32.Malware.gen (suspicious)

Extra informatie
File size: 536504 bytes
MD5: d6ec4d28904fb3ca96565b0567747619
SHA1: c76bc9378ee484c2e2ed171c84c3c2fcc4592049
PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies
packers: Themida
Prevx info: http://info.prevx.com/abo...C2F17083E37535D0001291274
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Oftewel weer een Bagle gemist door Nod32

Pagina: 1

Reageer