Allopath.exe - Privacy en beveiliging

dinsdag 5 maart 2013 13:32

Acties:

Topicstarter

Hoi, ik krijg zojuist een .zip gemaild van een onbekende afzender. Daarin zat een .zip-bestand. Deze heb ik uitgepakt en daar stond een .exe bestand in. Deze heb ik even door Virustotal online laten scannen en met volgende resultaat:

https://www.virustotal.co...924b/analysis/1362486243/

Duidelijk een trojan maar waarom herkennen zo weinig antiviruspakketten dit nu?

dinsdag 5 maart 2013 13:35

Acties:

D4NG3R

kiwi

:)

Ik denk omdat de makers er van uit gaan dat gebruikers slim genoeg zijn om onbekende e-mails met rare bijlagen niet te openen

?

Even zonder onzin: Geen idee, misschien een virus van een dag oud waardoor definities er nog niet mee geupdate zijn?

Komt d'r in, dan kö-j d’r oet kieken

dinsdag 5 maart 2013 13:38

Acties:

418O2

Omdat virusscanners ZIP bestanden niet uitpakken?

dinsdag 5 maart 2013 13:39

Acties:

vj_slof

Topicstarter

Alle 4 de scanresulataten geven de trojan ook ieder aan andere naam... zal dus nog wel behoorlijk nieuw zijn. Het .exe-bestand werkte niet op mijn computer, had geen Windows.

Dit is trouwens het bijbehorende bericht:

ACH transaction is completed. $6337 has been successfully transferred.
If the transaction was made by mistake please contact our customer service.
Receipt on payment is attached.

*** This is an automatically generated email, please do not reply ***

[ Voor 46% gewijzigd door vj_slof op 05-03-2013 13:47 ]

dinsdag 5 maart 2013 14:34

Acties:

D4NG3R

kiwi

:)

418O2 schreef op dinsdag 05 maart 2013 @ 13:38:
Omdat virusscanners ZIP bestanden niet uitpakken?

De meeste virusscanners doorzoeken .zip .rar en .7z gewoon. Ik kan er zo geen degelijke scanner opnoemen die dit niet doet.

Komt d'r in, dan kö-j d’r oet kieken

woensdag 6 maart 2013 12:53

Acties:

LnC

The offending line...

Welk Os draai je dan?

/offtopic
Ik open zelf geen bijlages van mensen die ik niet ken / of verwacht. Andere OS of niet, ik zou voor de zekerheid je systeem tegen het licht aan houden om er zeker van te zijn.
Mijn twee centjes

woensdag 6 maart 2013 14:50

Acties:

vj_slof

Topicstarter

LnC schreef op woensdag 06 maart 2013 @ 12:53:
Welk Os draai je dan?

velen. Dit bestand had ik voor de zekerheid maar even uitgepakt in een VM met Ubuntu. Bestand kwam zelf binnen via email op een machine met OSX Lion. Hetzelfde bestand nu uploaden geeft al een beter resultaat. Nu herkent de helft van de antiviruspakketten het bestand als kwaadaardig trojan.

woensdag 6 maart 2013 14:55

Acties:

Mavamaarten

Omdat het kan!

In de malware-wereld bestaat er zoiets als "crypters". Deze versleutelen de echte payload en slaan deze op in een stub. Als je de stub (een .exe dus) opent dan injecteert deze stub de payload in een bestaand proces. Het probleem met crypters is dat een crypter snel gemaakt is en dit kan op extreem veel manieren gedaan worden. Daarom kan je bestaande malware heel snel terug undetected maken voor antivirussoftware. Het gedrag van crypters (nuja, de stub) is veelal wel hetzelfde, vandaar dat sommige antiviruspaketten toch dit bestand aanduiden als virus.

Android developer & dürüm-liefhebber

vrijdag 8 maart 2013 17:17

Acties:

Baserk

vj_slof schreef op dinsdag 05 maart 2013 @ 13:32:
Duidelijk een trojan maar waarom herkennen zo weinig antiviruspakketten dit nu?

Ook omdat VirusTotal alleen de (uitgeklede) commandline scanner versies van AVs gebruikt.
Bij een VT uitslag kan je dus niet perse stellen dat een scan met alle standaard antiviruspakketten hetzelfde resultaat zouden opleveren.

[ Voor 20% gewijzigd door Baserk op 08-03-2013 17:19 ]

Romanes eunt domus | AITMOAFU

vrijdag 8 maart 2013 17:20

Acties:

Henk007

Inmiddels zijn de diverse scanners ge-updatet:
https://www.virustotal.co...6601c209f14924b/analysis/