Paczki, malware, złośliwe pliki, linki itp.

[ReviewsAntivirus]

po wysłaniu do analizy:

Malwarebytes'' Anti-Malware
11/15 (73,33%)

[tachion]

Ransomware - Police Nationale

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

Endpoint blokuje

[Aby zobaczyć linki, zarejestruj się tutaj]

[aope]

EAM wykrywa przy rozpakowaniu i od razu przenosi do kwarantanny. Zagrożenie jako Win.32.SmokeLoader

[ReviewsAntivirus]

Wysłałem do ClamAV i:

<!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->

Na VirusTotal chyba mają stare wersje sygnatur antywirusów. Tutaj więcej antywirusów wykrywa ten plik:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Flash999]

AVG:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[ReviewsAntivirus]

Kaspersky wykrywa jako Trojan-Dropper.Win32.Injector.ewgr
Dr.Web = Trojan.Winlock.3260
McAfee =

McAfee Labs - Beaverton
Current Scan Engine Version:5400.1158
Current DAT Version:6708.0000
Thank you for your submission.

Analysis ID: 7027885

File NameFindings DetectionType Extra
--------------------|------------------------------|----------------------------|------------|-----
becd3fccc7cc87811a0b|inconclusive|||no

inconclusive [becd3fccc7cc87811a0bb141cdd1e5a4]

Automated analysis was not able to determine that this file is malware. This file is
being sent for further processing and the DAT files will potentially be updated if
detection of this sample is warranted.

Note –

Due to the prevalence of network gateway AV products, it is important that all
submissions be zipped and the zip file password-protected (password - infected). Some
products will reject an email that contains a virus that is not sent in this way. In
addition, often we receive a file that appears not to have been infected, to find
later that the file was infected when it left the sender, and was cleaned somewhere
along the line.

Regards,



McAfee Labs

Avast = Win32:SmokeLoader-PT
IKARUS= Win32.SmokeLoader

[myciu1974]

Ransomware - Police Nationale;

ESET i HitmanPRO wykrywają, MBAM ZNOWU POLEGŁ.

[ReviewsAntivirus]

Do Malwarebytes wyslałem więc wkrótce MBAM powinien wykrywać

[marsellus]

MBAM ZNOWU POLEGŁ.

Bo MBAM to soft do usuwania infekcji, a nie do skanowania paczek

"Ransomware - Police Nationale"
NIS 2012 kosi sonarem przy uruchamianiu.

[ReviewsAntivirus]

ESET już wykrywa jako Win32/Injector.RHA

[asg]

MBAMjako Trojan.Winlock.G

[tachion]

FAKEAV- Smart Fortress 2012

[Aby zobaczyć linki, zarejestruj się tutaj]

Detailed report of suspicious malware actions:

Created process: (null),"C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe" "C:\Users\tachion\Desktop\1cc8f8c4d02ff5085c2fd9f1dfcb15f5\files\1cc8f8c4d02ff5085c2fd9f1dfcb15f5.exe",(null)
Defined file type created: C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\luafv\Start = 01000000
Defined registry AutoStart location created or modified: machine\System\CurrentControlSet\Services\wuauserv\Start = 04000000
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\RunOnce\F4D55F3B0010870E64318881B4EB238B = C:\ProgramData\F4D55F3B0010870E64318881B4EB238B\F4D55F3B0010870E64318881B4EB238B.exe
Detected keylogger functionality
Detected process privilege elevation
Enumerated running processes
File copied itself
File deleted itself
Got computer name
Got user name information
Got volume information
Internet connection: C:\Users\tachion\Desktop\1cc8f8c4d02ff5085c2fd9f1dfcb15f5\files\1cc8f8c4d02ff5085c2fd9f1dfcb15f5.exe Connects to "220.164.140.246" on port 80 (TCP - HTTP).

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Aby zobaczyć linki, zarejestruj się tutaj]

[jasiekkidawa]

KIS 2012 nie widzi zagrożenia. MBAM zaś wykrywa TROJANa.LAMESHIELD

[zord]

Endpoint blokuje

[Aby zobaczyć linki, zarejestruj się tutaj]

[asg]

Paczka 118
Webroot + MBAM 105/118
Webroot + MBAM + Ashampoo 116/118 ( 98,3% ) (Zostały PCSetupPro2.7USA.exe i scvg.exe)

co do scvg.exe to na virustotal 0/42

[tachion]

Wcześniej mi się wydawało że scvg.exe był wykrywany, może ze względu na toolbar Ask w sobie,chociaż jest instalowany za zgodą użytkownika,co wychodzi że można uznać za FP <!-- s--> <!-- s-->

[asg]

To stały problem. Pamiętam dyskusję pomiędzy twórcami AV co do rouge, że jak za zgodą użytkownika - to proszę bardzo.
Chodzi oczywiście o problem zdefiniowania co już jest oszustwem (naciąganiem lub szpiegostwem) a co nie.

[tachion]

No tak

[bardok206]

Mse
86/118 (72,9%)