Baumstrukturmodus | Linearer Modus

bebub2 · 23.06.2009, 10:51 Uhr

wenn ich angel download und entzip, bringt mir mein virenprogramm nen trojaner.
normal oder wirklich einer drin ?

mfg

Firefox · 23.06.2009, 13:02 Uhr

natürlich ist im Angel-Bot kein Virus drin, aber das Thema mit den Fehlalarmen hatten wir hier schonmal

bebub2 · 24.06.2009, 10:12 Uhr

ok danke und sorry wegen dem thema weils das schonmal gab, hatte nix gefunden

mfg

Bris · 18.07.2009, 09:28 Uhr

Naja ich denke mittlerweile hat das Thema "Virus im Angelbot" neue Dimensionen angenommen. Vorher war die Rede von einem "möglichen Virusfund". Jetzt lassen die Virenprogramme das "möglich" komplett weg und melden folgenden Trojaner (je nach Programm wird er anders genannt - ist aber jedesmal der gleiche Code):

Zitat:Datei AnGeL.exe empfangen 2009.07.18 08:08:34 (UTC)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.18 Trojan.Generic!IK
AhnLab-V3 5.0.0.2 2009.07.18 Win-Trojan/Xema.variant
AntiVir 7.9.0.220 2009.07.17 TR/Spy.494592
Antiy-AVL 2.0.3.7 2009.07.17 -
Authentium 5.1.2.4 2009.07.18 W32/Malware!cca0
Avast 4.8.1335.0 2009.07.17 Win32:Trojan-gen {Other}
AVG 8.5.0.387 2009.07.17 Generic12.BTMD
BitDefender 7.2 2009.07.18 Trojan.Generic.1547417
CAT-QuickHeal 10.00 2009.07.17 Trojan.Agent.ATV
ClamAV 0.94.1 2009.07.18 -
Comodo 1688 2009.07.18 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.07.18 BACKDOOR.Trojan
eSafe 7.0.17.0 2009.07.16 Suspicious File
eTrust-Vet 31.6.6623 2009.07.18 -
F-Prot 4.4.4.56 2009.07.17 W32/Malware!cca0
F-Secure 8.0.14470.0 2009.07.17 -
Fortinet 3.120.0.0 2009.07.18 -
GData 19 2009.07.18 Trojan.Generic.1547417
Ikarus T3.1.1.64.0 2009.07.18 Trojan.Generic
Jiangmin 11.0.800 2009.07.18 -
K7AntiVirus 7.10.794 2009.07.16 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.07.18 -
McAfee 5679 2009.07.17 Generic.dx!dc
McAfee+Artemis 5679 2009.07.17 Generic.dx!dc
McAfee-GW-Edition 6.8.5 2009.07.18 Trojan.Spy.494592
Microsoft 1.4803 2009.07.18 -
NOD32 4256 2009.07.18 -
Norman 6.01.09 2009.07.17 -
nProtect 2009.1.8.0 2009.07.18 Trojan/W32.Agent.494592.C
Panda 10.0.0.14 2009.07.17 -
PCTools 4.4.2.0 2009.07.17 -
Prevx 3.0 2009.07.18 Password Stealer
Rising 21.38.51.00 2009.07.18 -
Sophos 4.43.0 2009.07.18 Mal/Behav-131
Sunbelt 3.2.1858.2 2009.07.18 Trojan.1
Symantec 1.4.4.12 2009.07.18 Trojan Horse
TheHacker 6.3.4.3.370 2009.07.17 -
TrendMicro 8.950.0.1094 2009.07.17 -
VBA32 3.12.10.8 2009.07.17 -
ViRobot 2009.7.17.1841 2009.07.17 -
VirusBuster 4.6.5.0 2009.07.16 Trojan.ULPM.ABH

weitere Informationen
File size: 494592 bytes
MD5...: a1496388ff5657c1f6b06e52089a6bde
SHA1..: 962299f41223f0e4740c2a5598050326b12c9cfb
SHA256: 743b59dc44f22d6798e4421b7eba7b9e8e42c306b3eb75c251cb32c0dcf718b8
ssdeep: 12288:4MogI1Mor3tbtQ8w3PaVcinFpDslMxqefr:z+Mor3XQ93PXinozw 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification UPX compressed Win32 Executable (43.8%) Win32 EXE Yoda's Crypter (38.1%) Win32 Executable Generic (12.2%) Generic Win/DOS Executable (2.8%) DOS Executable Generic (2.8%)
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x272290 timedatestamp.....: 0x3eadc6db (Tue Apr 29 00:27:07 2003) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x1ff000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x200000 0x73000 0x72600 7.88 f273eaee57210063326b1399adc08cab .rsrc 0x273000 0x7000 0x6200 2.39 c6cf84c8b672dfb9d13e47b4de975e92 ( 3 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > advapi32.dll: SetServiceStatus > MSVBVM60.DLL: - ( 0 exports ) 
PDFiD.: -
RDS...: NSRL Reference Data Set -
packers (Kaspersky): UPX

Also melden 24 von 41 bekannten Virenprogrammen (58.54%), dass die AnGel.exe einen Trojaner enthält - darunter bekannte Firmen wie Avira, McAfee und Symantec. Geprüft habe ich die neuste Downloaddatei frisch von diesem Server (Version 1.6.2 Beta 10 Revision 10) über http://www.virustotal.com.

Wenns nur Avira wäre, hätte ich mir ja nichts gedacht - aber bei den ganzen Programmen? Ich weiß ja nicht - nutze den AngelBot eigentlich schon seit Jahren...

**HAPM** · 02.09.2009, 16:27 Uhr

Hallo,

wenn man sich die Trojanernamen mal genauer anschaut fällt folgendes auf: Eigentlich alle (korrigiert mich wenn ich einen übersehen habe) deuten auf einen generichen bzw. allgemeinen Trojaner-Fund hin. Hier hat die Heuristiksuche der Viren-Scanner ihre Finger im Spiel. Die heuristische Virensuche qualifiziert jede Anwendung als Virus, die einen bestimmten Prozentsatz an Merkmalen eines Virus enthält. Im Falle des Angelbots ist die Aussage, dass es sich bei ihm um einen Trojaner handelt übrigens gar nicht so verkehrt. Denn alle seine Eigenschaften sind bei heutige Trojanern üblich. Das Eintragen als Service bei Windows, das öffnen eines beliebigen Telnet-Ports, das öffnen einer Verbindung zu einem IRC-Server (wird von Trojaner verwendet um dem Angreifer zu zeigen das der Nutzer online ist), die Verwendung des WindowsScriptingHost zum Ausführen beliebiger Skripte, die man sogar noch selber per dcc hochladen kann. Ganz ehrlich: man könnte den Angel sogar als Trojaner verwenden, wenn man ihn direkt als Service installieren würde. Folglich ist die Einstufung korrekt, jedoch völlig unbedenklich, da der Angelbot eben genau die obigen Aufgaben erfüllen soll. Das die Meldungen zugenommen haben ist darauf zurückzuführen, dass die heuristische Suche mitlerweile in jedem gängigen Virensscanner vorhanden ist. Dies war früher noch nicht der Fall. Ich kann hier natürlich nicht dafür bürgen das SailorCM oder einer der früheren Entwickler sich irgendwo noch eine Hintertür offen gelassen hat, jedoch halte ich diese Idee für ein klein wenig paranoid.

Gruß,
HAPM