[Spiderman]

1) ich erstelle ein neues Text Dokument
2) ich kopiere folgendes hinein

for
eval
Math.min
.charCodeAt
.fromCharCode
Array(0,0,0,0,0,0)

3) ich speichere und benenne die Datei in test.js um

und Peng



Das ist nicht einmal funktionsfähiger Code, sondern nur Bruchstücke von ganz normalen JavaScript Befehlen.

Wenn man keinen vernüftigen Malware Scanner erstellen kann sollte man es besser sein lassen.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 18. November 2010 - 17:59

[karl0]

Das teste ich mal mit Avast.
und Negativ.


MfG Karl0

Angehängte Miniaturbilder

• 

[egal8888]

Im Eicar Test File steht auch nur Müll drin und trotzdem gibt es eine Warnung.

Springen denn in Deinem Fall auch andere Scanner auf die gleiche Datei an?

Oder lad die Datei dochmal nach http://www.virustotal.com/ hoch.
Bin mal gespannt, wieviele Scanner die Datei ebenfalls als Malware einstufen...

Dieser Beitrag wurde von egal8888 bearbeitet: 18. November 2010 - 16:48

[karl0]

Lustigerweise NUR antivir

Antivirus 	Version 	Last Update 	Result
AhnLab-V3 	2010.11.18.01 	2010.11.18 	-
AntiVir 	7.10.14.37 	2010.11.18 	HTML/Crypted.Gen
Antiy-AVL 	2.0.3.7 	2010.11.18 	-
Avast 	4.8.1351.0 	2010.11.18 	-
Avast5 	5.0.594.0 	2010.11.18 	-
AVG 	9.0.0.851 	2010.11.18 	-
BitDefender 	7.2 	2010.11.18 	-
CAT-QuickHeal 	11.00 	2010.11.09 	-
ClamAV 	0.96.4.0 	2010.11.18 	-
Command 	5.2.11.5 	2010.11.18 	-
Comodo 	6761 	2010.11.18 	-
DrWeb 	5.0.2.03300 	2010.11.18 	-
Emsisoft 	5.0.0.50 	2010.11.18 	-
eSafe 	7.0.17.0 	2010.11.18 	-
eTrust-Vet 	36.1.7984 	2010.11.18 	-
F-Prot 	4.6.2.117 	2010.11.18 	-
F-Secure 	9.0.16160.0 	2010.11.18 	-
Fortinet 	4.2.254.0 	2010.11.18 	-
GData 	21 	2010.11.18 	-
Ikarus 	T3.1.1.90.0 	2010.11.18 	-
Jiangmin 	13.0.900 	2010.11.18 	-
K7AntiVirus 	9.68.3021 	2010.11.18 	-
Kaspersky 	7.0.0.125 	2010.11.18 	-
McAfee 	5.400.0.1158 	2010.11.18 	-
McAfee-GW-Edition 	2010.1C 	2010.11.18 	-
Microsoft 	1.6402 	2010.11.18 	-
NOD32 	5630 	2010.11.18 	-
Norman 	6.06.10 	2010.11.18 	-
nProtect 	2010-11-18.02 	2010.11.18 	-
Panda 	10.0.2.7 	2010.11.18 	-
PCTools 	7.0.3.5 	2010.11.18 	-
Prevx 	3.0 	2010.11.18 	-
Rising 	22.74.03.05 	2010.11.18 	-
Sophos 	4.59.0 	2010.11.18 	-
SUPERAntiSpyware 	4.40.0.1006 	2010.11.18 	-
Symantec 	20101.2.0.161 	2010.11.18 	-
TheHacker 	6.7.0.1.086 	2010.11.18 	-
TrendMicro 	9.120.0.1004 	2010.11.18 	-
TrendMicro-HouseCall 	9.120.0.1004 	2010.11.18 	-
VBA32 	3.12.14.2 	2010.11.18 	-
VIPRE 	7343 	2010.11.18 	-
ViRobot 	2010.11.18.4155 	2010.11.18 	-
VirusBuster 	13.6.48.0 	2010.11.18 	-

MfG Karl0

[Kvothe]

Wie wärs das mal an Avira einzuschicken? Jeder Virenscanner hat immer wieder Fehlalarme und normalerweise werden die auch sehr schnell behoben, wenn man das dem Hersteller meldet, also anstatt solch einen Aufstand über nichts zu machen, lieber mal dem Hersteller melden...

[Spiderman]

Zitat (Kvothe: 18.11.2010, 18:37)

Wie wärs das mal an Avira einzuschicken? Jeder Virenscanner hat immer wieder Fehlalarme und normalerweise werden die auch sehr schnell behoben, wenn man das dem Hersteller meldet, also anstatt solch einen Aufstand über nichts zu machen, lieber mal dem Hersteller melden...

Das hilft auch nix, denn der Wurm steckt im Prinzip der Erkennung von Maleware.

Virustotal Report: http://tinyurl.com/2v35z2w

So einfach kann man es sich eben nicht machen, oder man muß mit Kritik und Spott rechnen.

Die Reihenfolge der Befehlsbruchstücke ist auch egal, also wird nach harmlosen Bruchstücken gesucht, und der richtige Mix ergibt dann Maleware.

Wer AntiVir einsetzt wird durch Fehlalarme verunsichert, für mich ist das ein Grund AntiVir nicht mehr zu verwenden.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 18. November 2010 - 18:27

[DJ_Alex]

Habe es ausprobiert mit Microsoft Security Essentials 1.0 und das Ergebnis ist NEGATIV.

LG DJ Alex

Angehängte Miniaturbilder

• 

[slurp]

AntiVir ist der König der False Positives... So viele Fehlwarnungen hatte ich bisher bei keinem anderen AV.

[luftabong]

Zitat (Spiderman: 18.11.2010, 17:57)

Das hilft auch nix, denn der Wurm steckt im Prinzip der Erkennung von Maleware.

Virustotal Report: http://tinyurl.com/2v35z2w

So einfach kann man es sich eben nicht machen, oder man muß mit Kritik und Spott rechnen.

Die Reihenfolge der Befehlsbruchstücke ist auch egal, also wird nach harmlosen Bruchstücken gesucht, und der richtige Mix ergibt dann Maleware.

Wer AntiVir einsetzt wird durch Fehlalarme verunsichert, für mich ist das ein Grund AntiVir nicht mehr zu verwenden.

Gruß
Spiderman

verstehe ich nicht, warum du das nicht an antivir melden willst. die werden dir das schon erklären können.
kannst ja die antwort hier posten.

[mind_it]

Zitat (Spiderman: 18.11.2010, 16:34)

1) ich erstelle ein neues Text Dokument
2) ich kopiere folgendes hinein

for
eval
Math.min
.charCodeAt
.fromCharCode
Array(0,0,0,0,0,0)

3) ich speichere und benenne die Datei in test.js um

und Peng

test.PNG

Das ist nicht einmal funktionsfähiger Code, sondern nur Bruchstücke von ganz normalen JavaScript Befehlen.

Wenn man keinen vernüftigen Malware Scanner erstellen kann sollte man es besser sein lassen.

Gruß
Spiderman

Und deswegen habe ich meinen Virenscanner auch gewechselt. (vorher Avira nacher MSE)

[Wiesel]

http://forum.avira.com/wbb/index.php?page=...threadID=108202

Regeln Des Sicherheits-forums

Was will uns dieser Thread sagen? Dass dieser Code schon seit März im Avira Forum steht oder dass er gegen Regel #4 verstösst?

greets

[luftabong]

Zitat (Wiesel: 18.11.2010, 20:23)

http://forum.avira.com/wbb/index.php?page=...threadID=108202

Regeln Des Sicherheits-forums

Was will uns dieser Thread sagen? Dass dieser Code schon seit März im Avira Forum steht oder dass er gegen Regel #4 verstösst?

greets

sehr gut Wiesel