kennt jemand VBS.Kondrik.A@mm

#1 hallihallo,
bei mir hat heute mal wieder Bitdefender angeschlagen und gesagt, dass eine mail mit dem o.a.Virus verseucht sei. Übrigens einige andere Leute aus meiner Mailgruppe haben die selbe Warnung bekommen.
Nun habe ich im I-net gesucht und gesucht und nicht einen einzigen Hinweis dazu bekommen, nicht einmal bei bitdefender.
Weiß einer von euch, worum es sich da handeltt ?

LG Monti

#2 Bitte könnte mir nicht jemand mal sagen, ob das wirklich ein Virus ist. Ich kann es mir fast gar nicht vorstellen, weil darüber nirgends etwas zu finden ist.
LG Monti

#3 Lies dich mal hier durch:

http://www.virusbtn.com/perlbin/vgrep/vgrep.cgi?terms=VBS.Kondrik.A%40mm&product=5
Beschreibungen von Trend/Sophos und Symantec sind nicht shlecht.
__________
MfG Ralf
SEO-Spam Hunter

#4 Hallo Ralf,
danke für deine Antwort, aber ich verstehe nur Bahnhof. Ist ja leider alles in Englisch und ich habe schon Schwierigkeiten PC-Sprache auf deutsch zu verstehen.

Könntest du mir knapp erklären, ob es etwas Schlimmes ist ?


Nun hat bitdefender bei mir gerade etwas anderes gefunden:

L:\Save\Download\GoogleToolbarInstaller.exe Infiziert Trojan.Dropper.VB.CD
L:\Save\Download\GoogleToolbarInstaller.exe Desinfizierung nicht durchgeführt
L:\Save\Download\GoogleToolbarInstaller.exe Verschoben

Was ist denn das nun wieder ? (L ist eine externe Festplatte)

LG Monti

#5 Hoert sicheher nach Fehlalarm an. Teste die Datei mal hier:
http://virusscan.jotti.dhs.org/
__________
MfG Ralf
SEO-Spam Hunter

#6 Das hat der Test ergeben, damit bin ich immer noch nicht weiter, oder kannst du mehr erkennen ?

LG Monti




Service load: 0% 100%

File: GoogleToolbarInstaller.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: CEXE

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.97 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.74 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.42 seconds taken)
Norman Virus Control No viruses found (0.40 seconds taken)

Statistics
Last piece of malware found was Java/Femad.A in Counters[1].jar, detected by:

Scanner Malware name Time taken
AntiVir Java/Femad.1 0.73 seconds
Avast X 1.51 seconds
BitDefender Java.Trojan.Exploit.Bytverify 0.38 seconds
ClamAV Trojan.Dropper.Small-20 0.31 seconds
Dr.Web Exploit.ByteVerify 0.51 seconds
F-Prot Antivirus destructive program 0.06 seconds
Kaspersky Anti-Virus Trojan.Java.Femad 0.63 seconds
mks_vir Trojan.Hooker 0.23 seconds
NOD32 Java/Femad.A 0.38 seconds
Norman Virus Control X 0.13 seconds



Service statistics:

7457 files (5514 of those unique) have been uploaded & scanned since 05/11/2004, the day of the last database purge.
1644 of those 5514 files contained a virus or any other form of malware.
This page has been visited 16801 times in this time period.
This service managed to spot 105 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 731 suspicious files without any help from scanner results.
However, 71 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 98.71% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.
Most popular malware:

Rank Malware name Uploaded Last known filename
1 backdoor.sdbot.gen 142 times My Password Protection.exe
2 behaveslike:trojan.downloader 131 times twink64.zip
3 backdoor.agobot.3.gen 72 times aa.exe.exe
4 tr/drop.delf.fd.1 61 times keyg*hier nicht*.exe
5 tr/spam.avafx 49 times vbsys.dll
6 tr/dldr.small.uv.3 33 times s1p1y.exe
7 win32:trojan-gen. {other} 29 times QQS.rar
8 backdoor.win32.agobot.gen 26 times agobot3.exe
9 backdoor.wootbot.gen 24 times Kopie van 1.exe.exe
10 trojan.downloader.inservice.i 23 times assassin-254.exe
11 win32:trojan-gen. 20 times PWSteal.Trojan.exe
12 win32.hllw.mybot.based 19 times test1.exe
13 tr/dldr.inservice.i 19 times assassin-254.exe
14 win32.p2p.spybot.gen 19 times Spools.exe
15 trojan.downloader.zlob.d 17 times a1-search.zip





Virus definitions are updated every hour. Please do not upload tons of megabytes to this online scanner and download a decent anti virus package yourself. There is a 10Mb limit per file. Use this if you need to be sure a file is uninfected and you don't trust your own environment. Really abusive people will get a nice iptables -j DROP rule on this machine, which is not available in your local store.

ABUSE OF THIS SERVICE (INCLUDING UPLOADING DELIBERATELY MODIFIED -PACKED/ENCRYPTED/BYTESWAPPED- VERSIONS OF THE SAME SAMPLE) WILL RESULT IN AN IP BAN.

Please do not ask for any of these viruses, unless you work for an anti-virus vendor. They are not for trade.

Changelog - Frequently Asked Questions

Feedback/comments/questions/false positive reports

Copyright (C) Jordi Bosveld 2004

#7 Das bedeutet, das die Datei keinen Virus enthaelt.

In Bezug auf die andere Datei: Wo wird sie denn gefunden?
__________
MfG Ralf
SEO-Spam Hunter

#8 oh, das ist ja Spitze !

Mit der anderen Datei meinst du VBS.Kondrik.A ? Ja also da hat mir bitdefender gesagt, dass die mail von biene-maja usw.mit diesem Virus verseucht sei, ins Virenlab geschickt und dort gelöscht wurde. Für mich ja insoweit gut...aber nun habe ich das eben dieser Biene-Maja (einer Moderatorin in einem Grafik-Kurs) mitgeteilt und nun muckst sie sich nicht mehr, weil sie Angst hat, alle aus dem Kurs zu verseuchen. Es herrscht dort eine riesengroße Unruhe, weil offenbar niemand mit diesem angebl. Virus etwas anfangen kann und keiner weiß, was zu tun ist.

Wenn ich das, was bei Symantec dazu steht richtig verstanden habe, ist es ein Wurm, ein Massmailer, der auch w32.Trilisa@mm geannt wird und das wird dazu angezeigt:

--W32.Trilisa@mm is a worm that sends itself to all addresses in the Microsoft Outlook address book. It renames all files that are in the \Windows folder and that have the .exe or .scr file extension; the worm then copies itself as the original file name. It also deletes files that have specific file extensions, as well as the files Regedit and Regedb32.

Also Known As: W32/Trilisa@MM, WORM_ORKIZ.A, W32.Trilisa-A, Win32.Trilisa
Variants: W32.Trilisa.B@mm
Type: Worm




Systems Affected: Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
--Systems Not Affected: Microsoft IIS, Macintosh, UNIX, Linux --


Den Rest, was man tun muss, versteh ich nicht so recht.

LG Monti