Computerbeveiliging - Hoe je bad guys buiten de deur houdt

McExit.exe malware?

21-09-2011, 17:33 door Anoniem, 3 reacties
Sophos Antivirus on demand scanner heeft onlangs op mijn pc het volgende gevonden: McExit.exe.Malware wordt benoemd als: Mal/Generic-L. Locatie: C:\_VR\McExit\McExit.exe.Ik heb het bestand laten scannen op VirusTotal en daar kreeg ik hetvolgende resultaat 3 vd 44 virusscanners (6.8%) sloegen alarm. Te weten: Antivir: TR/Agent.cada.21186 Sophos: Mal/Generic.L en Symantec: WS.Reputation.1 Overigens heeft mijn Norton360 5.0 virusscanner deze malware niet opgemerkt.Wel heeft op 1 van mn 2 pc's Norton Power Eraser McExit.exe als malware aangeduid ("slecht" stond er bij).Moet ik dit bestand/progr. in quarantaine laten,verwijderen of terugzetten? Overigens werkt het programma exterminate it zo te zien nog wel.
Reacties (3)
23-09-2011, 14:31 door Anoniem
TS:kom nou beste mensen,ik wil sophos vd pc verwijderen want de 30dagen licentie is verlopen,sophos wil niet meer updaten,ik kan verwijderen en opnieuw downloaden maar dan is het in quarantaine geplaatste bestand McExit.exe ook weg.Dus wat raden jullie mij nu aan? Gevonden malware-bestand in quarantaine laten,verwijderen of terugzetten?
23-09-2011, 16:13 door Anoniem
Ik heb eens wat gegoogled maar de enige site waar deze bestandsnaam uberhaupt voorkomt is security.nl, dit topic welteverstaan. Het zou kunnen dat je een nieuwe malware te pakken hebt, of eentje die dynamische namen aanmaakt. Maar als hij in quarantaine staat kan hij dus al niet meer gebruikt worden. als je geen opmerkelijkheden hebt ondervonden sinds het in quarantaine plaatsen van McExit.exe, mag je hem van mij gewoon verwijderen.
23-09-2011, 19:15 door choi
Sophos detecteert het als 'generic'. Die executable is dus op basis van heuristics gedetecteerd en kan of een 0-day, of een false positive zijn (vreemd bestandspad trouwens): http://www.sophos.com/en-us//threat-center/threat-analyses/viruses-and-spyware/Mal~Generic-L.aspx


TR/Agent.cada.21186 komt vreemd genoeg niet in de bibliotheek van Avira voor hoewel die wel door de Avira scanner op virustotal wordt geflagged.: http://www.avira.com/en/support-virus-lab/ThreatsViruses_page/9 .

Symantec flagged het ook niet op basis van een signature maar op basis van gebruikersreputatie:
WS.Reputation.1 is a detection for files that have a low reputation score based on analyzing data from Symantec’s community of users and therefore are likely to be security risks
http://www.symantec.com/security_response/writeup.jsp?docid=2010-051308-1854-99

Upload het bestand a.u.b naar de sandbox van ThreatExpert voor een analyse van wat de executable precies doet op het systeem (het bestand mag max 5MB te zijn en je dient een geldig e-mail adres in te voeren):
http://www.threatexpert.com/submit.aspx

Binnnen enkele minuten ontvang je een e-mail met het resultaat van de analyse (incl. indicatie of het om een kwaadaardig bestand gaat). Plak de URL naar de resultatenpagina op het forum als je de input van anderen nodig hebt.

Voor grotere bestanden (max 12 MB) gebruik de sandbox van Sunbelt: http://www.sunbeltsecurity.com/sandbox/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.