Online virus identification service ?

[bergetun]

Noen som vet om det finnes noen sider man kan uploade filer for aa sjekke om det er ett virus.. ?

 

Jeg faar ett haugevis av mailer med en lsrv.exe fil i men jeg kjoerer Linux saa det betyr lissom ikke noe. Problemet er at jeg gjerne vil vite hvilket virus det er snakk om saann att jeg kan hjelpe venner og famile som har tydligvis blitt infecta.

 

AVG paa maskinen min sier at filen er ok, men det maa da veare noe siden den blir sendt rundt

Endret 10. juni 2004 av bergetun

[salid]

Norman tilbyr en slik tjeneste på [email protected]. Du trenger ikke være kunde hos norman for å benytte denne.

 

Oppdages det misstenkelig filer, kan disse også sendes inn til "[email protected]". Filene bør pakkes ned i zip arkiv med passord "virus", "infected" eller "norman". Norman's karantene filer (.qtn) er allerede pakket ned og kan sendes slik de er. Denne maskinen som filene sendes til kjører alltid siste versjon av motor +definisjons filer. Maskinen vil sende et svar til avsender. Den vil inneholde all analysetekst "sandkassa" ("Sandbox") kan generere. Merk at den bare jobber mot Windows programfiler, script, batch, macro og andre filer blir ikke sjekket. Om avsender sender et kjent virus uten beskyttelse (ikke zip'et med passord) vil EUNET's scan tjeneste (som bruker Norman) plukke det opp og samplet kommer ikke frem til Norman, og dermed vil avsender ikke motta noe svar.

 

Mvh,

 

S.Lid

Virusjeger

[insider]

Du kan hvertfall scanne pcen din på www.antivirus.com

[salid]

et par raske søk på google linker lsrv.exe sammens med w32.spybot.worm , altså spyware. Er jo mulig filen er "infisert" med denne typen "program". Ikke alle av selskap regner spyware / malware / og diverse andre tvilsom programmer som virus og reagerer på disse.

[Domino]

et par raske søk på google linker lsrv.exe sammens med w32.spybot.worm , altså spyware. Er jo mulig filen er "infisert" med denne typen "program". Ikke alle av selskap regner spyware / malware / og diverse andre tvilsom programmer som virus og reagerer på disse.

W32.Spybot serien er ormer, ikke spyware.

(Betyr dog ikke at enkelte varianter kan ha funkasjonalitet som minner om spyware)

[bergetun]

Dette var rart for det er ett eller annet virus som smitter sinnsykt raskt.

 

installerte Windows XP i vmware og paa en annen maskin, satt disse to i nettverk, kjoerte filen paa ene og innen 2 minutter var den installert som en service paa den andre maskinen ogsaa.

 

Ene maskinen hadde Norton Security installert med ALLE windows oppdateringene og den andre kjoerte Grisoft AVG uten at det hjalp noe..

 

Har ikke faatt noe svar fra Normann sin sandbox

[Domino]

Ser ut som om svar ble sent til feil adreses pga en eller annen bizzar bug.

Nedenfor er sandbox-analysen du skulle ha mottatt. Dette er en ny MyBot-variant (vidreutvikling av Spybot).

Sprer seg tydeligvis over nettverk, IRC og mail iallefall. Inneholder mye bakdørsfunksjonalitet som passwordstealing, keystealing etc.

 

-Domino

Virus Analyst @Norman ASA

 

 

lsrv.exe : [sANDBOX] contains a security risk - W32/Malware

[ General information ]

* **Locates window "NULL [class mIRC]" on desktop.

* File length: 88576 bytes.

 

[ Changes to filesystem ]

* Creates file C:\WINDOWS\SYSTEM\lsrv.exe.

 

[ Changes to registry ]

* Creates value "Microsoft Services"="lsrv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

* Creates value "Microsoft Services"="lsrv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".

* Creates value "Microsoft Services"="lsrv.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

 

[ Network services ]

* Checks wheter computer is connected to Internet.

* Attempts to resolve name "d.suka.cc".

* Connect port 1575 [TCP], IP 193.75.75.100.

* Connects to IRC Server.

 

[ Process/window information ]

* Creates a mutex loset.

Endret 10. juni 2004 av Domino

[bergetun]

Ser ut som om svar ble sent til feil adreses pga en eller annen bizzar bug.

Nedenfor er sandbox-analysen du skulle ha mottatt. Dette er en ny MyBot-variant (vidreutvikling av Spybot).

Sprer seg tydeligvis over nettverk, IRC og mail iallefall. Inneholder mye bakdørsfunksjonalitet som passwordstealing, keystealing etc.

 

-Domino

Virus Analyst @Norman ASA

 

 

lsrv.exe : [sANDBOX] contains a security risk - W32/Malware

[ General information ]

* **Locates window "NULL [class mIRC]" on desktop.

* File length: 88576 bytes.

 

[ Changes to filesystem ]

* Creates file C:\WINDOWS\SYSTEM\lsrv.exe.

 

[ Changes to registry ]

* Creates value "Microsoft Services"="lsrv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

* Creates value "Microsoft Services"="lsrv.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".

* Creates value "Microsoft Services"="lsrv.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

* Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa".

 

[ Network services ]

* Checks wheter computer is connected to Internet.

* Attempts to resolve name "d.suka.cc".

* Connect port 1575 [TCP], IP 193.75.75.100.

* Connects to IRC Server.

 

[ Process/window information ]

* Creates a mutex loset.

Finnes det noe removal tool for dette ?

 

Kvir meg til jobb i morra for da maa jeg fjerne dette faenskapet fra hele nettverket..

[Domino]

Finnes det noe removal tool for dette ?

 

Kvir meg til jobb i morra for da maa jeg fjerne dette faenskapet fra hele nettverket..

Ikke så vidt jeg vet desverre. Vi vil nok heller ikke lage ett da det ikke ser ut til å være noe større problem å fjerne ormen.

Har ikke testet selv, men antivirus programmer som detekterer ormen burde kunne fjerne den uten problem. Norman har iallefall lagt inn deteksjon nå, og ville også kunne fjernet den ved hjelp av sandbox.