Pagina 1 van 1

HitmanPro Trojan FP

Geplaatst: 19 feb 2013 10:39
door Ravion
Bij een quick scan met hitman kreeg ik de volgende trojanen te zien is dit een false positive?
Afbeelding

Re: HitmanPro Trojan FP

Geplaatst: 19 feb 2013 12:59
door Maxstar
Hoi,

Wil je met behulp van HitmanPro eens de bestandsinformatie opvragen van hosts.exe en banish.exe middels de optie "Toon informaie".
Kopieer en plak deze gegevens dan in het volgende bericht.

Sowieso lijken mij dit AutoIt bestanden en die worden met regelmaat gedetecteerd vanwege de gebruikte 'packer'.
Maar de bestanden zijn in ieder geval in de %temp% folder aanwezig en kan je gerust laten verwijderen alvast.

Re: HitmanPro Trojan FP

Geplaatst: 19 feb 2013 17:27
door Ravion
Het was even zoeken maar kon dit in de log wel terug vinden

Properties
Name banish.exe
Location C:\Users\Gebruiker\AppData\Local\Temp\ir_ext_temp_1\AutoPlay\Scripts
Size 32.0 KB
Time 66.8 days ago (2012-12-14 14:35:10)
Entropy 7.0
Product
Publisher Anemeros
Description
Version 1.
Copyright
SHA-256 DFA5B7BBC23DF9A1402063551C44EEDE0C9445B930291027830B3AF0FBE4A549

Detection Names
Ikarus Trojan-Dropper.Win32.StartPage!IK
Properties
Name hosts.exe
Location C:\Users\Gebruiker\AppData\Local\Temp\ir_ext_temp_0\AutoPlay\Scripts
Size 32.5 KB
Time 239.6 days ago (2012-06-24 19:54:12)
Entropy 6.9
Product
Publisher Anemeros
Description
Version 1.
Copyright
SHA-256 387BCF2758752A65D0B3CEF4BBA95D5B1EF6E16E09E75A21E343AD2A407380C1

Detection Names
G Data Trojan.Generic.6761663 (Engine A)
Ikarus Trojan-Dropper.Win32.StartPage!IK

Re: HitmanPro Trojan FP

Geplaatst: 19 feb 2013 17:46
door Maxstar
Hoi,

Beide bestanden hebben in ieder geval geen goede reputatie en behoren tot een crack voor Windows.
banish.exe http://isthishostsafe.com/sha1/B0AF5AA2 ... tails.aspx" onclick="window.open(this.href);return false;
hosts.exe http://isthishostsafe.com/sha1/AD148FF4 ... tails.aspx" onclick="window.open(this.href);return false;

Als je kijkt op Virustotal zie je ook dat veel scanners deze bestanden detecteren.
Bestandsnaam: banish.exe
MD5: 4a43ea617017d5de7d93eb2380634eee
Detectieverhouding: 20 / 45
https://www.virustotal.com/nl/file/dfa5 ... /analysis/" onclick="window.open(this.href);return false;

Bestandsnaam: hosts.exe
MD5: 72ddf833fa206326e15c2c97679d323e
Detectieverhouding: 32 / 45
https://www.virustotal.com/nl/file/387b ... /analysis/" onclick="window.open(this.href);return false;

Beide bestanden behoren tot een crack (Chew WGA) voor Windows 7.

Code: Selecteer alles

This tool really comes with Chew WGA and the only it does is to add the following entries into %WINDIR%\System32\drivers\etc\hosts file:
-----
127.0.0.1 genuine.microsoft.com
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 sls.microsoft.com
-----
These entries needed to computer with Windows Seven not been added to Microsoft's black list.
Het is dus niet zo heel vreemd dat deze bestanden als malware zijnde worden gedetecteerd. ::)

1. Illegaal verkregen software is een bron van malware verspreiding met het oog op (Crack, Keygens) en aanverwante zaken.
2. Persoonlijke gegevens kunnen worden achterhaald door de cybercriminelen die een achterdeurtje in de crack gebruiken om toegang tot uw computer te krijgen.
3. Uw computer kan door het gebruik van cracks ingezet worden in een botnet voor het versturen van spam, verspreiden van malware en het uitvoeren van DDoS aanvalen.
4. Wanneer u software via de legitieme wegen aanschaft heeft u recht op officiële support en updates.
5. Neem ook de onderstaande artikelen eens door.

Re: HitmanPro Trojan FP

Geplaatst: 20 feb 2013 15:14
door Ravion
Bedankt voor de uitgebreide antwoord maar zover ik me herinner heb ik gewoon wel een legale windows.
Ik heb deze zo gekocht niet in de winkel maar via een ex klasgenoot maar ik zal dit eens navragen.
iig onwijs bedankt.

Re: HitmanPro Trojan FP

Geplaatst: 21 feb 2013 10:12
door Maxstar
Hoi,

Graag gedaan... :good: