[IMPORTANT] Hacks with Fake VT

Pizza Süß Sauer · 03/04/2010, 17:59

[GER]

Wichtig!

So ich mache jetzt erstmal ein Thread dazu auf, zum Problem der gefakten VT Scans.

LEECHED KEINE HACKS VON DENEN IHR NICHT WISST OB SIE CLEAN SIND!

Ich persönlich nehme mir immer die Zeit:

-Download den Hack
-Mach einen VT Scan

Zu empfehlen sind die zwei Scanner.

Nach dem Scan geh ich den VT druch, vergleiche ihn mit dem gestellten VT. Wie ich dann meistens sehe, ist der gestellte VT ein Fake. Dann mach ich die Analyse, ob die entdeckten Torjaner auch gefährlich sind. Dazu benutze ich ganz einfach google und hab ein paar Kontakte in meiner ICQ List die mir da gut helfen, falls ich mir nicht sicher bin.

Gefährliche Trojaner:

Trojan-Spy.Win32.Ardamax.n

Virus.Win32.Gpcode.ak

Trojan.Win32.Delf.abx

Virus.Win32.Gpcode.ai

HTML/ADODB.Exploit.Gen

Rootkit.Win32.TDSS.d

Gefährliche Punkte:

TRJ.
Troj.
Worm.
Dropper.Gen.
Virus.
Vir.

Alles was mit Dropper.Gen endet ist 100% Virus!

Ich bitte euch, wenn ihr einen Hack downloadet, der noch nicht von mir analysiert wurde, einen VT zu machen. Sollte es ein Fake VT sein, bitte sofort in den Thread schreiben:

Fake VT
LINK

Und es mir oder einen Globalmod oder Admin melden. Und den Report

Button benutzen.

Meistens haben die Hacks mit gefaktem VT Keylogger oder Malware.

[ENG]

IMPORTANT!

First I open a Thread for the problem about the fake VT scancs.

DO NOT LEECH HACKS OF WHICH YOU DO NOT KNOW WHETHER THEY ARE CLEAN!

Personally, I always take my time:

- Download the hack
- Make a VT scan

To recommend are these two scanner:

After the scan I check the VT. Then i compare the VT with the added VT and I see as always the added VT is a fake. Then I'll do the analysis, if the detected trojans are dangerous. For this i am using simply google and some contacts in my icq list to help me as well, if I'm not sure.

Dangerrous Trojan:

Trojan-Spy.Win32.Ardamax.n

Virus.Win32.Gpcode.ak

Trojan.Win32.Delf.abx

Virus.Win32.Gpcode.ai

HTML/ADODB.Exploit.Gen

Rootkit.Win32.TDSS.d

Dangerous points:

TRJ.
Troj.
Worm.
Dropper.Gen.
Virus.
Vir.

All which ends with Dropper.Gen are 100% a Virus.

Please, if you are downloading a hack, which i haven't got analyzed, makes a VT. Should it be a fake VT, please write immediately to the thread:

Fake VT
LINK

And report it to me or Globalmod or Admin. And use the report

button.
Most of the hacks, which have a fake Vt, are keyloggers and malware.

Checksum-Generator

Zuerst braucht ihr einen Checksum-Generator ... da wahrscheinlich alle die Linux verwenden auch wissen wie man Linux benutzt

brauch ich fuer euch das nicht nochmal beschreiben. Der Rest bezieht sich also nur auf Windows.

Aufgrund bitten: WAS IST EIN HASH?
Ein Hash ist eine Pruefsumme die wie zB die Perso-Nummer eindeutig fuer eine Datei ist. (Ja ich kenne die Ausnahmen, aber wer das liest wird sowas nicht interessieren)
Wenn der Hash von zweier Dateien gleich ist, dann sind die Dateien die selben.
D.h. wenn ihr eine Datei und einen VT zu einer Datei habt, ihr euch aber nicht sicher seid, ob der VT von einer umbenannten Datei ist, dann ueberprueft ihr den Hash.
Genau das macht VT auch, wenn eine Datei doppelt gescannt wird -- habt ihr sicher schonmal gesehen, wenn VT euch fragt ob man die Datei nochmal scannen moechte.

Als erstes benoetigt ihr einen ChecksumGenerator, ich kann euch diesen hier sehr empfehlen:

Installiert das Programm (das solltet ihr auch ohne Hilfe hinbekommen

)

Und wie funktioniert das ganze?
1. Ihr ladet die Datei runter von der ihr den VT ueberpruefen wollt.
2. Ihr klickt den VT-Link welcher beim Download dabei ist an
3. zeige ich euch nun am Beispiel XD

So... hier ist der VT zur CAV.exe (die findet ihr im Combat Arms Ordner, falls ihr Combat Arms spielt):

Ihr seht im Feld "weitere Informationen" folgendes

Code:

File size: 139264 bytes
MD5   : 6f4fa209d132694f7a8ce9a4ab654af4
SHA1  : 7c3361cb4b1f49dd964e1632101bff8bb47c81cd
SHA256: 930716942c091dbae908e0f9ef8eb84fcad322cfee0abcec4713567923423a4a

Markiert den MD5-Hash (Strg+C), kopiert ihn und geht nun mit dem Windows-Explorer zur runtergeladenen Datei.
Auf diese macht ihr einen Rechtsklick und klickt dort auf Eigenschaften:

Waehlt dort den Reiter "Pruefsummen"aus:

und fuegt den kopierten MD5-Hash in das unterstrichene Feld ein (Strg+V)
Stimmt der Hash ueberein, wird er oben blau markiert -- wenn er nicht uebereinstimmt, dann ist es ein FAKE VT.

--------------------------------------------------

First you will need a checksumgenerator, I recommend:

Install this Programm, I think I don't need to help you wih this step.

Ok, but how does this programm work?
1. Dowload the File you have a VT for and want to check it.
2. You visit the VT for the file (there should be a link in the post)
3. I'll show you at an example

This is the VT of CAV.exe (it's in the Combat Arms folder):

In "Additional information" you will find the following

Code:

File size: 139264 bytes
MD5   : 6f4fa209d132694f7a8ce9a4ab654af4
SHA1  : 7c3361cb4b1f49dd964e1632101bff8bb47c81cd
SHA256: 930716942c091dbae908e0f9ef8eb84fcad322cfee0abcec4713567923423a4a

Mark the MD5-Hash (Strg+C), copy it and go in the Windows-Explorer to the downloaded file.
Open it with a right click and click "Properties"

Now choose the tab "checksums"

and paste the copied MD5-Hash into the underlined field (Strg+V)
If the hashs are equal, one will get marked as you can see in the picture, if it's the wrong hash, most likely it was a FAKE VT.

Domo-Kun · 03/04/2010, 18:03

#First
Danke vieleicht werden diese Spamms mit ''kann bitte jemand diesen Hack testen'' aufhörem.

spare2 · 03/05/2010, 04:30

Another smart tip would be to never download anything in .EXE form unless it is absolutely trusted. Executable file can do anything from automatically infecting your computer with a virus to completely destroying your registry values.

ANYTHING with more than 50% detected are very very likely to be a virus. Do not trust that it is a false positive.

False positives are caused by programs like Themida, Eldorado, and other software protection software. Themida makes it harder for hackers to reverse engineer a application. Therefore, programmers use it to prevent their source code from being leaked. But because Themida is used so often to protect other viruses and trojans from being cracked. Many antivirus programs marks older versions of Themida as viruses.

Instead of using the CheckSum program, you can simply compare the MD5 hash of application from the provided virus scan to the your own virus scan. Saves the downloading/installing hassle.

Chimaerus · 03/05/2010, 13:09

With "your own virus scan" you mean: uploading the file to VT and compare the two hashes?
I just say: have fun with Kona-Chans charm Mod.

If you mean yout own virus scanner locally installed: most of em dont provide a MD5 -- and even if they do, they dont provide SHA-1.
If you are realy wary you would like to check both hashes, because there is the possibility to inject Code into a File without altering the MD5.

And well .. the download and installation of this small program does not take more than 3 minutes, even if you are using a 56k modem :P
And it can provide even more than just the checksum in the tab ... it can compare files with checksum files (like .md5 and .sfv) automatically and can create these files.
Last but not least it is open source.