10 tegen 1 dat het dezelfde is als deze (of een variant daarvan):
http://www.security.nl/article/15286/1/Trojaans_paard_lokt_met_nieuws_over_doden_Europese_storm.html

Selecteer bericht, menu View, Message Source.

Zie hier;
http://www.virusradar.com/index_enu.html

Wordt hier herkend als Win32/Fuclip.B worm
Het kan ook een variant zijn, ik kreeg virusdefinites binnen voor
Win32/Fuclip (3), Win32/Fuclip.A (4), Win32/Fuclip.B (4)

natuurlijk een virus, uberhaupt niet boeiend, wissen die handel.

Als je er niet zeker van bent gewoon dubbelklikken en met Wireshark je
netwerkverkeer in de gaten houden. Gebeurt er iets raars, laat het ons dan
weten.

Je kan het bestand altijd uploaden naar http://www.virustotal.com.

Om een voorbeeld te geven. Ik heb een mailserver waarop ClamAV en
Antivir voor viruscontrole zorgen. Ik kreeg ook een vreemd bericht binnen
waarvan de .exe niet werd herkend door ClamAV of Antivir als een virus.
Maar...Amavis had ik ingesteld om .exe files niet door te laten, en zodoende
kwam het bericht niet aan bij de oorspronkelijke ontvanger. Maar natuurlijk
wel een berichtje bij de afdeling Security, en na het bestand uit de
quarantaine te hebben gehaald en aangeboden te hebben bij
Virustotal.com bleek het inderdaad om een virus te gaan. McAfee (wat op
de desktops draait) had nog geen definities.

Saved by the bell door het verbannen van .exe files. Tijdens de test bij
Virustotal had ClamAV en AntiVir inmiddels wel definities beschikbaar.

Moraal van het verhaal: antivirus loopt altijd achter, policy m.b.t. gevaarlijke
attachments is veel effectiever.

Ontdekte minpuntje: McAfee was te laat met releasen definities, waar
andere (ook open-source) AV's inmiddels wel definities beschikbaar
hadden.

Er is weer een nieuwe variant.
http://www.virusradar.com/index_enu.html

Op dit moment wordt die variant door slechts 5 van de 29 scanners op
virustotal.com herkend.

Eens kijken wat deze variant kan scoren :-)

Een?

Sinds vanmiddag 6 stuks "voorbij" zien komen, allemaal 51310 bytes lang, elk met een unieke md5sum:

54a65728e44c48762ccf458558c124a2
5589c89bcd09f865ef9cccc48cef40f4
0fc50fb4b91004c3fe47793ca2e90925
2da251b86dc055f892b5424eca617115
c76f468fc08e1806e9c03986da220d57
033bbf521815b2da5eb5ad2c45142176

Zodra malwareverspreiders over software beschikken die op zombie PC's een voor AV boeren onvoorspelbare "randomization" toepast (als dat nu al niet het geval is), wordt het een moeilijk verhaal voor de klassieke pattern-based virusscanner.

Ik zei één omdat m'n virusscannertje het gewoon "een variant " noemt.
Variant moet nog een exacte naam krijgen, voordat ik het verschil zie ;-)

Doe je ook nog iets met die stoute bestanden, of gooi je ze weg na het
scannen op virustotal ?

Het was niet als kritiek bedoeld hoor, ik ben soms
nogal sarcastisch...
Ik verzamel ze, ga misschien ooit nog wel een
"malwarearchive.org" site beginnen (... tap tap tap ...
nslookup ... verrek, die bestaat al, dan maar
"malwaremuseum.org" ;)

Serieus, ik bewaar ze wel een tijdje (gezipped met
wachtwoord) voor het geval er hier nog discussie over komt
(bijv. of er op een gegeven moment wel dectectie voor
komt, c.q. of die herkenning juist weer verwijderd is).

Ik heb de 5589c89bcd09f865ef9cccc48cef40f4 om 21:59:13 (CET)
gescanned op virustotal, 16 van de 29 scanners vonden niks,
waaronder Prevx. McAfee pakte hem deze keer wel, en ik heb
respect voor ClamAV, want die zijn er steeds snel bij met
deze krengen.

Ik ga ze niet allemaal scannen op VirusTotal, ik neem aan
dat je dat vraagt met het idee dat VirusTotal ze
distribueert naar alle (of de meeste) AV-boeren. Echter,
ofwel er zijn maar een beperkt aantal varianten in omloop,
dan hebben de AV-boeren heus wel genoeg honeypots en
spamtraps om deze dingen zelf te vangen; ofwel er zijn heel
veel varianten: dan zijn die paar die ik aanbied een druppel
op een gloeiende plaat.

Zullen virusdefinities over een paar jaar zo groot zijn dat
ze via torrents moeten worden verspreid?

Ik dacht.... als je een virustotal rapport hebt, en het bestand gezipt, kun je
ze ook hier kwijt; http://www.castlecops.com/f269-Malware_Listserv.html
De AV mensen kunnen dan de bestanden weer downloaden, en andere
mensen die daar toestemming voor hebben gekregen.

Het is ook wel makkelijk dat je daar op MD5 kunt zoeken (....omdat je ook
moet posten op MD5) , en dan het resultaat van virustotal op dat moment
kunt bekijken.

Al is het een variant die weinig verspreid is, elke unieke MD5 van malware
is waardevol voor veel anderen.

Daarom vroeg ik het dus even.

Als men van virusdefinities afhankelijk blijft is die kans wel groot....

Boeiend! We krijgen steeds snellere internet verbindingen, steeds meer
harde schijf opslag, steeds snellere systemen...

Het maakt niet uit dat we een grote database aan virusdefinities krijgen, we
zullen er geen last van hebben. Er zijn ook AV-producenten die hele oude
virusdefinities verwijderen uit hun database. Wil jij nog bescherming tegen
een oude bootsector virus? Ik gebruik allang geen floppies meer (hoewel
ik besef dat er nog meer mensen op deze aardbol zijn en er een paar zijn
die nog wel floppies gebruiken).